通过 AWS Directory Service 构建托管 Active Directory - 混合环境的 ID 管理
构建 AWS Managed Microsoft AD 并设计与本地 AD 的信任关系。介绍通过与 WorkSpaces、RDS、FSx 集成实现的混合 ID 管理。
Directory Service 概述
Directory Service 是在 AWS 上提供托管 Active Directory 的服务。提供 AWS Managed Microsoft AD、AD Connector、Simple AD 三个选项。Managed Microsoft AD 是完全托管的 AD,支持组策略、LDAP、Kerberos 认证,可与本地 AD 建立森林信任。域控制器的 OS 补丁、数据复制、基于快照的每日备份由 AWS 自动执行,运维团队可以专注于 AD 架构设计和组策略管理。
混合集成
在本地 AD 和 Managed Microsoft AD 之间构建森林信任后,本地用户可通过单点登录访问 AWS 资源。通过 VPN 或 Direct Connect 连接本地与 VPC,设置 DNS 条件转发器。信任方向可选择「单向 (incoming)」或「双向」,当 AWS 端用户也需要访问本地资源时选择双向信任。AD Connector 是本地 AD 的代理,不在 AWS 上复制 AD 数据。作为 WorkSpaces 和 AWS SSO 的目录使用,将认证请求转发到本地 AD。由于 AD Connector 的认证延迟取决于网络路径,建议使用 Direct Connect 等低延迟连接而非 VPN。
与 WorkSpaces 和 RDS 的集成
Managed Microsoft AD 与 WorkSpaces、RDS for SQL Server、FSx for Windows File Server、QuickSight 等众多 AWS 服务直接集成。WorkSpaces 使用 AD 进行用户认证,通过组策略管理桌面设置。RDS for SQL Server 支持 Windows 认证,AD 用户可无缝登录 SQL Server。FSx for Windows File Server 使用 AD 的 ACL 进行文件级访问控制,可直接使用 NTFS 权限。AD Connector 作为本地 AD 的代理,无需在 AWS 上复制目录即可委托认证。Simple AD 是基于 Samba 的轻量级目录,适合小规模和开发环境。 如需深入了解 Directory Service,可参考相关技术书籍(Amazon)。
设计最佳实践与陷阱
整理 Managed Microsoft AD 设计中容易忽略的要点。第一,VPC 子网选择:域控制器部署在指定的 2 个子网(不同 AZ)中,因此从这些子网的 DNS 解析和网络访问必须能到达所有工作负载。第二,DHCP 选项集配置:VPC 中的实例要加入域,必须将 DHCP 选项集的域名和名称服务器设置为 Managed Microsoft AD 的 DNS 地址。遗漏此设置会导致域加入失败。第三,架构扩展:Managed Microsoft AD 支持通过 LDIF 文件进行架构扩展,但架构变更无法回滚,需在测试环境充分验证后再应用。第四,管理员权限范围:AWS 管理的容器(Builtin、Domain Controllers OU 等)不可访问,用户需创建自定义 OU 在其中进行管理。
AD Connector、Simple AD 与 IAM Identity Center 的选择
Directory Service 的三个选项与 IAM Identity Center(原 AWS SSO)的选择可根据需求明确判断。维持现有本地 AD 仅需访问 AWS 资源时,AD Connector 最为简单。需要在 AWS 上建立完整 AD 并使用组策略、LDAP、Kerberos 时,选择 Managed Microsoft AD。仅有 Linux 实例且需要轻量目录时,Simple AD 即可满足。另一方面,当主要目的是 AWS 管理控制台和 CLI 的 SSO 访问且不需要 AD 时,IAM Identity Center 的内置目录更为合适。IAM Identity Center 也可将 Managed Microsoft AD 或 AD Connector 作为身份源连接,作为向 AD 用户分配 AWS 账户访问权限的枢纽。
Directory Service 的费用
Managed Microsoft AD Standard 版月费约 146 美元(2 个域控制器),Enterprise 版月费约 438 美元。额外域控制器每台月费约 73 美元(Standard)。AD Connector Small 月费约 73 美元,Large 约 219 美元。Simple AD Small 月费约 73 美元,Large 约 219 美元。Standard 与 Enterprise 的主要区别在于对象数上限(Standard 约 30,000、Enterprise 约 500,000)和域控制器实例规格。大多数场景建议从 Standard 开始,在接近对象上限时迁移到 Enterprise 的渐进式方法。
总结
Directory Service 是通过托管 Active Directory 实现混合环境 ID 管理的服务。与 WorkSpaces、RDS for SQL Server、FSx for Windows File Server 直接集成,通过与本地 AD 的森林信任实现单点登录。也可通过 AD Connector 实现本地 AD 的代理连接。结合 IAM Identity Center,可以集中管理 AD 用户的 AWS 账户访问。