AWS Directory Service

1) AWS Directory Service?

  • AWS Directory Service cung cấp các cách để sử dụng Amazon Cloud Directory và dịch vụ Microsoft Active Directory (AD) với các dịch vụ khác của AWS. Directory Service lưu trữ thông tin về người dùng, nhóm, thiết bị, và những quản trị viên sử dụng chúng để quản lý truy cập vào các thông tin và tài nguyên.
  • AWS Directory Service cung cấp nhiều lựa chọn thư mục cho khách hàng muốn sử dụng các ứng dụng hiện tại của Microsoft AD hoặc Lightweight Directory Access Protocol (LDAP) trên hệ thống cloud. Nó cũng cung cấp những lựa chọn tương tự cho các nhà phát triển khi cần một dịch vụ Directory để quản lý người dùng, nhóm, thiết bị và quyền truy cập.

2) Benefits of AWS Directory Service:

  • Easily migrate directory-aware, on-premises workloads: AWS Microsoft AD làm cho việc migrate các dịch vụ phụ thuộc vào Active Directory, các on-premises applications và khối lượng công việc tới AWS Could trở nên dễ dàng hơn. Với AWS Microsoft AD, bạn có thể chạy toàn bộ cơ sở hạ tầng qua trung tâm dữ liệu và AWS của mình mà không cần đồng bộ hóa hoặc sao chép dữ liệu từ Active Directory hiện có của bạn tới AWS Cloud.
  • Use actual Microsoft Active Directory: Sử dụng các công cụ quản lý Active Directory quen thuộc và các tính năng của Active Directory, chẳng hạn như Group Policy (GPO), trust domain, chính sách về mật khẩu, Kerberos-based single sign-on...
  • Share a single directory for cloud workloads: Chia sẻ một Directory cho tất cả các Active Directory-aware Amazon EC2 instances, Amazon RDS for SQL Server và AWS Enterprise IT applications giống như Amazon WorkSpaces. Sử dụng AWS Microsoft AD giúp tránh sự phức tạp từ việc sao chép và đồng bộ hóa dữ liệu qua nhiều thư mục.
  • Easily extend existing domains: Dễ dàng mở rộng Active Directory hiện tại của bạn đến AWS Cloud bằng cách sử dụng AWS Microsoft AD. Với AWS Microsoft AD, bạn có thể mở rộng các Group Policy hiện có của mình tới các tài nguyên cloud của bạn và để cho người dùng đăng nhập với các chứng chỉ hiện có của doanh nghiệp.
  • Centrally manage application access and devices in the AWS Cloud: Join máy tính, laptop và printer của bạn với Active Directory domain được quản lý. AWS Microsoft AD cung cấp tùy chọn để quản trị tại chỗ các người dùng, nhóm, ứng dụng và hệ thống mà không gây ra sự phức tạp của việc chạy và duy trì Active Directory có sẵn.
  • Simplify administration with a managed service: AWS Microsoft AD được xây dựng dựa trên cơ sở hạ tầng được quản lý bởi AWS. Mỗi directory được triển khai trên nhiều Availability Zones, tự động giám sát, phát hiện và thay thế các Domain Controllers khi có lỗi. Bạn không phải cài đặt phần mềm, AWS sẽ xử lý tất cả các cập nhật vá lỗi và phần mềm.

3) AWS Directory Service Options:

  • AD Connector: Sử dụng dịch vụ Microsoft Active Directory có sẵn để truy cập các ứng dụng AWS và các dịch vụ như Workspaces, WorkDocs và Workmail. AD Connector ủy quyền các yêu cầu Kerberos và LDAP từ các ứng dụng này đến directory có sẵn để xác thực người dùng. AD Connector cũng cho phép các EC2 instances liên kết với domain có sẵn, nhưng không thể sử dụng được các ứng dụng Windows khác.
  • Simple AD: Directory tương thích với Microsoft Active Directory được cung cấp bởi Samba 4 và được lưu trên AWS Cloud. Simple AD cung cấp các tính năng thường được sử dụng như users, groups, các EC2 instances chạy Linux và Microsoft Windows join domain, Kerberos-based SSO và Group Policies, nhưng không cho phép thiết lập trust relationships tới on-premises directories.
  • Microsoft AD: Hay còn gọi là AWS Directory Service for Microsoft Active Directory (Enterprise Edition). Microsoft AD là Microsoft Active Directory được lưu trữ trên AWS Cloud. AWS Microsoft AD bao gồm hầu hết các tính năng Active Directory, bao gồm multi-directional trusts, group policy, SSO và liên kết đến các EC2 trên Cloud.

Bảng dưới đây sẽ giúp chúng ta có được sự lựa chọn đúng nhất khi muốn sử dụng một dịch vụ AD AWS phù hợp:

Feature AD Connector Simple AD Microsoft AD AD on EC2
Yêu cầu xác thực đăng nhập từ các ứng dụng AWS như Amazon WorkSpaces, Amazon WorkDocs, Amazon WorkMail.
Join domain các EC2 instances chạy Linux và Microsoft Windows
Kích hoạt single sign-on (SSO) trên AWS Management Console bằng cách sử dụng AD credentials sẵn có
Hỗ trợ lên đến 5.000 users và 20.000 objects
Yêu cầu xác thực đăng nhập trên các ứng dụng nền tảng Windows, bao gồm các ứng dụng .NET và SQL-based Không
Các tính năng của Active Directory như users, group, và GPO Không
Các tính năng nâng cao của Active Directory như DNS dynamic update, Active Directory Administrative Center, PowerShell, Active Directory recycle bin, group managed service accounts, schema extensions for POSIX and Microsoft applications Không Không
Thiết lập trust relationships giữa các Active Directory domains Không Không
Thiết lập trust với AWS directories Không Không
Hỗ trợ lên đến 50.000 users và 200.000 objects Không Không
Chỉnh sửa Active Directory schema, giao tiếp thông qua LDAPS, Powershell AD command, và transfer FSMO roles Không Không Không
Active Directory replication Không Không Không
Hỗ trợ hơn 50.000 users và 200.000 objects Không Không Không
Windows Authentication xác thực người dùng khi kết nối đến Amazon RDS DB instance chạy Microsoft SQL Server Không Không Không

4) Simple Active Directory:

Ở bài viết này, chúng ta sẽ tìm hiểu về một loại directory khá đơn giản và dễ cấu hình, đó là Simple Active Directory.

  • Simple AD là một directory quản lý độc lập được cung cấp bởi Samba 4 Active Directory Compatible Server. Có 2 loại:

    • Small: Hỗ trợ lên đến 500 users (Khoảng 2.000 objects bao gồm users, groups và computers).
    • Large: Hỗ trợ lên đến 5.000 users (Khoảng 20.000 objects bao gồm users, groups và computers).
  • Ứng dụng hỗ trợ:

    • Microsoft Internet Information Services (IIS):
      • Windows Server 2003 R2
      • Windows Server 2008 R1
      • Windows Server 2008 R2
      • Windows Server 2012
      • Windows Server 2012 R2
    • Microsoft SQL Server:
      • SQL Server 2005 R2 (Express, Web, and Standard editions)
      • SQL Server 2008 R2 (Express, Web, and Standard editions)
      • SQL Server 2012 (Express, Web, and Standard editions)
      • SQL Server 2014 (Express, Web, and Standard editions)
    • Microsoft SharePoint:
      • SharePoint 2010 Foundation
      • SharePoint 2010 Enterprise
      • SharePoint 2013 Enterprise
  • Để tạo Simple AD, bạn cần làm theo yêu cầu sau:

    • Có ít nhất 2 subnets. Mỗi subnet phải ở các Availability Zone khác nhau.
    • Các port dưới đây bắt buộc phải mở giữa hai subnet:
      • TCP/UDP 53 - DNS
      • TCP/UDP 88 - Kerberos authentication
      • UDP 123 - NTP
      • TCP 135 - RPC
      • UDP 137-138 - Netlogon
      • TCP 139 - Netlogon
      • TCP/UDP 389 - LDAP
      • TCP/UDP 445 - SMB
      • TCP 873 - Rsync
      • TCP 3268 - Global Catalog
      • TCP/UDP 1024-65535 - Ephemeral ports for RPC
    • Khi tạo VPC phải Enable default hardware tenancy.
    • Bắt buộc phải enable các kiểu mã hóa sau trong directory:
      • RC4_HMAC_MD5
      • AES128_HMAC_SHA1
      • AES256_HMAC_SHA1
      • Future encryption types

Trên đây chúng ta đã tìm hiểu về AWS Directory Services. Ở cái bài viết sau, mình sẽ post bài cấu hình chi tiết của các loại directory của AWS Directory Services.


All Rights Reserved