AWS Izin akun Administrator Microsoft AD yang dikelola - AWS Directory Service
Akun istimewa administrator korporasi dan domain

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Izin akun Administrator Microsoft AD yang dikelola

Saat Anda membuat AWS direktori Directory Service untuk Microsoft Active Directory, AWS buat unit organisasi (OU) untuk menyimpan semua grup dan akun AWS terkait. Untuk informasi selengkapnya tentang OU ini, lihat Apa yang dibuat dengan Microsoft AD yang AWS Dikelola. Ini termasuk akun Admin. Akun Admin memiliki izin untuk melakukan aktivitas administratif umum berikut untuk OU Anda:

Akun Admin juga memiliki hak untuk melakukan aktivitas di seluruh domain berikut:

  • Mengelola konfigurasi DNS (menambahkan, menghapus, atau memperbarui catatan, zona, dan penerus)

  • Melihat log peristiwa DNS

  • Melihat log peristiwa keamanan

Hanya tindakan yang tercantum di sini yang diizinkan untuk akun Admin. Akun Admin juga tidak memiliki izin untuk setiap tindakan terkait direktori di luar OU spesifik Anda, seperti pada OU induk.

penting

AWS Administrator Domain memiliki akses administratif penuh ke semua domain yang di-host. AWS Lihat perjanjian Anda AWS dan FAQ perlindungan AWS data untuk informasi selengkapnya tentang cara AWS menangani konten, termasuk informasi direktori, yang Anda simpan di AWS sistem.

catatan

Kami merekomendasikan agar Anda tidak menghapus atau mengubah nama akun ini. Jika Anda tidak lagi ingin menggunakan akun, kami sarankan Anda menetapkan kata sandi yang panjang (paling banyak 64 karakter acak) dan kemudian nonaktifkan akun.

Akun istimewa administrator korporasi dan domain

AWS secara otomatis memutar kata sandi Administrator bawaan ke kata sandi acak setiap 90 hari. Kapan saja kata sandi Administrator bawaan diminta untuk penggunaan manusia, AWS tiket dibuat dan dicatat dengan AWS Directory Service tim. Kredensial akun dienkripsi dan ditangani melalui saluran aman. Juga kredensi akun Administrator hanya dapat diminta oleh tim AWS Directory Service manajemen.

Untuk melakukan manajemen operasional direktori Anda, AWS memiliki kontrol eksklusif atas akun dengan hak istimewa Administrator Perusahaan dan Administrator Domain. Ini termasuk kontrol eksklusif akun administrator Direktori Aktif. AWS melindungi akun ini dengan mengotomatiskan manajemen kata sandi melalui penggunaan brankas kata sandi. Selama rotasi otomatis kata sandi administrator, AWS buat akun pengguna sementara dan berikan hak istimewa Administrator Domain. Akun sementara ini digunakan sebagai back-up jika terjadi kegagalan rotasi kata sandi pada akun administrator. Setelah AWS berhasil memutar kata sandi administrator, AWS menghapus akun administrator sementara.

Biasanya AWS mengoperasikan direktori sepenuhnya melalui otomatisasi. Jika proses otomatisasi tidak dapat menyelesaikan masalah operasional, AWS mungkin perlu meminta insinyur dukungan masuk ke pengontrol domain (DC) Anda untuk melakukan diagnosis. Dalam kasus yang jarang terjadi ini, AWS menerapkan sistem permintaan/pemberitahuan untuk memberikan akses. Dalam proses ini, AWS otomatisasi membuat akun pengguna terbatas waktu di direktori Anda yang memiliki izin Administrator Domain. AWS mengaitkan akun pengguna dengan insinyur yang ditugaskan untuk bekerja di direktori Anda. AWS mencatat asosiasi ini dalam sistem log kami dan memberikan insinyur dengan kredensi untuk digunakan. Semua tindakan yang diambil oleh teknisi dicatat dalam log peristiwa Windows. Ketika waktu yang dialokasikan berlalu, otomatisasi menghapus akun pengguna.

Anda dapat memantau tindakan akun administratif dengan menggunakan fitur penerusan log direktori Anda. Fitur ini memungkinkan Anda untuk meneruskan peristiwa Keamanan AD ke CloudWatch sistem Anda di mana Anda dapat menerapkan solusi pemantauan. Untuk informasi selengkapnya, lihat Mengaktifkan penerusan CloudWatch log Amazon Logs untuk Microsoft AD yang Dikelola AWS.

Peristiwa Keamanan IDs 4624, 4672 dan 4648 semuanya dicatat ketika seseorang masuk ke DC secara interaktif. Anda dapat melihat setiap log peristiwa Keamanan Windows DC menggunakan Event Viewer Microsoft Management Console (MMC) dari komputer Windows yang digabungkan dengan domain. Anda juga dapat Mengaktifkan penerusan CloudWatch log Amazon Logs untuk Microsoft AD yang Dikelola AWS mengirim semua log peristiwa Keamanan ke CloudWatch Log di akun Anda.

Anda mungkin kadang-kadang melihat pengguna dibuat dan dihapus dalam OU AWS Cadangan. AWS bertanggung jawab atas pengelolaan dan keamanan semua objek di OU ini dan OU atau wadah lainnya di mana kami belum mendelegasikan izin bagi Anda untuk mengakses dan mengelola. Anda mungkin melihat pembuatan dan penghapusan di OU tersebut. Ini karena AWS Directory Service menggunakan otomatisasi untuk memutar kata sandi Administrator Domain secara teratur. Ketika kata sandi dirotasi, backup dibuat pada peristiwa rotasi yang gagal. Setelah rotasi berhasil, akun backup akan dihapus secara otomatis. Juga dalam hal langka bahwa akses interaktif diperlukan pada DCs untuk tujuan pemecahan masalah, akun pengguna sementara dibuat untuk seorang AWS Directory Service insinyur untuk digunakan. Setelah teknisi menyelesaikan pekerjaan mereka, akun pengguna sementara akan dihapus. Perhatikan bahwa setiap kali kredensi interaktif diminta untuk direktori, tim AWS Directory Service manajemen akan diberi tahu.