用例 1:使用 Active Directory 凭据登录 Amazon 应用程序和服务 - Amazon Directory Service
适用于 Windows File Server 的 fsX Amazon 与托管微软 AD 集成亚马逊 RDS 与 Amazon 托管微软 AD 集成
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

用例 1:使用 Active Directory 凭据登录 Amazon 应用程序和服务

你可以启用多个 Amazon 应用程序和服务,例如、、、Amazon Chime Amazon Client VPNAmazon Web Services Management ConsoleAmazon IAM Identity Center、Amazon C onnect、亚马逊 FSx亚马 QuickSight逊、适用于 SQL Server 的亚马逊 RDS亚马逊 WorkDocs WorkMailWorkSpaces亚马逊,也可以使用你的微软 AD Amazon 托管目录。当您在目录中启用 Amazon 应用程序或服务时,您的用户可以使用其 Active Directory 凭据访问该应用程序或服务。

例如,您可以允许您的用户使用他们的 Active Directory 凭据登录。 Amazon Web Services Management Console 为此,您可以在目录中启用 Amazon Web Services Management Console 作为应用程序,然后将您的 Active Directory 用户和群组分配给 IAM 角色。当您的用户登录时 Amazon Web Services Management Console,他们将扮演 IAM 角色来管理 Amazon 资源。这使您可以轻松为您的用户授予对 Amazon Web Services Management Console 的访问权限,而无需配置和管理单独的 SAML 基础设施。

为了进一步增强最终用户体验,您可以为 Amazon 启用单点登录功能 WorkDocs,这样您的用户无需单独输入凭证即可 WorkDocs 从加入该目录的计算机访问亚马逊。

您可以向您的目录或本地 Active Directory 中的用户账户授予访问权限,这样他们就可以通过直接向现有用户账户分配 IAM 角色来 Amazon CLI 使用现有证书和权限登录 Amazon Web Services Management Console 或管理 Amazon 资源。

适用于 Windows File Server 的 fsX Amazon 与托管微软 AD 集成

将适用于 Windows File Server 的 FSx Amazon 与托管微软 AD 集成,提供了一个完全托管的基于微软 Windows 的本机服务器消息块 (SMB) 协议文件系统,允许你轻松地将基于 Windows 的应用程序和客户端(使用共享文件存储)移动到。 Amazon尽管 FSx for Windows File Server 可以与自托管式 Microsoft Active Directory 集成,但我们在这里不讨论这种情况。

常见的 Amazon FSx 使用案例和资源

本节提供了有关常见 FSx for Windows File Server 与微软 AD Amazon 托管用例集成的资源参考。本节中的每个使用案例都从基本的 Amazon Managed Microsoft AD 和 FSx for Windows File Server 配置开始。有关如何创建这些配置的更多信息,请参阅:

Amazon Elastic Container Service(ECS)现在支持使用经Amazon ECS 优化的 Windows AMI 启动的容器实例上的 Windows 容器。Windows 容器实例使用其自己的 Amazon ECS 容器代理版本。在经 Amazon ECS 优化的 Windows AMI 上,Amazon ECS 容器代理在主机上作为一项服务运行。

Amazon ECS 通过组 Managed Service Account (gMSA )的特殊服务帐户支持 Windows 容器的 Active Directory 身份验证。由于 Windows 容器无法加入域,因此必须将 Windows 容器配置为使用 gMSA 运行。

相关术语

Amazon AppStream 2.0 是一项完全托管的应用程序流媒体服务。它为用户提供了一系列通过其应用程序保存和访问数据的解决方案。带有 AppStream 2.0 版本的 Amazon FSx 提供使用 Amazon FSx 的个人永久存储驱动器,并且可以配置为提供用于访问常用文件的共享文件夹。

相关术语

FSx for Windows File Server 可用作 Microsoft SQL Server 2012(从 2012 版本 11.x 开始)和更新的系统数据库(包括主数据库、模型数据库、MSDB 和 TempDB)以及数据库引擎用户数据库的存储选项。

相关术语

FSx for Windows File Server 可用于将 Active Directory 用户主文件夹和“我的文档”中的数据存储在中央位置。FSx for Windows File Server 也可用于存储漫游用户配置文件中的数据。

相关术语

FSx for Windows File Server 上的网络文件共享提供了一种托管且可扩展的文件共享解决方案。一个使用案例是可以手动或通过组策略创建的客户端映射驱动器。

相关术语

由于 SYSVOL 文件夹的大小和性能有限,因此最佳做法是避免在该文件夹中存储诸如软件安装文件之类的数据。作为一种可行的解决方案,可以将 FSx for Windows File Server 配置为存储使用组策略安装的所有软件文件。

相关术语

使用 UNC 文件共享,可以将 FSx for Windows File Server 配置为 Windows Server Backup 中的目标驱动器。在这种情况下,您需要指定 FSx for Windows File Server 的 UNC 路径,而不是附加的 EBS 卷的 UNC 路径。

相关术语

亚马逊 FSx 还支持托管 Amazon 微软 AD 目录共享。有关更多信息,请参阅:

亚马逊 RDS 与 Amazon 托管微软 AD 集成

Amazon RDS 支持使用 Kerberos 和 Microsoft Active Directory 对数据库用户进行外部身份验证。Kerberos 是一种网络身份验证协议,它使用票证和对称密钥加密,而不再需要通过网络传输密码。Amazon RDS 支持 Kerberos 和 Active Directory,从而为数据库用户提供单点登录和集中身份验证的好处,以便您将用户凭证保留在 Active Directory。

要开始使用此用例,您首先需要设置基本的微软 AD 和 Amazon RDS Amazon 托管配置。

下面提到的所有用例都将从基本的 Amazon 托管微软 AD 和 Amazon RDS 开始,并介绍如何将 Amazon RDS 与 Amazon 托管微软 AD 集成。

亚马逊 RDS 还支持 Amazon 托管微软 AD 目录共享。有关更多信息,请参阅:

有关将 Amazon RDS for SQL Server 加入 Active Directory 的更多信息,请参阅 Join Amazon RDS for SQL Server to your self-managed Active Directory

.NET 应用程序使用 Amazon RDS for SQL Server 和组托管服务账户

您可以将 Amazon RDS for SQL Server 与基本的 .NET 应用程序和组托管服务账户(gMSA)集成。有关更多信息,请参阅Amazon 托管 Microsoft AD 如何帮助简化 Active Directory(集成.NET 应用程序)的部署并提高其安全性