- Productos›
- Seguridad, identidad y conformidad›
- AWS Directory Service›
- Preguntas frecuentes de AWS Directory Service
Preguntas frecuentes de AWS Directory Service
Aspectos generales
¿Qué es AWS Directory Service?
AWS Directory Service es un servicio administrado que ofrece directorios que contienen información acerca de su organización, incluidos usuarios, grupos, equipos y otros recursos. Como solución administrada, AWS Directory Service está diseñado para reducir las tareas de administración, de modo que pueda dedicar más tiempo y recursos a su negocio. No hay necesidad de crear su propia topología de directorios compleja y de alta disponibilidad, porque cada directorio se implementa en varias zonas de disponibilidad y la monitorización detecta y reemplaza automáticamente los controladores de dominio que producen error. Además, no es necesario que usted configure la replicación de datos y las instantáneas diarias automatizadas. No es necesario instalar ningún software. Además, AWS se ocupa de todos los parches y actualizaciones de software.
¿Qué puedo hacer con AWS Directory Service?
AWS Directory Service permite configurar y ejecutar Microsoft Active Directory (AD) en la nube de AWS, o conectar los recursos de AWS con una instalación local existente de Active Directory de Microsoft. Una vez creado el directorio, puede usarlo para administrar usuarios y grupos, ofrecer inicio de sesión único para aplicaciones y servicios, crear y aplicar políticas de grupo, incluir instancias de Amazon EC2 en dominios y simplificar la implementación y administración de cargas de trabajo de Linux y Microsoft Windows en la nube. AWS Directory Service permite a los usuarios finales utilizar sus actuales credenciales corporativas para obtener acceso a aplicaciones de AWS como Amazon WorkSpaces, Amazon WorkDocs y Amazon WorkMail, así como a cargas de trabajo de Microsoft compatibles con el directorio, como .NET personalizado y aplicaciones basadas en SQL Server. Por último, puede utilizar sus credenciales de empresa existentes para administrar los recursos de AWS mediante el acceso por funciones de AWS Identity and Access Management (IAM) a la consola de administración de AWS, de modo que no necesite crear más infraestructura de identidad federada.
¿Cómo puedo crear un directorio?
Puede utilizar la consola de administración de AWS o la API para crear un directorio. Basta con proporcionar información básica, como un nombre de dominio totalmente cualificado (FQDN) para su directorio, el nombre de usuario y contraseña de la cuenta de administrador y la VPC a la que desea adjuntar el directorio.
¿Puedo incluir una instancia de Amazon EC2 existente en un directorio de AWS Directory Service?
Sí, puede utilizar la consola de administración de AWS o la API para agregar instancias EC2 existentes que ejecutan Linux o un directorio de AWS Managed Microsoft AD.
¿AWS Directory Service admite el uso de API?
Las API públicas soportan la creación y administración de directorios. A partir de ahora, puede administrar directorios mediante programación haciendo uso de API públicas. Las API se encuentran disponibles mediante los SDK y la CLI de AWS. Obtenga más información sobre las API en la documentación de AWS Directory Service.
¿AWS Directory Service admite los registros de CloudTrail?
Sí. Las acciones realizadas mediante las API de AWS Directory Service o la consola de administración de AWS se incluyen en los logs de auditoría de CloudTrail.
¿Puedo recibir notificaciones cuando cambie el estado de mi directorio?
Sí. Puede configurar Amazon Simple Notification Service (SNS) para recibir mensajes de texto y de correo electrónico cuando cambie el estado de AWS Directory Service. Amazon SNS usa temas para recopilar y distribuir mensajes a los suscriptores. Cuando AWS Directory Service detecte un cambio en el estado de su directorio, publicará un mensaje en el tema asociado, que luego se enviará a los que están suscritos al tema. Consulte la documentación para obtener más información.
¿Cuánto cuesta AWS Directory Service?
Consulte la página de precios para obtener más información.
¿Puedo etiquetar mi directorio?
Sí. AWS Directory Service es compatible con el etiquetado de la asignación de costos. Las etiquetas le facilitan la asignación de costos y optimizan los gastos al categorizar y agrupar recursos de AWS. Por ejemplo, puede usar etiquetas para agrupar recursos por administrador, nombre de aplicación, centro de costos o proyecto específico.
¿En qué regiones de AWS se encuentra disponible AWS Directory Service?
Consulte Productos y servicios regionales para obtener más detalles sobre la disponibilidad por región de AWS Directory Service.
¿Qué versiones del protocolo de SMB (Server Message Block) admiten directorios de AWS Managed Microsoft AD?
A partir del 31/05/2020, las computadoras cliente pueden usar solo SMB versión 2.0 (SMBv2) o versión más reciente para acceder a los archivos almacenados en los recursos compartidos SYSVOL y NETLOGON de los controladores de dominio para sus directorios de AWS Managed Microsoft AD. Sin embargo, AWS recomienda que los clientes usen solo SMBv2 o versión más reciente en todos los servicios de archivos basados en SMB.
AWS Managed Microsoft AD
¿Cómo puedo crear un directorio de AWS Managed Microsoft AD?
Puede lanzar la consola de AWS Directory Service desde la consola de administración de AWS para crear un directorio de AWS Managed Microsoft AD. También puede usar el SDK o la CLI de AWS.
¿Cómo se implementan los directorios de AWS Managed Microsoft AD?
De forma predeterminada, los directorios de AWS Managed Microsoft AD se implementan en dos zonas de disponibilidad de una región y se conectan a su Amazon Virtual Private Cloud (VPC). Se realizan copias de seguridad automáticas una vez al día y los volúmenes Amazon Elastic Block Store (EBS) se cifran para garantizar la seguridad de los datos en reposo. Los controladores de dominio que producen errores se reemplazan automáticamente en la misma zona de disponibilidad usando la misma dirección IP y es posible realizar una recuperación de desastres completa a partir de la copia de seguridad más reciente.
¿Puedo configurar los parámetros de almacenamiento, CPU y memoria de mi directorio de AWS Managed Microsoft AD?
No. En estos momentos no existe esta funcionalidad.
¿Cómo administro los usuarios y grupos de AWS Managed Microsoft AD?
Puede utilizar las herramientas existentes de Active Directory, que se ejecutan en equipos con Windows que se incluyen en el dominio de AWS Managed Microsoft AD, para administrar usuarios y grupos en directorios de AWS Managed Microsoft AD. No se necesitan herramientas, políticas ni cambios de comportamiento especiales.
¿En qué se diferencian mis permisos administrativos de AWS Managed Microsoft AD de la ejecución de Active Directory en mis propias instancias con Windows de Amazon EC2?
Para proporcionar una experiencia de servicio administrado, AWS Managed Microsoft AD debe cancelar el permiso para que los clientes realicen operaciones que interferirían con la administración del servicio. Por lo tanto, AWS restringe el acceso a los objetos, roles y grupos del directorio que requieren privilegios elevados. AWS Managed Microsoft AD no admite acceso al alojamiento directo a controladores de dominio mediante el servicio de conexión a Escritorio remoto de Windows, la comunicación remota de PowerShell, Telnet, o Secure Shell (SSH). Cuando crea un directorio de AWS Managed Microsoft AD, se le asigna una unidad organizativa (UO) y una cuenta administrativa con derechos de administración delegada para la UO. Puede crear cuentas de usuario, grupos y políticas en la UO con las herramientas de administración de servidor remoto estándar, como los usuarios y grupos de Active Directory o el módulo ActiveDirectory de PowerShell.
¿Puedo usar el servidor de directivas de redes (NPS) de Microsoft con AWS Managed Microsoft AD?
Sí. La cuenta administrativa creada cuando se configura AWS Managed Microsoft AD dispone de derechos de administración delegada sobre el grupo de seguridad del servicio de acceso remoto (RAS) y el servicio de autenticación de Internet (IAS). De ese modo, puede registrar NPS con AWS Managed Microsoft AD y administrar las políticas de acceso a la red de las cuentas de su dominio.
¿AWS Managed Microsoft AD admite las extensiones de esquema?
Sí. AWS Managed Microsoft AD admite las extensiones de esquema que envía al servicio con formato de archivo de formato de intercambio de datos (LDIF) LDAP. Puede ampliar, pero no modificar, el esquema principal de Active Directory.
¿Qué aplicaciones son compatibles con AWS Managed Microsoft AD?
Amazon Chime
Amazon Connect
Instancias de Amazon EC2
Amazon FSx for Windows File Server
Amazon QuickSight
Amazon RDS para MySQL
Amazon RDS for Oracle
Amazon RDS para PostgreSQL
Amazon RDS para SQL Server
Amazon Single Sign On
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
AWS Client VPN
Consola de administración de AWS
Es posible que no se admitan todas las configuraciones de estas aplicaciones.
¿Qué software de terceros es compatible con AWS Managed Microsoft AD?
AWS Managed Microsoft AD se basa en el Active Directory existente y proporciona la más amplia gama de herramientas nativas de AD y soporte de aplicaciones de terceros tales como:
Activación basada en el Active Directory (ADBA)
Servicios de Certificados de Active Directory (AD CS): Autoridad de certificación empresarial
Servicios de federación de Active Directory (AD FS)
Usuarios y ordenadores del Active Directory (ADUC)
Servidor de aplicaciones (.NET)
Azure Active Directory (Azure AD)
Azure Active Directory (AD) Connect
Replicación del sistema de archivos distribuidos (DFSR)
Espacios de nombres del sistema de archivos distribuidos (DFSN)
Servidor de licenciamiento de servicios de escritorio remoto de Microsoft
Microsoft SharePoint Server
Microsoft SQL Server (incluyendo los grupos de disponibilidad Always On de SQL Server)
Administrador de configuración del centro de sistemas de Microsoft (SCCM)
Sistema operativo Microsoft Windows y Windows Server
Office 365
¿Qué software de terceros NO es compatible con AWS Managed Microsoft AD?
Servicios de Certificados de Active Directory (AD CS): Servicio web de inscripción de certificados
Servicios de Certificados de Active Directory (AD CS): Servicio web de la política de inscripción de certificados
Microsoft Exchange Server
Microsoft Skype para Business Server
¿Puedo migrar mi Microsoft Active Directory local existente a AWS Microsoft AD?
AWS no proporciona herramientas de migración para migrar una instancia de Active Directory autoadministrada a AWS Managed Microsoft AD. Debe establecer una estrategia para realizar la migración, incluidos restablecimientos de contraseñas, e implementar los planes usando herramientas de administración de servidor remoto.
¿Puedo configurar reenviadores y relaciones de confianza condicionales en la consola del servicio de directorio?
Sí. Puede configurar relaciones de confianza y reenviadores condicionales para AWS Managed Microsoft AD con la consola de Directory Service o el API.
¿Puedo agregar manualmente controladores de dominio adicionales a mi AWS Managed Microsoft AD?
Sí. Puede añadir controladores de dominio adicionales a su dominio administrado con el API o la consola de AWS Directory Service. No se admite la conversión manual de instancias de Amazon EC2 a controladores de dominio.
¿Puedo usar Microsoft Office 365 con cuentas de usuario administradas en AWS Managed Microsoft AD?
Sí. Puede sincronizar identidades desde AWS Managed Microsoft AD a Azure AD con Azure AD Connect y usar los servicios federados de Microsoft Active Directory (AD FS) para Windows 2016 con AWS Managed Microsoft AD para autenticar usuarios de Office 365. Para obtener instrucciones paso a paso, consulte el documento Cómo permitir que sus usuarios accedan a Office 365 con las credenciales de AWS Microsoft Active Directory.
¿Puedo usar la autenticación basada en lenguaje de marcado de aserción de seguridad (SAML) 2.0 con aplicaciones de la nube que usen AWS Managed Microsoft AD?
Sí. Puede usar los servicios federados de Microsoft Active Directory (AD FS) para Windows 2016 con su dominio administrado de AWS Managed Microsoft AD para autenticar usuarios en aplicaciones en la nube compatibles con SAML.
¿Puedo cifrar la comunicación entre mis aplicaciones y AWS Managed Microsoft AD con LDAPS?
Sí. AWS Managed Microsoft AD es compatible con el protocolo ligero de acceso a directorios (LDAP) a través de la capa de conexión segura (SSL)/Transport Layer Security (TLS), también conocida como LDAPS, en los roles de cliente y servidor. Cuando funciona como servidor, AWS Managed Microsoft AD admite LDAPS a través de los puertos 636 (SSL) y 389 (TLS). Es posible activar la comunicación LDAPS del lado del servidor mediante la instalación de un certificado en sus controladores de dominio de AWS Managed Microsoft AD desde una entidad de certificación (CA) de servicios de certificados de Active Directory basados en AWS. Si desea leer más información, consulte Cómo habilitar las comunicaciones LDAP (LDAPS).
¿Puedo cifrar comunicaciones de LDAP entre aplicaciones de AWS y mi AD autoadministrado con AWS Managed Microsoft AD?
Sí. AWS Managed Microsoft AD es compatible con el protocolo ligero de acceso a directorios (LDAP) a través de la capa de conexión segura (SSL)/Transport Layer Security (TLS), también conocida como LDAPS, en los roles de cliente y servidor. Cuando funciona como cliente, AWS Managed Microsoft AD admite LDAPS a través de los puertos 636 (SSL). Para habilitar la comunicación LDAPS del lado del cliente, debe registrar certificados de autoridades de certificación (CA) de su emisor de certificados de servidor en AWS. Si desea leer más información, consulte Cómo habilitar las comunicaciones LDAP (LDAPS).
¿De qué manera AWS Managed Microsoft AD aborda Microsoft advisory ADV190023, que describe los cambios en las configuraciones predeterminadas de seguridad del LDAP en los controladores de dominio AD?
AWS Managed Microsoft AD admite tanto la firma LDAP como LDAP sobre SSL/TLS (LDAPS) cuando actúan como clientes LDAP que se comunican con Active Directory autoadministrado. La firma LDAP no requiere ninguna acción de parte del cliente para su activación y ofrece integridad de datos. LDAPS requiere configuración de parte del cliente y ofrece integridad de datos y confidencialidad. Para obtener más información, consulte esta publicación del foro de AWS.
¿Cuántos usuarios, grupos, equipos y objetos en total admite AWS Managed Microsoft AD?
AWS Managed Microsoft AD (edición Standard) incluye 1 GB de almacenamiento de objetos de directorio. Esta capacidad puede admitir hasta 5000 usuarios o 30 000 objetos de directorio, incluidos usuarios, grupos y equipos. AWS Managed Microsoft AD (edición Enterprise) incluye 17 GB de almacenamiento de objetos de directorio, que puede admitir hasta 100 000 usuarios o 500 000 objetos.
¿Puedo usar AWS Managed Microsoft AD como directorio principal?
Sí. Puede usarlo como directorio principal para administrar usuarios, grupos, equipos y objetos de política de grupos (GPO) en la nube. Puede administrar el acceso y suministrar inicio de sesión único (SSO) a servicios y aplicaciones de AWS, y a aplicaciones de terceros compatibles con directorios que se ejecuten en instancias de Amazon EC2 en la nube de AWS. Además, puede usar Azure AD Connect y AD FS para admitir SSO en aplicaciones de la nube, incluido Office 365.
¿Puedo usar AWS Managed Microsoft AD como bosque de recursos?
Sí. Puede usar AWS Managed Microsoft AD como bosque de recursos que contenga principalmente grupos y equipos con relaciones de confianza con su directorio local. Esto permite a sus usuarios acceder a recursos y aplicaciones de AWS con sus propias credenciales de AD on-premise.
Replicación de regiones múltiples
¿Qué es la replicación de regiones múltiples?
La replicación de regiones múltiples es una característica que permite implementar y usar un único directorio de AWS Managed Microsoft AD entre varias regiones de AWS. Esto facilita y hace más rentable la implementación y la administración de las cargas de trabajo de Microsoft Windows y Linux en forma global. Con la capacidad de replicación automatizada para varias regiones, se obtiene una resiliencia más alta, mientras que sus aplicaciones usan un directorio local para un rendimiento óptimo. Esta característica solo se encuentra disponible en AWS Managed Microsoft AD (edición Enterprise). Puede utilizar esta característica para directorios nuevos y existentes.
¿Cómo agrego una región de AWS a mi directorio?
Primero, abra la consola de AWS Directory Service en la región donde el directorio ya está en funcionamiento (región primaria). Seleccione el directorio que desea expandir y elija agregar región. Luego, seleccione la región en la que desea expandirse, proporcione la Amazon Virtual Private Cloud (VPC) y las subredes en las que desea implementar el directorio. Además, puede utilizar las API para expandir el directorio. Para obtener más información, consulte la documentación.
¿Cómo funciona la replicación de regiones múltiples al agregar una nueva región de AWS?
AWS Managed Microsoft AD configura automáticamente la conectividad de red entre regiones, implementa controladores de dominio y replica todos los datos del directorio, entre otros, usuarios, grupos, objetos de políticas de grupos (GPO) y esquemas de todas las regiones seleccionadas. Además, AWS Managed Microsoft AD configura un nuevo sitio AD por región que mejora el rendimiento de la replicación de controladores de dominio y autenticación de usuarios dentro de la región, a la vez que disminuye los costos al minimizar las transferencias de datos entre regiones. El identificador de directorio (directory_id) permanece igual en la región nueva y se implementa en la misma cuenta de AWS como región primaria.
¿Puedo compartir mi directorio con otras cuentas de AWS en la región de AWS nueva?
Sí, con la replicación de regiones múltiples tiene la flexibilidad de compartir el directorio con otras cuentas de AWS por región. Las configuraciones para compartir directorios no se replican de manera automática desde la región primaria. Para conocer más sobre cómo compartir el territorio con otras cuentas de AWS, consulte la documentación.
¿Puedo agregar más controladores de dominio a mi directorio en la región de AWS nueva?
Sí, con la replicación de regiones múltiples tiene la flexibilidad de definir el número de controladores de dominio por región. Para aprender a agregar un controlador de dominio, consulte la documentación.
¿Cómo monitorizo el estado del directorio a través de varias regiones de AWS?
Con la replicación de regiones múltiples, monitoriza el estado del directorio por región de manera independiente. Puede habilitar Amazon Simple Notification Service (SNS) en cada región donde implementa el directorio, con la consola de AWS Directory Service o la API. Para obtener más información, consulte la documentación.
¿Cómo monitorizo los registros de seguridad del directorio a través de varias regiones de AWS?
Con la replicación de regiones múltiples, monitoriza el registro de seguridad del directorio por región de manera independiente. Puede habilitar Amazon CloudWatch Logs en cada región donde implementa el directorio, con la consola de AWS Directory Service o la API. Para obtener más información, consulte la documentación.
¿Puedo cambiar el nombre del sitio AD del directorio?
Sí, puede cambiar el nombre del sitio AD del directorio por región con las herramientas AD estándar. Para obtener más información, consulte la documentación.
¿Puedo eliminar una región de AWS de mi directorio?
Sí. Si no tiene aplicaciones de AWS registradas en su directorio y no lo ha compartido con ninguna cuenta de AWS en la región, AWS Managed Microsoft AD permite eliminar una región de AWS del directorio. No puede eliminar la región primaria, a menos que elimine el directorio.
¿Qué aplicaciones y servicios de AWS son compatibles con la aplicación de regiones múltiples?
La replicación de regiones múltiples es compatible con Amazon EC2, Amazon RDS (SQL Server, Oracle, MySQL, PostgreSQL y MariaDB), Amazon Aurora (MySQL y PostgreSQL) y Amazon FSx for Windows File Server de forma nativa. Además, puede integrar otras aplicaciones de AWS, como Amazon WorkSpaces, AWS Single Sign-On, AWS Client VPN, Amazon QuickSight, Amazon Connect, Amazon WorkDocs, Amazon WorkMail y Amazon Chime con el directorio en regiones nuevas al configurar AD Connector con el directorio de AWS Managed Microsoft AD por región.
Integración sencilla en un dominio
¿Qué es la integración sencilla en un dominio?
La integración sencilla de dominios es una característica que permite conectar fácilmente las instancias de Amazon EC2 para Windows Server y Amazon EC2 para Linux a un dominio, en el momento del lanzamiento y desde la consola de administración de AWS. Puede incluir instancias a AWS Managed Microsoft AD que se lancen en la nube de AWS.
¿Cómo puedo integrar de forma sencilla una instancia en un dominio?
Al crear y lanzar un EC2 para Windows o una instancia de EC2 para Linux desde la consola de administración de AWS, tiene la opción de seleccionar en qué dominio se incluirá la instancia. Para obtener más información, consulte la documentación.
¿Puedo incluir de forma sencilla instancias EC2 para Windows Server existentes en un dominio?
No se puede usar la característica de integración sencilla de dominios desde la consola de administración de AWS para las instancias existentes de EC2 para Windows Server y EC2 para Linux, pero se puede integrar las instancias existentes en un dominio mediante la API de EC2 o mediante el uso de PowerShell en la instancia. Para obtener más información, consulte la documentación.
¿Qué distribuciones y versiones de Linux son compatibles con la función de integración sencilla del dominio?
La función de integración sencilla de dominios está disponible actualmente para Amazon Linux, Amazon Linux 2, CentOS 7 o más reciente, RHEL 7.5 o más reciente, y Ubuntu 14 a 18.
Integración de IAM
¿Cómo posibilita AWS Directory Service el inicio de sesión único (SSO) a la consola de administración de AWS?
AWS Directory Service permite asignar en la nube de AWS roles de IAM a usuarios y grupos de AWS Managed Microsoft AD o de un Simple AD, así como a usuarios y grupos de un Active Directory de Microsoft local existente por medio de un AD Connector. Estas funciones controlarán el acceso de los usuarios a los servicios de AWS en función de las políticas de IAM que tengan asignadas. AWS Directory Service proporcionará una dirección URL específica para clientes para la consola de administración de AWS que los usuarios pueden utilizar para iniciar sesión con sus credenciales corporativas existentes. Consulte nuestra documentación para obtener más información sobre esta característica.
Conformidad
¿Puedo usar AWS Managed Microsoft AD para cargas de trabajo de la nube de AWS que deban cumplir con estándares de conformidad?
Sí. AWS Managed Microsoft AD ha implementado los controles necesarios para permitir que cumpla con los requisitos de la Ley de Transferibilidad y Responsabilidad del Seguro de Salud (HIPAA) de EE. UU. y está incluido como servicio dentro del alcance en la declaración del resumen de responsabilidades y conformidad del estándar de seguridad de datos para el sector de las tarjetas de pago (DSS de PCI).
¿Cómo puedo acceder a los informes de conformidad y seguridad?
Para poder acceder a una lista completa de documentos relacionados con conformidad y seguridad en la nube de AWS, consulte AWS Artifact.
¿Qué es el modelo de responsabilidad compartida de AWS?
La seguridad, incluso la conformidad con la HIPAA y el DSS de PCI, es una responsabilidad compartida entre AWS y usted. Por ejemplo, es su responsabilidad configurar sus políticas de contraseña para AWS Managed Microsoft AD para cumplir los requisitos del DSS de PCI cuando utiliza AWS Managed Microsoft AD. Para obtener más información acerca de las acciones que debe tomar para cumplir los requisitos de cumplimiento de HIPAA y del DSS de PCI, consulte la documentación de cumplimiento para AWS Managed Microsoft AD, lea el documento técnico Diseño de arquitecturas para lograr el cumplimiento e implementar las medidas de seguridad de la HIPAA en Amazon Web Services y consulte Conformidad en la nube de AWS, Cumplimiento de la HIPAA y Cumplimiento del PCI DSS.
Vea ejemplos de precios y calcule costos.
Obtenga acceso instantáneo a la capa gratuita de AWS.
Comience a crear con AWS Directory Service en la consola de AWS.