共享 Amazon Managed Microsoft AD
Amazon Managed Microsoft AD 与 Amazon Organizations 紧密集成,以允许跨多个 Amazon Web Services 账户的无缝目录共享。您可以将单个目录与相同组织中的其他可信 Amazon Web Services 账户共享,也可以将目录与组织外的其他 Amazon Web Services 账户共享。另外您还可以在 Amazon Web Services 账户目前不是组织的成员时共享目录。
关键目录共享概念
如果您熟悉以下主要概念,将能够更充分地利用目录共享功能。
目录拥有者账户
目录拥有者是在共享目录关系中,拥有原始目录的 Amazon Web Services 账户 持有人。此账户中的管理员可以通过指定与其共享目录的 Amazon Web Services 账户 来发起目录共享。目录所有者可以在 Amazon Directory Service 控制台中使用给定目录的扩展和共享选项卡查看他们与谁共享了该目录。
目录使用者账户
在共享目录关系中,目录使用者表示目录所有者与之共享目录的 Amazon Web Services 账户。根据所用的共享方法,此账户中的管理员可能需要接受发送自目录所有者的邀请,然后才能开始使用共享目录。
目录共享流程在目录使用者账户中创建共享目录。此共享目录包含元数据,使得 EC2 实例可以无缝加入位于目录所有者账户内原始目录中的域。目录使用者账户中的每个共享目录具有唯一标识符(Shared directory ID (共享目录 ID))。
共享方法
Amazon Managed Microsoft AD 提供了以下两种目录共享方法:
-
Amazon Organizations – 此方法可以轻松地在您的组织中共享目录,因为您可以浏览并验证目录使用者账户。要使用此选项,您的组织必须启用了所有功能,目录必须在组织的管理账户中。此共享方法简化了您的设置,因为它无需目录使用者账户接受您的目录共享请求。在控制台中,此方法被称为将此目录与您组织内的 Amazon Web Services 账户 共享。
-
握手 – 此方法在您未使用 Amazon Organizations 时启用目录共享。握手方法要求目录使用者账户接受目录共享请求。在控制台中,此方法被称为与其他 Amazon Web Services 账户 共享此目录。
网络连接
网络连接是跨 Amazon Web Services 账户 使用目录共享关系的先决条件。Amazon 支持多种连接 VPC 的解决方案,其中一些解决方案包括 VPC 对等、传输网关和 VPN。要开始使用,请参阅教程:共享 Amazon Managed Microsoft AD 目录以便无缝地加入 EC2 域。
注意事项
以下是将目录共享与 Amazon Managed Microsoft AD 结合使用时的一些注意事项:
定价
-
Amazon 会收取额外的目录共享费用。使用共享 Amazon Managed Microsoft AD 的 Amazon Web Services 账户是收取共享费用的账户。要了解更多信息,请参阅 Amazon Directory Service 网站上的定价
页面。 -
目录共享使 Amazon Managed Microsoft AD 成为了与多个账户和 VPC 中的 Amazon EC2 进行集成的更经济高效的方式。
区域可用性
目录共享在所有提供 Amazon Managed Microsoft AD 的 Amazon 区域中可用。
在 Amazon 中国(宁夏),此功能仅在使用 Amazon Systems Manager
(SSM)无缝加入 Amazon EC2 实例时可用。
有关目录共享以及如何跨 Amazon 账户边界扩展您的 Amazon Managed Microsoft AD 目录覆盖范围的更多信息,请参阅以下主题。
其他资源