什么是 Amazon Directory Service? - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是 Amazon Directory Service?

Amazon Directory Service 提供了多种方式来结合使用 Microsoft Active Directory (AD) 与其他 Amazon 服务。目录中存储有关用户、组和设备的信息,管理员使用这些信息来管理对信息和资源的访问。针对希望在云中使用现有 Microsoft AD 或能够识别轻量目录访问协议 (LDAP) 的应用程序的客户,Amazon Directory Service 提供了多种目录选择。它还为需要目录来管理用户、组、设备和访问权限的开发人员提供了同样的选择。

选择哪一个

您可以选择根据自己需要的功能和可扩展性,选择最适合的目录服务。使用下表可帮助您确定哪种 Amazon Directory Service 目录选项最适合您的组织。

您需要做什么? 建议的 Amazon Directory Service 选项
我需要在云中为应用程序使用 Active Directory 或 LDAP

SelectAmazonMicrosoft Active Directory 的 Directory Service(标准版或企业版),如果您需要Amazon支持活动目录感知工作负载的云,或Amazon应用程序和服务(如 Amazon WorkSpaces 和 Amazon QuickSight),或者您需要对 Linux 应用程序提供 LDAP 支持。

如果您只需要允许本地用户使用其 Active Directory 凭证登录 Amazon 应用程序和服务,可以使用 AD Connector。您还可以使用 AD Connector 将 Amazon EC2 实例加入到现有的 Active Directory 域。

使用Simple AD如果您需要小规模、低成本的目录,并且具备基本 Active Directory 兼容性,能够支持 Samba 4 兼容应用程序,或者您需要为能够识别 LDAP 的应用程序提供 LDAP 兼容性,可以使用。

我开发 SaaS 应用程序 如果您开发大规模的 SaaS 应用程序,需要可扩展的目录来管理订阅者和使用社交媒体身份工作的用户并验证他们的身份,可以使用 Amazon Cognito

Amazon Directory Service选项

Amazon Directory Service 包括若干目录类型供您选择。有关更多信息,请选择以下选项卡之一:

Amazon Directory Service for Microsoft Active Directory

也称作Amazon托管的 Microsoft AD、AmazonMicrosoft Active Directory Directory Service 由实际 Microsoft Windows Server Active Directory (AD) 提供支持并由管理Amazon中的Amazon云。它让您能够将各种支持 Active Directory 的应用程序迁移到Amazon云。Amazon托管 Microsoft AD 可以与 Microsoft SharePoint、Microsoft SQL Server Always On Avways On Avafe Groups 和多种 .NET 应用程序配合使用。它还支持Amazon托管应用程序和服务,包括Amazon WorkSpacesAmazon WorkDocsAmazon QuickSightAmazon ChimeAmazon Connect, 和Amazon Relational Database Service,适用于 Microsoft SQL Server(Amazon RDS for SQL Server、Amazon RDS for Oracle 和 Amazon RDS for PostgreSQL)。

所有兼容的应用程序都可以使用您存储在Amazon托管微软 AD,也可以连接到现有的 AD 基础架构使用在本地或 EC2 Windows 上运行的 Active Directory 中的信任和用户凭证。如果您将 EC2 实例加入到Amazon托管的 Microsoft AD,则您的用户可以访问Amazon云中的 Windows 单点登录 (SSO) 体验与访问本地网络中的工作负载相同。

Amazon托管的 Microsoft AD 还支持使用 Active Directory 凭证的联合使用案例。独自一人Amazon托管的 Microsoft AD 允许您登录Amazon Web Services Management Console。借助 Amazon Web Services Single Sign On,您还可以获取短期凭证以用于 Amazon 开发工具包和 CLI,并使用预配置的 SAML 集成登录到许多云应用程序。通过添加 Azure AD Connect 以及可选的 Active Directory 联合身份验证服务 (AD FS),您可以使用存储在Amazon托管的 Microsoft AD。

该服务包括使您能够通过安全套接字层 (SSL)/传输层安全性 (TLS) 协议扩展架构管理密码策略实现安全 LDAP 通信的关键功能。您还可以使用启用多重验证 (MFA)Amazon托管的 Microsoft AD在用户访问时提供了一个额外的安全层Amazon从 Internet 应用程序。由于 Active Directory 是 LDAP 目录,您也可以使用Amazon用于 Linux Secure Shell (SSH) 身份验证以及其他启用 LDAP 的应用程序的托管 Microsoft AD。

Amazon在服务中提供了监控、每日快照以及恢复功能 —将用户和群组添加到Amazon托管的 Microsoft AD,并使用加入了计算机上运行的熟悉 Active Directory 工具来管理组策略。Amazon托管的 Microsoft AD 域。您还可以通过部署更多域控制器来扩展目录,并通过在大量域控制器之间分配请求来帮助提高应用程序性能。

Amazon托管的 Microsoft AD 提供了两种版本:标准版和企业版。

  • 标准版:Amazon托管 Microsoft AD(标准版)经过优化,可以在员工数最高 5,000 人的中小型企业中用作主要目录。它提供了足够的存储容量,支持最高 30000* 个目录对象,例如用户、组和计算机。

  • 企业版:Amazon托管 Microsoft AD(企业版)旨在用于支持最高 500000* 个目录对象的企业组织。

* 上限为近似值。根据对象大小、以及应用程序的行为和性能需求,您的目录支持的对象数可能更多,也可能更少。

何时使用

Amazon如果您需要实际的 Active Directory 功能用于支持Amazon应用程序或 Windows 工作负载,包括适用于 Microsoft SQL Server 的 Amazon Relational Database Service。如果您希望 Amazon 云中的独立 AD 能够支持 Office 365,或者需要 LDAP 目录支持 Linux 应用程序,这也是最佳之选。有关更多信息,请参阅 Amazon托管的 Microsoft AD

AD Connector

AD Connector 是一种代理服务,它提供了一种用于连接兼容的简单方法Amazon应用程序,例如 Amazon WorkSpaces、Amazon QuickSight 和Amazon EC2复制到现有本地部署 Microsoft Active Directory。使用 AD Connector 时,您只需添加一个服务帐户复制到 Active Directory。AD Connector 还可以避免目录同步的需求,也避免了托管联合身份基础设施的成本和复杂性。

当您将用户添加到Amazon应用程序(例如 Amazon QuickSight、AD Connector tive Directory)读取现有的 Active Directory 创建用户和组列表,以便您从中选择。当用户登录到Amazon应用程序时,AD Connector Connect 将登录请求转发到您的本地 Active Directory 域控制器进行身份验证。AD Connector 适用于许多Amazon应用程序和服务,包括Amazon WorkSpacesAmazon WorkDocsAmazon QuickSightAmazon ChimeAmazon Connect, 和Amazon WorkMail。您还可以使用加入 EC2 Windows 实例传入到本地 Active Directory 域中,使用 AD Connector无缝域加入。AD Connector 还允许您的用户访问Amazon Web Services Management Console和管理Amazon使用现有 Active Directory 凭证登录资源。AD Connector 与 RDS SQL Server 不兼容。

您还可以使用 AD Connector启用多重验证(MFA)为您的Amazon将它连接到您基于 RADIUS 的现有 MFA 基础设施。这在用户访问 Amazon 应用程序时提供了一个额外的安全层。

使用 AD Connector 时,您可以继续像现在一样管理您的 Active Directory。例如,您在本地 Active Directory 中,使用标准 Active Directory 管理工具添加新用户和组以及更新密码。这帮助您始终如一地实施安全策略(如密码过期、密码历史和账户锁定),无论用户是访问本地还是 Amazon 云中的资源。

何时使用

当您想要将现有本地目录与兼容性Amazon服务。有关更多信息,请参阅 Active Directory Connector

Simple AD

Simple AD 是 Microsoft Active Directory —compatible目录来自Amazon Directory Service这是由桑巴 4 提供技术支持。Simple AD 支持基础 Active Directory 功能,例如用户账户、组成员资格、加入 Linux 域或者基于 Windows 的 EC2 实例、基于 Kerberos 的 SSO 以及组策略。Amazon在服务中提供了监控、每日快照以及恢复功能。

Simple AD 是云中的独立目录,您可在其中创建和管理用户身份,以及管理对应用程序的访问。您可以使用许多需要基本 Active Directory 功能的熟悉应用程序和需要基本 Active Directory 功能的工具。简单的 AD 与以下Amazon:应用程序 Amazon WorkSpacesAmazon WorkDocsAmazon QuickSight, 和Amazon WorkMail。您还可以登录Amazon Web Services Management Console使用简单的 AD 用户帐户,并管理Amazon资源的费用。

Simple AD 不支持多重身份验证 (MFA)、信任关系、DNS 动态更新、架构扩展、通过 LDAPS 的通信、PowerShell AD cmdlet 以及 FSMO 角色转移。Simple AD 与 RDS SQL Server 不兼容。需要实际 Microsoft Active Directory 功能或者希望将其目录用于 RDS SQL Server 的客户,应使用Amazon代替托管的 Microsoft AD。使用 Simple AD 之前,请确保您需要的应用程序与 Samba 4 完全兼容。有关更多信息,请访问 https://www.samba.org

何时使用

在云中,您可以将 Simple AD 用作独立目录,用于支持需要基本 AD 功能的 Windows 工作负载,兼容的Amazon应用程序,或支持需要 LDAP 服务的 Linux 工作负载。有关更多信息,请参阅 Simple Active Directory

Amazon Cognito

Amazon Cognito 是一种用户目录,它使用 Amazon Cognito 用户池向您的移动应用程序或 Web 应用程序添加注册和登录功能。

何时使用

当您需要创建自定义注册字段并将该元数据存储在您的用户目录中时,您也可以使用 Amazon Cognito。此完全托管的服务经扩展可以支持数亿个用户。有关更多信息,请参阅创建和管理用户池

请参阅的区域可用性Amazon Directory Service获得各区域支持的目录类型列表。

使用 Amazon EC2

对 Amazon EC2 有基本的了解对于使用Amazon Directory Service。我们建议您首先阅读以下主题: