セキュリティ

AWS Directory Service

Servicio que proporciona Active Directory administrado e integración de directorios en AWS, construyendo la infraestructura de autenticación para cargas de trabajo Windows en la nube

Unos 5 min de lectura

Descripción general

AWS Directory Service es un servicio que ofrece múltiples opciones de directorio, centrado en AWS Managed Microsoft AD que proporciona Microsoft Active Directory (AD) de forma completamente administrada, junto con Simple AD y AD Connector. Permite utilizar en la nube las políticas de grupo, autenticación Kerberos y consultas LDAP necesarias para cargas de trabajo basadas en Windows, y mediante la construcción de relaciones de confianza con AD on-premises, extiende de forma transparente la infraestructura de autenticación existente.

Tres opciones de directorio y criterios de selección

Directory Service ofrece tres opciones según el caso de uso. AWS Managed Microsoft AD es un servicio completamente administrado donde un Microsoft Active Directory real opera como controladores de dominio distribuidos en dos o más zonas de disponibilidad. Ofrece funcionalidad completa de AD incluyendo políticas de grupo, relaciones de confianza y extensiones de esquema, siendo ideal para la integración con servicios de AWS que requieren autenticación AD como RDS for SQL Server y Amazon WorkSpaces. Simple AD es un directorio ligero basado en Samba 4, orientado a entornos pequeños que solo necesitan autenticación LDAP básica y gestión de usuarios. AD Connector no es un directorio en sí, sino que funciona como proxy hacia un AD on-premises existente. Reenvía las solicitudes de autenticación de los servicios de AWS al AD on-premises a través de VPN o Direct Connect, sin necesidad de replicar información de usuarios en la nube. Como criterio de selección: Managed Microsoft AD si se necesita funcionalidad completa de AD, AD Connector si se quiere aprovechar un AD existente, y Simple AD si solo se necesita autenticación básica a bajo costo.

Relaciones de confianza de Managed Microsoft AD y diseño de autenticación híbrida

En entornos empresariales, es común una configuración híbrida que construye relaciones de confianza (Trust) entre el bosque AD on-premises y Managed Microsoft AD en AWS. Al configurar una confianza de bosque (Forest Trust), los usuarios on-premises pueden acceder a recursos en AWS con inicio de sesión único, y viceversa, las cuentas de servicio en AWS pueden consultar recursos on-premises. La comunicación de la relación de confianza se realiza a través de Direct Connect o Site-to-Site VPN, y es necesario permitir en los grupos de seguridad los puertos requeridos para el intercambio de tickets Kerberos (TCP/UDP 88, 389, 636, etc.). Libros relacionados con Active Directory (Amazon) explican en detalle los patrones de diseño de confianza de bosque y la resolución de problemas. Managed Microsoft AD también soporta replicación multi-región, replicando automáticamente el directorio de la región primaria a otras regiones para reducir la latencia de autenticación en cargas de trabajo distribuidas globalmente.

Integración con servicios AWS y consideraciones operativas

Managed Microsoft AD se integra con numerosos servicios de AWS. Amazon WorkSpaces utiliza AD para la autenticación de escritorios, RDS for SQL Server realiza conexiones a bases de datos con autenticación Windows, y Amazon FSx for Windows File Server gestiona los permisos de compartición de archivos con listas de control de acceso (ACL) de AD. Las instancias Windows de EC2 pueden unirse al dominio para aplicar políticas de grupo e iniciar sesión con usuarios de dominio. Usando la función de unión al dominio sin interrupciones de SSM (Systems Manager), se puede unir automáticamente al dominio al iniciar la instancia. En cuanto a operaciones, la aplicación de parches del SO de los controladores de dominio y las instantáneas son gestionadas automáticamente por AWS, reduciendo significativamente la carga de operaciones de infraestructura. Sin embargo, el diseño de OUs (unidades organizativas), la creación de políticas de grupo y la gestión de usuarios y grupos son responsabilidad del usuario. El directorio está disponible en dos ediciones: Standard (hasta 30.000 objetos) y Enterprise (hasta 500.000 objetos), seleccionando según el total de usuarios y objetos de computadora.

共有するXB!

Términos relacionados

AWS IAM Identity CenterAWS IAMAmazon CognitoAmazon EC2AWS Direct Connect

Servicios relacionados

AWS IAM Identity CenterAmazon WorkSpacesAmazon FSxAWS Systems Manager

Artículos relacionados

Active Directory administrado con AWS Directory Service - Gestion de identidades en entornos hibridosDisene la construccion de AWS Managed Microsoft AD y la relacion de confianza con AD on-premises. Presentamos la gestion de identidades hibrida mediante integracion con WorkSpaces, RDS y FSx.Implementación de Feature Flags con AWS AppConfig - Despliegue seguro de configuración y rollbackDespliega cambios de configuración de forma independiente al código mediante estrategias Linear y Exponential. Garantiza la seguridad con rollback automático activado por alarmas de CloudWatch.Ingeniería del caos en la práctica - Verificación de tolerancia a fallos con AWS Fault Injection SimulatorAprenda sobre la práctica de ingeniería del caos con AWS Fault Injection Simulator (FIS). Cubre el diseño de escenarios de inyección de fallos, la inyección de fallos en EC2, ECS y RDS, y la realización de experimentos seguros.Monitoreo continuo de cumplimiento con AWS Config - Evaluación de reglas y remediación automáticaExplicamos el registro de configuración de recursos con AWS Config, la evaluación de cumplimiento con reglas de Config y la configuración de acciones de remediación automática.Integración con Active Directory - Extensión de la infraestructura de identidad on-premises a la nube con AWS Directory ServiceExplicamos la integración en la nube de Active Directory con AWS Directory Service. Presentamos la diferenciación entre AWS Managed Microsoft AD, AD Connector y Simple AD, y la integración con WorkSpaces, RDS y FSx.

Términos y artículos similares

Integración con Active Directory - Extensión de la infraestructura de identidad on-premises a la nube con AWS Directory ServiceExplicamos la integración en la nube de Active Directory con AWS Directory Service. Presentamos la diferenciación entre AWS Managed Microsoft AD, AD Connector y Simple AD, y la integración con WorkSpaces, RDS y FSx.Active Directory administrado con AWS Directory Service - Gestion de identidades en entornos hibridosDisene la construccion de AWS Managed Microsoft AD y la relacion de confianza con AD on-premises. Presentamos la gestion de identidades hibrida mediante integracion con WorkSpaces, RDS y FSx.AWS Directory ServiceUn servicio que proporciona Active Directory administrado en AWSAmazon WorkSpacesServicio de escritorios virtuales gestionados (VDI) en la nubeAmazon WorkSpacesServicio de escritorios virtuales (DaaS) completamente gestionado que proporciona escritorios Windows o Linux persistentes accesibles desde cualquier dispositivo