我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。
如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。
关键 Cookie 对我们提供网站和服务来说绝对必要,不可将其禁用。关键 Cookie 通常是根据您在网站上的操作(例如,设置您的隐私首选项,登录或填写表格)来设置的。
性能 Cookie 可为我们提供有关客户使用网站情况的匿名统计信息,以便我们改善用户的网站体验及网站性能。经批准的第三方可为我们执行分析,但不可将数据用于其自身目的。
功能 Cookie 有助于我们提供有用的网站功能,记住您的首选项及显示有针对性的内容。经批准的第三方可对功能 Cookie 进行设置以提供某些网站功能。如果您不允许功能 Cookie,则某些或所有这些服务可能无法正常提供。
广告 Cookie 可由我们或我们的广告合作伙伴通过我们的网站进行设置,有助于我们推送有针对性的营销内容。如果您不允许广告 Cookie,则您所接收到的广告的针对性将会有所降低。
阻止某些类型的 Cookie 的话,可能会影响到您的网站体验。您可以随时单击此网站页脚中的 Cookie 首选项来对您的 Cookie 首选项进行更改。要了解有关我们及经批准的第三方如何在网站上使用 Cookie 的更多信息,请阅读 AWS Cookie 声明。
我们会在 AWS 网站和其他资产上展示与您的兴趣相关的广告,包括跨情境行为广告。跨情境行为广告使用来自一个网站或应用程序的数据,在另一个公司的网站或应用程序上向您投放广告。
若要不允许基于 Cookie 或类似技术的 AWS 跨情境行为广告,请选择下面的“不允许”和“保存隐私选择”,或访问启用了法律认可的拒绝信号的 AWS 网站(如全球隐私控制)。如果您删除 Cookie 或使用其他浏览器或设备访问此网站,则需要再次做出选择。有关 Cookie 以及我们如何使用的更多信息,请阅读我们的 AWS Cookie 通知。
若要不允许所有其他 AWS 跨情境行为广告,请通过电子邮件填写此表单。
如需进一步了解 AWS 如何处理您的信息,请阅读 AWS 隐私声明。
我们目前只会存储基本 Cookie,因为我们无法保存您的 Cookie 首选项。
如果您想要更改 Cookie 首选项,请稍后使用 AWS 控制台页脚中的链接重试,如果问题仍然存在,请联系技术支持。
AWS Directory Service 为组织提供了一条将依赖 Active Directory 的工作负载迁移到云的无缝途径。通过提供完全托管的、基于 Windows Server 的原生 Active Directory,该服务使 IT 团队能够利用其现有的 AD 技能和应用程序,同时受益于增强的安全性、可靠性和可扩展性。企业可以轻松地将其本地 AD 与 Amazon RDS、FSx 和 EC2 等云托管服务集成,从而实现跨环境的一致的 AD 管理体验。该服务强大的安全功能(包括端到端加密和符合行业标准)可保护敏感数据。通过多区域部署和自主管理,AWS Directory Service 可确保您的关键目录服务即使在出现中断的情况下,也能保持高可用性。无论您是 IT 决策者、架构师还是首席信息官,AWS Directory Service 都能简化您的云转型之旅,使您能够实现 AD 基础设施现代化,并通过安全、可扩展的身份管理增强员工队伍的能力。
由于目录属于关键任务型基础设施,因此 AWS Managed Microsoft AD 跨多个可用区部署在高度可用的 AWS 基础设施中。默认情况下,域控制器在一个区域内的两个可用区部署,并连接至您的 Amazon Virtual Private Cloud(VPC)。它每天会自动备份一次,并会对 Amazon Elastic Block Store(EBS)卷进行加密,这就可以保证数据在静态状态下的安全。它会在同一可用区内使用同一 IP 地址自动更换出现故障的域控制器,并且可使用最新备份执行灾难恢复。
当您首次创建目录时,AWS Managed Microsoft AD 会跨多个可用区部署两个域控制器,这是实现高可用性的必要条件。稍后,您可以通过指定所需的域控制器总数,通过 AWS Directory Service 控制台部署其他域控制器。AWS Managed Microsoft AD 会将额外的域控制器分发到运行您的目录的可用区和 VPC 子网。
AWS Managed Microsoft AD 在由 Windows Server 2019 提供支持的 AWS 托管基础设施上运行。当您选择并启动此目录类型时,它会被创建为一对连接到您的虚拟私有云(VPC)的高可用性域控制器。域控制器在所选区域的不同可用区中运行。根据 AWS Directory Service 的服务水平协议(SLA)为您配置和管理主机监控和恢复、数据复制、快照和软件更新。
AWS Managed Microsoft AD 提供内置的自动化每日快照。您还可以在关键应用程序更新之前拍摄其他快照,从而确保拥有最新数据,以防出现需要回滚更改的情况。
多区域复制可以让您跨多个 AWS 区域部署和使用单一 AWS Managed Microsoft AD 目录。这使您能够更简单、更经济高效地在全球范围内部署和管理 Microsoft Windows 和 Linux 工作负载。借助自动化多区域复制功能,您可以获得更高的弹性,而应用程序则使用本地目录来获得更好的性能。
AWS Managed Microsoft AD 与 AWS Organizations 紧密集成,允许在多个 AWS 账户之间无缝共享目录。您可以与同一组织内其他受信任的 AWS 账户共享单个目录,也可以与组织外部的其他 AWS 账户共享该目录。如果您的 AWS 账户目前不是组织的成员,您也可以共享您的目录。
借助 AWS Managed Microsoft AD,您可以针对新的和现有的适用于 Windows Server 的 Amazon EC2 和适用于 Linux 的 Amazon EC2 实例使用无缝域加入功能。对于新的 EC2 实例,您可以在启动时使用 AWS 管理控制台选择要加入哪个域。对于现有的 EC2 实例,您可以通过 EC2Config 服务使用无缝域加入功能。Amazon EC2 实例还可以从某个区域内的任何 AWS 账户和任何 Amazon VPC 加入单个共享目录。
AWS Managed Microsoft AD 允许您使用原生 Microsoft Active Directory 组策略对象(GPO)来管理用户和设备。您可以使用组策略管理控制台 (GPMC) 等现有工具来创建 GPO。
您可以通过添加新的对象类和属性来扩展 AWS Managed Microsoft AD 架构。您还可以使用架构扩展来支持依赖特定 Active Directory 对象类和属性的应用程序。当您需要将依赖于 AWS Managed Microsoft AD 的企业应用程序迁移到 AWS Cloud 时,这种方法可能特别有用。(源)
通过使用 AD 信任关系,您可以将 AWS Managed Microsoft AD 与现有 AD 集成。通过使用信任关系,您可以使用现有 Active Directory 来控制哪些 AD 用户可以访问您的 AWS 资源。
AWS Managed Microsoft AD 使用与您的现有本地 AD 相同的基于 Kerberos 的身份验证来提供 SSO。通过将您的 AWS 资源与 AWS Managed Microsoft AD 集成,您的 AD 用户可以使用一组凭证通过 SSO 登录 AWS 应用程序和资源。
您可以为 AWS Managed Microsoft AD 配置精细的目录设置,在不增加运营工作负载的情况下满足您的合规性和安全性要求。在目录设置中,您可以更新目录中使用的协议和密码的安全通道配置。例如,您可以灵活地禁用单个旧密码(例如 RC4 或 DES)和协议(例如 SSL 2.0/3.0 和 TLS 1.0/1.1)。然后,AWS Managed Microsoft AD 会将配置部署到您目录中的所有域控制器,管理域控制器的重启,并在您横向扩展或部署其他 AWS 区域时保持此配置。有关所有可用设置,请参阅目录安全设置列表。
服务器端 LDAPS 会对您的商业或自行开发的 LDAP 感知应用程序(充当 LDAP 客户端)与 AWS Managed Microsoft AD(充当 LDAP 服务器)之间的 LDAP 通信进行加密。有关更多信息,请参阅使用 AWS Managed Microsoft AD 启用服务器端 LDAPS。
客户端 LDAPS 会对 WorkSpaces(充当 LDAP 客户端)等 AWS 应用程序与您自行管理的 Active Directory(充当 LDAP 服务器)之间的 LDAP 通信进行加密。有关更多信息,请参阅使用 AWS Managed Microsoft AD 启用客户端 LDAPS 。
AWS Managed Microsoft AD 和 AD Connector 与 AWS Private Certificate Authority(AWS Private CA)Connector for AD 的集成允许您使用 AWS Private CA 颁发的证书注册加入 AD 域的对象,包括用户、组和计算机。 您可以使用 AWS Private CA 作为自行管理的企业 CA 的直接替代品,而无需部署、修补或更新本地代理或代理服务器。只需点击几下鼠标即可将 AWS Private CA 与您的目录集成,也可以通过 API 以编程方式进行集成。
使用 Amazon Simple Notification Service(Amazon SNS),您可以在目录状态发生变化时收到电子邮件或短信(SMS)。您的目录从“活动”状态变为“受损”或“无法操作”状态时,您会收到通知。当目录恢复为“活动”状态时,您也会收到通知。
AWS Directory Service 与 Amazon CloudWatch 集成,可帮助您为目录中的每个域控制器提供重要的性能指标。这意味着您可以监控域控制器性能计数器,例如 CPU 和内存利用率。您还可以配置警报并启动自动操作,以应对高利用率时段。
使用 AWS Directory Service 控制台或 API 将域控制器安全事件日志转发到 Amazon CloudWatch Logs。这可以提供目录中安全事件的透明度,帮助您满足安全监控、审计和日志保留政策要求。您还可以将安全事件日志从目录转发到您选择的 Amazon Web Services(AWS)账户中的 Amazon CloudWatch Logs,并使用 AWS 服务或第三方应用程序(例如具有 AWS 安全能力的 AWS 合作伙伴网络 [APN] 高级技术合作伙伴 Splunk)集中监控事件。
通过选择 AWS Managed Microsoft AD 作为标识源,您可以授予本地 AD 用户使用其现有 AD 凭证,通过 AWS IAM Identity Center(AWS SSO 的后继者)登录 AWS 管理控制台和 AWS CLI 的权限。这使您的用户能够在登录时担任为其分配的某个角色,并根据为该角色定义的权限来访问资源和执行操作。另一种选择是使用 AWS Managed Microsoft AD,让用户能够担任 AWS Identity and Access Management(IAM)角色。
利用 AWS Managed Microsoft AD,您可以在 AWS 资源(如 Amazon EC2 实例、Amazon RDS for SQL Server 实例)和 AWS 最终用户计算服务(如 Amazon WorkSpaces)中针对目录感知工作负载使用单个目录。通过共享目录,您的目录感知工作负载能够管理某个区域内多个 AWS 账户和 Amazon VPC 中的 Amazon EC2 实例。它还有助于避免在多个目录之间复制和同步数据的复杂性。