AWS Directory Service 常见问题

一般性问题

AWS Directory Service 是一项托管服务,提供包含贵组织相关信息(包括用户、组、计算机和其他资源)的目录。作为一项托管服务,AWS Directory Service 旨在减少管理任务,使您可以将更多的时间和资源集中在业务发展上。无需自己构建高度可用的复杂目录拓扑,因为每个目录都跨多个可用区进行部署,并且监控功能可自动检测并替换发生故障的域控制器。另外,它还为您配置了数据复制和每日自动拍摄快照的功能。不需要安装任何软件,AWS 会处理所有补丁和软件更新。

AWS Directory Service 可让您在 AWS 云中轻松设置和运行目录,或者将 AWS 资源与现有的内部部署 Microsoft Active Directory 相关联。目录创建完成后,您便可以用它来管理用户和组、为应用程序和服务提供单点登录、创建和应用组策略、将 Amazon EC2 实例加入到域,以及简化基于云的 Linux 和 Microsoft Windows 工作负载的部署和管理。AWS Directory Service 可让您的最终用户在访问 AWS 应用程序 (如 Amazon WorkSpaces、Amazon WorkDocs 和 Amazon WorkMail,以及可感知目录的 Microsoft 工作负载,包括自定义 .NET 和基于 SQL Server 的应用程序) 时,使用他们现有的企业凭证。最终,您可以通过 AWS Identity and Access Management (IAM) 对 AWS 管理控制台进行基于角色的访问,从而使用现有的企业凭证管理 AWS 资源,因此您无需构建更多的联合身份验证基础设施。

您可以使用 AWS 管理控制台或 API 来创建目录。您只需要提供一些基本信息,如目录的完全限定域名 (FQDN)、管理员账户的名称和密码以及您想将目录与之连接的 VPC。

是的,您可以使用 AWS 管理控制台和或 API 将运行 Linux 或 Windows 的现有 EC2 实例添加到 AWS Managed Microsoft AD 目录。

支持使用公用 API 创建和管理目录。您现在可以通过编程的方式使用公共 API 管理目录。API 通过 AWS CLI 和 SDK 提供。有关 API 的更多信息,请参阅 AWS Directory Service 文档

符合。通过 AWS Directory Service API 或管理控制台执行的操作将包含在 CloudTrail 审核日志中。

符合。您可以配置 Amazon Simple Notification Service (SNS),以在您的 AWS Directory Service 状态发生变化时接收电子邮件和短信。Amazon SNS 使用主题来收集消息并将消息分发给订阅者。当 AWS Directory Service 检测到您的目录状态发生变化时,它会向相关主题发布一条消息,该消息随后会发送给主题订阅者。请访问文档,了解更多信息。

请参阅定价页面,了解更多信息。

符合。AWS Directory Service 支持成本分配标记。标签通过对 AWS 资源进行分类和分组,从而让您能够轻松分配成本和优化支出。例如,您可以使用标签按管理员、应用程序名称、成本中心或特定项目对资源进行分组。

请参阅区域性产品和服务,了解 AWS Directory Service 在不同区域的具体提供情况。

在 2020 年 5 月 31 日生效后,客户端计算机只能使用 SMB 版本 2.0 (SMBv2) 或更新版本访问存储在域控制器的 SYSVOL 和 NETLOGON 共享上的文件,以访问其 AWS Managed Microsoft AD 目录。但是,AWS 建议客户仅在所有基于 SMB 的文件服务上使用 SMBv2 或更高版本。

AWS Managed Microsoft AD

您可以在 AWS 管理控制台上启动 AWS Directory Service 控制台以创建 AWS Managed Microsoft AD 目录。您也可以使用 AWS 开发工具包或 AWS CLI 进行创建。

默认情况下,AWS Managed Microsoft AD 目录部署在一个区域的两个可用区内,并连接至您的 Amazon Virtual Private Cloud (VPC)。它每天会自动备份一次,并会对 Amazon Elastic Block Store (EBS) 卷进行加密以确保静态数据安全无虞。它会在同一可用区内使用同一 IP 地址自动更换出现故障的域控制器,并且可使用最新备份执行完整的灾难恢复。

不可以,目前不支持此功能。

您可以使用现有 Active Directory 工具(在已加入 AWS Managed Microsoft AD 域的 Windows 计算机上运行)来管理 AWS Managed Microsoft AD 目录中的用户和组,不需要特殊的工具、策略或行为更改。

为了提供托管服务体验,AWS Managed Microsoft AD 必须禁止干扰服务管理的客户操作。因此,AWS 限制对需要更高权限的目录对象、角色和组的访问。AWS Managed Microsoft AD 不允许主机通过 Windows 远程桌面连接、PowerShell Remoting、Telnet 或 Secure Shell (SSH) 直接访问域控制器。创建好 AWS Managed Microsoft AD 目录后,系统会为您分配组织部门 (OU) 以及与其对应的管理员账户和委托管理权限。您可以使用标准远程服务器管理工具(例如 Active Directory 用户和组)或 PowerShell ActiveDirectory 模块,在组织部门内创建用户账户、组和策略。

符合。设置 AWS Managed Microsoft AD 时为您创建的管理员账户拥有对远程访问服务 (RAS) 和 Internet 身份验证服务 (IAS) 安全组的委托管理权限。这使您可以将 NPS 注册到 AWS Managed Microsoft AD,并管理您的域中账户的网络访问策略。

符合。AWS Managed Microsoft AD 支持您以 LDAP 数据交换格式 (LDIF) 文件的形式提交给服务的架构扩展。您可以进行扩展,但不得修改 Active Directory 的核心架构。

Amazon Chime

Amazon Connect

Amazon EC2 实例

Amazon FSx for Windows File Server

Amazon QuickSight

Amazon RDS for MySQL

Amazon RDS for Oracle

Amazon RDS for PostgreSQL

Amazon RDS for SQL Server

Amazon Single Sign On

Amazon WorkDocs

Amazon WorkMail

Amazon WorkSpaces

AWS Client VPN

AWS 管理控制台

请注意,这些应用程序的所有配置并非都受支持。

AWS Managed Microsoft AD 基于实际的 Active Directory,并提供了最广泛的原生 AD 工具和第三方应用程序支持,例如:

Active Directory-Based Activation (ADBA)

Active Directory Certificate Services (AD CS):Enterprise Certificate Authority

Active Directory 联合身份验证服务 (AD FS)

Active Directory Users and Computers (ADUC)

应用程序服务器 (.NET)

Azure Active Directory (Azure AD)

Azure Active Directory (AD) Connect

分布式文件系统复制 (DFSR)

分布式文件系统命名空间 (DFSN)

Microsoft Remote Desktop Services Licensing Server

Microsoft SharePoint Server

Microsoft SQL Server(包括 SQL Server Always On Availability Groups)

Microsoft System Center Configuration Manager (SCCM)

Microsoft Windows 和 Windows Server OS

Office 365

Active Directory Certificate Services (AD CS):Certificate Enrollment Web Service

Active Directory Certificate Services (AD CS):Certificate Enrollment Policy Web Service

Microsoft Exchange Server

适用于 Business Server 的 Microsoft Skype

AWS 不提供任何将自我管理的 Active Directory 迁移到 AWS Managed Microsoft AD 的迁移工具。您必须建立执行迁移的策略 (包括密码重置),并使用远程服务器管理工具实施计划。

符合。您可以使用 Directory Service 控制台以及 API,为 AWS Managed Microsoft AD 配置条件转发服务器和信任关系。 

符合。您可以使用 AWS Directory Service 控制台或 API 向您的托管域添加额外的域控制器。请注意,不支持手动将 Amazon EC2 实例添加到域控制器。 

符合。您可以使用 Azure AD Connect 将 AWS Managed Microsoft AD 中的身份同步到 Azure AD,将适用于 Windows 2016 的 Microsoft Active Directory 联合身份验证服务 (AD FS) 与 AWS Managed Microsoft AD 结合使用对 Office 365 用户进行身份验证。有关分步说明,请参阅 How to Enable Your Users to Access Office 365 with AWS Microsoft Active Directory Credentials。  

符合。您可以将适用于 Windows 2016 的 Microsoft Active Directory 联合身份验证服务 (AD FS) 与 AWS Managed Microsoft AD 托管的域结合使用来对支持 SAML 的云应用程序的用户进行身份验证。 

符合。在客户端和服务器两个角色中,AWS Managed Microsoft AD 支持通过安全套接字层 (SSL)/传输层安全 (TLS) 的轻型目录访问协议 (LDAP),这两种 LDAP 也称为 LDAPS。当作为服务器时,AWS Managed Microsoft AD 支持通过 636 端口 (SSL) 和 389 端口 (TLS) 的 LDAPS。您可以通过从基于 AWS 的活动目录证书服务证书颁发机构 (CA) 在您的 AWS Managed Microsoft AD 域控制器上安装证书来启用服务器端 LDAPS 通信。要了解更多信息,请参阅启用安全的 LDAP(LDAPS)。 

符合。在客户端和服务器两个角色中,AWS Managed Microsoft AD 支持通过安全套接字层 (SSL)/传输层安全 (TLS) 的轻型目录访问协议 (LDAP),这两种 LDAP 也称为 LDAPS。当作为客户时,AWS Managed Microsoft AD 支持通过 636 端口 (SSL) 的 LDAPS。您可以通过将来自服务器证书签发者的证书颁发机构 (CA) 证书注册到 AWS 来启用客户端 LDAPS 通信。要了解更多信息,请参阅启用安全的 LDAP(LDAPS)。 

AWS Managed Microsoft AD 在用作与自行管理的 Active Directory 通信的 LDAP 客户端时,支持 LDAP 签名和 LDAP over SSL/TLS (LDAPS)。客户端 LDAP 签名不需要客户采取任何操作即可启用,并可提供数据完整性。客户端 LDAPS 需要配置,并可提供数据完整性和保密性。有关更多信息,请参阅此 AWS 论坛帖子。 

AWS Managed Microsoft AD(标准版)提供 1GB 的目录对象存储。此容量可支持高达 5000 个用户或 30000 个目录对象,包括用户、组和计算机。AWS Managed Microsoft AD(企业版)提供 17GB 的目录对象存储,可支持高达 100000 个用户或 500000 个对象。 

符合。您可以将其用作主目录来管理云中的用户、组、计算机和组策略对象 (GPO)。您可以管理对以下项的访问以及为其提供单点登录 (SSO):AWS 应用程序和服务、AWS 云中 Amazon EC2 实例中运行的可识别第三方目录的应用程序。此外,您还可以使用 Azure AD Connect 和 AD FS 支持对云应用程序 (含 Office 365) 进行单点登录。 

符合。您可以将 AWS Managed Microsoft AD 用作资源林,其中包括与您的本地目录建立信任关系的主计算机和组。这样,您的用户便可使用他们的本地 AD 凭证访问 AWS 应用程序和资源。 

多区域复制

多区域复制是可让您跨多个 AWS 区域部署和使用单一 AWS Managed Microsoft AD 目录的一项功能。这使您可以更轻松、更经济高效地在全球范围内部署和管理 Microsoft Windows 和 Linux 工作负载。借助自动化多区域复制功能,您可以获得更高的弹性,而应用程序则使用本地目录来获得最佳性能。该功能仅在 AWS Managed Microsoft AD(企业版)中推出。您可以将该功能用于新目录和现有目录。

首先,在您的目录运行所在的区域(主区域)中打开 AWS Directory Service 控制台。选择您想要扩展的目录,然后选择 Add Region(添加区域)。然后,选择您想要扩展到的区域,提供 Amazon Virtual Private Cloud (VPC) 以及您希望在其中部署目录的子网。您还可以使用 API 扩展您的目录。要了解更多信息,请参阅文档

AWS Managed Microsoft AD 将在您选定的区域中自动配置区域间网络连接、部署域控制器并复制所有目录数据,包括用户、组、组策略对象 (GPO) 和架构。此外,AWS Managed Microsoft AD 还在每个区域配置了一个新的 AD 站点,从而提高区域内的用户身份验证和域控制器复制性能,同时通过最小化区域之间的数据传输来降低成本。您的目录标识符 (directory_id) 在新区域中保持相同,并部署到与您的主区域相同的 AWS 账户中。

是,使用多区域复制功能,您可以灵活地与每个区域的其他 AWS 账户共享目录。目录共享配置不会从主区域中自动复制。要了解如何与其他 AWS 账户共享目录,请参阅文档

是,使用多区域复制功能,您可以灵活地定义每个区域的域控制器数量。要了解如何添加域控制器,请参阅文档

使用多区域复制功能,您可以单独监控每个区域的目录状态。您必须使用 AWS Directory Service 控制台或 API 在您部署目录的每个区域中启用 Amazon Simple Notification Service (SNS)。要了解更多信息,请参阅文档

使用多区域复制功能,您可以单独监控每个区域的目录安全日志。您必须使用 AWS Directory Service 控制台或 API 在您部署目录的每个区域中启用 Amazon CloudWatch Logs 转发。要了解更多信息,请参阅文档

是,您可以使用标准的 AD 工具重命名每个区域的目录 AD 站点名称。要了解更多信息,请参阅文档

符合。如果您没有在目录中注册任何 AWS 应用程序,且您没有与区域中的任何 AWS 账户共享目录,AWS Managed Microsoft AD 可使您从您的目录中删除 AWS 区域。您无法删除主区域,除非您删除目录。

多区域复制功能以原生方式与 Amazon EC2、Amazon RDS(SQL Server、Oracle、MySQL、PostgreSQL 辉瑞 MariaDB)、Amazon Aurora(MySQL 和 PostgreSQL)和 Amazon FSx for Windows File Server 兼容。您还可以将 Amazon WorkSpaces、AWS Single Sign-On、AWS Client VPN、Amazon QuickSight、Amazon Connect、Amazon WorkDocs、Amazon WorkMail 和 Amazon Chime 等其他 AWS 应用程序与新区域中的目录集成,方式是根据每个区域的 AWS Managed Microsoft AD 配置 AD Connector。

无缝域加入

无缝域加入是一种功能,使您可以在启动时通过 AWS 管理控制台将适用于 Windows Server 的 Amazon EC2 实例和适用于 Linux 的 Amazon EC2 实例无缝加入到域中。您可以将实例加入您在 AWS 云中启动的 AWS Managed Microsoft AD。

当您从 AWS 管理控制台创建和启动适用于 Windows 的 EC2 实例或适用于 Linux 的 EC2 实例时,您可以选择您的实例将加入哪个域。要了解更多信息,请参阅文档

您不能使用 AWS 管理控制台中的无缝域加入功能将现有的适用于 Windows Server 的 EC2 实例和适用于 Linux 的 EC2 实例无缝加入到域中,但您可以使用 EC2 API 或通过使用实例上的 PowerShell 将现有实例加入到域中。要了解更多信息,请参阅文档

无缝域加入功能当前支持 Amazon Linux、Amazon Linux 2、CentOS 7 或更高版本、RHEL 7.5或更高版本以及 Ubuntu 14 至 18。

IAM 集成

通过 AWS Directory Service,您可使用 AD Connector 为 AWS 云中的 AWS Managed Microsoft AD 或 Simple AD 用户和组指定 IAM 角色,也可以为现有的本地 Microsoft Active Directory 用户和组指定 IAM 角色。这些角色将基于分配到角色的 IAM 策略控制用户对 AWS 服务的访问权限。AWS Directory Service 将提供 AWS 管理控制台的客户特定 URL,用户可以用它通过现有的企业凭证进行登录。请参阅我们的文档,了解有关此功能的更多信息。 

合规性

符合。为使您能够满足美国《健康保险可携带性与责任法案》要求,AWS Microsoft AD 已实施了必要的控制,并作为范围内服务包含在支付卡行业数据安全标准(PCI DSS)合规性证明文件和责任摘要中。 

要获取与 AWS Cloud 中合规性和安全性相关的完整文档列表,请参阅 AWS Artifact

安全性(包括 HIPAA 和 PCI DSS 合规性)是 AWS 与您之间的共同责任。例如,使用 AWS Managed Microsoft AD 时配置 AWS Managed Microsoft AD 密码策略使之满足 PCI DSS 要求是您的责任。要详细了解为满足 HIPAA 和 PCI DSS 合规性要求而必须采取的操作,请参阅适用于 AWS Managed Microsoft AD 的合规性文档Amazon Web Services 上的 HIPAA 安全性和合规性架构白皮书和 AWS Cloud 合规性HIPAA 合规性PCI DSS 合规性

详细了解 Directory Service 定价

查看定价示例并计算成本。

了解更多 
注册 AWS 账户
注册免费账户

立即享受 AWS Free Tier。 

注册 
开始使用 Directory Service 构建
开始在控制台中构建

在 AWS 控制台中使用 AWS Directory Service 开始构建。

登录