¿Qué es AWS Directory Service? - AWS Directory Service

¿Qué es AWS Directory Service?

AWS Directory Service proporciona varias formas de usar Microsoft Active Directory (AD) con otros servicios de AWS. En los directorios se almacena información sobre usuarios, grupos y dispositivos, y los administradores pueden usarlos para administrar el acceso a la información y recursos. AWS Directory Service ofrece múltiples opciones de directorio para los clientes que desean utilizar aplicaciones existentes compatibles con Microsoft AD o el protocolo ligero de acceso a directorios (LDAP) en la nube. También ofrece las mismas opciones para los desarrolladores que necesiten un directorio para administrar usuarios, grupos, dispositivos y accesos.

Opciones de AWS Directory Service

AWS Directory Service incluye varios tipos de directorios entre los que elegir. Para obtener más información, seleccione una de las siguientes pestañas:

AWS Directory Service for Microsoft Active Directory

También conocido como AWS Managed Microsoft AD, el AWS Directory Service para Microsoft Active Directory funciona con un directorio real de Microsoft Windows Server Active Directory (AD), administrado por AWS en la nube de AWS. Le permite migrar una amplia gama de aplicaciones compatibles con el Active Directory a la nube de AWS. AWS Managed Microsoft AD funciona con Microsoft SharePoint, grupos de disponibilidad Always On de Microsoft SQL Server y muchas aplicaciones .NET. También es compatible con aplicaciones y servicios administrados por AWS, como Amazon WorkSpaces, Amazon WorkDocs, Amazon QuickSight, Amazon Chime, Amazon Connect y Amazon Relational Database Service para Microsoft SQL Server (Amazon RDS para SQL Server, Amazon RDS para Oracle y Amazon RDS para PostgreSQL).

AWS Managed Microsoft AD ha sido aprobado para aplicaciones en la nube de AWS sujetas al cumplimiento de la Ley de portabilidad y responsabilidad de los seguros médicos de EE. UU. (HIPAA) o del estándar de seguridad de datos del sector de las tarjetas de pago de EE. UU. (PCI DSS) cuando se habilita el cumplimiento para su directorio.

Todas las aplicaciones compatibles funcionan con credenciales de usuario que almacena en AWS Managed Microsoft AD. También puede conectarse a su infraestructura del AD existente con una relación de confianza y utilizar las credenciales desde el Active Directory que se ejecute en las instalaciones o en Windows EC2. Si une instancias de EC2 a su AWS Managed Microsoft AD, los usuarios pueden obtener acceso a cargas de trabajo de Windows en la nube de AWS con la misma experiencia de inicio de sesión único (SSO) de Windows que cuando obtienen acceso a las cargas de trabajo en su red en las instalaciones.

El AWS Managed Microsoft AD también admite casos de uso federados utilizando credenciales del Active Directory. Por sí solo, AWS Managed Microsoft AD le permite iniciar sesión en la AWS Management Console. Con AWS IAM Identity Center, también puede obtener credenciales a corto plazo para su uso con el SDK de AWS y la CLI y utilizar las integraciones de SAML preconfiguradas para iniciar sesión en muchas aplicaciones en la nube. Al agregar Microsoft Entra Connect (antes conocido comoAzure Active Directory Connect) y, de forma opcional, Active Directory Federation Service (AD FS), puede iniciar sesión en Microsoft Office 365 y en otras aplicaciones en la nube con las credenciales almacenadas en el AWS Managed Microsoft AD.

El servicio incluye características clave que le permiten ampliar el esquema, administrar políticas de contraseñas y habilitar las comunicaciones de LDAP seguro a través de capa de conexión segura (SSL)/Transport Layer Security (TLS). También puede habilitar la autenticación multifactor (MFA) para AWS Managed Microsoft AD para proporcionar una capa de seguridad adicional cuando los usuarios obtienen acceso a aplicaciones de AWS desde Internet. Dado que el Active Directory es un directorio LDAP, también puede utilizar el AWS Managed Microsoft AD para la autenticación en Linux Secure Shell (SSH) y otras aplicaciones compatibles con el LDAP.

AWS ofrece supervisión, instantáneas diarias y recuperación como parte del servicio: usted puede agregar usuarios y grupos a AWS Managed Microsoft AD y administrar la política de grupo mediante herramientas conocidas del Active Directory que se ejecutan en un equipo Windows vinculado al dominio del AWS Managed Microsoft AD. También puede escalar el directorio mediante la implementación de controladores de dominio adicionales y ayudar a mejorar el desempeño de las aplicaciones distribuyendo solicitudes a través de un gran número de controladores de dominio.

AWS Managed Microsoft AD está disponible en dos ediciones: Standard y Enterprise.

  • Standard Edition: AWS Managed Microsoft AD (Standard Edition) está optimizado para servir como directorio principal para compañías pequeñas y medianas con hasta 5000 empleados. Le facilita suficiente capacidad de almacenamiento como para dar cabida a 30 000* objetos de directorio, como usuarios, grupos y equipos.

  • Enterprise Edition: AWS Managed Microsoft AD (Enterprise Edition) está diseñado para su uso en grandes organizaciones y compañías con hasta 500 000* objetos de directorio.

* Los límites superiores son aproximaciones. Su directorio podría admitir más o menos objetos de directorio en función del tamaño de los mismos, y el comportamiento y las necesidades de rendimiento de sus aplicaciones.

Cuándo se debe usar

El AWS Managed Microsoft AD es la mejor opción si necesita características reales del Active Directory para trabajar con aplicaciones de AWS o cargas de trabajo de Windows, incluido Amazon Relational Database Service para Microsoft SQL Server. También es la mejor opción si quiere un Active Directory independiente en la nube de AWS compatible con Office 365 o si necesita un directorio LDAP para trabajar con sus aplicaciones Linux. Para obtener más información, consulte AWS Managed Microsoft AD.

AD Connector

El Conector AD es un servicio de proxy que proporciona una forma sencilla de conectar aplicaciones compatibles de AWS, como Amazon WorkSpaces, Amazon QuickSight y Amazon EC2 para instancias de Windows Server, al Microsoft Active Directory existente en las instalaciones. Con el Conector AD, puede simplemente agregar una cuenta de servicio a su Active Directory. Conector AD también elimina la necesidad de sincronización de directorios y los costos y dificultades que conlleva alojar una infraestructura de federación.

Al agregar usuarios a las aplicaciones de AWS, como Amazon QuickSight, el Conector AD lee el Active Directory existente para crear listas de usuarios y grupos de los cuales seleccionar. Cuando los usuarios inician sesión en las aplicaciones de AWS, el Conector AD reenvía las solicitudes de inicio de sesión a los controladores de dominio del Active Directory en las instalaciones para su autenticación. Conector AD funciona con muchas aplicaciones y servicios de AWS, como Amazon WorkSpaces, Amazon WorkDocs, Amazon QuickSight, Amazon Chime, Amazon Connect y Amazon WorkMail. También puede vincular sus instancias de EC2 de Windows al dominio del Active Directory en las instalaciones mediante el Conector AD con una vinculación de dominios fluida. El Conector AD también permite a los usuarios obtener acceso a la AWS Management Console y administrar los recursos de AWS al iniciar sesión con las credenciales existentes del Active Directory. Conector AD no es compatible con RDS SQL Server.

También puede utilizar Conector AD para habilitar la autenticación multifactor (MFA) para los usuarios de las aplicaciones de AWS conectándolo con su infraestructura de MFA basada en RADIUS existente. Esto proporciona una capa adicional de seguridad cuando los usuarios obtienen acceso a las aplicaciones de AWS.

Con el Conector AD, podrá seguir administrando el Active Directory como lo hace ahora. Por ejemplo, puede agregar nuevos usuarios y grupos y actualizar contraseñas con las herramientas estándar de administración del Active Directory en el Active Directory en las instalaciones. Así, podrá aplicar políticas de seguridad que ya existan de forma coherente, como la fecha de vencimiento de la contraseña, el historial de contraseñas y los bloqueos de cuentas, tanto si los usuarios obtienen acceso a recursos en su entorno local o en la nube de AWS.

Cuándo se debe usar

Conector AD es la mejor opción si desea utilizar su directorio en las instalaciones con los servicios compatibles de AWS. Para obtener más información, consulte Conector de AD.

Simple AD

Simple AD es un directorio compatible con Microsoft Active Directory de AWS Directory Service y está basado en Samba 4. Simple AD admite características del Active Directory básicas, como cuentas de usuario, pertenencias a grupos, unión a un dominio Linux o a instancias de EC2 basadas en Windows, inicio de sesión único (SSO) basado en Kerberos y políticas de grupo. AWS facilita las tareas de supervisión, instantáneas diarias y recuperación como parte del servicio.

Simple AD es un directorio independiente en la nube que permite crear y administrar identidades de usuarios y administrar el acceso a las aplicaciones. Puede utilizar muchas aplicaciones y herramientas habituales compatibles con el Active Directory que requieren las características básicas del Active Directory. Simple AD es compatible con las siguientes aplicaciones de AWS: Amazon WorkSpaces, Amazon WorkDocs, Amazon QuickSight y Amazon WorkMail. También puede iniciar sesión en la AWS Management Console con cuentas de usuario de Simple AD y administrar recursos de AWS.

Simple AD no es compatible con autenticación multifactor (MFA), relaciones de confianza, actualización dinámica de DNS, ampliaciones de esquemas, comunicación a través de LDAPS, cmdlets de PowerShell para AD ni transferencia de roles FSMO. Simple AD no es compatible con RDS SQL Server. Los clientes que necesiten las características de un Microsoft Active Directory real o que contemplen el uso de su directorio con RDS SQL Server deben utilizar el AWS Managed Microsoft AD. Compruebe que las aplicaciones que necesita sean totalmente compatibles con Samba 4 antes de usar Simple AD. Para obtener más información, visite https://www.samba.org.

Cuándo se debe usar

Puede utilizar Simple AD como un directorio independiente en la nube para las cargas de trabajo de Windows que requieran características básicas del Active Directory, aplicaciones compatibles de AWS o para las cargas de trabajo de Linux que necesiten un servicio LDAP. Para obtener más información, consulte AD sencillo.

Amazon Cognito

Amazon Cognito es un directorio de usuarios que agrega inscripciones e inicios de sesión a su aplicación móvil o aplicación web utilizando grupos de usuarios de Amazon Cognito.

Cuándo se debe usar

También puede utilizar Amazon Cognito si necesita crear campos de registro personalizados y almacenar los metadatos en su directorio de usuarios. Este servicio totalmente administrado puede adaptarse para admitir cientos de millones de usuarios. Para obtener más información, consulte Grupos de usuarios de Amazon Cognito en la Guía para desarrolladores de Amazon Cognito.

Consulte Disponibilidad por región de AWS Directory Service para obtener una lista de los tipos de directorio admitidos por región.

¿Cuál debe elegir?

Puede elegir servicios de directorio con las características y la escalabilidad que mejor se adapten a sus necesidades. Utilice la siguiente tabla para ayudarle a determinar qué opción de directorio de AWS Directory Service funcionará mejor para su organización.

¿Qué necesita hacer? Opciones recomendadas de AWS Directory Service
Necesito Active Directory o LDAP para mis aplicaciones en la nube.

Utilice AWS Directory Service para Microsoft Active Directory (Standard Edition o Enterprise Edition) si necesita un Microsoft Active Directory real en la nube de AWS que admita cargas de trabajo compatibles con el Active Directory o aplicaciones y servicios de AWS, como Amazon WorkSpaces y Amazon QuickSight, o si necesita compatibilidad con LDAP para aplicaciones Linux.

Utilice el Conector AD si solo necesita permitir a los usuarios en las instalaciones iniciar sesión en las aplicaciones y los servicios de AWS con sus credenciales del Active Directory. También puede utilizar el Conector AD para vincular instancias de Amazon EC2 al dominio del Active Directory existente.

Utilice Simple AD si necesita un directorio a pequeña escala y de bajo costo con compatibilidad básica con el Active Directory que admita aplicaciones compatibles con Samba 4 o si necesita compatibilidad con LDAP para determinadas aplicaciones.

Desarrollo aplicaciones SaaS Utilice Amazon Cognito si desarrolla aplicaciones SaaS a gran escala y necesita un directorio escalable para administrar y autenticar a sus suscriptores que funcione con identidades de redes sociales.

Para obtener más información sobre las opciones del directorio de AWS Directory Service, consulte Cómo elegir soluciones del Active Directory en AWS.

Uso de Amazon EC2

Un conocimiento básico de Amazon EC2 es esencial para utilizar AWS Directory Service. Le recomendamos que empiece leyendo los siguientes temas: