Recursos do AWS Directory Service

Como os diretórios são uma infraestrutura essencial à missão, o AWS Managed Microsoft AD é implantado em uma infraestrutura altamente disponível da AWS e em várias zonas de disponibilidade. Por padrão, os controladores de domínio são implantados em duas zonas de disponibilidade em uma região e conectados à sua Amazon Virtual Private Cloud (VPC). Os backups são automaticamente feitos uma vez ao dia, e os volumes do Amazon Elastic Block Store (EBS) são criptografados para que os dados estejam seguros em repouso. Os controladores de domínio com falha são automaticamente substituídos na mesma zona de disponibilidade usando o mesmo endereço IP. Além disso, a recuperação de desastres pode ser feita usando o backup mais recente.

Quando você cria seu diretório pela primeira vez, o AWS Managed Microsoft AD implanta dois controladores de domínio em várias zonas de disponibilidade, o que é necessário para fins de alta disponibilidade. Posteriormente, você pode implantar controladores de domínio adicionais por meio do console do AWS Directory Service especificando o número total de controladores de domínio que você deseja. O AWS Managed Microsoft AD distribui os controladores de domínio adicionais para as zonas de disponibilidade e sub-redes VPC nas quais seu diretório está sendo executado.

O AWS Managed Microsoft AD é executado na infraestrutura gerenciada da AWS com tecnologia Windows Server 2019. Quando você seleciona e inicia esse tipo de diretório, ele é criado como um par altamente disponível de controladores de domínio conectados à sua nuvem privada virtual (VPC). Os controladores de domínio são executados em diferentes zonas de disponibilidade em uma região de sua escolha. O monitoramento e a recuperação do host, a replicação de dados, os snapshots e as atualizações de software são configurados e gerenciados para você de acordo com o Acordo de Nível de Serviço (SLA) do AWS Directory Service.

Diariamente, o AWS Managed Microsoft AD disponibiliza snapshots integrados automáticos. Você também pode criar snapshots adicionais antes de atualizações essenciais de aplicações para garantir que terá os dados mais recentes, caso seja necessário reverter uma alteração.

A replicação multirregional permite a implantação e o uso de um único diretório do AWS Managed Microsoft AD (Enterprise Edition) em várias regiões da AWS. Isso torna mais simples e econômico para você implantar e gerenciar suas workloads do Microsoft Windows e Linux globalmente. Com o recurso de replicação automatizada de várias regiões, você obtém maior resiliência, enquanto suas aplicações usam um diretório local para melhor performance.

O AWS Managed Microsoft AD se integra perfeitamente ao AWS Organizations para permitir o compartilhamento contínuo de diretórios entre várias contas da AWS. Você pode compartilhar um único diretório com outras contas confiáveis da AWS dentro da mesma organização ou compartilhar o diretório com outras contas da AWS que estão fora da sua organização. Você também pode compartilhar seu diretório quando sua conta da AWS não for atualmente membro de uma organização.

O AWS Managed Microsoft AD permite que você use o ingresso transparente em domínios para instâncias novas e existentes do Amazon EC2 para Windows Server e Amazon EC2 para Linux. Para novas instâncias do EC2, escolha o domínio no qual ingressar no momento da execução usando o Console de Gerenciamento da AWS. Você pode usar o ingresso transparente em domínios para instâncias existentes do EC2 usando o serviço EC2Config. As instâncias do Amazon EC2 de qualquer conta da AWS e de qualquer Amazon VPC em uma região podem também ingressar em um único diretório compartilhado.

O AWS Managed Microsoft AD permite gerenciar usuários e dispositivos, usando os objetos de política de grupos (GPOs) do Microsoft Active Directory. É possível criar GPOs com ferramentas atuais, como o Console de gerenciamento de política de grupo (GPMC).

Você pode estender seu esquema do AWS Managed Microsoft AD adicionando novas classes e atributos de objetos. Você também pode usar extensões de esquema para habilitar o suporte para aplicações que dependem de classes e atributos de objetos específicos do Active Directory. Isso pode ser especialmente útil no caso de você precisar migrar aplicações corporativas que dependem do AWS Managed Microsoft AD para a Nuvem AWS. (Fonte)

Os administradores podem gerenciar contas de serviço usando um método chamado Contas de serviços gerenciados em grupo (gMSAsgMSAs). Usando os gMSAs, os administradores de serviços não precisavam mais gerenciar manualmente a sincronização de senhas entre as instâncias de serviço. Em vez disso, um administrador poderia simplesmente criar um gMSA no Active Directory e depois configurar várias instâncias de serviço para usar esse único gMSA. Para conceder permissões para que os usuários do AWS Managed Microsoft AD possam criar um gMSA, você deve adicionar suas contas como membro do grupo de segurança AWS Delegated Managed Service Account Administrators. Por padrão, a conta Admin é membro desse grupo.

Integre o AWS Managed Microsoft AD aos seus AD existentes, usando os relacionamentos de confiança do AD. Usando relacionamentos de confiança, você pode usar o Active Directory existente para controlar os usuários do AD que acessam os recursos da AWS.

O AWS Managed Microsoft AD usa a mesma autenticação baseada no Kerberos usada pelo AD on-premises existente. A integração de recursos da AWS ao AWS Managed Microsoft AD permite que os usuários do AD usem o SSO para fazer login em aplicações e recursos da AWS, usando um único conjunto de credenciais.

Você pode definir configurações de diretório refinadas para seu AWS Managed Microsoft AD para atender aos seus requisitos de conformidade e segurança sem nenhum aumento na workload operacional. Nas configurações do diretório, você pode atualizar a configuração do canal seguro para protocolos e cifras usados em seu diretório. Por exemplo, você tem a flexibilidade de desativar cifras herdadas individuais, como RC4 ou DES, e protocolos, como SSL 2.0/3.0 e TLS 1.0/1.1. Em seguida, o AWS Managed Microsoft AD implanta a configuração em todos os controladores de domínio em seu diretório, gerencia as reinicializações do controlador de domínio e mantém essa configuração à medida que você aumenta a escala horizontalmente ou implanta regiões adicionais da AWS. Para todas as configurações disponíveis, consulte a lista de configurações de segurança do diretório.

O LDAPS do lado do servidor criptografa as comunicações LDAP entre suas aplicações comerciais ou domésticas compatíveis com LDAP (atuando como clientes LDAP) e o AWS Managed Microsoft AD (atuando como um servidor LDAP). Para obter mais informações, consulte Habilitar o LDAPS no lado do servidor usando o AWS Managed Microsoft AD.

O LDAPS do lado do cliente criptografa as comunicações LDAP entre aplicações da AWS, como o WorkSpaces (atuando como clientes LDAP) e seu Active Directory autogerenciado (atuando como servidor LDAP). Para obter mais informações, consulte Habilitar o LDAPS do lado do cliente usando o AWS Managed Microsoft AD.

A integração do AWS Managed Microsoft AD e do AD Connector com o AWS Private Certificate Authority (AWS Private CA) Connector para AD permite que você inscreva objetos associados ao domínio AD, incluindo usuários, grupos e máquinas, com certificados emitidos pela AWS Private CA. Você pode usar o AWS Private CA como um substituto imediato para suas CAs corporativas autogerenciadas sem a necessidade de implantar, corrigir ou atualizar agentes locais ou servidores proxy. Você pode configurar a integração do AWS Private CA com seu diretório em apenas alguns cliques ou programaticamente por meio da API.

Você pode usar o AWS Managed Microsoft AD para criar e executar aplicações em nuvem com reconhecimento de anúncios que estão sujeitos ao Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP), EUA Programas de conformidade Health Insurance Portability and Accountability Act (HIPAA – Lei de portabilidade e responsabilidade de provedores de saúde) e com o Payment Card Industry Data Security Standard (PCI DSS – Padrão de segurança de dados do Setor de cartões de pagamento). O AWS Managed Microsoft AD reduz o esforço necessário para implantar a infraestrutura de AD compatível para aplicações de nuvem, quando você gerencia seus próprios programas de gerenciamento de risco da HIPAA, PCI DSS ou certificação de conformidade com o FedRAMP. Veja a lista completa dos programas de conformidade para os quais o AWS Managed AD está qualificado.

Usando o Amazon Simple Notification Service (Amazon SNS), você pode receber mensagens de e-mail ou texto (SMS) quando o status do seu diretório mudar. Você será notificado se seu diretório passar de um status Ativo para um status Deficiente ou Inoperável. Você também recebe uma notificação quando o diretório retorna ao status Ativo.

O AWS Directory Service se integra ao Amazon CloudWatch para ajudar a fornecer métricas de performance importantes para cada controlador de domínio no seu diretório. Isso significa que você pode monitorar os contadores de performance do controlador de domínio, como a utilização da CPU e da memória. Você também pode configurar alarmes e iniciar ações automatizadas para responder aos períodos de alta utilização. 

Use o console do AWS Directory Service ou as APIs para encaminhar os logs de eventos de segurança do controlador de domínio para o Amazon CloudWatch Logs. Isso ajuda a cumprir requisitos de políticas de monitoramento de segurança, auditoria e retenção de logs, proporcionando transparência dos eventos de segurança em um diretório. Você também pode encaminhar logs de eventos de segurança do seu diretório para o Amazon CloudWatch Logs na conta da Amazon Web Services (AWS) de sua escolha e monitorar centralmente os eventos usando serviços da AWS ou aplicações de terceiros, como o Splunk, um parceiro de tecnologia avançada da Rede de Parceiros da AWS (APN) com competência em segurança da AWS.

Você pode conceder acesso aos usuários do AD on-premises para que façam login no Console de Gerenciamento da AWS e na AWS CLI com as credenciais do AD existentes, usando o AWS Identity Center (sucessor do AWS SSO) e selecionando AWS Managed Microsoft AD como a fonte da identidade. Assim, os usuários podem assumir suas funções atribuídas no login, além de acessar e tomar medidas com relação aos recursos, de acordo com as permissões definidas para a função. A outra opção é usar o AWS Managed Microsoft AD para permitir que os usuários assumam um perfil do AWS Identity and Access Management (IAM).

O AWS Managed Microsoft AD permite o uso de um único diretório para workloads com reconhecimento de diretório em recursos da AWS, como instâncias do Amazon EC2 e do Amazon RDS para SQL Server, bem como para serviços do AWS End User Computing, como o Amazon WorkSpaces. O compartilhamento de um diretório permite que workloads com reconhecimento de diretório gerenciem instâncias do Amazon EC2 em várias contas da AWS e Amazon VPCs em uma região. Isso também ajuda a evitar a complexidade de replicar e sincronizar dados em vários diretórios.