- Prodotti›
- Sicurezza, identità e conformità›
- Servizio di directory AWS›
- Domande frequenti su AWS Directory Service
Domande frequenti su AWS Directory Service
Domande generali
Cos’è AWS Directory Service?
AWS Directory Service è un’offerta di servizi gestiti che fornisce un certo numero di directory con informazioni sulla tua organizzazione, fra cui utenti, gruppi, computer e altre risorse. Trattandosi di un’offerta gestita, AWS Directory Service è studiata per ridurre le attività di gestione, consentendoti così di dedicare una frazione maggiore del tuo tempo e delle tue risorse alla tua attività. Non occorre creare una propria topologia di directory complessa ad alta disponibilità, perché ogni directory viene distribuita su più zone di disponibilità e il monitoraggio rileva e sostituisce automaticamente eventuali controller di dominio con errori. Vengono inoltre configurati per te snapshot quotidiani automatici e repliche dei dati. Non occorre installare software e AWS si occupa dei patch e degli aggiornamenti del software.
Cosa è possibile fare con AWS Directory Service?
AWS Directory Service consente di configurare ed eseguire facilmente directory nel cloud AWS, oppure di collegare le risorse AWS a una Microsoft Active Directory locale esistente. Una volta creata una directory, puoi utilizzarla per gestire utenti e gruppi, fornire single sign-on ad applicazioni e servizi, creare e applicare oggetti Criteri di gruppo e aggiungere istanze Amazon EC2 a un dominio, nonché per semplificare la distribuzione e la gestione di carichi di lavoro Linux e Microsoft Windows basati sul cloud. AWS Directory Service consente ai tuoi utenti finali di usare le loro credenziali aziendali esistenti quando accedono ad applicazioni AWS quali Amazon WorkSpaces, Amazon WorkDocs e Amazon WorkMail, nonché a carichi di lavoro Microsoft basati sulle directory, come le applicazioni personalizzate .NET o basate su SQL Server. Puoi infine utilizzare le tue credenziali aziendali esistenti per amministrare le risorse AWS tramite l'accesso alla Console di gestione AWS in base al ruolo di AWS Identity and Access Management (IAM), evitando la necessità di creare ulteriori infrastrutture di federazione delle identità.
Come si crea una directory?
Per creare una directory, puoi usare la Console di gestione AWS o l'API. Devi semplicemente fornire alcune informazioni di base, come un nome di dominio pienamente qualificato (FQDN) per la tua directory, un nome e una password di account di amministratore e il VPC cui desideri sia collegata la directory.
Posso aggiungere un’istanza Amazon EC2 esistente a una directory di AWS Directory Service?
Sì, per aggiungere un'istanza EC2 esistente che esegue Linux o Windows a una directory AWS Managed Microsoft AD puoi utilizzare la Console di gestione AWS o l'API.
Le API sono supportate per AWS Directory Service?
Le API pubbliche sono supportate per la creazione e la gestione delle directory. Ora puoi gestire le directory in modo programmatico usando le API pubbliche. Le API sono disponibili tramite AWS CLI e AWS SDK. Per ulteriori informazioni sulle API, consulta la documentazione del servizio di directory AWS.
AWS Directory Service supporta la registrazione di log CloudTrail?
Sì. Le azioni eseguite tramite le API di AWS Directory Service o la console di gestione sono incluse nei tuoi log di controllo di CloudTrail.
Posso ricevere degli avvisi quando lo stato della mia directory cambia?
Sì. Puoi configurare Amazon Simple Notification Service (SNS) per ricevere messaggi e-mail e di testo quando si verificano variazioni dello stato del tuo servizio AWS Directory Service. Amazon SNS utilizza opportuni argomenti per la raccolta e la distribuzione dei messaggi ai sottoscrittori. Quando rileva una variazione dello stato di una tua directory, AWS Directory Service pubblica un messaggio sul relativo argomento, che viene successivamente inviato ai sottoscrittori di tale argomento. Per ulteriori informazioni, consulta la documentazione.
Quanto costa AWS Directory Service?
Per maggiori informazioni, consulta la pagina dei prezzi.
È possibile applicare tag a una directory?
Sì. AWS Directory Service supporta l'applicazione di tag per l'allocazione dei costi. Grazie ai tag è più semplice suddividere i costi e ottimizzare le spese dividendo per categoria e raggruppando le risorse AWS. Ad esempio, puoi utilizzare tag per raggruppare le risorse in base ad amministratore, nome applicazione, centro di costo o progetto specifico.
In quali regioni AWS è disponibile AWS Directory Service?
Per ulteriori informazioni sulla disponibilità del servizio di directory AWS, consulta la sezione relativa a prodotti e servizi per regione.
Quali versioni del protocollo Server Message Block (SMB) supporta AWS Managed Microsoft AD?
A partire dal 31/05/2020, i computer client possono utilizzare solo SMB versione 2.0 (SMBv2) o più recente per accedere ai file archiviati nelle condivisioni SYSVOL e NETLOGON dei controller di dominio per le directory AWS Managed Microsoft AD. Tuttavia, AWS consiglia ai clienti di utilizzare solo SMBv2 o versioni successive su tutti i servizi di file basati su SMB.
AWS Managed Microsoft AD
Come si crea una directory di AWS Managed Microsoft AD?
Per creare una directory di AWS Managed Microsoft AD, puoi lanciare la console di AWS Directory Service dalla Console di gestione AWS. In alternativa, puoi usare il kit SDK AWS o l'interfaccia a riga di comando di AWS.
Come sono distribuite le directory di AWS Managed Microsoft AD?
Le directory di AWS Managed Microsoft AD sono distribuite per default su due zone di disponibilità di una regione e sono collegate al cloud privato virtuale o Amazon Virtual Private Cloud (VPC). I backup vengono eseguiti automaticamente una volta al giorno, e i volumi Amazon Elastic Block Store (EBS) vengono crittografati per garantire la protezione dei dati durante i periodi di inattività. I controller di dominio con errori vengono sostituiti automaticamente nella stessa zona di disponibilità utilizzando il medesimo indirizzo IP, e il backup più recente può essere impiegato per eseguire un disaster recovery completo.
È possibile configurare i parametri di storage, GPU e memoria della mia directory AWS Managed Microsoft AD?
No. Attualmente questa funzionalità non è supportata.
Come posso fare per gestire gli utenti e i gruppi per AWS Managed Microsoft AD?
Puoi usare gli strumenti esistenti di Active Directory in esecuzione su computer Windows aggiunti al dominio di AWS Managed Microsoft AD per gestire utenti e gruppi nelle relative directory. Non è necessario usare strumenti, policy o modifiche di comportamento particolari.
Quali sono le differenze tra le autorizzazioni di amministratore in AWS Managed Microsoft AD e in Active Directory in esecuzione nelle istanze Amazon EC2 Windows?
Per offrire un servizio gestito, AWS Managed Microsoft AD deve impedire ai clienti le operazioni che potrebbero interferire con la gestione del servizio. Pertanto, AWS limita l'accesso agli oggetti della directory, ai ruoli e ai gruppi che richiedono privilegi elevati. AWS Managed Microsoft AD non consente l'accesso host diretto ai controller di dominio tramite Windows Remote Desktop Connection, PowerShell Remoting, Telnet, o Secure Shell (SSH). Quando crei una directory di AWS Managed Microsoft AD, ti viene assegnata un'unità organizzativa o OU (Organizational Unit) e un account di amministratore con in delega i diritti di amministratore per l'unità. Puoi creare account, gruppi e policy utente all'interno dell'OU tramite gli Strumenti di amministrazione remota del server standard, ad esempio Utenti e Gruppi Active Directory o il modulo PowerShell ActiveDirectory.
È possibile usare Microsoft Network Policy Server (NPS) con AWS Managed Microsoft AD?
Sì. L'account di amministratore creato al momento dell'impostazione di AWS Managed Microsoft AD dispone della delega per i diritti di gestione sui gruppi di sicurezza Remote Access Service (RAS) e Internet Authentication Service (IAS). In questo modo è possibile registrare NPS con AWS Managed Microsoft AD e gestire le policy di accesso alla rete per gli account nel dominio.
AWS Managed Microsoft AD supporta le estensioni di schema?
Sì. AWS Managed Microsoft AD supporta le estensioni di schema inviate al servizio in formato di interscambio di dati LDAP (LDIF). La parte centrale degli schemi di Active Directory può essere estesa ma non modificata.
Quali applicazioni sono compatibili con AWS Managed Microsoft AD?
Amazon Chime
Amazon Connect
istanze di Amazon EC2
Amazon FSx for Windows File Server
Amazon QuickSight
Amazon RDS per MySQL
Amazon RDS per Oracle
Amazon RDS per PostgreSQL
Amazon RDS per SQL Server
Amazon Single Sign On
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
AWS Client VPN
Console di gestione AWS
Tieni presente che non tutte le configurazioni di queste applicazioni potrebbero essere supportate.
Quali software di terzi sono compatibili con AWS Managed Microsoft AD?
AWS Managed Microsoft AD si basa sulla versione corrente di Active Directory e offre la gamma più ampia di strumenti AD nativi e supporto ad app di terzi, tra cui:
Active Directory-Based Activation (ADBA)
Active Directory Certificate Services (AD CS): autorità di certificazione d'impresa
Active Directory Federation Services (AD FS)
Active Directory Users and Computers (ADUC)
Server di applicazioni (.NET)
Azure Active Directory (Azure AD)
Azure Active Directory (AD) Connect
Distributed File System Replication (DFSR)
Distributed File System Namespaces (DFSN)
Microsoft Servizi Desktop remoto con server licenze
Microsoft SharePoint Server
Microsoft SQL Server (compresa la funzionalità Always On di SQL Server sui gruppi di disponibilità)
Microsoft System Center Configuration Manager (SCCM)
Microsoft Windows e sistema operativo Windows Server
Office 365
Quali software di terzi NON sono compatibili con AWS Managed Microsoft AD?
Active Directory Certificate Services (AD CS): servizio Web di registrazione certificati
Active Directory Certificate Services (AD CS): servizio Web di informazioni sulle registrazioni di certificati
Microsoft Exchange Server
Skype for Business Server Microsoft
Posso integrare le mie Microsoft Active Directory locali esistenti con AWS Managed Microsoft AD?
AWS non offre strumenti per eseguire la migrazione di un Active Directory autogestita in AWS Managed Microsoft AD. Per completare la migrazione è necessario studiare una strategia che includa la riconfigurazione delle password e implementarla tramite Strumenti di amministrazione remota del server.
È possibile configurare forwarder e trust condizionali nella console di Directory Service?
Sì. È possibile configurare server di inoltro e trust condizionali per AWS Managed Microsoft AD utilizzando la console del servizio di directory o l'API.
È possibile aggiungere manualmente ulteriori controller di dominio a una directory AWS Managed Microsoft AD?
Sì. È possibile aggiungere ulteriori controller di dominio al dominio gestito tramite la console del servizio di directory AWS o l'API. Tieni presente che la promozione manuale di istanze di Amazon EC2 nei controller di dominio non è supportata.
Posso utilizzare Microsoft Office 365 con account utente gestiti in AWS Managed Microsoft AD?
Sì. Puoi sincronizzare le identità da AWS Managed Microsoft AD ad Azure AD utilizzando Azure AD Connect e utilizzare Microsoft Active Directory Federation Services (AD FS) per Windows 2016 con AWS Managed Microsoft AD per autenticare gli utenti Office 365. Per istruzioni passo per passo, consulta How to Enable Your Users to Access Office 365 with AWS Microsoft Active Directory Credentials.
Posso utilizzare l'autenticazione basata su Security Assertion Markup Language (SAML) 2.0 con le applicazioni cloud che utilizzano AWS Managed Microsoft AD?
Sì. Puoi utilizzare Microsoft Active Directory Federation Services (AD FS) per Windows 2016 con il tuo dominio gestito AWS Managed Microsoft AD per autenticare gli utenti nelle applicazioni cloud che supportano SAML.
È possibile crittografare le comunicazioni tra le mie applicazioni e AWS Managed Microsoft AD utilizzando LDAPS?
Sì. AWS Managed Microsoft AD supporta Lightweight Directory Access Protocol (LDAP) su Secure Socket Layer (SSL) / Transport Layer Security (TLS), noto anche come LDAPS, in entrambi i ruoli client e server. Quando funziona come server, AWS Managed Microsoft AD supporta LDAPS sulle porte 636 (SSL) e 389 (TLS). È possibile abilitare la comunicazione LDAPS lato server installando un certificato sui controller di dominio AWS Managed Microsoft AD da un'autorità di certificazione (CA) di servizi certificati Active Directory basata su AWS. Per ulteriori informazioni, consulta Enable Secure LDAP (LDAPS).
Posso crittografare le comunicazioni LDAP tra le applicazioni AWS e il mio AD autogestito utilizzando AWS Managed Microsoft AD?
Sì. AWS Managed Microsoft AD supporta Lightweight Directory Access Protocol (LDAP) su Secure Socket Layer (SSL) / Transport Layer Security (TLS), noto anche come LDAPS, in entrambi i ruoli client e server. Quando funziona come client, AWS Managed Microsoft AD supporta LDAPS sulle porte 636 (SSL). È possibile abilitare la comunicazione LDAPS lato client registrando i certificati di autorità di certificazione (CA) dall'emittente di certificati server in AWS. Per ulteriori informazioni, consulta Enable Secure LDAP (LDAPS).
In che modo AWS Managed Microsoft AD affronta l'avviso ADV190023, che descrive le modifiche alle impostazioni di sicurezza LDAP predefinite sui controller di dominio AD?
AWS Managed Microsoft AD supporta sia la firma LDAP che LDAP su SSL/TLS (LDAPS) quando funge da client LDAP che comunica con l'Active Directory gestita dal cliente. La firma LDAP non necessita di azioni da parte del cliente per permettere e fornire l'integrità dei dati. LDAPS lato client richiede la configurazione e fornisce integrità e riservatezza dei dati. Per ulteriori informazioni, consulta questo post del Forum AWS.
Quanti utenti, gruppi, computer e oggetti totali supporta AWS Managed Microsoft AD?
AWS Managed Microsoft AD (Standard Edition) include 1 GB di storage di oggetti di directory. Questa capacità è in grado di supportare fino a 5.000 utenti o 30.000 oggetti di directory che comprendono utenti, gruppi e computer. AWS Managed Microsoft AD (Enterprise Edition) include 17 GB di storage di oggetti di directory, per supportare fino a 100.000 utenti o 500.000 oggetti.
Posso utilizzare AWS Managed Microsoft AD come directory principale?
Sì. Puoi utilizzarlo come directory principale per gestire utenti, gruppi, computer e oggetti Criteri di gruppo (GPO) nel cloud. Puoi gestire gli accessi e fornire funzionalità Single sign-on (SSO) alle applicazioni e ai servizi AWS e ad applicazioni basate sulle directory di terze parti che eseguono le istanze di Amazon EC2 nel cloud AWS. Inoltre, puoi utilizzare Azure AD Connect e AD FS per supportare SSO nelle applicazioni cloud, compreso Office 365.
Posso utilizzare AWS Managed Microsoft AD come resource forest?
Sì. Puoi utilizzare AWS Managed Microsoft AD come resource forest contenente principalmente computer e gruppi con relazioni di trust per la tua directory locale. Questo permette ai tuoi utenti di accedere alle applicazioni e risorse AWS con le loro credenziali AD locali.
Replica multi-regione
Che cos'è la replica multi-regione?
La replica multi-regione è una funzionalità che consente di distribuire e utilizzare una singola directory AWS Managed Microsoft Active Directory (AD) in più regioni AWS. Questo rende più semplice e più conveniente distribuire e gestire a livello globale i carichi di lavoro di Microsoft Windows e Linux. Con la funzionalità automatizzata di replica multi-regione, ottieni una maggiore resilienza, mentre le applicazioni utilizzano una directory locale per prestazioni ottimali. Questa funzionalità è disponibile solo in AWS Managed Microsoft AD (Enterprise Edition). È possibile utilizzare la funzionalità per directory nuove ed esistenti.
Come si aggiunge una regione AWS alla directory?
Innanzitutto apri la console AWS Directory Service nella regione in cui la directory è già impostata e in esecuzione (regione primaria). Seleziona la directory da espandere e scegli Region (Regione). Quindi, seleziona la regione in cui intendi espanderti, fornisci l'Amazon Virtual Private Cloud (VPC) e le subnet in cui distribuire la directory. Per espandere la directory, puoi usare anche le API. Per ulteriori informazioni, consulta la documentazione.
Come funziona la replica multi-regione quando si aggiunge una regione AWS?
AWS Managed Microsoft AD configura automaticamente la connettività di rete tra regioni, distribuisce controller di dominio e replica tutti i dati delle directory, compresi gli utenti, i gruppi, gli oggetti Criteri di gruppo (GPO) e gli schemi, nelle regioni selezionate. Inoltre, AWS Managed Microsoft AD configura un nuovo sito Active Directory per ogni regione, il che migliora le prestazioni di replica dei controller di dominio e di autenticazione utente all'interno della regione riducendo al contempo i costi grazie alla limitazione dei trasferimenti di dati tra regioni. L'identificativo della directory (directory_id) rimane invariato nella nuova regione e viene distribuito nello stesso account AWS della regione primaria.
È possibile condividere la directory con altri account AWS nella nuova regione AWS?
Sì, con la replica multi-regione disponi della flessibilità di condividere la propria directory con altri account AWS per ciascuna regione. Le configurazioni di condivisione delle directory non vengono replicate automaticamente dalla regione primaria. Per scoprire come condividere la directory con altri account AWS, consulta la documentazione.
È possibile aggiungere più controller di dominio alla directory nella nuova regione AWS?
Sì, grazie alla replica multi-regione disponi della flessibilità per definire il numero di controller di dominio per ciascuna regione. Per scoprire come aggiungere un controller di dominio, consulta la documentazione.
Come si monitora lo stato della directory tra più regioni AWS?
Grazie alla replica multi-regione, è possibile monitorare lo stato della directory in modo indipendente per ciascuna regione. Devi abilitare Amazon Simple Notification Service (SNS) in ogni regione in cui è stata distribuita la directory utilizzando la console o l'API di AWS Directory Service. Per ulteriori informazioni, consulta la documentazione.
Come si monitorano i log di sicurezza della directory tra più regioni AWS?
Grazie alla replica multi-regione, è possibile monitorare i log di sicurezza della directory in modo indipendente per ciascuna regione. È necessario abilitare l'inoltro di Amazon CloudWatch Logs in ogni regione in cui è stata distribuita la directory utilizzando la console o l'API di AWS Directory Service. Per ulteriori informazioni, consulta la documentazione.
È possibile rinominare il sito AD della directory?
Sì, è possibile modificare il nome del sito AD della directory per ciascuna regione utilizzando gli strumenti AD standard. Per ulteriori informazioni, consulta la documentazione.
È possibile rimuovere una regione AWS dalla directory?
Sì. Se nella directory non sono state registrate applicazioni AWS e se la directory non è stata condivisa con altri account AWS della regione, AWS Managed Microsoft AD consente di rimuovere una regione AWS dalla directory. Non è possibile rimuovere la regione primaria, a meno che non si elimini la directory.
Quali applicazioni e servizi AWS sono compatibili con la replica multi-regione?
La replica multi-regione è compatibile con Amazon EC2, Amazon RDS (SQL Server, Oracle, MySQL, PostgreSQL e MariaDB), Amazon Aurora (MySQL e PostgreSQL) e Amazon FSx for Windows File Server in modo nativo. È anche possibile integrare altre applicazioni AWS, quali Amazon WorkSpaces, AWS Single Sign-On, AWS Client VPN, Amazon QuickSight, Amazon Connect, Amazon WorkDocs, Amazon WorkMail e Amazon Chime con la directory nelle nuove regioni, configurando AD Connector per la relativa directory di AWS Managed Microsoft AD per ogni regione.
Aggiunta ai domini ottimizzata
Cos'è l'aggiunta ai domini ottimizzata?
L'aggiunta ai domini ottimizzata è una caratteristica che ti consente di aggiungere al momento del lancio le istanze di Amazon EC2 per Windows Server e di Amazon EC2 per Linux a un dominio in modo ottimizzato, tramite la Console di gestione AWS. Puoi aggiungere le istanze avviate in AWS Cloud ad AWS Managed Microsoft AD.
In che modo è possibile aggiungere in modo ottimizzato un'istanza a un dominio?
Quando crei e lanci un'istanza EC2 per Windows o Linux dalla Console di gestione AWS, hai la possibilità di scegliere il dominio cui tale istanza viene aggiunta. Per ulteriori informazioni, consulta la documentazione.
È possibile aggiungere istanze EC2 per Windows Server esistenti in modo ottimizzato a un dominio?
Non puoi utilizzare l'aggiunta ai domini ottimizzata dalla Console di gestione AWS per le istanze EC2 per Windows Server e Linux esistenti, ma puoi aggiungere istanze esistenti a un dominio con l'API EC2 o tramite PowerShell sull'istanza. Per ulteriori informazioni, consulta la documentazione.
Quali distribuzioni e versioni di Linux sono supportate dalla funzionalità di aggiunta al dominio in modo ottimizzato?
Al momento, l'aggiunta al dominio in modo ottimizzato è disponibile per Amazon Linux, Amazon Linux 2, CentOS 7 o successive, RHEL 7.5 o successive e Ubuntu 14 a 18.
Integrazione con IAM
In che modo AWS Directory Service abilita la funzione Single Sign-On (SSO) sulla Console di gestione AWS?
AWS Directory Service permette di assegnare ruoli IAM agli utenti e ai gruppi di AWS Managed Microsoft AD o Simple AD nel cloud AWS, nonché agli utenti e ai gruppi di una Microsoft Active Directory locale esistente utilizzando AD Connector. Tali ruoli controllano l’accesso degli utenti ai servizi AWS in base alle policy IAM assegnate ai ruoli stessi. AWS Directory Service fornisce per la Console di gestione AWS un URL specifico per ciascun cliente, che gli utenti possono utilizzare per l’accesso con le loro credenziali aziendali esistenti. Per ulteriori informazioni su questa funzionalità, consulta la nostra documentazione.
Conformità
Posso utilizzare AWS Managed Microsoft AD per i carichi di lavoro AWS Cloud soggetti a standard di conformità?
Sì. AWS Managed Microsoft AD ha implementato i controlli necessari a permetterti di soddisfare i requisiti della normativa americana HIPAA (Health Insurance Portability and Accountability Act) ed è incluso come servizio di competenza nell'attestazione di conformità e riepilogo di responsabilità PCI DSS (Payment Card Industry Data Security Standard).
Come posso accedere ai report di conformità e sicurezza?
Per accedere a un elenco completo dei documenti relativi a conformità e sicurezza nel cloud AWS, consulta AWS Artifact.
Cos'è il modello di responsabilità condivisa di AWS?
La sicurezza, inclusa la conformità HIPAA e PCI DSS, è una responsabilità condivisa tra te e AWS. Ad esempio, è tua responsabilità configurare le tue policy per le password di AWS Managed Microsoft AD in modo da soddisfare i requisiti PCI DSS quando utilizzi AWS Managed Microsoft AD. Per maggiori informazioni sulle eventuali azioni da intraprendere per rispettare i requisiti di conformità HIPAA e PCI DSS, consulta la documentazione sulla conformità per AWS Managed Microsoft AD, leggi il whitepaper Architecting for HIPAA Security and Compliance su Amazon Web Services e consulta Conformità del cloud AWS, Conformità HIPAA e Conformità PCI DSS.
Consulta gli esempi di prezzi e calcola i costi.
Ottieni l'accesso immediato al piano gratuito di AWS.