【AWS】什么是AWS Directory Service
AWS Directory Service 是一项托管服务,它允许您在 AWS 云中设置和运行目录,或者将您的 AWS 资源与现有的本地 Microsoft Active Directory 连接起来。
您可以将 AWS Directory Service 想象成一个**“在云中提供或连接目录服务的桥梁”**。它简化了与 Active Directory (AD) 相关的任务,增强了安全性,并简化了云迁移,让组织能够利用其现有的 AD 投资、技能和应用程序,同时受益于 AWS 的可扩展性、可靠性和安全性。
AWS Directory Service 的核心功能和优势
AWS Directory Service 提供了多种目录类型,以满足不同的需求:
AWS Managed Microsoft AD (托管式 Microsoft AD):
完全托管的原生 Microsoft Active Directory: AWS 负责部署、修补、备份、复制和监控域控制器。您无需管理底层基础设施,只需专注于 Active Directory 的管理。
与现有 AD 无缝集成: 允许您将本地的 Active Directory 与 AWS 云服务(如 Amazon EC2、Amazon RDS、Amazon FSx 等)无缝集成,让用户可以使用熟悉的 AD 凭证访问这些资源。
高可用性和可扩展性: 默认在多个可用区中部署域控制器,确保高可用性。可以根据需求横向扩展域控制器数量。
多区域复制: 允许您跨多个 AWS 区域部署和使用单个 AWS Managed Microsoft AD 目录,提高全球部署的弹性和性能。
安全性与合规性: 提供端到端加密,并支持多种合规性标准(如 SOC、PCI、HIPAA、FedRAMP)。
AD Connector (活动目录连接器):
连接到本地 AD: 这是一个简单的代理服务,允许您的 AWS 应用程序和 AWS 服务使用您现有的本地 Active Directory 进行身份验证和授权,而无需在云中同步或缓存任何目录数据。
简化网络: 无需 VPN 或 Direct Connect,即可通过 VPC 连接到本地 AD。
适用于现有 AD 投资: 如果您已经拥有一个成熟的本地 AD,并希望在不迁移用户和组的情况下利用它来管理 AWS 资源,AD Connector 是一个理想的选择。
Simple AD (简单 AD):
基于 Samba 4 的托管目录: 这是一个独立的、托管的目录,兼容 Active Directory,适用于需要轻量级目录服务且不需要完整 Microsoft AD 功能的应用程序。
成本效益高: 适用于较小的应用程序或测试环境。
AWS Directory Service 的工作原理 (以 AWS Managed Microsoft AD 为例)
创建目录: 您在 AWS Directory Service 控制台中选择创建 AWS Managed Microsoft AD,并指定目录的大小(标准版或企业版)、VPC 和子网。
AWS 部署域控制器: AWS 会在您指定的 VPC 和子网中自动部署和配置高可用的 Microsoft Active Directory 域控制器。
配置信任关系 (可选): 如果您希望将 AWS Managed Microsoft AD 与现有的本地 Active Directory 集成,可以配置单向或双向信任关系。
无缝域加入: 您可以将 Amazon EC2 for Windows Server 和 Amazon EC2 for Linux 实例无缝加入到这个托管的 AD 域中。
应用程序集成: AWS 服务和您的应用程序可以使用这个托管的 AD 进行用户身份验证、组管理和策略应用。
管理: 您可以使用标准的 Active Directory 工具(如 Active Directory 用户和计算机)来管理这个托管的 AD。
AWS Directory Service 的典型用例
将依赖 AD 的工作负载迁移到云端: 轻松将需要 Active Directory 进行身份验证和授权的应用程序(如 Microsoft SharePoint、Exchange、SQL Server)迁移到 AWS。
统一身份管理: 为 AWS 应用程序和 AWS 服务提供集中的身份和访问管理,让用户可以使用单一凭证登录。
管理 Amazon EC2 实例: 将 EC2 实例加入到域中,并通过组策略对象 (GPO) 进行管理。
为 Active Directory 感知型工作负载提供目录服务: 为需要目录服务的第三方应用程序提供托管的 AD 环境。
与 SaaS 应用程序集成: 将 AWS IAM Identity Center 与 AWS Directory Service 结合使用,实现对 Office 365 和其他云应用程序的单点登录 (SSO)。
混合云身份管理: 在本地和云环境中保持一致的用户体验和管理方法。
总结来说,AWS Directory Service 提供了一套全面的托管式目录服务选项,旨在帮助企业简化身份和访问管理,实现本地与云端环境的无缝集成,并加速云迁移过程,同时享受 AWS 云的安全性、可扩展性和可靠性。
过去考试题
AWSコンソールへのシングルサインオン(SSO)を有効にするためにお客様が使用するのは、次のうちどれですか?
- Amazon Connect
- AWS Directory Service
- Amazon Rekognition
- Amazon Pinpoint
AWSコンソールへのシングルサインオン(SSO)を有効にするためには、AWS Directory Serviceを使用します。AWS Directory Serviceは、Microsoft Active Directory や自社のディレクトリサービスとAWSリソースを統合するための managed service です。これにより、企業内のユーザーIDとクレデンシャルを使ってAWSコンソールやAWSアプリケーションにアクセスできるようになります。
A: Amazon Connectは、クラウド上で利用できる omnichannel 顧客体験管理サービスであり、シングルサインオンの設定には使用されません。
C: Amazon Rekognitionは、機械学習を利用した画像認識サービスであり、シングルサインオンの設定には使用されません。
D: Amazon PinpointはAWS上でモバイルアプリのプッシュ通知などを管理するサービスであり、シングルサインオンの設定には使用されません。