AWS Directory Service
在 AWS 上提供托管 Active Directory 和目录联合的服务,用于在云端构建 Windows 工作负载的认证基础设施
概述
AWS Directory Service 是以全托管方式提供 Microsoft Active Directory (AD) 的 AWS Managed Microsoft AD 为核心,同时提供 Simple AD 和 AD Connector 等多种目录选项的服务。可在云端使用 Windows 工作负载所需的组策略、Kerberos 认证和 LDAP 查询,通过与本地 AD 建立信任关系,无缝扩展现有认证基础设施。
三种目录选项与选择标准
Directory Service 根据用途提供三种选项。AWS Managed Microsoft AD 是全托管服务,实际的 Microsoft Active Directory 作为跨两个以上可用区的域控制器运行。支持组策略、信任关系、架构扩展等 AD 完整功能,最适合与需要 AD 认证的 AWS 服务(如 RDS for SQL Server、Amazon WorkSpaces)集成。Simple AD 是基于 Samba 4 的轻量级目录,适用于只需要基本 LDAP 认证和用户管理的小规模环境。AD Connector 本身不是目录,而是作为连接本地现有 AD 的代理。它通过 VPN 或 Direct Connect 将 AWS 服务的认证请求转发到本地 AD,无需在云端复制用户信息。选择标准:需要 AD 完整功能选 Managed Microsoft AD,要利用现有 AD 选 AD Connector,只需低成本基本认证选 Simple AD。
Managed Microsoft AD 的信任关系与混合认证设计
在企业环境中,通常在本地 AD 林和 AWS 的 Managed Microsoft AD 之间建立信任关系(Trust)的混合架构。设置林信任(Forest Trust)后,本地用户可以单点登录访问 AWS 上的资源,反之 AWS 上的服务账户也可以引用本地资源。信任关系的通信通过 Direct Connect 或 Site-to-Site VPN 进行,需要在安全组中允许 Kerberos 票据交换所需的端口(TCP/UDP 88、389、636 等)。Active Directory 相关书籍 (Amazon) 中详细介绍了林信任的设计模式和故障排除。Managed Microsoft AD 还支持多区域复制,将主区域的目录自动复制到其他区域,降低全球分布式工作负载的认证延迟。与 Azure AD(Microsoft Entra ID)不同,Managed Microsoft AD 使用与本地 AD 相同的协议栈运行,因此可以直接使用现有的 AD 管理工具和脚本,降低了迁移门槛。
AWS 服务集成与运营注意事项
Managed Microsoft AD 与众多 AWS 服务集成。Amazon WorkSpaces 使用 AD 进行桌面认证,RDS for SQL Server 通过 Windows 认证连接数据库,Amazon FSx for Windows File Server 使用 AD 的访问控制列表(ACL)管理文件共享权限。EC2 的 Windows 实例通过加入域可以应用组策略和使用域用户登录。使用 SSM(Systems Manager)的无缝域加入功能,可以在实例启动时自动加入域。在运维方面,域控制器的操作系统补丁和快照由 AWS 自动管理,大幅减轻了基础设施运维负担。但 OU(组织单位)设计、组策略创建、用户和组管理仍是用户的责任。目录大小有 Standard(最多 30,000 个对象)和 Enterprise(最多 500,000 个对象)两个版本,根据用户数和计算机对象数的总和选择。