Amazon Managed Microsoft AD
Amazon Directory Service for Microsoft Active Directory(也称为 Amazon Managed Microsoft AD)运行 Microsoft Active Directory,这是一项由 Windows Server 2019 提供支持的托管服务。该服务可以在 Amazon VPC 中跨不同可用区创建一对高度可用的域控制器,Amazon 自动管理主机监控、恢复、数据复制、快照和软件更新。借助于该服务,您可以运行目录感知型工作负载、管理用户和组、提供单点登录、创建和应用组策略以及安全地连接到 Amazon EC2 实例。
Amazon Directory Service 提供两种 Microsoft Active Directory 解决方案:Amazon Directory Service for Microsoft Active Directory 在 Amazon Cloud 中提供完全托管的 Active Directory 服务,而 Amazon Managed Microsoft AD(混合版)则将现有的自行管理的 AD 扩展到 Amazon。
Amazon Managed Microsoft AD(标准版和企业版)创建新的托管 AD 域来管理 Amazon 上的用户、设备和计算机。这些目录建立资源林,与您在本地、Amazon 或多云环境中的现有 AD 域建立信任关系。用户可以使用其现有凭证,从您当前的 AD 域访问 Amazon 资源。用户身份保留在现有 AD 域中,而资源林负责管理您的 Amazon 资源,这样在提供无缝单点登录的同时保持了环境之间的操作隔离。
Amazon Managed Microsoft AD(混合版)将自行管理的 Active Directory 与 Amazon Directory Service for Microsoft Active Directory 联系在一起,形成一个横跨您的基础设施和 Amazon Web Services 云 的集成身份环境。该解决方案将目录服务扩展到 Amazon 而无需同步用户身份,在环境之间建立信任关系,并使用现有凭证提供无缝访问。
借助 Amazon Managed Microsoft AD,可以在 Amazon Cloud 中运行目录感知型工作负载,包括 Microsoft SharePoint 以及基于 .NET 和 SQL Server 的自定义应用程序。还可以在 Amazon Managed Microsoft AD 与现有的自行管理的 Microsoft Active Directory 之间配置信任关系,从而使用户和组可以使用 Amazon IAM Identity Center 访问任一域中的资源。
选择哪一个
您可以根据自己需要的功能和可扩展性,在这两种 Amazon Directory Service 服务中选择。下表可帮助您确定哪种 Amazon Directory Service 选项最适合您的组织。
| 应用场景 | 建议的解决方案 |
|---|---|
| 运行需要 LDAP 支持的目录感知型工作负载、Amazon 应用程序或 Linux 应用程序 |
Amazon Managed Microsoft AD(标准版和企业版)创建新的托管 AD 域来管理 Amazon 上的用户、设备和计算机。这些目录建立资源林,与您在本地、Amazon 或多云环境中的现有 AD 域建立信任关系。用户可以使用其现有凭证,从您当前的 AD 域访问 Amazon 资源。用户身份保留在现有 AD 域中,而资源林负责管理您的 Amazon 资源,这样在提供无缝单点登录的同时保持了环境之间的操作隔离。 |
| 将现有 Active Directory 扩展到 Amazon |
Amazon Managed Microsoft AD(混合版)将自行管理的 Active Directory 与 Amazon Directory Service for Microsoft Active Directory 联系在一起,形成一个横跨您的基础设施和 Amazon Web Services 云 的集成身份环境。该解决方案将目录服务扩展到 Amazon 而无需同步用户身份,在环境之间建立信任关系,并使用现有凭证提供无缝访问。 |