AWS Managed Microsoft AD 시작하기 - AWS Directory Service
AWS 관리형 Microsoft AD 사전 조건AWS IAM Identity Center 사전 조건다중 인증 사전 조건AWS Managed Microsoft AD 생성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Managed Microsoft AD 시작하기

AWS Managed Microsoft AD는 완전 관리형 Microsoft Active Directory AWS 클라우드 및 의 에서 는 로 구동됩니다.Windows Server 2019 및 는 2012 R2 Forest 및 Domain 기능 수준에서 작동합니다. AWS Managed Microsoft AD로 디렉터리를 생성하면 는 두 개의 도메인 컨트롤러를 AWS Directory Service 생성하고 사용자를 대신하여 DNS 서비스를 추가합니다. 도메인 컨트롤러는 Amazon의 서로 다른 서브넷에 생성되므로 장애가 발생하더라도 디렉터리에 액세스할 수 VPC 있습니다. 더 많은 도메인 컨트롤러가 필요할 경우 나중에 추가할 수 있습니다. 자세한 내용은 AWS Managed Microsoft AD에 대한 추가 도메인 컨트롤러 배포 단원을 참조하십시오.

주제

AWS Managed Microsoft AD를 생성하기 위한 사전 조건

AWS Managed Microsoft AD를 생성하려면 Active Directory, 다음을 포함하는 AmazonVPC이 필요합니다.

  • 최소 2개의 서브넷. 각 서브넷은 서로 다른 가용 영역에 있어야 합니다.

  • 에는 기본 하드웨어 테넌시가 있어야 VPC 합니다.

  • 198.18.0.0/15 주소 공간의 주소를 VPC 사용하여 에서 AWS 관리형 Microsoft AD를 생성할 수 없습니다.

AWS Managed Microsoft AD 도메인을 기존 온프레미스와 통합해야 하는 경우 Active Directory 도메인, 온프레미스 도메인에 대한 포리스트 및 도메인 기능 수준이 로 설정되어 있어야 합니다.Windows 서버 2003 이상.

AWS Directory Service 는 두 가지 VPC 구조를 사용합니다. 디렉터리를 구성하는 EC2 인스턴스는 AWS 계정 외부에서 실행되며 에서 관리합니다 AWS. ETH0ETH1라는 2개의 어댑터가 있습니다. ETH0는 관리 어댑터로써 계정 외부에 위치합니다. ETH1는 계정 내부에서 생성됩니다.

디렉터리 ETH0 네트워크의 관리 IP 범위는 198.18.0.0/15입니다.

AWS 환경 및 AWS Managed Microsoft AD를 생성하는 방법에 대한 자습서는 섹션을 참조하세요AWS 관리형 Microsoft AD 테스트 랩 튜토리얼.

AWS IAM Identity Center 사전 조건

AWS Managed Microsoft AD와 함께 IAM Identity Center를 사용하려면 다음 사항이 맞는지 확인해야 합니다.

  • AWS Managed Microsoft AD 디렉터리는 AWS 조직의 관리 계정에 설정됩니다.

  • IAM Identity Center의 인스턴스는 AWS Managed Microsoft AD 디렉터리가 설정된 리전과 동일한 리전에 있습니다.

자세한 내용은 AWS IAM Identity Center 사용 설명서IAM Identity Center 사전 요구 사항을 참조하세요.

다중 인증 사전 조건

AWS Managed Microsoft AD 디렉터리에서 다중 인증을 지원하려면 온프레미스 또는 클라우드 기반 원격 인증 다이얼 인 사용자 서비스(RADIUS) 서버가 의 AWS Managed Microsoft AD 디렉터리에서 요청을 수락할 수 있도록 다음과 같이 구성해야 합니다 AWS.

  1. RADIUS 서버에서 의 관리 AWS 형 Microsoft AD 도메인 컨트롤러(DCs)를 모두 나타내는 RADIUS 두 클라이언트를 생성합니다 AWS. 다음 공통 파라미터를 사용하여 두 클라이언트를 모두 구성해야 합니다(RADIUS서버는 다를 수 있음).

    • 주소(DNS 또는 IP): AWS Managed Microsoft AD 중 하나의 DNS 주소입니다DCs. 두 DNS 주소 모두 를 사용하려는 AWS Managed Microsoft AD AWS 디렉터리의 세부 정보 페이지의 디렉터리 서비스 콘솔에서 찾을 수 있습니다MFA. 표시된 DNS 주소는 에서 DCs 사용하는 Managed AWS Microsoft AD의 IP 주소를 모두 나타냅니다 AWS.

      참고

      RADIUS 서버가 DNS 주소를 지원하는 경우 RADIUS 클라이언트 구성을 하나만 생성해야 합니다. 그렇지 않으면 각 AWS Managed Microsoft AD DC에 대해 하나의 RADIUS 클라이언트 구성을 생성해야 합니다.

    • 포트 번호 : RADIUS 서버가 RADIUS 클라이언트 연결을 수락하는 포트 번호를 구성합니다. 표준 RADIUS 포트는 1812입니다.

    • 공유 보안 암호 : RADIUS 서버가 RADIUS 클라이언트에 연결하는 데 사용할 공유 보안 암호를 입력하거나 생성합니다.

    • 프로토콜 : AWS Managed Microsoft ADDCs와 RADIUS 서버 간에 인증 프로토콜을 구성해야 할 수 있습니다. 지원되는 프로토콜은 PAP, CHAP MS- CHAPv1및 MS-입니다CHAPv2. MS-CHAPv2는 세 가지 옵션 중 가장 강력한 보안을 제공하기 때문에 권장됩니다.

    • 애플리케이션 이름 : 일부 RADIUS 서버에서는 선택 사항일 수 있으며 일반적으로 메시지 또는 보고서에서 애플리케이션을 식별합니다.

  2. RADIUS 클라이언트(AWS 관리형 Microsoft AD DCs DNS 주소, 1단계 참조)에서 RADIUS 서버 포트로의 인바운드 트래픽을 허용하도록 기존 네트워크를 구성합니다.

  3. 이전에 정의한 RADIUS 서버 DNS 주소 및 포트 번호의 인바운드 트래픽을 허용하는 규칙을 AWS Managed Microsoft AD 도메인의 Amazon EC2 보안 그룹에 추가합니다. 자세한 내용은 EC2 사용 설명서보안 그룹에 규칙 추가를 참조하세요.

에서 AWS Managed Microsoft AD를 사용하는 방법에 대한 자세한 내용은 섹션을 MFA참조하세요AWS Managed Microsoft AD에 대한 다중 인증 활성화.

AWS Managed Microsoft AD 생성

새 AWS Managed Microsoft AD를 생성하려면 Active Directory에서 다음 단계를 수행합니다. 이 절차를 시작하기 전에 AWS Managed Microsoft AD를 생성하기 위한 사전 조건에 나와 있는 선행 조건을 충족했는지 확인합니다.

AWS Managed Microsoft AD를 생성하려면

  1. AWS Directory Service 콘솔 탐색 창에서 디렉터리를 선택한 후 디렉터리 설정을 선택합니다.

  2. Select directory type(디렉터리 유형 선택) 페이지에서 AWS Managed Microsoft AD를 선택하고 Next(다음)를 선택합니다.

  3. 디렉터리 정보 입력 페이지에서 다음 정보를 제공합니다.

    에디션

    AWS Managed Microsoft AD의 Standard Edition 또는 Enterprise Edition 중에서 선택합니다. 에디션에 대한 자세한 내용은 AWS Directory Service for Microsoft Active Directory를 참조하세요.

    디렉터리 DNS 이름

    디렉터리를 위한 정규화된 이름(예: corp.example.com)입니다.

    참고

    에 Amazon Route 53을 사용하려면 AWS Managed Microsoft AD의 DNS도메인 이름이 Route 53 도메인 이름과 달라야 합니다. DNS Route 53과 AWS Managed Microsoft AD가 동일한 도메인 이름을 공유하는 경우 해결 문제가 발생할 수 있습니다.

    디렉터리 네트워크BIOS 이름

    디렉터리의 짧은 이름(예: CORP)입니다.

    디렉터리 설명

    디렉터리에 대한 선택적 설명을 입력합니다. 이 설명은 AWS Managed Microsoft AD를 생성한 후 변경할 수 있습니다.

    관리자 암호

    디렉터리 관리자의 암호입니다. 디렉터리 생성 프로세스에서는 사용자 이름 Admin와 이 암호를 사용하여 관리자 계정을 생성합니다. AWS Managed Microsoft AD를 생성한 후 관리자 암호를 변경할 수 있습니다.

    암호에 "admin"이라는 말을 포함할 수 없습니다.

    디렉터리 관리자 암호는 대소문자를 구분하며 길이가 8~64자 사이여야 합니다. 또한 다음 네 범주 중 세 개에 해당하는 문자를 1자 이상 포함해야 합니다.

    • 소문자(a-z)

    • 대문자(A-Z)

    • 숫자(0-9)

    • 영숫자 외의 특수 문자(~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    [Confirm password]

    관리자 암호를 다시 입력합니다.

    (선택 사항) 사용자 및 그룹 관리

    에서 AWS 관리형 Microsoft AD 사용자 및 그룹 관리를 활성화하려면 에서 사용자 및 그룹 관리 관리를 AWS Management Console AWS Management Console선택합니다. 사용자 및 그룹 관리를 사용하는 방법에 대한 자세한 내용은 섹션을 참조하세요AWS Management Console 또는 를 사용하여 AWS 관리형 Microsoft AD 사용자 및 그룹 관리 AWS CLI.

  4. VPC 및 서브넷 선택 페이지에서 다음 정보를 입력한 다음 다음 를 선택합니다.

    VPC

    디렉터리VPC용 .

    서브넷

    도메인 컨트롤러에 대한 서브넷을 선택합니다. 두 서브넷이 서로 다른 가용 영역에 있어야 합니다.

  5. 검토 및 생성 페이지에서 디렉터리 정보를 검토하고 필요한 사항을 변경합니다. 정보가 올바르면 디렉터리 생성을 선택합니다. 디렉터리 생성은 20~40분 정도 걸립니다. 생성이 완료되면 상태 값이 활성 상태로 변경됩니다.

AWS Managed Microsoft AD로 생성된 항목에 대한 자세한 내용은 다음을 참조하세요.