什麼是 AWS Directory Service? - AWS Directory Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼是 AWS Directory Service?

AWS Directory Service 提供多種使用方式 Microsoft Active Directory (AD) 搭配其他服務 AWS 。目錄會儲存有關使用者、群組和裝置的資訊,而管理員會使用這些資訊來管理對資訊和資源的存取。 為想要使用現有 的客戶 AWS Directory Service 提供多個目錄選擇 Microsoft AD 或 Lightweight Directory Access Protocol (LDAP):在雲端中感知應用程式。它也同樣為需要使用目錄管理使用者、群組、裝置和存取的開發人員,提供這些選項。

AWS Directory Service 選項

AWS Directory Service 包含數種目錄類型可供選擇。如需詳細資訊,請選擇以下標籤的其中一個:

AWS Directory Service for Microsoft Active Directory

也稱為 AWS Managed Microsoft AD, AWS Directory Service for Microsoft Active Directory 是由實際的 Microsoft Windows Server Active Directory (AD),由 在 Cloud AWS AWS 中管理。它可讓您遷移各種 Active Directory–感知 AWS Cloud 的應用程式。受 AWS 管 Microsoft AD 使用 Microsoft SharePoint, Microsoft SQL Server Always On 可用群組和許多 .NET 應用程式。它還支援 AWS 的受管應用程式和服務,包括 Amazon WorkSpacesAmazon WorkDocsAmazon QuickSightAmazon Chime Amazon ConnectAmazon Relational Database Service Microsoft SQL Server (Amazon RDS for SQL Server、Amazon RDS for Oracle、 和 Amazon RDS for Postgre SQL)。

AWS 當您啟用目錄 的合規時,受管 Microsoft AD 已獲准用於 AWS 雲端中受美國健康保險可攜性和責任法案 (HIPAA) 或支付卡產業資料安全標準 (PCIDSS) 合規規範的應用程式。 https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_compliance.html

所有相容的應用程式都會使用您存放在 AWS Managed Microsoft AD 中的使用者憑證,或者您可以使用信任來連線至現有的 AD 基礎設施,並使用來自 的憑證 Active Directory 在內部部署或在 EC2 Windows 上執行。如果您將EC2執行個體加入 AWS Managed Microsoft AD,您的使用者可以使用與存取內部部署網路中的工作負載時相同的 Windows 單一登入 (SSO) 體驗來存取 AWS 雲端中的 Windows 工作負載。

AWS Managed Microsoft AD 也支援使用 的聯合使用案例 Active Directory 憑證。單一受 AWS 管 Microsoft AD 可讓您登入 AWS Management Console。使用 時AWS IAM Identity Center,您也可以取得短期憑證以搭配 AWS SDK和 使用CLI,並使用預先設定的SAML整合來登入許多雲端應用程式。透過新增 Microsoft Entra Connect (先前稱為 Azure Active Directory Connect),以及選用的 Active Directory 聯合服務 (AD FS),您可以登入 Microsoft Office 365 和其他雲端應用程式,具有儲存在 AWS Managed Microsoft AD 中的憑證。

服務包含主要功能,可讓您擴展結構描述管理密碼政策,並透過 Secure Socket Layer (SSL)/Transport Layer Security () 啟用安全LDAP通訊TLS。您也可以為 AWS Managed Microsoft AD 啟用多重要素驗證 (MFA),以便在使用者從網際網路存取 AWS 應用程式時提供額外的安全層。因為 Active Directory 是一個LDAP目錄,您也可以使用 AWS Managed Microsoft AD for Linux Secure Shell (SSH) 身分驗證和其他LDAP已啟用 的應用程式。

AWS 提供監控、每日快照和復原,這是服務的一部分,您可以將使用者和群組新增至 AWS Managed Microsoft AD ,並使用熟悉的 管理群組政策 Active Directory 在 上執行的工具 Windows 電腦加入 AWS Managed Microsoft AD 網域。您也可透過以下方式擴展目錄:部署額外的網域控制站,並在大量的網域控制站之間分佈請求以協助提升應用程式效能。

AWS Managed Microsoft AD 有兩種版本:Standard 和 Enterprise。

  • 標準版本:AWS Managed Microsoft AD (標準版) 經過最佳化,適合擁有多達 5,000 名員工的中小型企業做為主要目錄使用。其提供您足夠的儲存容量,可支援最多 30,000* 個目錄物件,例如使用者、群組和電腦。

  • 企業版本:AWS Managed Microsoft AD (企業版) 可支援擁有多達 500,000* 個目錄物件的企業組織。

* 上限為約略值。您的目錄可支援更多或更少個目錄物件,這取決於您物件的大小和您應用程式的行為和效能需求。

使用情況

AWS 如果您需要實際的 Active Directory 支援 AWS 應用程式或 的功能 Windows 工作負載,包括 的 Amazon Relational Database Service Microsoft SQL Server。 如果您想要獨立 Active Directory 在支援 Office 365 的 AWS 雲端中,或您需要 LDAP目錄來支援 Linux 應用程式。如需詳細資訊,請參閱AWS 受管 Microsoft AD

AD Connector

AD Connector 是一種代理服務,提供輕鬆連接相容 AWS 應用程式的方式,例如 Amazon WorkSpaces、Amazon QuickSight和 Amazon EC2 for Windows Server 執行個體,至您現有的內部部署 Microsoft Active Directory。 使用 AD Connector ,您只需將一個服務帳戶新增至您的 Active Directory。 AD Connector 也消除了目錄同步的需求,或託管聯合基礎設施的成本和複雜性。

當您將使用者新增至 Amazon 等 AWS 應用程式時 QuickSight,AD Connector 會讀取您現有的 Active Directory 建立要從中選取的使用者和群組清單。當使用者登入 AWS 應用程式時,AD Connector 會將登入請求轉送至您的內部部署 Active Directory 用於身分驗證的網域控制器。AD Connector 適用於許多 AWS 應用程式和服務,包括 Amazon WorkSpacesAmazon WorkDocsAmazon QuickSightAmazon Chime Amazon ConnectAmazon WorkMail。您也可以加入您的 EC2 Windows 執行個體至您的內部部署 Active Directory 透過 AD Connector 使用無縫網域聯結 的網域。AD Connector 也可讓您的使用者透過使用現有的 登入來存取 AWS Management Console 和管理 AWS 資源 Active Directory 憑證。AD Connector 與RDSSQL伺服器不相容。

您也可以使用 AD Connector,透過將 AWS 應用程式使用者連線到現有的 RADIUS型MFA基礎設施,為應用程式使用者啟用多重要素驗證 (MFA)。當使用者存取 AWS 應用程式時,這可多提供一層安全保護。

使用 AD Connector,您可以繼續管理 Active Directory 就像您現在一樣。例如,您可以新增使用者和群組,並使用標準更新密碼 Active Directory 內部部署中的管理工具 Active Directory 。 這可協助您持續強制執行安全政策,例如密碼過期、密碼歷史記錄和帳戶鎖定,無論使用者是在內部部署或 AWS 雲端中存取資源。

使用情況

當您想要將現有的內部部署目錄與相容的 AWS 服務搭配使用時,AD Connector 是您的最佳選擇。如需詳細資訊,請參閱AD Connector

Simple AD

Simple AD 是 Microsoft Active Directory- 的相容目錄由 Samba 4 AWS Directory Service 提供支援。Simple AD 支援基本 Active Directory 功能,例如使用者帳戶、群組成員資格、加入 Linux 網域或 Windows 型EC2執行個體、Kerberos 型 SSO和 群組政策。 AWS 提供監控、每日快照和復原,做為服務的一部分。

Simple AD 是獨立的雲端目錄,您可在目錄中建立和管理使用者身分與對應用程式的存取。您可以使用許多熟悉的 Active Directory–了解需要基本 的應用程式和工具 Active Directory 功能。Simple AD 與下列 AWS 應用程式相容:Amazon WorkSpacesAmazon WorkDocsAmazon QuickSightAmazon WorkMail。您也可以 AWS Management Console 使用 Simple AD 使用者帳戶登入 並管理 AWS 資源。

Simple AD 不支援多重要素身分驗證 (MFA)、信任關係、DNS動態更新、結構描述延伸、透過 進行通訊LDAPS、 PowerShell AD cmdlet 或FSMO角色轉移。Simple AD 與RDSSQL伺服器不相容。需要實際 功能的客戶 Microsoft Active Directory,或將目錄與RDSSQL伺服器搭配使用的 ,應該改用 AWS Managed Microsoft AD。請確認在您使用 Simple AD 前,您的必要應用程式與 Samba 4 完全相容。如需詳細資訊,請參閱 https://www.samba.org

使用情況

您可以使用 Simple AD 作為雲端中的獨立目錄來支援 Windows 需要基本 的工作負載 Active Directory 功能、相容的 AWS 應用程式,或 支援需要 LDAP 服務的 Linux 工作負載。如需詳細資訊,請參閱Simple AD

Amazon Cognito

Amazon Cognito 是使用者目錄,可讓您使用 Amazon Cognito 使用者集區,為行動應用程式或 Web 應用程式新增登錄和登入。

使用情況

當您需要建立自訂登錄欄位,並將該中繼資料存放在您的使用者目錄中時,也可以使用 Amazon Cognito。這項全受管的服務可擴展,以支援數億名使用者。如需詳細資訊,請參閱《Amazon Cognito 開發人員指南》中的Amazon Cognito 使用者集區

如需每個區域支援的目錄類型清單,請參閱 的區域可用性 AWS Directory Service

該選擇哪種

您可以選擇功能和可擴展性最符合您需求的目錄服務。使用下表協助您判斷哪個 AWS Directory Service 目錄選項最適合您的組織。

您需要執行什麼作業? 建議 AWS Directory Service 選項
我需要 Active Directory 或 LDAP 用於雲端中的應用程式

如果您需要實際 ,請使用適用於 AWS Microsoft Active Directory 的 Directory Service (Standard Edition 或 Enterprise Edition) Microsoft Active Directory 在支援 的 AWS Cloud 中 Active Directory–了解工作負載,或 AWS Amazon WorkSpaces 和 Amazon 等應用程式和服務 QuickSight,或者您需要 Linux 應用程式LDAP支援。

如果您只需要允許內部部署使用者使用其登入 AWS 應用程式和服務,請使用 AD Connector Active Directory 憑證。您也可以使用 AD Connector 將 Amazon EC2執行個體加入現有的 Active Directory 網域。

如果您需要具有基本 的低規模、低成本目錄,請使用 Simple AD Active Directory 支援 Samba 4 相容應用程式的相容性,或者您需要 LDAP感知應用程式的LDAP相容性。

我開發 SaaS 應用程式 如果您開發大規模的 SaaS 應用程式,並需要使用具可擴展性的目錄管理和驗證您的訂閱者,且可搭配社交媒體身分運作,請使用 Amazon Cognito

如需 AWS Directory Service 目錄選項的詳細資訊,請參閱如何選擇 Active Directory 上的解決方案 AWS

使用 Amazon EC2

對 Amazon 的基本了解對於使用 EC2至關重要 AWS Directory Service。建議您一開始先閱讀下列主題: