Seguridad

Active Directory administrado con AWS Directory Service - Gestion de identidades en entornos hibridos

Disene la construccion de AWS Managed Microsoft AD y la relacion de confianza con AD on-premises. Presentamos la gestion de identidades hibrida mediante integracion con WorkSpaces, RDS y FSx.

約 7 分で読めます

Descripcion general de Directory Service

Directory Service es un servicio que proporciona Active Directory administrado en AWS. Ofrece 3 opciones: AWS Managed Microsoft AD, AD Connector y Simple AD. Managed Microsoft AD proporciona un AD completamente administrado con controladores de dominio desplegados en 2 o mas AZ en configuracion multi-AZ, y puede establecer relaciones de confianza con AD on-premises. La aplicacion de parches del OS de los controladores de dominio, la replicacion de datos y las copias de seguridad diarias basadas en snapshots son gestionadas automaticamente por AWS, permitiendo que los equipos de operaciones se concentren en el diseno del esquema AD y las politicas de grupo.

Integracion hibrida

Al construir una confianza de bosque entre AD on-premises y Managed Microsoft AD, los usuarios on-premises pueden acceder a recursos AWS con inicio de sesion unico. Se conecta on-premises con la VPC mediante VPN o Direct Connect y se configuran reenviadores condicionales DNS. La direccion de confianza puede ser unidireccional (incoming) o bidireccional; elija bidireccional cuando los usuarios del lado AWS tambien necesiten acceso a recursos on-premises. AD Connector es un proxy hacia AD on-premises que no replica datos AD en AWS. Se utiliza como directorio para WorkSpaces o AWS SSO, reenviando las solicitudes de autenticacion al AD on-premises. Dado que la latencia de autenticacion de AD Connector depende de la ruta de red, se recomienda conexiones de baja latencia como Direct Connect en lugar de VPN.

Integracion con WorkSpaces y RDS

Managed Microsoft AD se integra directamente con numerosos servicios AWS como WorkSpaces, RDS for SQL Server, FSx for Windows File Server y QuickSight. Utiliza AD para la autenticacion de usuarios de WorkSpaces y gestiona centralmente la configuracion del escritorio con politicas de grupo. Con la autenticacion Windows de RDS for SQL Server, los usuarios AD pueden iniciar sesion en SQL Server de forma transparente. FSx for Windows File Server proporciona control de acceso a nivel de archivo usando ACLs de AD, permitiendo el uso directo de permisos NTFS. AD Connector funciona como proxy hacia AD on-premises, delegando la autenticacion sin replicar el directorio en AWS. Simple AD es un directorio ligero basado en Samba, adecuado para entornos pequenos o de desarrollo. Si desea profundizar su comprension de Directory Service, tambien puede consultar libros especializados en Amazon.

Mejores practicas de diseno y errores comunes

Varios puntos frecuentemente pasados por alto en el diseno de Managed Microsoft AD requieren atencion. Primero, seleccion de subnets VPC: los controladores de dominio se colocan en dos subnets especificadas (diferentes AZs), por lo que la resolucion DNS y el acceso de red desde estas subnets deben alcanzar todas las cargas de trabajo. Segundo, configuracion del conjunto de opciones DHCP: para que las instancias en la VPC se unan al dominio, el nombre de dominio y los servidores de nombres del conjunto de opciones DHCP deben configurarse con las direcciones DNS de Managed Microsoft AD. Olvidar esto causa fallos en la union al dominio. Tercero, extensiones de esquema: Managed Microsoft AD soporta extensiones de esquema mediante archivos LDIF, pero los cambios de esquema no pueden revertirse, asi que valide exhaustivamente en un entorno de prueba antes de aplicar. Cuarto, alcance de permisos de administrador: los contenedores administrados por AWS (Builtin, Domain Controllers OU, etc.) no son accesibles, y los usuarios deben crear OUs personalizadas para gestionar dentro de ellas.

Eleccion entre AD Connector, Simple AD e IAM Identity Center

La eleccion entre las tres opciones de Directory Service e IAM Identity Center (anteriormente AWS SSO) puede determinarse claramente segun los requisitos. Cuando desea mantener un AD on-premises existente y solo necesita acceso a recursos AWS, AD Connector es la opcion mas simple. Cuando necesita un AD completo en AWS con politicas de grupo, LDAP y Kerberos, elija Managed Microsoft AD. Cuando solo tiene instancias Linux y necesita un directorio ligero, Simple AD es suficiente. Por otro lado, cuando el objetivo principal es el acceso SSO a la consola de administracion de AWS y CLI sin necesitar AD, el directorio integrado de IAM Identity Center es apropiado. IAM Identity Center tambien puede conectar Managed Microsoft AD o AD Connector como fuente de identidad, funcionando como hub para asignar acceso a cuentas AWS a usuarios AD.

Precios de Directory Service

Managed Microsoft AD Standard Edition cuesta aproximadamente 146 dolares mensuales (2 controladores de dominio), y Enterprise Edition aproximadamente 438 dolares mensuales. Los controladores de dominio adicionales cuestan aproximadamente 73 dolares mensuales por unidad (Standard). AD Connector tiene Small (aproximadamente 73 dolares mensuales) y Large (aproximadamente 219 dolares mensuales). Simple AD tiene Small (aproximadamente 73 dolares mensuales) y Large (aproximadamente 219 dolares mensuales). Las principales diferencias entre Standard y Enterprise son el limite de objetos (Standard: aproximadamente 30,000, Enterprise: aproximadamente 500,000) y el tamano de instancia de los controladores de dominio. Para la mayoria de los casos de uso, se recomienda comenzar con Standard y migrar a Enterprise cuando se acerque al limite de objetos.

Resumen

Directory Service es un servicio que logra la gestion de identidades en entornos hibridos con Active Directory administrado. Se integra directamente con WorkSpaces, RDS for SQL Server y FSx for Windows File Server, y proporciona autenticacion transparente mediante confianza de bosque con AD on-premises. Tambien es posible la conexion proxy hacia AD on-premises con AD Connector. Combinado con IAM Identity Center, puede centralizar la gestion de acceso a cuentas AWS para usuarios AD.

Servicios relacionados

AWS Directory ServiceUn servicio que proporciona Active Directory administrado en AWSAmazon FSxSistemas de archivos completamente administrados para Windows File Server, Lustre, NetApp ONTAP y OpenZFSAmazon WorkSpacesServicio de escritorios virtuales gestionados (VDI) en la nube

Artículos relacionados

Gestión multi-cuenta con AWS Organizations - Diseño de OU y aplicación de políticas de control de serviciosExplicación de la gestión multi-cuenta con AWS Organizations. Se presenta el diseño de OU, la aplicación de SCP, la integración con Control Tower y la facturación consolidada.Escritorio en la nube con Amazon WorkSpaces - Diseño y optimización de costos de DaaSLogra optimización de costos según patrones de uso con los modelos de precios AlwaysOn y AutoStop. Presentamos el fortalecimiento de seguridad con integración Active Directory, MFA y control de acceso por IP.Integración con Active Directory - Extensión de la infraestructura de identidad on-premises a la nube con AWS Directory ServiceExplicamos la integración en la nube de Active Directory con AWS Directory Service. Presentamos la diferenciación entre AWS Managed Microsoft AD, AD Connector y Simple AD, y la integración con WorkSpaces, RDS y FSx.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.

Artículos y servicios similares

Integración con Active Directory - Extensión de la infraestructura de identidad on-premises a la nube con AWS Directory ServiceExplicamos la integración en la nube de Active Directory con AWS Directory Service. Presentamos la diferenciación entre AWS Managed Microsoft AD, AD Connector y Simple AD, y la integración con WorkSpaces, RDS y FSx.AWS Directory ServiceServicio que proporciona Active Directory administrado e integración de directorios en AWS, construyendo la infraestructura de autenticación para cargas de trabajo Windows en la nubeAmazon WorkSpacesServicio de escritorios virtuales (DaaS) completamente gestionado que proporciona escritorios Windows o Linux persistentes accesibles desde cualquier dispositivo