Características de AWS Directory Service

Dado que los directorios son una infraestructura fundamental, AWS Managed Microsoft AD se implementa en una estructura de AWS de alta disponibilidad y a través de múltiples zonas de disponibilidad. Los controladores de dominio se implementan en dos zonas de disponibilidad de una región de forma predeterminada y se conectan a su Amazon Virtual Private Cloud (VPC). Se realizan copias de seguridad automáticas una vez al día y los volúmenes Amazon Elastic Block Store (EBS) se cifran para proteger los datos en reposo. Los controladores de dominio que producen errores se reemplazan automáticamente en la misma zona de disponibilidad usando la misma dirección IP y es posible realizar una recuperación de desastres a partir de la copia de seguridad más reciente.

La primera vez que crea su directorio, AWS Managed Microsoft AD implementa dos controladores de dominio en varias zonas de disponibilidad, lo que es necesario para lograr una alta disponibilidad. Posteriormente, puede implementar fácilmente controladores de dominio adicionales a través de AWS Directory Service con tan solo especificar el número total de controladores de dominio que desea. AWS Managed Microsoft AD distribuye los controladores de dominio adicionales a las zonas de disponibilidad y subredes de la VPC en la que se ejecuta el directorio.

AWS Managed Microsoft AD se ejecuta en una infraestructura administrada por AWS con tecnología de Windows Server 2019. Al seleccionar y lanzar este tipo de directorio, se crea como un par de controladores de dominio de alta disponibilidad conectados a su nube virtual privada (VPC). Los controladores de dominio se ejecutan en diferentes zonas de disponibilidad de la región que elija. La supervisión y la recuperación de hosts, la replicación de datos, las instantáneas y las actualizaciones de software se configuran y administran en su nombre según el Acuerdo de nivel de servicio (SLA) de AWS Directory Service.

AWS Managed Microsoft AD proporciona instantáneas integradas diarias automatizadas. También puede generar instantáneas adicionales antes de realizar actualizaciones críticas de la aplicación para garantizar que cuenta con los datos más recientes en caso de que necesite anular un cambio.

La replicación de regiones múltiples permite implementar y usar un único directorio de AWS Managed Microsoft AD entre varias regiones de AWS. Esto facilita y hace más rentable la implementación y la administración de las cargas de trabajo de Microsoft Windows y Linux en forma global. Con la capacidad de replicación automatizada destinada a regiones múltiples, se obtiene una resiliencia más alta, mientras que sus aplicaciones usan un directorio local para un mejor rendimiento.

AWS Managed Microsoft AD se integra estrechamente con AWS Organizations para permitir el uso compartido de directorios sin problemas entre varias cuentas de AWS. Puede compartir un único directorio con otras cuentas de AWS de confianza de la misma organización o bien compartir el directorio con otras cuentas de AWS ajenas a su organización. También puede compartir su directorio cuando su cuenta de AWS no sea miembro de una organización.

AWS Managed Microsoft AD permite utilizar la unión sencilla de dominios para las instancias nuevas y existentes de Amazon EC2 para Windows Server y Amazon EC2 para Linux. Para las nuevas instancias de EC2, puede elegir a qué dominio unirse en el momento del lanzamiento utilizando la consola de administración de AWS. Puede utilizar la unión sencilla de dominios para las instancias existentes de EC2 utilizando el servicio EC2Config. Las instancias de Amazon EC2 también pueden integrarse perfectamente a un solo directorio compartido de cualquier cuenta de AWS y cualquier Amazon VPC dentro de una región.

AWS Managed Microsoft AD permite administrar los usuarios y los dispositivos mediante objetos de política de grupo de Microsoft Active Directory (GPO) nativos. Puede crear GPO con las herramientas existentes, como la consola de administración de políticas de grupo (GPMC).

Puede ampliar su esquema de AWS Managed Microsoft AD agregando nuevas clases de objetos y atributos. También puede usar las ampliaciones de esquemas para habilitar la compatibilidad con aplicaciones que dependen de clases y atributos de objetos específicos de Active Directory. Esto puede resultar especialmente útil en el caso de que necesite migrar aplicaciones corporativas que dependen de AWS Managed Microsoft AD a la nube de AWS. (Origen)

Los administradores pueden administrar las cuentas de servicio mediante un método denominado cuentas de servicio administradas por grupos (gMSA). Con las gMSA, los administradores de servicios ya no tienen que administrar manualmente la sincronización de contraseñas entre las instancias de servicio. En su lugar, un administrador podría simplemente crear una gMSA en Active Directory y, a continuación, configurar varias instancias de servicio para utilizar esa única gMSA. Para conceder permisos para que los usuarios de AWS Managed Microsoft AD puedan crear una gMSA, debe agregar sus cuentas como miembros del grupo de seguridad de AWS Delegated Managed Service Account. De forma predeterminada, la cuenta de administrador es miembro de este grupo.

Puede integrar AWS Managed Microsoft AD con su AD actual utilizando las relaciones de confianza de AD. El uso de relaciones de confianza le permite utilizar su instancia de Active Directory actual para controlar qué usuarios de AD pueden acceder a los recursos de AWS.

AWS Managed Microsoft AD utiliza la misma autenticación basada en Kerberos que su instancia de AD local existente. Al integrar sus recursos de AWS con AWS Managed Microsoft AD, los usuarios de AD pueden iniciar sesión con SSO en las aplicaciones de AWS y recursos utilizando un único conjunto de credenciales.

Puede configurar ajustes de directorio detallados para AWS Managed Microsoft AD a fin de cumplir con sus requisitos de cumplimiento y seguridad sin aumentar la carga de trabajo operativa. En la configuración del directorio, puede actualizar la configuración del canal seguro para los protocolos y cifrados utilizados en su directorio Por ejemplo, tiene la flexibilidad de deshabilitar cifrados heredados individuales, como RC4 o DES, y protocolos, como SSL 2.0/3.0 y TLS 1.0/1.1. A continuación, AWS Managed Microsoft AD implementa la configuración en todos los controladores de dominio de su directorio, administra los reinicios de los controladores de dominio y mantiene esta configuración a medida que usted amplía o implementa más regiones de AWS. Para ver todos los ajustes disponibles, consulte la lista de ajustes de seguridad de directorios.

El protocolo ligero de acceso a directorios (LDAPS) del lado del servidor cifra las comunicaciones LDAP entre sus aplicaciones comerciales o locales compatibles con LDAP (que actúan como clientes LDAP) y AWS Managed Microsoft AD (que actúa como servidor LDAP). Para obtener más información, consulte Habilitar LDAPS del lado del servidor mediante AWS Managed Microsoft AD.

El LDAPS del lado del cliente cifra las comunicaciones LDAP entre aplicaciones de AWS, como WorkSpaces (que actúan como clientes LDAP) y su Active Directory administrado por cuenta propia (que actúa como servidor LDAP). Para obtener más información, consulte Habilitar LDAPS del lado del cliente mediante AWS Managed Microsoft AD.

La integración de AWS Managed Microsoft AD y AD Connector con el conector para AD AWS Private Certificate Authority (AWS Private CA) le permite inscribir objetos unidos a un dominio de AD, incluidos usuarios, grupos y máquinas, con certificados emitidos por una CA privada de AWS. Puede utilizar AWS Private CA como sustituto directo de sus CA empresariales administradas por cuenta propia sin necesidad de implementar, aplicar parches o actualizar agentes locales o servidores proxy. Puede configurar la integración de AWS Private CA con su directorio con tan solo unos clics o mediante programación a través de la API.

Puede usar AWS Managed Microsoft AD para crear y ejecutar aplicaciones en la nube compatibles con la publicidad que estén sujetas a los programas de cumplimiento Programa Federal de Gestión de Autorizaciones y Riesgos (FedRAMP), la Ley de responsabilidad y portabilidad de seguros médicos (HIPAA) de EE. UU. y el Estándar de seguridad de datos del sector de tarjetas de pago (PCI DSS). AWS Managed Microsoft AD reduce el esfuerzo necesario para implementar una infraestructura de AD compatible con sus aplicaciones en la nube, ya que administra sus propios programas de administración de riesgos de la HIPAA o la certificación de conformidad PCI DSS o de FedRAMP. Consulte la lista completa de los programas de cumplimiento para los que AWS Managed AD es elegible.

Con Amazon Simple Notification Service (Amazon SNS), puede recibir mensajes de correo electrónico o SMS cuando cambie el estado de su directorio. Se le notificará si su directorio pasa de un estado activo a uno deteriorado o inoperable. También recibirá una notificación cuando el directorio vuelva al estado Activo.

AWS Directory Service se integra con Amazon CloudWatch para proporcionarle métricas de rendimiento importantes para cada controlador de dominio de su directorio. Esto significa que puede supervisar los contadores de rendimiento de los controladores de dominio, como el uso de la CPU y la memoria. También puede configurar alarmas e iniciar acciones automatizadas para responder a los períodos de alta utilización. 

Utilice la consola de AWS Directory Service o las API para reenviar los registros de eventos de seguridad del controlador de dominio a Registros de Amazon CloudWatch. Esta opción le permite cumplir requisitos de políticas de retención de registros, auditorías y supervisión de seguridad mediante el suministro de transparencia en relación con los eventos de seguridad de su directorio. También puede reenviar los registros de eventos de seguridad de su directorio a Registros de Amazon CloudWatch en la cuenta de Amazon Web Services (AWS) que elija y supervisar los eventos de forma centralizada mediante los servicios de AWS o aplicaciones de terceros, como Splunk, un socio de tecnología avanzada de Red de socios de AWS (APN) con competencia en seguridad de AWS.

Puede conceder a sus usuarios de AD locales acceso para iniciar sesión en la consola de administración de AWS y en AWS CLI con sus credenciales de AD existentes con AWS Identity Center (sucesor de AWS SSO) al seleccionar AWS Managed Microsoft AD como origen de identidades. Esto permite a sus usuarios asumir uno de los roles que se les asignan al iniciar la sesión, así como acceder a los recursos y actuar sobre ellos de acuerdo con los permisos definidos para el rol. Una opción alternativa es utilizar AWS Managed Microsoft AD para permitir a sus usuarios asumir un rol de AWS Identity and Access Management (IAM).

AWS Managed Microsoft AD permite utilizar un único directorio para sus cargas de trabajo de directorios en los recursos de AWS como las instancias de Amazon EC2, las instancias de Amazon RDS para SQL Server y los servicios de computación para usuarios finales de AWS, como Amazon WorkSpaces. Compartir un directorio permite a las cargas de trabajo compatibles con directorios administrar instancias de Amazon EC2 en varias cuentas de AWS y Amazon VPC dentro de una región. También ayuda a evitar la complejidad asociada con replicar y sincronizar datos en varios directorios.