Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
什么是 Amazon Directory Service?
Amazon Directory Service 提供了多种与其他 Amazon
服务一起使用 Microsoft Active Directory (AD) 的方式。目录存储有关用户、群组和设备的信息,管理员使用它们来管理对信息和资源的访问权限。 Amazon Directory Service 为想要在云中使用现有 A Microsoft D 或轻型目录访问协议 (LDAP) 感知应用程序的客户提供了多种目录选择。它还为需要目录来管理用户、组、设备和访问权限的开发人员提供了同样的选择。
选择哪一个
您可以选择根据自己需要的功能和可扩展性,选择最适合的目录服务。使用下表可以帮助您确定哪个 Amazon Directory Service 目录选项最适合您的组织。
| 您需要做什么? |
推荐 Amazon Directory Service 选项 |
| 我需要在云中为应用程序使用 Active Directory 或 LDAP |
如果你需要 Amazon 云端支持Active Directory感知型工作负载或应用程序和服务(例如亚马逊和亚马逊 WorkSpaces ),或者你需要对 Linux Amazon 应用程序的 LDAP 支持,请使用Amazon Microsoft Active Directory(标准版或企业版)的 Directory Service。Microsoft Active Directory QuickSight
如果您只需要允许本地用户使用其Active Directory凭据登录 Amazon
应用程序和服务,请使用 A D Connector。您也可以使用 AD Connector 将 Amazon EC2 实例加入到您的现有Active Directory域中。
如果您需要一个支持兼容 Samba 4 的应用程序且具有基本Active Directory兼容性的低规模、低成本目录,或者需要支持 LDAP 的应用程序兼容 LDAP 的应用程序,请使用 Simple AD。
|
| 我开发 SaaS 应用程序 |
如果您开发大规模的 SaaS 应用程序,需要可扩展的目录来管理订阅用户和使用社交媒体身份工作的用户并验证他们的身份,可以使用 Amazon Cognito。 |
有关 Amazon Directory Service 目录选项的更多信息,请参阅如何选择Active Directory解决方案 Amazon。
Amazon Directory Service 选项
Amazon Directory Service 包括几种可供选择的目录类型。有关更多信息,请选择以下选项卡之一:
- Amazon Directory Service for Microsoft Active Directory
-
微软 A Amazon ctive Directory 的 Directory Service 也被称为 Amazon 托管 Microsoft AD,由 Amazon Amazon 云端管理的实际 Microsoft Windows Server Active Directory (AD) 提供支持。它使您能够将各种支持 Active Directory 的应用程序迁移到云端。 Amazon Amazon 托管 Microsoft AD 可与 Microsoft SharePoint Microsoft SQL Server Always On 可用性组和许多.NET 应用程序配合使用。它还支持 Amazon 托管应用程序和服务,包括亚马逊 WorkSpaces、亚马逊、亚马逊、Ama zon Chime WorkDocs QuickSight、Amaz on C onnect 和适用于 P ostgreSQL 的亚马逊关系数据库服务(适用于Microsoft SQL
Server亚马逊 RDS、适用于 Amazon RDS 和 SQL Server Amazon RDS for PostgreSQL)。Oracle
所有兼容的应用程序都使用您存储在 Amazon 托管 Microsoft AD 中的用户证书,或者您可以通过信任连接到现有 AD 基础设施,并使用来自本地或 EC2 Windows 上Active Directory运行的凭证。如果您将 EC2 实例加入您的 Amazon 托管 Microsoft AD,则您的用户可以访问 Amazon 云端中的 Windows 工作负载,享受与访问本地网络中的工作负载时相同的 Windows 单点登录 (SSO) 体验。
Amazon 托管 Microsoft AD 还支持使用Active Directory凭据的联合用例。仅凭 Amazon 托管 Microsoft AD,你就可以登录Amazon Web Services Management Console。借Amazon IAM Identity Center助,您还可以获取与 Amazon SDK 和 CLI 配合使用的短期凭证,并使用预配置的 SAML 集成登录许多云应用程序。通过添加Microsoft Entra Connect(以前称为Azure Active Directory Connect)和可选的Active Directory联合身份验证服务 (AD FS),您可以使用存储在 Amazon 托管 Microsoft AD 中的凭据登录和其他云应用程序。Microsoft Office 365
该服务包括使您能够通过安全套接字层 (SSL)/传输层安全性 (TLS) 协议扩展架构、管理密码策略和实现安全 LDAP 通信的关键功能。您还可以为Amazon 托管 Microsoft AD 启用多因素身份验证 (MFA),以便在用户从互联网 Amazon 访问应用程序时提供额外的安全保护。由于Active Directory是 LDAP 目录,因此您还可以将 Amazon 托管 Microsoft AD 用于 Linux 安全外壳 (SSH) 身份验证和其他支持 LDAP 的应用程序。
Amazon 作为服务的一部分提供监控、每日快照和恢复,您可以向托管 Microsoft AD 添加用户和群组,并使用在加入托管 M Amazon icrosof Amazon t AD 域的Windows计算机上运行的熟悉Active Directory工具管理组策略。您还可以通过部署更多域控制器来扩展目录,并通过在大量域控制器之间分配请求来帮助提高应用程序性能。
Amazon 托管 Microsoft AD 有两个版本可供选择:标准版和企业版。
* 上限为近似值。根据对象大小、以及应用程序的行为和性能需求,您的目录支持的对象数可能更多,也可能更少。
何时使用
Amazon 如果您需要实际Active Directory功能来支持 Amazon 应用程序或Windows工作负载(包括适用于 Amazon Relational Database Service)的应用程序或工作负载,那么托管 Microsoft AD 是您的最佳选择Microsoft SQL Server。如果你想要一个支持 Office 365 的独立Active Directory Amazon 云端,或者你需要一个 LDAP 目录来支持你的 Linux 应用程序,那也是最好的。有关更多信息,请参阅 Amazon 微软 AD 托管。
- AD Connector
-
AD Connector 是一项代理服务,它提供了一种将兼容的 Amazon 应用程序(例如亚马逊 WorkSpaces QuickSight、亚马逊和亚马逊 EC2)连接到您现有的本地应用程序的简便方法MicrosoftActive Directory。Windows Server使用 AD Connector,您只需向自己的服务帐户添加一个服务帐户即可Active Directory。AD Connector 还可以避免目录同步的需求,也避免了托管联合身份基础设施的成本和复杂性。
当您将用户添加到诸如 Amazon 之类的 Amazon 应用程序时 QuickSight,AD Connector 会读取您的现有用户和群组Active Directory以创建可供选择的用户和群组列表。当用户登录 Amazon 应用程序时,AD Connector 会将登录请求转发给您的本地Active Directory域控制器进行身份验证。AD Connector 可与许多 Amazon
应用程序和服务配合使用,包括亚马逊 WorkSpaces WorkDocs、亚马逊 QuickSight、亚马逊Chime、Ama zon Connect 和亚马逊。 WorkMail您还可以使用无缝Active Directory域加入通过 AD Connector 将您的 EC2 Windows 实例加入您的本地域。AD Connector 还允许您的用户使用现有Active Directory凭证登录来访问和管理 Amazon 资源。 Amazon Web Services Management Console AD Connector 与 RDS SQL Server 不兼容。
您还可以使用 AD Connector Amazon 为您的应用程序用户启用多因素身份验证 (MFA),方法是将其连接到现有的基于 RADIUS 的 MFA 基础架构。这在用户访问 Amazon
应用程序时提供了一个额外的安全层。
使用 AD Connector,您可以Active Directory像现在一样继续管理自己的。例如,您可以在本地使用标准Active Directory管理工具添加新用户和群组并更新密码Active Directory。无论用户是在本地还是 Amazon 云端访问资源,这都有助于您始终如一地强制执行安全策略,例如密码过期、密码历史记录和帐户锁定。
何时使用
当您想将现有本地目录与兼容 Amazon 服务一起使用时,AD Connector 是您的最佳选择。有关更多信息,请参阅 AD Connector。
- Simple AD
-
Simple AD 是一个MicrosoftActive Directory由 Amazon Directory Service Samba 4 提供支持的兼容目录。Simple AD 支持基本Active Directory功能,例如用户账户、群组成员资格、加入 Linux 域或Windows基于 EC2 的实例、基于 Kerberos 的 SSO 和群组策略。 Amazon 作为服务的一部分,提供监控、每日快照和恢复。
Simple AD 是云中的独立目录,您可在其中创建和管理用户身份,以及管理对应用程序的访问。您可以使用许多需要基本Active Directory功能Active Directory的熟悉的应用程序和工具。Simple AD 与以下 Amazon 应用程序兼容:亚马逊 WorkSpaces、亚马逊 WorkDocs QuickSight、亚马逊和亚马逊 WorkMail。您还可以使用 Simple Amazon Web Services Management Console AD 用户帐户登录并管理 Amazon
资源。
Simple AD 不支持多因素身份验证 (MFA)、信任关系、DNS 动态更新、架构扩展、通过 LDAPS 的通信、AD cmd PowerShell let 或 FSMO 角色转移。Simple AD 与 RDS SQL Server 不兼容。需要实际MicrosoftActive Directory功能或计划在 RDS SQL Server 中使用其目录的客户应改用 Amazon 托管 Microsoft AD。使用 Simple AD 之前,请确保您需要的应用程序与 Samba 4 完全兼容。有关更多信息,请访问 https://www.samba.org。
何时使用
您可以将 Simple AD 用作云中的独立目录,以支持需要基本Active Directory功能Windows的工作负载、兼容的 Amazon
应用程序,或者支持需要 LDAP 服务的 Linux 工作负载。有关更多信息,请参阅 Simple AD。
- Amazon Cognito
-
Amazon Cognito 是一种用户目录,它使用 Amazon Cognito 用户池向移动应用程序或 Web 应用程序添加注册和登录功能。
何时使用
当您需要创建自定义注册字段并将该元数据存储在您的用户目录中时,也可以使用 Amazon Cognito。此完全托管的服务经扩展可以支持数亿个用户。有关更多信息,请参阅 Amazon Cognito 开发人员指南中的 Amazon Cognito 用户池。
有关各个区域支持的目录类型列表,请参阅 的地区可用性 Amazon Directory Service。
使用 Amazon EC2
对 Amazon EC2 有基本的了解对于使用 Amazon Directory Service非常重要。我们建议您首先阅读以下主题: