AWS 관리형 Microsoft AD 키 개념 - AWS Directory Service
Active Directory 스키마패치 적용 및 유지 관리그룹 관리형 서비스 계정Kerberos 제한된 위임

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS 관리형 Microsoft AD 키 개념

다음 주요 개념에 익숙해지면 AWS Managed Microsoft AD를 더 많이 활용할 수 있습니다.

Active Directory 스키마

스키마는 분산형 디렉터리의 일부인 속성 및 클래스 정의로서, 데이터베이스의 필드 및 테이블과 유사합니다. 스키마에는 데이터베이스에 추가 또는 포함할 수 있는 데이터의 유형 및 형식을 결정하는 규칙 세트가 포함되어 있습니다. 사용자 클래스는 데이터베이스에 저장된 클래스의 한 예입니다. 몇 가지 예제의 사용자 클래스 속성에는 사용자의 이름, 성, 전화 번호 등이 포함될 수 있습니다.

스키마 요소

속성, 클래스 및 객체는 스키마에서 객체를 정의하는 데 사용되는 기본 요소입니다. 다음은 AWS Managed Microsoft AD 스키마를 확장하는 프로세스를 시작하기 전에 알아야 할 중요한 스키마 요소에 대한 세부 정보를 제공합니다.

속성

데이터베이스의 필드와 유사한 각 스키마 속성은 속성의 특성을 정의하는 몇 가지 프로퍼티(property)를 가지고 있습니다. 예를 들어 LDAP 클라이언트가 속성을 읽고 쓰는 데 사용하는 속성은 입니다LDAPDisplayName. LDAPDisplayName 프로퍼티는 모든 속성 및 클래스에서 고유해야 합니다. 속성 특성의 전체 목록은 MSDN 웹 사이트의 속성 특성을 참조하세요. 새 속성을 생성하는 방법에 대한 자세한 내용은 MSDN 웹 사이트의 새 속성 정의를 참조하세요.

클래스

클래스는 데이터베이스의 테이블과 유사하며 몇 가지 프로퍼티가 정의되어 있습니다. 예를 들어 objectClassCategory는 클래스 카테고리를 정의합니다. 클래스 특성의 전체 목록은 MSDN 웹 사이트의 객체 클래스 특성을 참조하세요. 새 클래스를 생성하는 방법에 대한 자세한 내용은 MSDN 웹 사이트의 새 클래스 정의를 참조하세요.

객체 식별자(OID)

각 클래스 및 속성에는 모든 객체에 고유한 OID 이 있어야 합니다. 소프트웨어 공급업체는 고유성을 보장하기 OID 위해 자체적으로 확보해야 합니다. 고유성은 1개 이상의 애플리케이션에서 서로 다른 용도로 동일한 속성이 사용될 때 충돌을 방지합니다. 고유성을 보장하기 위해 ISO 이름 등록 기관OID으로부터 루트를 얻을 수 있습니다. 또는 MicrosoftOID에서 기반을 얻을 수 있습니다. OIDs 및 획득 방법에 대한 자세한 내용은 MSDN 웹 사이트의 객체 식별자를 참조하세요.

스키마에 링크 연결된 속성

몇몇 속성들은 전방 링크와 후방 링크를 통해 2개의 클래스 간에 연결됩니다. 대표적인 예가 그룹입니다. 그룹을 검색하면 그룹의 멤버를 알 수 있고, 사용자를 검색하면 그룹의 소속을 알 수 있습니다. 그룹에 사용자를 추가하면 Active Directory가 그룹에 대한 전방 링크를 생성합니다. 그런 다음, Active Directory가 그룹에서 사용자로 이어지는 후방 링크를 추가합니다. 링크로 연결될 속성을 생성할 때 고유 링크 ID를 생성해야 합니다. 자세한 내용은 MSDN 웹 사이트의 연결된 속성을 참조하세요.

AWS Managed Microsoft AD에 대한 패치 적용 및 유지 관리

AWS AWS Managed Microsoft AD용 AWS DS라고도 하는 Microsoft Active Directory용 디렉터리 서비스는 실제로 관리형 서비스로 제공되는 Microsoft Active Directory 도메인 서비스(AD DS)입니다. 시스템은 도메인 컨트롤러(DCs)에 Microsoft Windows Server 2019를 사용하고 서비스 관리 목적으로 DCs에 소프트웨어를 AWS 추가합니다. AWS 업데이트(패치)DCs를 통해 새 기능을 추가하고 Microsoft Windows Server 소프트웨어를 최신 상태로 유지합니다. 패치 프로세스 중에도 디렉터리는 계속 사용할 수 있습니다.

가용성 보장

기본적으로 각 디렉터리는 두 개의 로 구성되며DCs, 각 디렉터리는 서로 다른 가용 영역에 설치됩니다. 원하는 경우 DCs를 추가하여 가용성을 높일 수 있습니다. 고가용성 및 내결함성이 필요한 중요한 환경의 경우 DCs. AWS patches를 DCs 순차적으로 추가로 배포하는 것이 좋습니다. 이 시간 동안에는 적극적으로 패치를 적용 중인 DC AWS 를 사용할 수 없습니다. 하나 이상의 가 일시적으로 서비스 중단 상태인 경우 DCs는 디렉터리에 최소 2개의 작동 가 있을 때까지 패치 적용을 AWS 지연합니다DCs. 이렇게 하면 패치 프로세스 DCs 중에 다른 작업을 사용할 수 있습니다. 이 시간은 다를 수 있지만 일반적으로 DC당 30~45분이 걸립니다. 패치를 포함하여 어떤 이유로든 하나 이상의 DCs 를 사용할 수 없는 경우 애플리케이션이 운영 DC에 도달할 수 있도록 하려면 애플리케이션이 Windows DC 로케이터 서비스를 사용하고 정적 DC 주소를 사용하지 않아야 합니다.

패치 적용 일정 파악

에서 Microsoft Windows Server 소프트웨어를 최신 상태로 유지하려면 에서 Microsoft 업데이트를 DCs AWS 사용합니다. Microsoft는 Windows Server에서 월간 롤업 패치 AWS 를 사용할 수 있도록 하므로 는 3주 DCs 이내에 모든 고객에게 롤업을 테스트하고 적용하는 데 최선을 다합니다. 또한 에 대한 적용 가능성DCs과 긴급성을 기반으로 Microsoft가 월간 롤업 외부에서 릴리스한 업데이트를 AWS 검토합니다. Microsoft가 중요 또는 중요 로 평가하고 와 관련된 보안 패치의 경우 DCs AWS 는 5일 이내에 패치를 테스트하고 배포하기 위해 모든 노력을 기울입니다.

그룹 관리형 서비스 계정

Windows Server 2012를 통해 Microsoft는 관리자가 그룹 관리형 서비스 계정()이라는 서비스 계정을 관리하는 데 사용할 수 있는 새로운 방법을 도입했습니다gMSAs. 를 사용하면 gMSAs서비스 관리자가 더 이상 서비스 인스턴스 간의 암호 동기화를 수동으로 관리할 필요가 없습니다. 대신 관리자는 Active Directory에서 gMSA를 생성한 다음 해당 단일 g를 사용하도록 여러 서비스 인스턴스를 구성할 수 있습니다MSA.

AWS Managed Microsoft AD의 사용자가 g 를 생성할 수 있도록 권한을 부여하려면 해당 계정을 AWS 위임된 Managed Service Account Administrators 보안 그룹의 구성원으로 추가MSA해야 합니다. 기본적으로 관리자 계정은 이 그룹의 멤버입니다. 에 대한 자세한 내용은 Microsoft TechNet 웹 사이트의 그룹 관리형 서비스 계정 개요를 gMSAs참조하세요. https://technet.microsoft.com/en-us/library/hh831782(v=ws.11).aspx

관련 AWS 보안 블로그 게시물

Kerberos 제한된 위임

Kerberos 제한 위임은 Windows Server의 새 기능입니다. 이 기능은 서비스 관리자에게 애플리케이션 서비스가 사용자 대신 작동할 수 있는 범위를 제한하여 애플리케이션 신뢰 경계를 지정 및 시행할 수 있는 능력을 제공합니다. 이 기능은 어느 프런트 엔드 서비스 계정이 백엔드 서비스에 위임할 수 있는지 구성해야 할 때 유용할 수 있습니다. 또한 Kerberos 제한 위임은 gMSA가 Active Directory 사용자를 대신하여 모든 서비스에 연결되지 않도록 하여 비승인 개발자의 남용 가능성을 방지합니다.

예를 들어 사용자 jsmith가 HR 애플리케이션에 로그인한다고 가정합시다. SQL 서버가 jsmith의 데이터베이스 권한을 적용하도록 하려고 합니다. 그러나 기본적으로 SQL Server는 jsmith의 구성된 권한 대신 hr-app-service의 권한을 적용하는 서비스 계정 자격 증명을 사용하여 데이터베이스 연결을 엽니다. HR 급여 애플리케이션이 jsmith의 자격 증명을 사용하여 SQL 서버 데이터베이스에 액세스할 수 있도록 해야 합니다. 이렇게 하려면 의 hr-app-service AWS Managed Microsoft AD 디렉터리에서 서비스 계정에 대한 Kerberos 제한 위임을 활성화합니다 AWS. jsmith가 로그인하면 Active Directory는 jsmith가 네트워크에서 다른 서비스에 액세스하려고 시도할 경우 Windows가 자동으로 사용하는 Kerberos 티켓을 제공합니다. Kerberos 위임을 hr-app-service 사용하면 계정이 데이터베이스에 액세스할 때 jsmith Kerberos 티켓을 재사용할 수 있으므로 데이터베이스 연결을 열 때 jsmith에 고유한 권한을 적용할 수 있습니다.

AWS Managed Microsoft AD의 사용자가 Kerberos 제한 위임을 구성할 수 있는 권한을 부여하려면 해당 계정을 AWS 위임된 Kerberos 위임 관리자 보안 그룹의 구성원으로 추가해야 합니다. 기본적으로 관리자 계정은 이 그룹의 멤버입니다. Kerberos 제한 위임에 대한 자세한 내용은 Microsoft TechNet 웹 사이트의 Kerberos 제한 위임 개요를 참조하세요.

리소스 기반 제한된 위임은 Windows Server 2012에서 도입되었습니다. 이 위임은 백엔드 서비스 관리자에게 서비스에 대한 제한된 위임을 구성할 수 있는 기능을 제공합니다.