기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Managed Microsoft AD의 주요 개념

다음 주요 개념을 익히면 AWS Managed Microsoft AD를 최대한 활용할 수 있습니다.

Active Directory 스키마

스키마는 분산형 디렉터리의 일부인 속성 및 클래스 정의로서, 데이터베이스의 필드 및 테이블과 유사합니다. 스키마에는 데이터베이스에 추가 또는 포함할 수 있는 데이터의 유형 및 형식을 결정하는 규칙 세트가 포함되어 있습니다. 사용자 클래스는 데이터베이스에 저장된 클래스의 한 예입니다. 몇 가지 예제의 사용자 클래스 속성에는 사용자의 이름, 성, 전화 번호 등이 포함될 수 있습니다.

스키마 요소

속성, 클래스 및 객체는 스키마에서 객체를 정의하는 데 사용되는 기본 요소입니다. 아래에는 AWS Managed Microsoft AD 스키마를 확장하기 위한 프로세스를 시작하기 전에 반드시 알아야 할 스키마 요소에 대한 세부 사항이 나와 있습니다.

관련 주제

AWS Managed Microsoft AD에 대한 패치 적용 및 유지 관리

AWS용 AWS DS라고도 하는 AWS Directory Service for Microsoft Active Directory는 사실상 관리형 서비스로 제공되는 Microsoft Active Directory Domain Services(AD DS)입니다. 이 시스템은 도메인 컨트롤러(DC)에서 Microsoft Windows Server 2019를 사용하고, AWS는 서비스 관리를 목적으로 DC에 소프트웨어를 추가합니다. AWS는 DC를 업데이트(패치)하여 새 기능을 추가하고 Microsoft Windows Server 소프트웨어를 업데이트 상태로 유지합니다. 패치 프로세스 중에도 디렉터리는 계속 사용할 수 있습니다.

가용성 보장

기본적으로 각 디렉터리는 두 개의 DC로 이루어져 있으며, 각 DC는 서로 다른 가용 영역에 설치되어 있습니다. 필요에 따라 DC를 추가하여 가용성을 더욱 높일 수 있습니다. 고가용성과 내결함성이 필요한 중요 환경의 경우 DC를 추가로 배포하는 것이 좋습니다. AWSDC에 순차적으로 패치를 적용하는데, 이 기간 동안에는 현재 패치를 적용하고 있는 DC를 사용할 수 없습니다. AWS 하나 이상의 DC가 일시적으로 사용 불가능한 상태인 경우에는 디렉터리에서 작동 중인 DC가 최소 두 개가 될 때까지 AWS가 패치를 연기합니다. 이렇게 하면 패치 프로세스 동안에도 작동 중인 다른 DC를 사용할 수 있습니다. 여기에 걸리는 시간은 각기 다를 수 있지만 보통 30~45분이 소요됩니다. 하나 이상의 DC가 패치를 포함해 어떤 이유로든 사용 불가능한 상태일 때 애플리케이션이 작동 중인 DC에 도달할 수 있도록 하려면 애플리케이션이 정적 DC 주소가 아닌, Windows DC 로케이터 서비스를 사용해야 합니다.

패치 적용 일정 파악

AWS는 DC에서 Microsoft Windows Server 소프트웨어를 최신 상태로 유지하기 위해 Microsoft 업데이트를 사용합니다. Microsoft는 월별 롤업 패치를 Windows Server에서 지원하기 때문에 AWS는 3주 내에 테스트를 거쳐 모든 고객 DC에 롤업을 적용하기 위해 노력합니다. 뿐만 아니라 AWS는 DC에 대한 적용 가능성과 긴급성에 따라 월별 롤업 외에 Microsoft가 발표하는 업데이트를 검토합니다. Microsoft가 중대 또는 중요로 평가하고 DC와 관련이 있는 보안 패치의 경우, AWS는 5일 내에 패치를 테스트하여 배포하기 위해 노력합니다.

그룹 관리형 서비스 계정

Windows Server 2012에서 Microsoft는 관리자가 그룹 관리형 서비스 계정(gMSA)이라는 서비스 계정을 관리하는 데 사용할 수 있는 새로운 방법을 도입했습니다. gMSA를 사용하면 서비스 인스턴스 간 암호 동기화를 더 이상 서비스 관리자가 수동으로 관리할 필요가 없습니다. 대신, 관리자가 Active Directory에 gMSA를 생성한 후 이 단일 gMSA를 사용하는 여러 서비스 인스턴스를 구성하면 됩니다.

AWS Managed Microsoft AD에서 사용자가 gMSA를 생성할 수 있도록 권한을 부여하려면, 사용자의 계정을 AWS위임 관리형 서비스 계정 관리자 보안 그룹의 멤버로 추가해야 합니다. 기본적으로 관리자 계정은 이 그룹의 멤버입니다. GMSA에 대한 자세한 내용은 Microsoft 웹 사이트의 그룹 관리 서비스 계정 개요를 참조하십시오. TechNet

관련 AWS 보안 블로그 게시물

Kerberos 제한된 위임

Kerberos 제한 위임은 Windows Server의 새 기능입니다. 이 기능은 서비스 관리자에게 애플리케이션 서비스가 사용자 대신 작동할 수 있는 범위를 제한하여 애플리케이션 신뢰 경계를 지정 및 시행할 수 있는 능력을 제공합니다. 이 기능은 어느 프런트 엔드 서비스 계정이 백엔드 서비스에 위임할 수 있는지 구성해야 할 때 유용할 수 있습니다. 또한 Kerberos 제한된 위임은 gMSA가 Active Directory 사용자 대신 어떠한 서비스에도 연결하는 것을 방지하여 악의의 개발자에 의해 남용될 가능성을 배제합니다.

예를 들어 사용자 jsmith가 HR 애플리케이션에 로그인한다고 가정합시다. SQL Server가 jsmith의 데이터베이스 권한을 적용하기를 원합니다. 그러나 기본적으로 SQL Server는 jsmith의 구성된 권한 대신 hr-app-service 의 권한을 적용하는 서비스 계정 자격 증명을 사용하여 데이터베이스 연결을 엽니다. HR 급여 애플리케이션이 jsmith의 자격 증명을 사용하여 SQL Server 데이터베이스에 액세스할 수 있도록 해야 합니다. 이렇게 하려면 관리형 AWS Microsoft AD 디렉터리의 hr-app-service 서비스 계정에 대해 Kerberos 제한 위임을 사용하도록 설정합니다. AWS jsmith가 로그인하면 Active Directory는 jsmith가 네트워크에서 다른 서비스에 액세스하려고 시도할 경우 Windows가 자동으로 사용하는 Kerberos 티켓을 제공합니다. Kerberos 위임을 통해 해당 hr-app-service 계정은 데이터베이스에 액세스할 때 jsmith Kerberos 티켓을 재사용할 수 있으므로 데이터베이스 연결을 열 때 jsmith에만 해당하는 권한이 적용됩니다.

AWS Managed Microsoft AD의 사용자가 Kerberos 제한 위임을 구성할 수 있는 권한을 부여하려면, 해당 사용자의 계정을 AWS위임 Kerberos 위임 관리자 보안 그룹의 멤버로 추가해야 합니다. 기본적으로 관리자 계정은 이 그룹의 멤버입니다. Kerberos 제한된 위임에 대한 자세한 내용은 Microsoft 웹 사이트의 Kerberos 제한된 위임 개요를 참조하십시오. TechNet

리소스 기반 제한된 위임은 Windows Server 2012에서 도입되었습니다. 이 위임은 백엔드 서비스 관리자에게 서비스에 대한 제한된 위임을 구성할 수 있는 기능을 제공합니다.