Active Directory 集成 - 通过 AWS Directory Service 将本地 ID 基础设施扩展到云端
解说使用 AWS Directory Service 实现 Active Directory 的云集成。介绍 AWS Managed Microsoft AD、AD Connector、Simple AD 的选择以及与 WorkSpaces、RDS、FSx 的联动。
Active Directory 云集成的挑战
许多企业在本地运营 Microsoft Active Directory(AD),承担用户认证、组策略和文件服务器访问控制等 IT 基础设施的核心功能。在云迁移过程中,需要将依赖 AD 的应用程序(基于 Windows 的业务应用、文件共享、打印服务)无缝迁移到 AWS。AWS Directory Service 提供 3 种目录类型,根据需求选择最佳方案。
3 种目录类型的选择
AWS Managed Microsoft AD 适用于在云上构建独立 AD 或需要与本地 AD 建立信任关系的场景。完全支持组策略、LDAP、Kerberos、NTLM 认证,可直接运行依赖 AD 的应用程序。AD Connector 是将认证请求代理到现有本地 AD 的轻量级连接器,不在 AWS 上存储目录数据。Simple AD 是基于 Samba 4 的小规模目录,适合不需要完整 AD 功能的简单用例。
与 AWS 服务的集成
Directory Service 的主要价值在于与需要 AD 认证的 AWS 服务的原生集成。Amazon WorkSpaces(虚拟桌面)可使用 AD 用户账户登录,通过组策略控制桌面环境。Amazon FSx for Windows File Server 可使用 AD 的 ACL 进行文件级访问控制。RDS for SQL Server 支持 Windows 认证,应用程序可使用域凭据连接数据库。QuickSight 可使用 AD 组进行仪表板的访问控制。
与本地 AD 的信任关系
在 Managed Microsoft AD 和本地 AD 之间构建森林信任(Forest Trust),双方用户可访问对方的资源。构建信任关系需要本地与 AWS VPC 之间的 VPN 连接或 Direct Connect,以及 DNS 条件转发器的设置。单向信任和双向信任可根据需求选择,单向信任仅允许一方访问另一方的资源。
Directory Service 的费用
AWS Managed Microsoft AD Standard 版每小时约 0.146 美元(月费约 105 美元),Enterprise 版约 0.292 美元(月费约 210 美元)。AD Connector Small 月费约 36 美元,Large 约 72 美元。Simple AD Small 月费约 36 美元。Managed Microsoft AD 包含 2 个域控制器(多可用区),额外域控制器每台月费约 73 美元。
总结 - Directory Service 的活用指南
AWS Directory Service 提供 3 种目录类型实现 Active Directory 的云集成。需要完整 AD 功能时选择 Managed Microsoft AD,想直接使用本地 AD 时选择 AD Connector,简单用例选择 Simple AD。与 WorkSpaces、FSx、RDS 的原生集成可在云上无缝延续基于 AD 的 IT 运维。