Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques pour Simple AD
Voici quelques suggestions et directives à prendre en compte pour éviter les problèmes et tirer le meilleur parti de Simple AD.
Configuration : prérequis
Pensez à utiliser ces consignes avant de créer votre annuaire.
Vérifiez que vous avez le type d'annuaire approprié
AWS Directory Service propose plusieurs méthodes d'utilisation Microsoft Active Directory avec d'autres AWS services. Vous pouvez choisir le service d'annuaire doté des fonctionnalités dont vous avez besoin à un prix adapté à votre budget :
-
AWS Directory Service pour Microsoft Active Directory est un service géré riche en fonctionnalités Microsoft Active Directory hébergé sur le AWS cloud. AWS Managed Microsoft AD est votre meilleur choix si vous avez plus de 5 000 utilisateurs et que vous avez besoin d'établir une relation de confiance entre un annuaire AWS hébergé et vos annuaires locaux.
-
AD Connector connecte simplement votre site existant Active Directory à AWS. AD Connector est votre meilleur allié si vous souhaitez utiliser votre annuaire sur site existant avec les services AWS .
-
Simple AD est un annuaire à petite échelle et à faible coût doté d'une Active Directory compatibilité de base. Il prend en charge jusqu'à 5 000 utilisateurs, des applications compatibles avec Samba 4 et une compatibilité LDAP pour les applications LDAP.
Pour une comparaison plus détaillée des AWS Directory Service options, voirQue choisir ?.
Assurez-vous que vos VPC et instances sont correctement configurés
Pour vous connecter à vos annuaires, les gérer et les utiliser, vous devez configurer correctement les VPC auxquels les annuaires sont associés. Consultez AWS Conditions préalables à la gestion de Microsoft AD, Conditions préalables requises pour AD Connector ou Prérequis pour Simple AD pour obtenir plus d'informations sur les exigences de sécurité et de mise en réseau des VPC.
Si vous ajoutez une instance à votre domaine, assurez-vous de disposer d'une connectivité et d'un accès à distance à votre instance, comme décrit dans Joindre une EC2 instance Amazon à votre AWS Managed Microsoft AD Active Directory.
Tenez compte des limites
Découvrez les différentes limites applicables à votre type d'annuaire spécifique. Le stockage disponible et la taille globale de vos objets sont les seules limites quant au nombre d'objets que vous pouvez stocker dans votre annuaire. Consultez AWS Quotas Microsoft AD gérés, Quotas AD Connector ou Quotas Simple AD pour plus d'informations sur l'annuaire que vous avez choisi.
Comprenez la configuration et l'utilisation AWS des groupes de sécurité de votre annuaire
AWS crée un groupe de sécurité et l'attache aux interfaces réseau élastiques du contrôleur de domaine de votre annuaire. AWS configure le groupe de sécurité pour bloquer le trafic inutile vers le répertoire et autorise le trafic nécessaire.
Modification du groupe de sécurité de l'annuaire
Si vous souhaitez modifier la sécurité des groupes de sécurité des annuaires, vous pouvez le faire. Effectuez ces modifications uniquement si vous avez entièrement compris le fonctionnement du filtrage des groupes de sécurité. Pour plus d'informations, veuillez consulter la section Amazon EC2 security groups for Linux instances (français non garanti) dans le Guide de l'utilisateur Amazon EC2. Des modifications inappropriées peuvent entraîner une perte de communication avec les ordinateurs et les instances concernés. AWS recommande de ne pas essayer d'ouvrir des ports supplémentaires vers votre répertoire car cela réduit la sécurité de votre répertoire. Veuillez lire attentivement le modèle de responsabilité partagée AWS
Avertissement
Vous êtes techniquement en mesure d'associer le groupe de sécurité de l'annuaire à d'autres instances EC2 que vous créez. Il AWS déconseille toutefois cette pratique. AWS peut avoir des raisons de modifier le groupe de sécurité sans préavis pour répondre aux besoins fonctionnels ou de sécurité du répertoire géré. Ces modifications affectent toutes les instances auxquelles vous associez le groupe de sécurité d'annuaire et peuvent interrompre le fonctionnement des instances associées. De plus, l'association du groupe de sécurité de l'annuaire avec vos instances EC2 peut créer un risque de sécurité potentiel pour vos instances EC2.
Utilisez AWS Managed Microsoft AD si des approbations sont requises
Simple AD ne prend pas en charge des relations d'approbation. Si vous devez établir une relation de confiance entre votre AWS Directory Service annuaire et un autre annuaire, vous devez utiliser AWS Directory Service pour Microsoft Active Directory.
Configuration : création de votre annuaire
Voici quelques suggestions à prendre en compte lorsque vous créez votre annuaire.
Rétention de vos ID et mot de passe d'administrateur
Lorsque vous configurez votre annuaire, vous fournissez un mot de passe pour le compte d'administrateur. Cet ID de compte est un administrateur pour Simple AD. Retenez le mot de passe créé pour ce compte, sinon vous ne serez pas en mesure d'ajouter des objets à votre annuaire.
Comprendre les restrictions relatives aux noms d'utilisateur pour AWS les applications
AWS Directory Service prend en charge la plupart des formats de caractères pouvant être utilisés dans la construction des noms d'utilisateur. Cependant, certaines restrictions de caractères sont appliquées aux noms d'utilisateur qui seront utilisés pour se connecter à AWS des applications, telles qu'Amazon WorkSpaces WorkDocs WorkMail, Amazon ou Amazon QuickSight. Ces restrictions empêchent l'utilisation des caractères suivants :
-
Espaces
Caractères multioctets
!"#$%&'()*+,/:;<=>?@[\]^`{|}~
Note
Le symbole @ est autorisé s'il précède un suffixe UPN.
Programmation de vos applications
Avant de programmer vos applications, prenez en compte les éléments suivants :
Utilisez le service de localisation des contrôleurs de domaine de Windows
Lorsque vous développez des applications, utilisez le service de localisation Windows DC ou le service DNS dynamique (DDNS) de votre Managed AWS Microsoft AD pour localiser les contrôleurs de domaine (DC). Ne codez pas en dur les applications avec l'adresse d'un contrôleur de domaine. Le service de localisation des contrôleurs de domaine permet de garantir que l'annuaire est distribué et vous permet de tirer parti de la mise à l'échelle horizontale en ajoutant des contrôleurs de domaine à votre déploiement. Si vous liez votre application à un contrôleur de domaine corrigé et que celui-ci subit une application de correctifs ou une récupération, votre application perdra l'accès au contrôleur de domaine au lieu d'utiliser l'un des contrôleurs de domaine restants. En outre, le codage en dur du contrôleur de domaine peut entraîner la création d'un point chaud sur un seul contrôleur de domaine. Dans des cas extrêmes, la création de ce point chaud peut entraîner une absence de réponse de votre contrôleur de domaine. Dans de tels cas, l'automatisation de l' AWS annuaire peut également signaler le répertoire comme étant altéré et peut déclencher des processus de restauration qui remplacent le contrôleur de domaine qui ne répond pas.
Testez la charge avant de lancer la production
Assurez-vous de procéder à des tests avec des objets et des requêtes représentatifs de votre charge de travail de production afin de confirmer que l'annuaire s'adapte à la charge de travail de votre application. Si vous avez besoin de capacité supplémentaire, vous devez utiliser AWS Directory Service Microsoft Active Directory, qui vous permet d'ajouter des contrôleurs de domaine pour des performances élevées. Pour plus d’informations, consultez Déploiement de contrôleurs de domaine supplémentaires.
Utilisez des requêtes LDAP efficaces
De vastes requêtes LDAP effectuées dans un contrôleur de domaine sur des milliers d'objets peuvent consommer des cycles de processeur considérables sur un seul contrôleur de domaine, ce qui se traduit par la création de points chauds. Ces points chauds peuvent affecter les applications qui partagent le même contrôleur de domaine lors de la requête.
