选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

自定义 Cookie 首选项

Cookie 及类似工具(统称为“Cookie”)的用途包括以下几种。

关键

关键 Cookie 对我们提供网站和服务来说绝对必要,不可将其禁用。关键 Cookie 通常是根据您在网站上的操作(例如,设置您的隐私首选项,登录或填写表格)来设置的。

性能

性能 Cookie 可为我们提供有关客户使用网站情况的匿名统计信息,以便我们改善用户的网站体验及网站性能。经批准的第三方可为我们执行分析,但不可将数据用于其自身目的。

允许

功能

功能 Cookie 有助于我们提供有用的网站功能,记住您的首选项及显示有针对性的内容。经批准的第三方可对功能 Cookie 进行设置以提供某些网站功能。如果您不允许功能 Cookie,则某些或所有这些服务可能无法正常提供。

允许

广告

广告 Cookie 可由我们或我们的广告合作伙伴通过我们的网站进行设置,有助于我们推送有针对性的营销内容。如果您不允许广告 Cookie,则您所接收到的广告的针对性将会有所降低。

允许

阻止某些类型的 Cookie 的话,可能会影响到您的网站体验。您可以随时单击此网站页脚中的 Cookie 首选项来对您的 Cookie 首选项进行更改。要了解有关我们及经批准的第三方如何在网站上使用 Cookie 的更多信息,请阅读 AWS Cookie 声明。

您的隐私选择

我们会在 AWS 网站和其他资产上展示与您的兴趣相关的广告,包括跨情境行为广告。跨情境行为广告使用来自一个网站或应用程序的数据,在另一个公司的网站或应用程序上向您投放广告。

若要不允许基于 Cookie 或类似技术的 AWS 跨情境行为广告,请选择下面的“不允许”和“保存隐私选择”,或访问启用了法律认可的拒绝信号的 AWS 网站(如全球隐私控制)。如果您删除 Cookie 或使用其他浏览器或设备访问此网站,则需要再次做出选择。有关 Cookie 以及我们如何使用的更多信息,请阅读我们的 AWS Cookie 通知。

若要不允许所有其他 AWS 跨情境行为广告,请通过电子邮件填写此表单。

如需进一步了解 AWS 如何处理您的信息,请阅读 AWS 隐私声明。

无法保存 Cookie 首选项

我们目前只会存储基本 Cookie,因为我们无法保存您的 Cookie 首选项。

如果您想要更改 Cookie 首选项,请稍后使用 AWS 控制台页脚中的链接重试,如果问题仍然存在,请联系技术支持。

跳至主要内容
单击此处返回 Amazon Web Services 主页
关于 AWS 联系我们 支持   中文(简体)   我的账户  
登录
创建 AWS 账户
关闭
配置文件
您的配置文件有助于改善您与精选 AWS 体验的交互。
登录
关闭
配置文件
您的配置文件有助于改善您与精选 AWS 体验的交互。
查看配置文件
退出
  • Amazon Q
  • 产品
  • 解决方案
  • 定价
  • 文档
  • 了解
  • 合作伙伴网络
  • AWS Marketplace
  • 客户支持
  • 活动
  • 探索更多信息
关闭
  • عربي
  • Bahasa Indonesia
  • Deutsch
  • English
  • Español
  • Français
  • Italiano
  • Português
  • Tiếng Việt
  • Türkçe
  • Ρусский
  • ไทย
  • 日本語
  • 한국어
  • 中文 (简体)
  • 中文 (繁體)
关闭
  • 我的配置文件
  • 注销 AWS Builder ID
  • AWS 管理控制台
  • 账户设置
  • 账单与成本管理
  • 安全证书
  • AWS Personal Health Dashboard
关闭
  • 支持中心
  • 专家帮助
  • 知识中心
  • AWS Support 概述
  • AWS re:Post
单击此处以返回 Amazon Web Services 主页
关闭
配置文件
您的配置文件有助于改善您与精选 AWS 体验的交互。
登录
关闭
配置文件
您的配置文件有助于改善您与精选 AWS 体验的交互。
查看配置文件
退出
关闭
配置文件
您的配置文件有助于改善您与精选 AWS 体验的交互。
查看配置文件
退出
免费试用
联系我们
  • 产品
  • 解决方案
  • 定价
  • AWS 简介
  • 入门
  • 文档
  • 培训和认证
  • 开发人员中心
  • 客户成功案例
  • 合作伙伴网络
  • AWS Marketplace
  • 支持
  • AWS re:Post
  • 登录控制台
  • 下载移动应用
AWS Directory Service
概览 功能 定价 入门 常见问题
  • 安全性、身份与合规性›
  • AWS Directory Service›
  • 功能

AWS Directory Service 的功能

AWS Directory Service 为组织提供了一条将依赖 Active Directory 的工作负载迁移到云的无缝途径。通过提供完全托管的、基于 Windows Server 的原生 Active Directory,该服务使 IT 团队能够利用其现有的 AD 技能和应用程序,同时受益于增强的安全性、可靠性和可扩展性。企业可以轻松地将其本地 AD 与 Amazon RDS、FSx 和 EC2 等云托管服务集成,从而实现跨环境的一致的 AD 管理体验。该服务强大的安全功能(包括端到端加密和符合行业标准)可保护敏感数据。通过多区域部署和自主管理,AWS Directory Service 可确保您的关键目录服务即使在出现中断的情况下,也能保持高可用性。无论您是 IT 决策者、架构师还是首席信息官,AWS Directory Service 都能简化您的云转型之旅,使您能够实现 AD 基础设施现代化,并通过安全、可扩展的身份管理增强员工队伍的能力。

Page topics

  • 可用性、可扩展性和弹性
  • 全球工作负载管理
  • Windows 2019 原生 AD 功能
  • 安全性与合规性
  • 监控、记录和可观测性
  • AWS 应用程序集成

可用性、可扩展性和弹性

Open all

多个可用区

由于目录属于关键任务型基础设施,因此 AWS Managed Microsoft AD 跨多个可用区部署在高度可用的 AWS 基础设施中。默认情况下,域控制器在一个区域内的两个可用区部署,并连接至您的 Amazon Virtual Private Cloud(VPC)。它每天会自动备份一次,并会对 Amazon Elastic Block Store(EBS)卷进行加密,这就可以保证数据在静态状态下的安全。它会在同一可用区内使用同一 IP 地址自动更换出现故障的域控制器,并且可使用最新备份执行灾难恢复。

使用其他域控制器进行横向扩展

当您首次创建目录时,AWS Managed Microsoft AD 会跨多个可用区部署两个域控制器,这是实现高可用性的必要条件。稍后,您可以通过指定所需的域控制器总数,通过 AWS Directory Service 控制台部署其他域控制器。AWS Managed Microsoft AD 会将额外的域控制器分发到运行您的目录的可用区和 VPC 子网。

托管的 AD 基础设施

AWS Managed Microsoft AD 在由 Windows Server 2019 提供支持的 AWS 托管基础设施上运行。当您选择并启动此目录类型时,它会被创建为一对连接到您的虚拟私有云(VPC)的高可用性域控制器。域控制器在所选区域的不同可用区中运行。根据 AWS Directory Service 的服务水平协议(SLA)为您配置和管理主机监控和恢复、数据复制、快照和软件更新。

每日快照

AWS Managed Microsoft AD 提供内置的自动化每日快照。您还可以在关键应用程序更新之前拍摄其他快照,从而确保拥有最新数据,以防出现需要回滚更改的情况。

全球工作负载管理

Open all

多区域复制

多区域复制可以让您跨多个 AWS 区域部署和使用单一 AWS Managed Microsoft AD 目录。这使您能够更简单、更经济高效地在全球范围内部署和管理 Microsoft Windows 和 Linux 工作负载。借助自动化多区域复制功能,您可以获得更高的弹性,而应用程序则使用本地目录来获得更好的性能。

与多个 AWS 账户共享目录

AWS Managed Microsoft AD 与 AWS Organizations 紧密集成,允许在多个 AWS 账户之间无缝共享目录。您可以与同一组织内其他受信任的 AWS 账户共享单个目录,也可以与组织外部的其他 AWS 账户共享该目录。如果您的 AWS 账户目前不是组织的成员,您也可以共享您的目录。

Windows 2019 原生 AD 功能

Open all

无缝域加入

借助 AWS Managed Microsoft AD,您可以针对新的和现有的适用于 Windows Server 的 Amazon EC2 和适用于 Linux 的 Amazon EC2 实例使用无缝域加入功能。对于新的 EC2 实例,您可以在启动时使用 AWS 管理控制台选择要加入哪个域。对于现有的 EC2 实例,您可以通过 EC2Config 服务使用无缝域加入功能。Amazon EC2 实例还可以从某个区域内的任何 AWS 账户和任何 Amazon VPC 加入单个共享目录。

基于组的策略

AWS Managed Microsoft AD 允许您使用原生 Microsoft Active Directory 组策略对象(GPO)来管理用户和设备。您可以使用组策略管理控制台 (GPMC) 等现有工具来创建 GPO。

架构扩展

您可以通过添加新的对象类和属性来扩展 AWS Managed Microsoft AD 架构。您还可以使用架构扩展来支持依赖特定 Active Directory 对象类和属性的应用程序。当您需要将依赖于 AWS Managed Microsoft AD 的企业应用程序迁移到 AWS Cloud 时,这种方法可能特别有用。(源)

群组托管服务账户

管理员可以使用一种名为群组托管服务账户(gMSA)的方法来管理服务账户。使用 gMSA,服务管理员不再需要手动管理服务实例之间的密码同步。相反,管理员只需在 Active Directory 中创建一个 gMSA,然后将多个服务实例配置为使用该单个 gMSA 即可。要授予权限以便 AWS Managed Microsoft AD 中的用户可以创建 GMSA,您必须将其账户添加为 AWS 委托托管服务账户管理员安全组的成员。默认情况下,管理员账户是该群组的成员。

支持信任关系

通过使用 AD 信任关系,您可以将 AWS Managed Microsoft AD 与现有 AD 集成。通过使用信任关系,您可以使用现有 Active Directory 来控制哪些 AD 用户可以访问您的 AWS 资源。

单点登录

AWS Managed Microsoft AD 使用与您的现有本地 AD 相同的基于 Kerberos 的身份验证来提供 SSO。通过将您的 AWS 资源与 AWS Managed Microsoft AD 集成,您的 AD 用户可以使用一组凭证通过 SSO 登录 AWS 应用程序和资源。

安全性与合规性

Open all

目录安全设置

您可以为 AWS Managed Microsoft AD 配置精细的目录设置,在不增加运营工作负载的情况下满足您的合规性和安全性要求。在目录设置中,您可以更新目录中使用的协议和密码的安全通道配置。例如,您可以灵活地禁用单个旧密码(例如 RC4 或 DES)和协议(例如 SSL 2.0/3.0 和 TLS 1.0/1.1)。然后,AWS Managed Microsoft AD 会将配置部署到您目录中的所有域控制器,管理域控制器的重启,并在您横向扩展或部署其他 AWS 区域时保持此配置。有关所有可用设置,请参阅目录安全设置列表。

服务器端 LDAPS

服务器端 LDAPS 会对您的商业或自行开发的 LDAP 感知应用程序(充当 LDAP 客户端)与 AWS Managed Microsoft AD(充当 LDAP 服务器)之间的 LDAP 通信进行加密。有关更多信息,请参阅使用 AWS Managed Microsoft AD 启用服务器端 LDAPS。

客户端 LDAPS

客户端 LDAPS 会对 WorkSpaces(充当 LDAP 客户端)等 AWS 应用程序与您自行管理的 Active Directory(充当 LDAP 服务器)之间的 LDAP 通信进行加密。有关更多信息,请参阅使用 AWS Managed Microsoft AD 启用客户端 LDAPS 。

AWS Private CA Connector for Active Directory(AD)

AWS Managed Microsoft AD 和 AD Connector 与 AWS Private Certificate Authority(AWS Private CA)Connector for AD 的集成允许您使用 AWS Private CA 颁发的证书注册加入 AD 域的对象,包括用户、组和计算机。 您可以使用 AWS Private CA 作为自行管理的企业 CA 的直接替代品,而无需部署、修补或更新本地代理或代理服务器。只需点击几下鼠标即可将 AWS Private CA 与您的目录集成,也可以通过 API 以编程方式进行集成。

FedRAMP、HIPAA、符合 PCI 资格等

您可以使用 AWS Managed Microsoft AD 来构建和运行受美国联邦风险和授权管理计划(FedRAMP)约束的 AD 感知型云应用程序。健康保险流通与责任法案(HIPAA)和支付卡行业数据安全标准(PCI DSS)合规计划。AWS Managed Microsoft AD 可以减少为云应用程序部署合规 AD 基础设施时所需的工作量,因为您的 HIPAA 风险管理计划、PCI DSS 或 FedRAMP 合规认证由您自己管理。 查看 AWS Managed AD 有资格参与的合规计划的完整列表。

监控、记录和可观测性

Open all

目录状态监控

使用 Amazon Simple Notification Service(Amazon SNS),您可以在目录状态发生变化时收到电子邮件或短信(SMS)。您的目录从“活动”状态变为“受损”或“无法操作”状态时,您会收到通知。当目录恢复为“活动”状态时,您也会收到通知。

域控制器指标

AWS Directory Service 与 Amazon CloudWatch 集成,可帮助您为目录中的每个域控制器提供重要的性能指标。这意味着您可以监控域控制器性能计数器,例如 CPU 和内存利用率。您还可以配置警报并启动自动操作,以应对高利用率时段。 

监控 Amazon CloudWatch 等中的日志

使用 AWS Directory Service 控制台或 API 将域控制器安全事件日志转发到 Amazon CloudWatch Logs。这可以提供目录中安全事件的透明度,帮助您满足安全监控、审计和日志保留政策要求。您还可以将安全事件日志从目录转发到您选择的 Amazon Web Services(AWS)账户中的 Amazon CloudWatch Logs,并使用 AWS 服务或第三方应用程序(例如具有 AWS 安全能力的 AWS 合作伙伴网络 [APN] 高级技术合作伙伴 Splunk)集中监控事件。

AWS 应用程序集成

Open all

对 AWS 账户和应用程序的联合访问权限

通过选择 AWS Managed Microsoft AD 作为标识源,您可以授予本地 AD 用户使用其现有 AD 凭证,通过 AWS IAM Identity Center(AWS SSO 的后继者)登录 AWS 管理控制台和 AWS CLI 的权限。这使您的用户能够在登录时担任为其分配的某个角色,并根据为该角色定义的权限来访问资源和执行操作。另一种选择是使用 AWS Managed Microsoft AD,让用户能够担任 AWS Identity and Access Management(IAM)角色。

目录与 AWS 应用程序无缝集成

利用 AWS Managed Microsoft AD,您可以在 AWS 资源(如 Amazon EC2 实例、Amazon RDS for SQL Server 实例)和 AWS 最终用户计算服务(如 Amazon WorkSpaces)中针对目录感知工作负载使用单个目录。通过共享目录,您的目录感知工作负载能够管理某个区域内多个 AWS 账户和 Amazon VPC 中的 Amazon EC2 实例。它还有助于避免在多个目录之间复制和同步数据的复杂性。

AWS Directory Service 入门

了解有关产品定价的更多信息

了解更多

注册免费账户

注册

开始在控制台中构建

登录
登录控制台

了解有关 AWS 的信息

  • 什么是 AWS?
  • 什么是云计算?
  • AWS 可访问性
  • 什么是 DevOps?
  • 什么是容器?
  • 什么是数据湖?
  • 什么是人工智能(AI)?
  • 什么是生成式人工智能?
  • 什么是机器学习(ML)?
  • AWS 云安全性
  • 最新资讯
  • 博客
  • 新闻稿

AWS 资源

  • 入门
  • 培训和认证
  • AWS 解决方案库
  • 架构中心
  • 产品和技术常见问题
  • 分析报告
  • AWS 合作伙伴

AWS 上的开发人员

  • 开发人员中心
  • 软件开发工具包与工具
  • 运行于 AWS 上的 .NET
  • 运行于 AWS 上的 Python
  • 运行于 AWS 上的 Java
  • 运行于 AWS 上的 PHP
  • 运行于 AWS 上的 JavaScript

帮助

  • 联系我们
  • 获取专家帮助
  • 提交支持工单
  • AWS re:Post
  • Knowledge Center
  • AWS Support 概览
  • 法律人员
  • 亚马逊云科技诚聘英才
创建账户
Amazon 是一个倡导机会均等的雇主: 反对少数族裔、妇女、残疾人士、退伍军人、性别认同和性取向歧视。
  • 语言
  • عربي
  • Bahasa Indonesia
  • Deutsch
  • English
  • Español
  • Français
  • Italiano
  • Português
  • Tiếng Việt
  • Türkçe
  • Ρусский
  • ไทย
  • 日本語
  • 한국어
  • 中文 (简体)
  • 中文 (繁體)
  • 隐私权
  • |
  • 可访问性
  • |
  • 网站条款
  • |
  • Cookie 首选项
  • |
  • © 2024, Amazon Web Services, Inc. 或其联属公司。保留所有权利。

终止对 Internet Explorer 的支持

知道了
AWS 对 Internet Explorer 的支持将于 07/31/2022 结束。受支持的浏览器包括 Chrome、Firefox、Edge 和 Safari。 了解详情 »
知道了