AWS Directory Service
管理指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

什么是 AWS Directory Service?

AWS Directory Service 提供了多种方式来将 Amazon Cloud Directory 和 Microsoft Active Directory (AD) 与其他 AWS 服务结合使用。目录中存储有关用户、组和设备的信息,管理员使用这些信息来管理对信息和资源的访问。针对希望在云中使用现有 Microsoft AD 或能够识别轻量目录访问协议 (LDAP)– 的应用程序的客户,AWS Directory Service 提供了多种目录选择。它还为需要目录来管理用户、组、设备和访问权限的开发人员提供了同样的选择。

选择哪一个

您可以选择根据自己需要的功能和可扩展性,选择最适合的目录服务。使用下表可帮助您确定哪种 AWS Directory Service 目录选项最适合您的组织。

您需要做什么? 建议的 AWS Directory Service 选项
我需要在云中为应用程序使用 Active Directory 或 LDAP

如果您需要在 AWS 云中实际使用 Microsoft Active Directory,支持能够识别 Active Directory 的 – 工作负载、AWS 应用程序和服务(例如 Amazon WorkSpaces 和 Amazon QuickSight)或者需要针对 Linux 应用程序的 LDAP 支持,可以选择 AWS Directory Service for Microsoft Active Directory(标准版或企业版)。

如果您只需要允许本地用户使用其 Active Directory 凭证登录 AWS 应用程序和服务,可以使用 AD Connector。您也可以使用 AD Connector 将 Amazon EC2 实例连接到现有的 Active Directory 域。

如果您需要小规模、低成本的目录,并且具备基本 Active Directory 兼容性,能够支持 Samba 4 – 兼容应用程序,或者您需要为能够识别 LDAP 的应用程序提供 LDAP 兼容性,可以使用 Simple AD

我开发用于管理具有复杂关系的分层数据的云应用程序 如果您需要云规模的目录,用于在应用程序之间共享和控制对分层数据的访问,可以使用 Amazon Cloud Directory
我开发 SaaS 应用程序 如果您开发大规模的 SaaS 应用程序,需要可扩展的目录来管理订阅者和使用社交媒体身份工作的用户并验证他们的身份,可以使用 Amazon Cognito

AWS Directory Service 选项

AWS Directory Service 包括若干目录类型供您选择。有关更多信息,请选择以下选项卡之一:

AWS Directory Service for Microsoft Active DirectoryAD ConnectorSimple ADAmazon Cloud DirectoryAmazon Cognito
AWS Directory Service for Microsoft Active Directory

AWS Directory Service for Microsoft Active Directory 也称为 AWS Managed Microsoft AD,由 AWS 云中的实际 Microsoft Windows Server Active Directory (AD) 提供支持并由 AWS 管理。它让您能够将各种支持 Active Directory– 的应用程序迁移到 AWS 云中。AWS Managed Microsoft AD 可以与 Microsoft SharePoint、Microsoft SQL Server Always On Availability Groups 和多种 .NET 应用程序配合使用。它还支持 AWS 托管的应用程序和服务,包括 Amazon WorkSpaces, Amazon WorkDocs, Amazon QuickSight, Amazon Chime, Amazon ConnectAmazon Relational Database Service for Microsoft SQL Server (RDS for SQL Server)。

所有兼容的应用程序都可以使用您存储在 AWS Managed Microsoft AD 中的用户凭证,或者您也可以使用在本地或 EC2 Windows 上运行的 Active Directory 中的信任和用户凭证连接到现有 AD 基础结构。如果您将 EC2 实例加入 AWS Managed Microsoft AD,那么您的用户就可以访问 AWS 云中的 Windows 工作负载,并获得访问本地网络中的工作负载时的相同 Windows 单点登录 (SSO) 体验。

AWS Managed Microsoft AD 还支持使用 Active Directory 凭证的联合使用案例。单独的 AWS Managed Microsoft AD 允许您登录 AWS 管理控制台。借助 AWS Single Sign-On,您还可以获取短期凭证以用于 AWS 开发工具包和 CLI,并使用预配置的 SAML 集成登录到许多云应用程序。通过添加 Azure AD Connect 以及可选的 Active Directory 联合身份验证服务 (AD FS),您可以使用存储在 AWS Managed Microsoft AD 中的凭证登录 Microsoft Office 365 和其他云应用程序。

该服务包括使您能够通过安全套接字层 (SSL)/传输层安全性 (TLS) 协议扩展架构管理密码策略实现安全 LDAP 通信的关键功能。您还可以为 AWS Managed Microsoft AD 启用多重身份验证 (MFA),以便在用户从 Internet 访问 AWS 应用程序时提供额外的安全层。由于 Active Directory 是 LDAP 目录,您也可以将 AWS Managed Microsoft AD 用于 Linux Secure Shell (SSH) 身份验证以及其他启用 LDAP 的应用程序。

AWS 提供监控、每日快照和恢复作为服务的一部分 - 您可以将用户和组添加到 AWS Managed Microsoft AD,并使用加入了 AWS Managed Microsoft AD 域的 Windows 计算机上运行的熟悉 Active Directory 工具来管理组策略。您还可以通过部署更多域控制器来扩展目录,并通过在大量域控制器之间分配请求来帮助提高应用程序性能。

AWS Managed Microsoft AD 提供了两种版本:标准版和企业版。

  • 标准版:AWS Managed Microsoft AD(标准版)经过优化,可以在员工数最高 5000 人的中小型企业中用作主要目录。它提供了足够的存储容量,支持最高 30000* 个目录对象,例如用户、组和计算机。

  • 企业版:AWS Managed Microsoft AD(企业版)旨在用于支持最高 500000* 个目录对象的企业组织。

* 上限为近似值。根据对象大小、以及应用程序的行为和性能需求,您的目录支持的对象数可能更多,也可能更少。

何时使用

如果您需要实际的 Active Directory 功能用于支持 AWS 应用程序或 Windows 工作负载(包括 Amazon Relational Database Service for Microsoft SQL Server),AWS Managed Microsoft AD 是您的最佳选择。如果您希望 AWS 云中的独立 AD 能够支持 Office 365,或者需要 LDAP 目录支持 Linux 应用程序,这也是最佳之选。有关更多信息,请参阅AWS Managed Microsoft AD

AD Connector

AD Connector 是代理服务,提供简便的方式,将兼容的 AWS 应用程序(例如 Amazon WorkSpaces、Amazon QuickSight)以及用于 Windows Server 实例的 Amazon EC2 连接到现有本地 Microsoft Active Directory。使用 AD Connector 将一个服务账户添加到 Active Directory 中。AD Connector 还可以避免目录同步的需求,也避免了托管联合身份基础设施的成本和复杂性。

当您将用户添加到 AWS 应用程序时(例如 Amazon QuickSight),AD Connector 会读取现有的 Active Directory 来创建用户和组列表,以便您从中选择。用户登录 AWS 应用程序时,AD Connector 将登录请求转发到您的本地 Active Directory 域控制器进行身份验证。AD Connector 可用于多种 AWS 应用程序和服务,包括 Amazon WorkSpaces, Amazon WorkDocs, Amazon QuickSight, Amazon Chime, Amazon ConnectAmazon WorkMail。您也可以使用 无缝域加入 通过 AD Connector 将 EC2 Windows 实例 加入本地 Active Directory 域。AD Connector 还允许用户通过使用现有 Active Directory 凭证登录来访问 AWS 管理控制台 和管理 AWS 资源。AD Connector 与 RDS SQL Server 不兼容。

您也可以使用 AD Connector,将它连接到您现有基于 RADIUS 的 MFA 基础设施,以为 AWS 应用程序用户启用多重验证 (MFA)。这在用户访问 AWS 应用程序时提供了一个额外的安全层。

使用 AD Connector 时,您可以继续像现在一样管理您的 Active Directory。例如,您在本地 Active Directory 中,使用标准 Active Directory 管理工具添加新用户和组以及更新密码。这帮助您始终如一地实施安全策略(如密码过期、密码历史和账户锁定),无论用户是访问本地还是 AWS 云中的资源。

何时使用

当您想要将现有本地目录与兼容 AWS 服务一起使用时,AD Connector 是您的最佳选择。有关更多信息,请参阅Active Directory Connector

Simple AD

Simple AD 是一种由 AWS Directory Service 提供的与 Microsoft Active Directory 兼容的目录,由 Samba 4 提供支持。Simple AD 支持基础 Active Directory 功能,例如用户账户、组成员资格、加入 Linux 域或者基于 Windows 的 EC2 实例、基于 Kerberos 的 SSO 以及组策略。AWS 在服务中提供了监控、每日快照以及恢复功能。

Simple AD 是云中的独立目录,您可在其中创建和管理用户身份,以及管理对应用程序的访问。您可以使用许多能够感知 Active Directory – 的常用应用程序和需要基本 Active Directory 功能的工具。Simple AD 与以下 AWS 应用程序兼容:Amazon WorkSpaces, Amazon WorkDocs, Amazon QuickSightAmazon WorkMail。您也可以使用 Simple AD 用户账户登录 AWS 管理控制台 和管理 AWS 资源。

Simple AD 不支持多重验证 (MFA)、信任关系、DNS 动态更新、架构扩展、通过 LDAPS 的通信、PowerShell AD Cmdlet 或 FSMO 角色转移。Simple AD 与 RDS SQL Server 不兼容。需要实际 Microsoft Active Directory 功能或者希望将其目录用于 RDS SQL Server 的客户,应改为使用 AWS Managed Microsoft AD。使用 Simple AD 之前,请确保您需要的应用程序与 Samba 4 完全兼容。有关更多信息,请访问 https://www.samba.org

何时使用

在云中,您可以将 Simple AD 用作独立目录,用于支持需要基本 AD 功能的 Windows 工作负载、兼容的 AWS 应用程序或者支持需要 LDAP 服务的 Linux 工作负载。有关更多信息,请参阅Simple Active Directory

Amazon Cloud Directory

Amazon Cloud Directory 是一种云原生目录,可存储包含多种关系和架构的数亿应用程序特定对象。如果您的应用程序分层数据需要高度可扩展的目录存储,请使用 Amazon Cloud Directory。

何时使用

当您需要构建应用程序目录,例如设备注册表、目录、社交网络、组织结构和网络拓扑时,Amazon Cloud Directory 是一个很好的选择。有关更多信息,请参阅 Amazon Cloud Directory 开发人员指南 什么是 Amazon Cloud Directory?

Amazon Cognito

Amazon Cognito 是一种用户目录,它使用 Amazon Cognito 用户池向您的移动应用程序或 Web 应用程序添加注册和登录功能。

何时使用

当您需要创建自定义注册字段并将该元数据存储在您的用户目录中时,您也可以使用 Amazon Cognito。此完全托管的服务经扩展可以支持数亿个用户。有关更多信息,请参阅创建和管理用户池

请参阅 AWS 区域和终端节点文档,获得各区域支持的目录类型的列表。

使用 Amazon EC2

对 Amazon EC2 有基本的了解对于使用 AWS Directory Service 非常重要。我们建议您首先阅读以下主题: