AWS 관리형 Microsoft AD 주요 개념 - AWS Directory Service
Active Directory 스키마패치 적용 및 유지 관리그룹 관리형 서비스 계정Kerberos 제한된 위임

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS 관리형 Microsoft AD 주요 개념

다음 주요 개념에 익숙해지면 AWS 관리형 Microsoft AD를 더 많이 활용할 수 있습니다.

Active Directory 스키마

스키마는 분산형 디렉터리의 일부인 속성 및 클래스 정의로서, 데이터베이스의 필드 및 테이블과 유사합니다. 스키마에는 데이터베이스에 추가 또는 포함할 수 있는 데이터의 유형 및 형식을 결정하는 규칙 세트가 포함되어 있습니다. 사용자 클래스는 데이터베이스에 저장된 클래스의 한 예입니다. 몇 가지 예제의 사용자 클래스 속성에는 사용자의 이름, 성, 전화 번호 등이 포함될 수 있습니다.

스키마 요소

속성, 클래스 및 객체는 스키마에서 객체를 정의하는 데 사용되는 기본 요소입니다. 다음은 AWS 관리형 Microsoft AD 스키마를 확장하는 프로세스를 시작하기 전에 알아야 할 스키마 요소에 대한 세부 정보를 제공합니다.

속성

데이터베이스의 필드와 유사한 각 스키마 속성은 속성의 특성을 정의하는 몇 가지 프로퍼티(property)를 가지고 있습니다. 예를 들면 속성에 대한 읽기 및 쓰기 작업을 위해 LDAP 클라이언트가 사용하는 프로퍼티는 LDAPDisplayName입니다. LDAPDisplayName 프로퍼티는 모든 속성 및 클래스에서 고유해야 합니다. 속성 특성에 대한 전체 목록은 MSDN 웹사이트의 속성의 특성을 참조하세요. 새 속성을 생성하는 방법에 대한 추가 지침은 MSDN 웹사이트의 새 속성 정의를 참조하세요.

클래스

클래스는 데이터베이스의 테이블과 유사하며 몇 가지 프로퍼티가 정의되어 있습니다. 예를 들어 objectClassCategory는 클래스 카테고리를 정의합니다. 클래스 특성에 대한 전체 목록은 MSDN 웹사이트의 객체 클래스의 특성을 참조하세요. 새 클래스를 생성하는 방법은 MSDN 웹사이트의 새 클래스 정의를 참조하세요.

객체 식별자(OID)

각 클래스와 속성은 모든 객체에 대해 고유한 OID를 가져야 합니다. 고유성을 보장하려면 소프트웨어 벤더들이 자체 OID를 획득해야 합니다. 고유성은 1개 이상의 애플리케이션에서 서로 다른 용도로 동일한 속성이 사용될 때 충돌을 방지합니다. 고유성 보장을 위해 ISO 이름 등록 권한으로부터 루트 OID를 획득할 수 있습니다. 또는 Microsoft로부터 기본 OID를 획득할 수 있습니다. OID 및 OID 획득 방법에 대한 자세한 내용은 MSDN 웹사이트의 객체 식별자를 참조하세요.

스키마에 링크 연결된 속성

몇몇 속성들은 전방 링크와 후방 링크를 통해 2개의 클래스 간에 연결됩니다. 대표적인 예가 그룹입니다. 그룹을 검색하면 그룹의 멤버를 알 수 있고, 사용자를 검색하면 그룹의 소속을 알 수 있습니다. 그룹에 사용자를 추가하면 Active Directory가 그룹에 대한 전방 링크를 생성합니다. 그런 다음, Active Directory가 그룹에서 사용자로 이어지는 후방 링크를 추가합니다. 링크로 연결될 속성을 생성할 때 고유 링크 ID를 생성해야 합니다. 자세한 내용은 MSDN 웹사이트의 링크 연결 속성을 참조하세요.

AWS Managed Microsoft AD에 대한 패치 적용 및 유지 관리

AWS AWS 관리형 Microsoft AD용 AWS DS라고도 하는 Microsoft Active Directory용 디렉터리 서비스는 실제로 관리형 서비스로 제공되는 Microsoft Active Directory 도메인 서비스(AD DS)입니다. 시스템은 도메인 컨트롤러(DCs)에 Microsoft Windows Server 2019를 사용하고 서비스 관리 목적으로 DCs에 소프트웨어를 AWS 추가합니다. DCs를 AWS 업데이트(패치)하여 새 기능을 추가하고 Microsoft Windows Server 소프트웨어를 최신 상태로 유지합니다. 패치 프로세스 중에도 디렉터리는 계속 사용할 수 있습니다.

가용성 보장

기본적으로 각 디렉터리는 두 개의 DC로 이루어져 있으며, 각 DC는 서로 다른 가용 영역에 설치되어 있습니다. 원하는 경우 DC를 추가하여 가용성을 더욱 높일 수 있습니다. 고가용성 및 내결함성이 필요한 중요한 환경의 경우 추가 DCs를 배포하는 것이 좋습니다. DC AWS 는 DCs 순차적으로 AWS 패치를 적용하며,이 기간 동안에는 적극적으로 패치를 적용 중인 DC를 사용할 수 없습니다. 하나 이상의 DCs가 일시적으로 서비스되지 않는 경우는 디렉터리에 최소 2개의 운영 DC가 있을 때까지 패치 적용을 AWS 연기합니다. DCs 이렇게 하면 패치 프로세스 동안에도 작동 중인 다른 DC를 사용할 수 있습니다. 여기에 걸리는 시간은 각기 다를 수 있지만 보통 30~45분이 소요됩니다. 하나 이상의 DC가 패치를 포함해 어떤 이유로든 사용 불가능한 상태일 때 애플리케이션이 작동 중인 DC에 도달할 수 있도록 하려면 애플리케이션이 정적 DC 주소가 아닌, Windows DC 로케이터 서비스를 사용해야 합니다.

패치 적용 일정 파악

DCs에서 Microsoft Windows Server 소프트웨어를 최신 상태로 유지하기 위해는 Microsoft 업데이트를 AWS 사용합니다. Microsoft는 Windows Server에서 월간 롤업 패치를 사용할 수 있도록 하므로 AWS 는 3주 이내에 모든 고객 DCs에 롤업을 테스트하고 적용하기 위해 최선의 노력을 기울입니다. 또한는 DCs에 대한 적용 가능성 및 긴급성을 기반으로 Microsoft가 월별 롤업 외부에서 릴리스한 업데이트를 AWS 검토합니다. Microsoft가 중대 또는 중요로 평가하고 DC와 관련이 있는 보안 패치의 경우, AWS 는 5일 내에 패치를 테스트하여 배포하기 위해 노력합니다.

그룹 관리형 서비스 계정

Windows Server 2012에서 Microsoft는 관리자가 그룹 관리형 서비스 계정(gMSA)이라는 서비스 계정을 관리하는 데 사용할 수 있는 새로운 방법을 도입했습니다. gMSA를 사용하면 서비스 인스턴스 간 암호 동기화를 더 이상 서비스 관리자가 수동으로 관리할 필요가 없습니다. 대신, 관리자가 Active Directory에 gMSA를 생성한 후 이 단일 gMSA를 사용하는 여러 서비스 인스턴스를 구성하면 됩니다.

AWS 관리형 Microsoft AD의 사용자가 gMSA를 생성할 수 있도록 권한을 부여하려면 자신의 계정을 AWS 위임된 관리형 서비스 계정 관리자 보안 그룹의 구성원으로 추가해야 합니다. 기본적으로 관리자 계정은 이 그룹의 멤버입니다. gMSA에 대한 자세한 내용은 Microsoft TechNet 웹 사이트에서 그룹 관리형 서비스 계정 개요를 참조하세요.

관련 AWS 보안 블로그 게시물

Kerberos 제한된 위임

Kerberos 제한 위임은 Windows Server의 새 기능입니다. 이 기능은 서비스 관리자에게 애플리케이션 서비스가 사용자 대신 작동할 수 있는 범위를 제한하여 애플리케이션 신뢰 경계를 지정 및 시행할 수 있는 능력을 제공합니다. 이 기능은 어느 프런트 엔드 서비스 계정이 백엔드 서비스에 위임할 수 있는지 구성해야 할 때 유용할 수 있습니다. 또한 Kerberos 제한된 위임은 gMSA가 Active Directory 사용자 대신 어떠한 서비스에도 연결하는 것을 방지하여 악의의 개발자에 의해 남용될 가능성을 배제합니다.

예를 들어 사용자 jsmith가 HR 애플리케이션에 로그인한다고 가정합시다. SQL Server가 jsmith의 데이터베이스 권한을 적용하기를 원합니다. 하지만 기본적으로 SQL Server는 jsmith의 구성된 권한이 아니라 hr-app-service의 권한을 적용하여 서비스 계정 자격 증명을 사용하는 데이터베이스 연결을 개설합니다. HR 급여 애플리케이션이 jsmith의 자격 증명을 사용하여 SQL Server 데이터베이스에 액세스할 수 있도록 해야 합니다. 이렇게 하려면 AWS의 AWS Managed Microsoft AD 디렉터리에서 hr-app-service 서비스 계정에 대해 Kerberos 제한 위임을 활성화합니다. jsmith가 로그인하면 Active Directory는 jsmith가 네트워크에서 다른 서비스에 액세스하려고 시도할 경우 Windows가 자동으로 사용하는 Kerberos 티켓을 제공합니다. Kerberos 위임은 hr-app-service 계정이 데이터베이스에 액세스할 때 jsmith Kerberos 티켓을 재사용하도록 합니다. 따라서 데이터베이스 연결을 개설할 때 jsmith에 고유한 권한을 적용할 수 있습니다.

AWS 관리형 Microsoft AD의 사용자가 Kerberos 제한 위임을 구성할 수 있는 권한을 부여하려면 해당 계정을 AWS 위임된 Kerberos 위임 관리자 보안 그룹의 구성원으로 추가해야 합니다. 기본적으로 관리자 계정은 이 그룹의 멤버입니다. Kerberos 제한된 위임에 대한 자세한 내용은 Microsoft TechNet 웹 사이트에서 Kerberos 제한된 위임 개요를 참조하세요.

리소스 기반 제한된 위임은 Windows Server 2012에서 도입되었습니다. 이 위임은 백엔드 서비스 관리자에게 서비스에 대한 제한된 위임을 구성할 수 있는 기능을 제공합니다.