AWS Directory Service 常見問答集

一般問題

AWS Directory Service 是一項受管服務產品,提供包含貴組織相關資訊的目錄,這些資訊包括使用者、群組、電腦和其他資源。AWS Directory Service 受管服務的設計宗旨是減少管理工作,因此能讓您將更多的時間和資源投注在業務上。您不需要建立高度可用的複雜目錄拓撲,因為每個目錄都會跨多個可用區域進行部署,而監控功能會自動偵測並取代故障的網域控制站。不僅如此,還為您設定了資料複寫和自動每日快照。不需要安裝任何軟體,AWS 會處理所有的修補和軟體更新。

您可以使用 AWS Directory Service 輕鬆地在 AWS 雲端中設定和執行目錄,或將 AWS 資源連接到現有的內部部署 Microsoft Active Directory。您的目錄建立完成後,就可以用它來管理使用者和群組、為應用程式和服務提供單一登入、建立和套用群組原則、將 Amazon EC2 執行個體加入網域,也可以簡化雲端 Linux 和 Microsoft Windows 工作負載的部署和管理。AWS Directory Service 能讓您的最終使用者使用自己現有的公司登入資料來存取 Amazon WorkSpaces、Amazon WorkDocs 和 Amazon WorkMail 等 AWS 應用程式,以及存取目錄感知的 Microsoft 工作負載,包括自訂 .NET 和以 SQL Server 為基礎的應用程式等。最後,您可以使用現有的公司登入資料,透過 AWS Identity and Access Management (IAM) 角色對 AWS 管理主控台的存取權來管理 AWS 資源,如此一來就不需要建立更多聯合身分基礎設施。

您可以使用 AWS 管理主控台或 API 來建立目錄。您只需要提供一些基本資訊,例如目錄的完整網域名稱 (FQDN)、管理員帳戶名稱和密碼,以及要連接目錄的 VPC。

是,您可以使用 AWS 管理主控台或 API,將執行 Linux 或 Windows 的現有 EC2 執行個體新增到 AWS Managed Microsoft AD 目錄。

支援使用公用 API 建立和管理目錄。您現在可以透過程式設計方式,使用公用 API 管理目錄。API 可透過 AWS CLI 和 SDK 來使用。如需進一步了解 API,請參閱 AWS Directory Service 文件

是。透過 AWS Directory Service API 或管理主控台執行的動作將包含在 CloudTrail 稽核日誌中。

是。您可以設定 Amazon Simple Notification Service (SNS) 在 AWS Directory Service 狀態變更時接收電子郵件和文字簡訊。Amazon SNS 使用主題來收集訊息,並將訊息散發給訂閱者。當 AWS Directory Service 偵測到目錄狀態變更時,就會將訊息發佈到相關主題,再將主題傳送給主題訂閱者。若要進一步了解,請參閱文件

如需詳細資訊,請參閱定價頁面

是。AWS Directory Service 支援成本分配標記。標籤透過分類和分組 AWS 資源,讓您輕鬆分配成本並優化支出。例如,您可以使用標籤,依管理員、應用程式名稱、成本中心或特定專案分組資源。

請參閱區域性產品和服務,了解 AWS Directory Service 在不同區域的可用性詳細資訊。

2020/05/31 生效,用戶端電腦只能使用 SMB 版本 2.0 (SMBv2) 或更新版本,在 AWS Managed Microsoft AD 目錄存取共享網域控制站的 SYSVOL 和 NETLOGON 上存放的檔案。但是,AWS 建議客戶在所有 SMB 檔案服務使用 SMBv2 或更新版本。

AWS Managed Microsoft AD

從 AWS 管理主控台啟動 AWS Directory Service 主控台即可建立 AWS Managed Microsoft AD 目錄。您也可以使用 AWS 開發套件或 AWS CLI。

AWS Managed Microsoft AD 目錄預設會在一個區域中跨兩個可用區域進行部署,並連接到您的 Amazon Virtual Private Cloud (VPC)。系統會每天自動備份一次,而且 Amazon Elastic Block Store (EBS) 磁碟區會經過加密以確保靜態資料的安全。在同一可用區域內故障的網域控制站會使用相同 IP 地址自動取代,再使用最新的備份進行完整的災難復原。

否,目前不支援這個功能。

您可以使用在 Windows 電腦上執行且加入 AWS Managed Microsoft AD 網域的現有 Active Directory 工具,來管理 AWS Managed Microsoft AD 目錄中的使用者和群組。不需要特殊的工具、政策或行為變更。

為了提供受管服務體驗,AWS Managed Microsoft AD 必須禁止客戶執行任何會干擾服務管理的操作。因此,AWS 對需要提升權限的目錄物件、角色和群組會限制存取權。AWS Managed Microsoft AD 不允許透過 Windows 遠端桌面連線、PowerShell Remoting、Telnet 或 Secure Shell (SSH),對網域控制器進行直接主機存取。當您建立 AWS Managed Microsoft AD 目錄時,系統會為您指派一個組織單位 (OU),以及擁有 OU 委派管理權利的管理帳戶。您可以使用如 Active Directory 使用者和群組或 PowerShell ActiveDirectory 模組之類的標準遠端伺服器管理工具,在 OU 內建立使用者帳戶、群組和政策。

是。在設定 AWS Managed Microsoft AD 時為您所建立的管理帳戶,其擁有遠端存取服務 (RAS) 和網際網路身份驗證服務 (IAS) 安全群組的委派管理權利。這可讓您在 AWS Managed Microsoft AD 註冊 NPS,並管理網域內各帳戶的網路存取政策。

是。AWS Managed Microsoft AD 支援以 LDAP 資料交換格式 (LDIF) 檔案形式提交給服務的結構描述延伸模組。您可以擴展核心 Active Directory 結構描述,但不可加以修改。

Amazon Chime

Amazon Connect

Amazon EC2 執行個體

Amazon FSx for Windows File Server

Amazon QuickSight

Amazon RDS for MySQL

Amazon RDS for Oracle

Amazon RDS for PostgreSQL

Amazon RDS for SQL Server

Amazon Single Sign On

Amazon WorkDocs

Amazon WorkMail

Amazon WorkSpaces

AWS Client VPN

AWS 管理主控台

請注意,並非這些應用程式的所有組態都支援。

AWS Managed Microsoft AD 以實際 Active Directory 為基礎,並提供最廣泛的原生 AD 工具和第三方應用程式支援,例如:

Active Directory-Based Activation (ADBA)

Active Directory Certificate Services (AD CS)︰企業憑證授權單位

Active Directory Federation Services (AD FS)

Active Directory Users and Computers (ADUC)

應用程式伺服器 (.NET)

Azure Active Directory (Azure AD)

Azure Active Directory (AD) Connect

Distributed File System Replication (DFSR)

Distributed File System Namespaces (DFSN)

Microsoft Remote Desktop Services Licensing Server

Microsoft SharePoint Server

Microsoft SQL Server (包含 SQL Server Always On Availability Groups)

Microsoft System Center Configuration Manager (SCCM)

Microsoft Windows 和 Windows Server OS

Office 365

Active Directory Certificate Services (AD CS)︰憑證註冊 Web 服務

Active Directory Certificate Services (AD CS)︰憑證註冊政策 Web 服務

Microsoft Exchange Server

Microsoft Skype for Business Server

AWS 並未提供任何遷移工具可將自我管理的 Active Directory 遷移到 AWS Managed Microsoft AD。您必須建立用於執行遷移的策略,包含密碼重設,再使用遠端伺服器管理工具來實作計劃。

是。您可以使用 Directory Service 主控台以及 API 為 AWS Managed Microsoft AD 設定條件式轉寄站和信任。 

是。您可以使用 AWS Directory Service 主控台或 API 在受管網域新增額外的網域控制站。請注意,不支援手動將 Amazon EC2 執行個體升級到網域控制站。 

是。您可以使用 Azure AD Connect 將身分從 AWS Managed Microsoft AD 同步到 Azure AD,然後使用 Windows 2016 的 Microsoft Active Directory Federation Services (AD FS) 搭配 AWS Managed Microsoft AD 驗證 Office 365 使用者。如需逐步指示,請參閱如何讓使用者能夠使用 AWS Microsoft Active Directory 登入資料存取 Office 365。  

是。您可以使用 Windows 2016 的 Microsoft Active Directory Federation Services (AD FS) 搭配 AWS Managed Microsoft AD 受管網域,在支援 SAML 的雲端應用程式驗證使用者。 

是。AWS Managed Microsoft AD 在用戶端和伺服器角色可透過 Secure Socket Layer (SSL)/Transport Layer Security (TLS) 支援輕量型目錄存取通訊協定 (LDAP),也稱為 LDAPS。扮演伺服器角色時,AWS Managed Microsoft AD 透過連接埠 636 (SSL) 和 389 (TLS) 支援 LDAPS。您可從以 AWS 為基礎的 Active Directory Certificate Services 憑證授權單位 (CA) 將憑證安裝在 AWS Managed Microsoft AD 網域控制站,以啟用伺服器端 LDAPS 通訊。若要進一步了解,請參閱啟用安全 LDAP (LDAPS)。 

是。AWS Managed Microsoft AD 在用戶端和伺服器角色可透過 Secure Socket Layer (SSL)/Transport Layer Security (TLS) 支援輕量型目錄存取通訊協定 (LDAP),也稱為 LDAPS。扮演用戶端角色時,AWS Managed Microsoft AD 透過連接埠 636 (SSL) 支援 LDAPS。您將來自伺服器憑證發行者的憑證授權單位 (CA) 憑證向 AWS 註冊,以啟用用戶端 LDAPS 通訊。若要進一步了解,請參閱啟用安全 LDAP (LDAPS)。 

AWS Managed Microsoft AD 支援 LDAP 簽署和 LDAP over SSL/TLS (LDAPS),同時充當 LDAP 用戶端,與自我管理的 Active Directory 通訊。用戶端側 LDAP 簽署無需執行客戶動作即可啟用,且可提供資料完整性。用戶端 LDAPS 需要設定,並提供資料完整性與機密性。如需詳細資訊,請參閱此 AWS 論壇文章。 

AWS Managed Microsoft AD (Standard Edition) 包括 1 GB 的目錄物件儲存空間。這個容量可支援高達 5,000 個使用者或 30,000 個目錄物件,包括使用者、群組和電腦。AWS Managed Microsoft AD (Enterprise Edition) 包括 17 GB 的目錄物件儲存空間,可支援高達 100,000 個使用者或 500,000 個物件。 

是。您可以使用它做為主要目錄來管理雲端的使用者、群組、電腦和群組原則物件 (GPO)。同時為 AWS 應用程式和服務及 AWS 雲端中 Amazon EC2 執行個體上執行的第三方目錄感知應用程式管理存取和提供單一登入 (SSO)。此外,還可使用 Azure AD Connect 和 AD FS 支援雲端應用程式的 SSO,包括 Office 365。 

是。您可以使用 AWS Managed Microsoft AD 做為主要包含與現場部署目錄有信任關係的電腦和群組的資源樹系。這可讓您的使用者使用現場部署 AD 登入資料存取 AWS 應用程式和資源。 

多區域複寫

多區域複寫是一項功能,讓您可以跨多個 AWS 區域部署和使用單個 AWS Managed Microsoft AD 目錄。這讓您可以更輕鬆、更具成本效益地在全球範圍內部署和管理 Microsoft Windows 和 Linux 工作負載。借助自動的多區域複寫功能,您可以取得更高的彈性,而應用程式可以使用本機目錄實現最佳效能。此功能僅在 AWS Managed Microsoft AD (企業版) 中提供。您可以將此功能用於新目錄和現有目錄。

首先,在目錄已經啟動並正在執行的區域 (主要區域) 中開啟 AWS Directory Service 主控台。選擇要擴展的目錄,然後選擇「新增區域」。然後,選擇要擴展到的區域,提供 Amazon Virtual Private Cloud (VPC),以及要將目錄部署到的子網路。您還可以使用 API​​ 來擴展目錄。若要進一步了解,請參閱文件

AWS Managed Microsoft AD 自動跨所選區域設定區域間網路連線、部署網域控制站,並複製您的所有目錄資料,包括使用者、群組、群組原則物件 (GPO) 和結構描述。此外,AWS Managed Microsoft AD 在每個區域設定一個新的 AD 網站,從而提高區域內的使用者身份驗證和網域控制站複寫效能,同時透過將區域之間的資料傳輸減至最少來降低成本。您的目錄識別符 (directory_id) 在新區域中保持不變,並在與主要區域相同的 AWS 帳戶中部署。

是的,透過多區域複寫,您可以靈活地與每個區域的其他 AWS 帳戶共享目錄。目錄共享組態不會自動從主要區域複寫。若要了解如何與其他 AWS 帳戶共享目錄,請參閱文件

是的,透過多區域複寫,您可以靈活地定義每個區域的網域控制站數量。若要了解如何新增網域控制站,請參閱文件

使用多區域複寫時,您可以分別監控每個區域的目錄狀態。您必須使用 AWS Directory Service 主控台或 API 在部署目錄的每個區域中啟用 Amazon Simple Notification Service (SNS)。若要進一步了解,請參閱文件

使用多區域複寫時,您可以分別監控每個區域的目錄安全日誌。您必須使用 AWS Directory Service 主控台或 API 在部署目錄的每個區域中啟用 Amazon CloudWatch Logs 轉送。若要進一步了解,請參閱文件

是的,您可以使用標準 AD 工具為每個區域重新命名目錄的 AD 網站名稱。若要進一步了解,請參閱文件

是。如果您沒有在目錄中註冊任何 AWS 應用程式,並且尚未與該區域中的任何 AWS 帳戶共享目錄,則您可以在 AWS Managed Microsoft AD 中將該 AWS 區域從目錄移除。除非刪除目錄,否則無法移除主要區域。

多區域複寫原生與 Amazon EC2、Amazon RDS (SQL Server、Oracle、MySQL、PostgreSQL 和 MariaDB)、Amazon Aurora (MySQL 和 PostgreSQL) 以及 Amazon FSx for Windows File Server 相容。您還可以透過在每個區域設定您 AWS Managed Microsoft AD 目錄的 AD Connector,將 Amazon WorkSpaces、AWS Single Sign-On、AWS Client VPN、Amazon QuickSight、Amazon Connect、Amazon WorkDocs、Amazon WorkMail 和 Amazon Chime 等其他 AWS 應用程式與在新區域的目錄整合。

無縫網域加入

無縫網域加入是一項功能,允許您在啟動時,從 AWS 管理主控台將 Amazon EC2 for Windows Server 和 Amazon EC2 for Linux 執行個體無縫加入網域。您可以將 AWS 雲端中啟動的執行個體加入 AWS Managed Microsoft AD。

當您從 AWS 管理主控台建立和啟動 EC2 for Windows 或 EC2 for Linux 執行個體時,可以選擇執行個體要加入哪個網域。若要進一步了解,請參閱文件

您無法針對現有 EC2 for Windows Server 和 EC2 for Linux 執行個體使用 AWS 管理主控台的無縫網域加入功能,但可以使用 EC2 API 或執行個體上的 PowerShell 將現有的執行個體加入網域。若要進一步了解,請參閱文件

無縫網域加入功能目前可用於 Amazon Linux、Amazon Linux 2、CentOS 7 或更新版本、RHEL 7.5 或更新版本、以及 Ubuntu 14 至 18。

IAM 整合

AWS Directory Service 允許您將 IAM 角色指派到 AWS 雲端的 AWS Managed Microsoft AD 或 Simple AD 使用者和群組,以及使用 AD Connector 指派到現有的現場部署 Microsoft Active Directory 使用者和群組。這些角色會根據指派給它的 IAM 政策來控制使用者對 AWS 服務的存取。AWS Directory Service 將為 AWS 管理主控台提供客戶特定 URL,使用者可以使用該 URL 以自己現有的公司登入資料來登入。如需這項功能的詳細資訊,請參閱我們的文件。 

合規

是。AWS Managed Microsoft AD 已實作多項必要控制,可讓您符合 美國健康保險流通與責任法案 (HIPAA) 需求,並且是支付卡產業資料安全標準 (PCI DSS) 合規聲明文件和責任摘要中的合格服務。 

若要存取 AWS 雲端合規和安全的相關文件完整清單,請參閱 AWS Artifact

HIPAA 和 PCI DSS 合規等安全性是 AWS 和您之間共同的責任。例如,使用 AWS Managed Microsoft AD 時,您必須負責設定 AWS Managed Microsoft AD 密碼政策以符合 PCI DSS 需求。若要進一步了解符合 HIPAA 和 PCI DSS 合規需求必須採取的動作,請參閱 AWS Managed Microsoft AD 合規文件、閱讀 Amazon Web Services 上的 HIPAA 安全與合規架構白皮書,以及參閱 AWS 雲端合規HIPAA 合規PCI DSS 合規

進一步了解 Directory Service 定價

檢視定價範例和計算您的成本。

進一步了解 
註冊 AWS 帳戶
註冊免費帳戶

立即存取 AWS 免費方案。 

註冊 
開始使用 Directory Service 進行建置
開始在主控台進行建置

開始在 AWS 主控台使用 AWS Directory Service 進行建置。

登入