本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AmazonMicrosoft AD
创建Amazon托管的 icrosoft AD 目录,则需要一个满足以下条件的 VPC:
-
至少两个子网。每个子网必须位于不同的可用区。
-
VPC 必须具有默认硬件租户。
-
您无法创建Amazon使用 198.18.0.0/15 地址空间中的地址在 VPC 中托管的 icrosoft AD。
如果你需要整合你的Amazon托管的 icrosoft AD 域使用现有本地 Active Directory 域时,必须将您本地域的林和域功能级别设置为 Windows Server 2003 或更高版本。
Amazon Directory Service使用双 VPC 结构。组成您的目录的 EC2 实例在您的Amazon账户,并由管理Amazon. 它们有两个网络适配器,ETH0和ETH1.ETH0是管理适配器,存在于您的账户之外。ETH1是在您的账户中创建。
您目录的 ETH0 网络的管理 IP 范围是 198.18.0.0/15。
Amazon IAM Identity Center先决条件
如果您计划将 IAM 身份中心与Amazon托管的 icrosoft AD,则需要确保满足以下条件:
您的Amazon托管的 icrosoft AD 目录设置在Amazon组织的管理账户。
您的 IAM Ictent Center 实例位于您在其中的Amazon托管的 icrosoft AD 目录已设置。
有关更多信息,请参阅 。IAM 身份中心先决条件中的Amazon IAM Identity Center用户指南。
多重验证
为了使用您的支持多重Amazon托管 Microsoft AD 目录,你必须配置内部部署或基于云的目录远程身份验证拨入用户服务
-
在 RADIUS 服务器上,创建两个 RADIUS 客户端以表示AmazonMicrosoft AD 域控制器 (DC)Amazon. 必须使用以下通用参数配置两个客户端(您的 RADIUS 服务器可能会有所不同):
-
地址 (DNS 或 IP):这是其中一个AmazonMicrosoft AD DC。两个 DNS 地址都可以在Amazon上的Directory Service 控制台详细信息的页面Amazon您计划在其中使用 MFA 的微软 AD 托管目录。显示的 DNS 地址表示两个Amazon由使用的托管微软 AD DCAmazon.
注意
如果 RADIUS 服务器支持 DNS 地址,则您只能创建一个 RADIUS 客户端配置。否则,必须为每个都创建一个 RADIUS 客户端配置AmazonMicrosoft AD DC
-
端口号:配置 RADIUS 服务器为其接受 RADIUS 客户端连接的端口号。标准 RADIUS 端口是 1812。
-
Shared sec:键入或生成将由 RADIUS 服务器用于与 RADIUS 客户端连接的共享密
-
协议:您可能需要在Amazon管理微软 AD 域控制器和 RADIUS 服务器。支持的协议有 PAP、CHAP MS-CHAPv1 和 MS-CHAPv2。建议使用 MS-CHAPv2,因为它提供三种选项中最强的安全性。
-
应用程序名称:在某些 RADIUS 服务器中为可选设置,通常用于在消息或报告中标识应用程序。
-
-
配置现有网络以允许从 RADIUS 客户端到 RADIUS 客户端的入站流量 (Amazon托管的 icrosoft AD DNS 地址,请参阅步骤 1) 到 RADIUS 服务器端口的 DNS 地址。
-
向您中的 Amazon EC2 安全组添加规则Amazon托管的 icrosoft AD 域允许来自以前定义的 RADIUS 服务器 DNS 地址和端口号的入站流量。有关更多信息,请参阅 。在安全组中添加规则中的EC2 用户指南.
有关如何使用的更多信息Amazon使用 MFA 托管微软 AD,请参阅为启用多重验证Amazon托管的 Managed.