什么是 Amazon Directory Service? - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是 Amazon Directory Service?

Amazon Directory Service 提供了多种方式来结合使用 Microsoft Active Directory (AD) 与其他 Amazon 服务。目录中存储有关用户、组和设备的信息,管理员使用这些信息来管理对信息和资源的访问。针对希望在云中使用现有 Microsoft AD 或能够识别轻量目录访问协议 (LDAP) 的应用程序的客户,Amazon Directory Service 提供了多种目录选择。它还为需要目录来管理用户、组、设备和访问权限的开发人员提供了同样的选择。

选择哪一个

您可以选择根据自己需要的功能和可扩展性,选择最适合的目录服务。使用下表可帮助您确定哪种 Amazon Directory Service 目录选项最适合您的组织。

您需要做什么? 建议的 Amazon Directory Service 选项
我需要在云中为应用程序使用 Active Directory 或 LDAP

如果你需要Amazon云端支持活动Amazon目录感知工作负载或应用程序和服务(例如亚马逊和亚马逊)的实际微软 Active Directory(标准版或企业版),或者你需要支持 Linux Amazon 应用程序的 LDAP 支持,请使用微软 Active Directory(标准版或企业版)的 Directory Service。 WorkSpaces QuickSight

如果您只需要允许本地用户使用其 Active Directory 凭证登录 Amazon 应用程序和服务,可以使用 AD Connector。您也可以使用 AD Connector 将 Amazon EC2 实例连接到现有 Active Directory 域。

如果您需要小规模、低成本的目录,并且具备基本 Active Directory 兼容性,能够支持 Samba 4 兼容应用程序,或者您需要 LDAP 感知型应用程序的 LDAP 兼容性,可以使用 Simple AD

我开发 SaaS 应用程序 如果您开发大规模的 SaaS 应用程序,需要可扩展的目录来管理订阅用户和使用社交媒体身份工作的用户并验证他们的身份,可以使用 Amazon Cognito

有关 Amazon Directory Service 目录选项的更多信息,请参阅 How to choose Active Directory solutions on Amazon

Amazon Directory Service 选项

Amazon Directory Service 包括若干目录类型供您选择。有关更多信息,请选择以下选项卡之一:

Amazon Directory Service for Microsoft Active Directory

Amazon Directory Service for Microsoft Active Directory 也称为 Amazon Managed Microsoft AD,由 Amazon Cloud 中的 Amazon 管理的实际 Microsoft Windows Server Active Directory(AD)提供支持。它让您能够将各种 Active Directory 感知型应用程序迁移到 Amazon Cloud 中。Amazon托管微软 AD 可与微软 SharePoint、微软 SQL Server Always On 可用性组和许多.NET 应用程序配合使用。它还支持Amazon托管应用程序和服务,包括亚马逊 WorkSpaces、亚马逊、亚马逊、A mazon Chime WorkDocs QuickSight、A mazon C onnec t 和适用于微软 SQL Server 的亚马逊关系数据库服务(适用于 SQL Server 的亚马逊 RDS、Oracle 的 Amazon RDS 和 PostgreSQL 的亚马逊 RDS)。

所有兼容的应用程序都可以使用您存储在 Amazon Managed Microsoft AD 中的用户凭证,或者您也可以使用在本地或 EC2 Windows 上运行的 Active Directory 中的信任和用户凭证连接到现有 AD 基础结构。如果您将 EC2 实例加入 Amazon Managed Microsoft AD,那么用户就可以访问 Amazon Cloud 中的 Windows 工作负载,并获得访问本地网络中的工作负载时的相同 Windows 单点登录(SSO)体验。

Amazon Managed Microsoft AD 还支持使用 Active Directory 凭证的联合使用案例。仅凭 Amazon Managed Microsoft AD,您就可以登录 Amazon Web Services Management Console。借助 Amazon IAM Identity Center,您还可以获取短期凭证以用于 Amazon 开发工具包和 CLI,并使用预配置的 SAML 集成登录到许多云应用程序。通过添加微软 Entra Connect(以前称为 Azure Active Directory Connect)和可选的活动目录联合身份验证服务 (AD FS),你可以使用存储在Amazon托管微软 AD 中的凭据登录微软 Office 365 和其他云应用程序。

该服务包括使您能够通过安全套接字层 (SSL)/传输层安全性 (TLS) 协议扩展架构管理密码策略实现安全 LDAP 通信的关键功能。您还可以为 Amazon Managed Microsoft AD 启用多重身份验证(MFA),以便在用户从 Internet 访问 Amazon 应用程序时提供额外的安全层。由于 Active Directory 是 LDAP 目录,您也可以将 Amazon Managed Microsoft AD 用于 Linux Secure Shell(SSH)身份验证以及其他启用 LDAP 的应用程序。

Amazon 提供监控、每日快照和恢复作为服务的一部分:您可以将用户和组添加到 Amazon Managed Microsoft AD,并使用加入了 Amazon Managed Microsoft AD 域的 Windows 计算机上运行的常见 Active Directory 工具来管理组策略。您还可以通过部署更多域控制器来扩展目录,并通过在大量域控制器之间分配请求来帮助提高应用程序性能。

Amazon Managed Microsoft AD 提供两种版本:标准版和企业版。

  • 标准版:Amazon Managed Microsoft AD(标准版)经过优化,可以在员工数最高 5000 人的中小型企业中用作主要目录。它提供了足够的存储容量,支持最高 30000* 个目录对象,例如用户、组和计算机。

  • 企业版:Amazon Managed Microsoft AD(企业版)旨在用于支持最高 500000* 个目录对象的企业组织。

* 上限为近似值。根据对象大小、以及应用程序的行为和性能需求,您的目录支持的对象数可能更多,也可能更少。

何时使用

如果您需要实际的 Active Directory 功能用于支持 Amazon 应用程序或 Windows 工作负载(包括 Amazon Relational Database Service for Microsoft SQL Server),Amazon Managed Microsoft AD 是您的最佳选择。如果你想要一个支持 Office 365 的独立Amazon云端活动目录,或者你需要一个 LDAP 目录来支持你的 Linux 应用程序,那也是最好的。有关更多信息,请参阅Amazon Managed Microsoft AD

AD Connector

AD Connector 是一项代理服务,它提供了一种将兼容的Amazon应用程序(例如亚马逊 WorkSpaces、亚马逊和适用于 Windows 服务器的亚马逊 QuickSight EC2 实例)连接到您现有的本地微软 A ctive Directory 的简便方法。对于 AD Connector,您只需将一个服务账户添加到 Active Directory 中。AD Connector 还可以避免目录同步的需求,也避免了托管联合身份基础设施的成本和复杂性。

当您将用户添加到诸如亚马逊之类的Amazon应用程序时 QuickSight,AD Connector 会读取您现有的 Active Directory,以创建可供选择的用户和群组列表。用户登录 Amazon 应用程序时,AD Connector 将登录请求转发到本地 Active Directory 域控制器进行身份验证。AD Connector 可与许多Amazon应用程序和服务配合使用,包括亚马逊 WorkSpaces WorkDocs、亚马逊 QuickSight、亚马逊Chime、Ama zon Connect 和亚马逊。 WorkMail您还可以通过 AD Connector,使用无缝域加入功能将 EC2 Windows 实例加入到本地 Active Directory 域。AD Connector 还允许用户通过使用现有 Active Directory 凭证登录来访问 Amazon Web Services Management Console 和管理 Amazon 资源。AD Connector 与 RDS SQL Server 不兼容。

您也可以使用 AD Connector,将它连接到基于 RADIUS 的现有 MFA 基础设施,以启用对 Amazon 应用程序用户的多重身份验证(MFA)。这在用户访问 Amazon 应用程序时提供了一个额外的安全层。

使用 AD Connector 时,您可以继续像现在一样管理 Active Directory。例如,您在本地 Active Directory 中,使用标准 Active Directory 管理工具添加新用户和组以及更新密码。这帮助您始终如一地实施安全策略(如密码过期、密码历史和账户锁定),无论用户是访问本地还是 Amazon 云中的资源。

何时使用

当您想要将现有本地目录与兼容的 Amazon 服务一起使用时,AD Connector 是您的最佳选择。有关更多信息,请参阅AD Connector

Simple AD

Simple AD 是 Amazon Directory Service(由 Samba 4 提供技术支持)中与 Microsoft Active Directory 兼容的目录。Simple AD 支持基础 Active Directory 功能,例如用户账户、组成员资格、加入 Linux 域或者基于 Windows 的 EC2 实例、基于 Kerberos 的 SSO 以及组策略。Amazon 提供监控、每日快照和恢复作为服务的一部分。

Simple AD 是云中的独立目录,您可在其中创建和管理用户身份,以及管理对应用程序的访问。您可以使用许多常用的 Active Directory 感知型应用程序和需要基本 Active Directory 功能的工具。Simple AD 与以下Amazon应用程序兼容:亚马逊 WorkSpaces亚马逊 WorkDocs QuickSight、亚马逊亚马逊 WorkMail。您也可以使用 Simple AD 用户账户登录 Amazon Web Services Management Console 和管理 Amazon 资源。

Simple AD 不支持多因素身份验证 (MFA)、信任关系、DNS 动态更新、架构扩展、通过 LDAPS 的通信、AD cmd PowerShell let 或 FSMO 角色转移。Simple AD 与 RDS SQL Server 不兼容。需要实际 Microsoft Active Directory 功能或者希望将其目录用于 RDS SQL Server 的客户,应改为使用 Amazon Managed Microsoft AD。使用 Simple AD 之前,请确保您需要的应用程序与 Samba 4 完全兼容。有关更多信息,请访问 https://www.samba.org

何时使用

您可以将 Simple AD 用作云中的独立目录,以支持需要基本 Active Directory 功能的 Windows 工作负载、兼容的Amazon应用程序,或者支持需要 LDAP 服务的 Linux 工作负载。有关更多信息,请参阅Simple AD

Amazon Cognito

Amazon Cognito 是一种用户目录,它使用 Amazon Cognito 用户池向移动应用程序或 Web 应用程序添加注册和登录功能。

何时使用

当您需要创建自定义注册字段并将该元数据存储在您的用户目录中时,也可以使用 Amazon Cognito。此完全托管的服务经扩展可以支持数亿个用户。有关更多信息,请参阅 Amazon Cognito 开发人员指南中的 Amazon Cognito 用户池

有关各个区域支持的目录类型列表,请参阅 Amazon Directory Service 的区域可用性

使用 Amazon EC2

对 Amazon EC2 有基本的了解对于使用 Amazon Directory Service 非常重要。我们建议您首先阅读以下主题: