Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
什么是 Amazon Directory Service?
Amazon Directory Service 提供了多种方式来结合使用 Microsoft Active Directory (AD) 与其他 Amazon 服务。目录中存储有关用户、组和设备的信息,管理员使用这些信息来管理对信息和资源的访问。针对希望在云中使用现有 Microsoft AD 或能够识别轻量目录访问协议 (LDAP) 的应用程序的客户,Amazon Directory Service 提供了多种目录选择。它还为需要目录来管理用户、组、设备和访问权限的开发人员提供了同样的选择。
选择哪一个
您可以选择根据自己需要的功能和可扩展性,选择最适合的目录服务。使用下表可帮助您确定哪种 Amazon Directory Service 目录选项最适合您的组织。
您需要做什么? |
建议的 Amazon Directory Service 选项 |
我需要在云中为应用程序使用 Active Directory 或 LDAP |
SelectAmazonMicrosoft Directory Service Directory(标准版或企业版)如果你需要在Amazon支持活动目录感知工作负载的云,或者Amazon应用程序和服务,例如 Amazon WorkSpaces 和 Amazon QuickSight,或者您需要对 Linux 应用程序的 LDAP 支持。
如果您只需要允许本地用户使用其 Active Directory 凭证登录 Amazon 应用程序和服务,可以使用 AD Connector。您还可以使用 AD Connector 将 Amazon EC2 实例加入到现有 Active Directory 域。
使用Simple AD如果您需要小规模、低成本的目录,并且具备基本 Active Directory 兼容性,能够支持 Samba 4 兼容应用程序,或者您需要为能够识别 LDAP 的应用程序提供 LDAP 兼容性
|
我开发 SaaS 应用程序 |
如果您开发大规模的 SaaS 应用程序,需要可扩展的目录来管理订阅者和使用社交媒体身份工作的用户并验证他们的身份,可以使用 Amazon Cognito。 |
Amazon Directory Service选项
Amazon Directory Service 包括若干目录类型供您选择。有关更多信息,请选择以下选项卡之一:
- Amazon Directory Service for Microsoft Active Directory
-
也称作Amazon托管的 Microsoft AD,AmazonMicrosoft Active Directory Directory Service 由实际 Microsoft Windows Server Active Directory (AD) 提供支持,由Amazon中的Amazon云。它允许您将各种感知 Active Directory 的应用程序迁移到Amazon云。AmazonMicrosoft AD 可以与 Microsoft SharePoint、Microsoft SQL Server Always On Availability Groups 和多种 .NET 应用程序配合使用。它还支持Amazon托管应用程序和服务包括Amazon WorkSpaces、Amazon WorkDocs、Amazon QuickSight、Amazon Chime、Amazon Connect, 和Microsoft SQL Server 的 Amazon Relational Database Service(Amazon RDS for SQL Server 的亚马逊 RDS、针对 Oracle 的 Amazon RDS 和适用于 PostgreSQL 的 Amazon RDS)。
所有兼容的应用程序都使用存储在中的用户凭据Amazon托管微软 AD,或者你可以连接到现有的 AD 基础架构使用在本地或 EC2 Windows 上运行的 Active Directory 中的信任和用户凭证。如果您将 EC2 实例加入您的AmazonMicrosoft AD 托管,你的用户可以在Amazon云与访问本地网络中的工作负载相同的 Windows 单点登录 (SSO) 体验。
AmazonAmazon 托管的 AD 还支持使用 Active Directory 凭证的联合使用案例。独自一人,Amazon使用托管的 Microsoft AD 登录Amazon Web Services Management Console. 借助 Amazon IAM Identity Center (successor to Amazon Single Sign-On),您还可以获取短期凭证以用于 Amazon 开发工具包和 CLI,并使用预配置的 SAML 集成登录到许多云应用程序。通过添加 Azure AD Connect 以及可选的 Active Directory 联合身份验证服务 (AD FS),您可以使用存储在中的凭证登录 Microsoft Office 365 和其他云应用程序。Amazon托管的 Microsoft AD。
该服务包括使您能够通过安全套接字层 (SSL)/传输层安全性 (TLS) 协议扩展架构、管理密码策略和实现安全 LDAP 通信的关键功能。您还可以启用多重验证 (MFA)AmazonMicrosoft AD 托管在用户访问时提供了一个额外的安全层Amazon从 Internet 提供的应用程序。由于 Active Directory 是 LDAP 目录,您也可以使用Amazon托管的 Microsoft AD 用于 Linux Secure Shell (SSH) 身份验证以及其他启用 LDAP 的应用程序。
Amazon在服务中提供了监控、每日快照以及恢复功能 — 您将用户和群组添加到AmazonMicrosoft AD 托管,并使用加入了Amazon托管的 Microsoft AD 域。您还可以通过部署更多域控制器来扩展目录,并通过在大量域控制器之间分配请求来帮助提高应用程序性能。
Amazon托管的 Microsoft AD 提供了两种版本:标准版和企业版。
* 上限为近似值。根据对象大小、以及应用程序的行为和性能需求,您的目录支持的对象数可能更多,也可能更少。
何时使用
Amazon如果您需要实际的 Active Directory 功能支持,是您的最佳选择。Amazon应用程序或 Windows 工作负载,包括 Amazon for Microsoft SQL Server 的关系数据库服务。如果您希望 Amazon 云中的独立 AD 能够支持 Office 365,或者需要 LDAP 目录支持 Linux 应用程序,这也是最佳之选。有关更多信息,请参阅 AmazonMicrosoft。
- AD Connector
-
AD Connector 是一种提供了连接兼容的简单方法的代理服务。Amazon应用程序,例如 Amazon WorkSpaces、Amazon QuickSight 和Amazon EC2对于 Windows Server 实例,转移到现有本地部署 Microsoft Active Directory。使用 AD Connector,您只需添加一个服务帐户转到 Active Directory。AD Connector 还可以避免目录同步的需求,也避免了托管联合身份基础设施的成本和复杂性。
当你将用户添加到AmazonAmazon QuickSight、AD Connector 等应用程序读取现有的 Active Directory 创建用户和组列表,以便您从中选择。当用户登录到Amazon应用程序、AD Connector 将登录请求转发到您的本地 Active Directory 域控制器进行身份验证。AD Connector 适用于许多Amazon包括应用程序和服务Amazon WorkSpaces、Amazon WorkDocs、Amazon QuickSight、Amazon Chime、Amazon Connect, 和Amazon WorkMail. 您还可以加入 EC2 Windows 实例使用通过 AD Connector 传入到本地 Active Directory 域无缝域加入. AD Connector 还允许您的用户访问Amazon Web Services Management Console并管理Amazon使用现有 Active Directory 凭证登录。Amazon AD Connector 与 RDS SQL Server 不兼容。
你也可以使用 AD Connector 来启用多重验证(MFA) 为你Amazon将应用程序用户连接到现有的基于 RADIUS 的 MFA 基础结构。这在用户访问 Amazon 应用程序时提供了一个额外的安全层。
使用 AD Connector 时,您可以继续像现在一样管理您的 Active Directory。例如,您在本地 Active Directory 中,使用标准 Active Directory 管理工具添加新用户和组以及更新密码。这帮助您始终如一地实施安全策略(如密码过期、密码历史和账户锁定),无论用户是访问本地还是 Amazon 云中的资源。
何时使用
当您想要将现有本地目录与兼容性一起使用时,AD Connector 是您的最佳选择。Amazon服务。有关更多信息,请参阅 Active Directory Connector。
- Simple AD
-
Simple AD 是 Microsoft Active Directory —兼容目录来自Amazon Directory Service由 Samba 4 提供技术支持。Simple AD 支持基础 Active Directory 功能,例如用户账户、组成员资格、加入 Linux 域或者基于 Windows 的 EC2 实例、基于 Kerberos 的 SSO 以及组策略。Amazon在服务中提供了监控、每日快照以及恢复功能。
Simple AD 是云中的独立目录,您可在其中创建和管理用户身份,以及管理对应用程序的访问。您可以使用许多需要基本 Active Directory 功能的熟悉 Active Directory 应用程序和需要基本 Active Simple AD 与以下内容兼容Amazon应用程序:Amazon WorkSpaces、Amazon WorkDocs、Amazon QuickSight, 和Amazon WorkMail. 您也可以登录Amazon Web Services Management Console使用 Simple AD 用户帐户并进行管理Amazon资源的费用。
Simple AD 不支持多重身份验证 (MFA)、信任关系、DNS 动态更新、架构扩展、通过 LDAPS 的通信、PowerShell AD cmdlet 以及 FSMO 角色转移。Amazon Simple AD 与 RDS SQL Server 不兼容。需要实际 Microsoft Active Directory 功能或者希望将其目录用于 RDS SQL Server 的客户,应使用Amazon而是托管的 Microsoft AD。使用 Simple AD 之前,请确保您需要的应用程序与 Samba 4 完全兼容。有关更多信息,请访问 https://www.samba.org。
何时使用
在云中,您可以将 Simple AD 用作独立目录,用于支持需要基本 AD 功能的 Windows 工作负载、兼容的基本 AD 功能Amazon应用程序,或者支持需要 LDAP 服务的 Linux 工作负载。有关更多信息,请参阅 Simple Active Directory。
- Amazon Cognito
-
Amazon Cognito 是一种用户目录,它使用 Amazon Cognito 用户池向您的移动应用程序或 Web 应用程序添加注册和登录功能。
何时使用
当您需要创建自定义注册字段并将该元数据存储在您的用户目录中时,您也可以使用 Amazon Cognito。此完全托管的服务经扩展可以支持数亿个用户。有关更多信息,请参阅 Amazon Cognito 开发人员指南中的 Amazon Cognito 用户池。
请参阅的区域可用性Amazon Directory Service获得各个区域支持的目录类型的列表。
使用 Amazon EC2
对 Amazon EC2 有基本的了解对于使用非常重要Amazon Directory Service. 我们建议您首先阅读以下主题: