AWS Directory Service 专业2014年〜
在 AWS 上提供托管 Active Directory 的服务
它能做什么
AWS Directory Service 以托管服务的形式在云端提供 Microsoft Active Directory (AD)。它提供三种目录类型:AWS Managed Microsoft AD、AD Connector 和 Simple AD。您可以在云端使用与本地 Active Directory 相同的功能——用户和计算机身份验证、授权以及组策略应用。
使用场景
适用于将 Windows 工作负载迁移到 AWS 时的用户认证基础设施、与 Amazon WorkSpaces 和 RDS for SQL Server 等 AWS 服务的 AD 集成,以及在本地 AD 与 AWS 环境之间建立信任关系。拥有现有 AD 环境的企业在云迁移时可以继续沿用其用户管理体系。
日常类比
可以将其比作公司的员工工牌系统。只要持有工牌 (AD 账户),就能打开办公室的门 (访问各种服务)。Directory Service 就是在云端运行这套工牌系统。您甚至可以让同一张工牌在总部 (本地 AD) 和分公司 (AWS) 都能使用。
什么是 Directory Service
AWS Directory Service 是一项在云端使用 Active Directory 的服务。Active Directory (AD) 是 Windows 环境中集中管理用户账户、计算机、组等的系统。许多企业在本地运行 AD,而使用 Directory Service,您可以将 AD 的构建、运维和补丁管理交给 AWS 处理。
三种目录类型
AWS Managed Microsoft AD 以托管方式提供全功能的 Microsoft AD,支持组策略、信任关系和 LDAP 等所有 AD 功能。AD Connector 作为现有本地 AD 的代理,允许 AWS 服务引用您的本地目录。Simple AD 是基于 Samba 的轻量级目录,适合小规模环境。
与 AWS 服务的集成
Directory Service 可与众多 AWS 服务集成。您可以在整个 AWS 环境中使用基于 AD 的身份验证,包括 Amazon WorkSpaces (虚拟桌面) 用户认证、RDS for SQL Server Windows 认证、Amazon FSx for Windows File Server 访问控制,以及通过 AWS IAM Identity Center 实现单点登录。 有关 AWS 服务集成的实践经验,也可参阅 Amazon 上的解说书籍。
入门指南
要开始使用 Directory Service,在控制台中选择目录类型并创建目录。对于 AWS Managed Microsoft AD,指定 VPC 和子网,设置目录名称和管理员密码,几分钟内目录即可使用。如果需要与本地 AD 建立信任关系,则需要 VPN 或 Direct Connect 连接。
注意事项
- AWS Managed Microsoft AD places domain controllers in two AZs, so at least two subnets are required
- AD Connector does not hold a directory itself - it acts as a proxy to on-premises AD, so a stable network connection to on-premises AD is a prerequisite
- Simple AD does not support all Microsoft AD features, so choose AWS Managed Microsoft AD if you need Group Policy or trust relationships
