Transcription
AWS Directory ServiceGuide d'administrationVersion 1.0
AWS Directory Service Guide d'administrationAWS Directory Service: Guide d'administrationCopyright Amazon Web Services, Inc. and/or its affiliates. All rights reserved.Les marques et les présentations commerciales d'Amazon ne peuvent être utilisées en relation avec un produit ouun service extérieur à Amazon, d'une manière susceptible de créer une confusion chez les clients, ou d'une manièrequi dénigre ou discrédite Amazon. Toutes les autres marques commerciales qui ne sont pas la propriété d'Amazonappartiennent à leurs propriétaires respectifs, qui peuvent ou non être affiliés, connectés à ou sponsorisés par Amazon.
AWS Directory Service Guide d'administrationTable of ContentsQu'est-ce que AWS Directory Service ? . 1Que choisir ? . 1AWS Directory Serviceoptions . 1Utilisation d'Amazon EC2 . 4Configuration de AWS Directory Service . 5Inscription à un compte AWS . 5Créer un utilisateur IAM . 5AWSMicrosoft AD . 8Commencer à utiliser . 9Prérequis . 9Création de votre annuaire . 11Ce qui est créé ? . 12Compte administrateur . 18Concepts clés . 20Schéma Active Directory . 20Application de correctifs et maintenance . 21Comptes de service administrés de groupe . 22Delegation Kerberos contrainte . 22Cas d'utilisation . 23Cas d'utilisation 1 : Connexion àAWSapplications et services avec informations d'identificationAD . 25Cas d'utilisation 2 : Gérer des instances Amazon EC2 . 28Cas d'utilisation 3 : Fournit des services d'annuaire pour vos charges de travail compatibles avecAD . 28Cas d'utilisation 4 : Connexion unique (SSO) à Office 365 et aux autres applications cloud . 28Cas d'utilisation 5 : Étendre votre AD sur site à l'AWSCloud . 29Cas d'utilisation 6 : Partagez votre annuaire pour joindre en toute transparence les instancesAmazon EC2 à un domaine surAWScomptes . 30Procédures . 30Sécurisation du annuaire . 31Surveillance de votre annuaire . 55Configurer la réplication multi-régions . 63Partagez votre annuaire . 69Joindre une instance EC2 à votre annuaire . 78Gérer des utilisateurs et des groupes . 109Connect votre infrastructure AD existante . 112Étendre vos schémas . 131Maintien du annuaire . 136Accorder l'accès àAWSressources . 140Activer l'accès àAWSapplications et services . 145Activation de l'accès à laAWS Management Console . 152Déploiement de contrôleurs de domaine supplémentaires . 154Migration des utilisateurs d'AD versAWSMicrosoft AD géré . 158Bonnes pratiques . 159Configuration de : Prérequis . 159Configuration de : Création de votre annuaire . 160Utilisation de votre annuaire . 161Gestion de votre annuaire . 162Programmation de vos applications . 164Quotas . 164Compatibilité des applications . 165Directives de compatibilité . 167Applications incompatibles connues . 167AWSDidacticiels d'atelier de test Managed Microsoft AD . 168Version 1.0iii
AWS Directory Service Guide d'administrationDidacticiel : Configuration de votre baseAWSLaboratoire de test Managed Microsoft AD .Didacticiel : Création d'une approbation à partir deAWSGestion de Microsoft AD vers uneinstallation AD autogérée sur EC2 .Dépannage .Problèmes liés à Netlogon et aux communications de canaux sécurisés .Récupération d'un mot de passe .Dépannage de DNS .Erreurs de jointure de domaine Linux .Espace de stockage disponible .Erreurs d'extension de schéma .Raisons du statut de création de confiance .Connecteur Active Directory .Commencer à utiliser .Conditions préalables AD Connector .Créer un AD Connector .Ce qui est créé ? .Procédures .Sécurisation du annuaire .Surveillance de votre annuaire .Joindre une instance EC2 à votre annuaire .Maintain annuaire .Mise à jour de l'adresse DNS de l'AD Connector .Bonnes pratiques .Configuration de : Prérequis .Programmation de vos applications .Utilisation de votre annuaire .Quotas .Compatibilité des applications .Dépannage .La liaison de domaines transparente d'instances EC2 ne fonctionne plus .J'ai reçu une erreur « Impossible d'authentifier » lors de l'utilisationAWSapplications pourrechercher des utilisateurs ou des groupes .L'erreur « DNS unavailable » s'affiche lorsque j'essaie de me connecter à mon annuaire sur site .L'erreur « Connectivity issues detected » s'affiche lorsque je tente de me connecter à monannuaire sur site .L'erreur « SRV record » s'affiche lorsque je tente de me connecter à mon annuaire sur site .Mon annuaire est bloqué à l'état « Demandé » .L'erreur « AZ Constrained » s'affiche lorsque je crée un annuaire .Certains de mes utilisateurs ne peuvent pas s'authentifier avec mon annuaire .L'erreur « Invalid Credentials » s'affiche lorsque le compte de service utilisé par AD Connectortente une authentification .Je ne peux pas supprimer mon AD Connector .Simple Active Directory .Commencer à utiliser .Prérequis Simple AD .Créer un annuaire Simple AD .Ce qui est créé ? .Configurer DNS .Procédures .Gérer des utilisateurs et des groupes .Surveiller votre annuaire .Joindre une instance EC2 à votre annuaire .Maintain annuaire .Activer l'accès àAWSapplications et services .Activation de l'accès à laAWS Management Console .Didacticiel : Créer un annuaire Simple AD .Prérequis .Version 75278286287288
AWS Directory Service Guide d'administrationÉtape 1 : Créer et configurer votre VPC . 288Étape 2 : Créer votre annuaire Simple AD . 289Bonnes pratiques . 291Configuration de : Prérequis . 291Configuration de : Création de votre annuaire . 292Programmation de vos applications . 293Quotas . 293Compatibilité des applications . 294Dépannage . 294Récupération d'un mot de passe . 295Je reçois une erreur « KDC ne peut pas traiter l'option demandée » lors de l'ajout Simple ADutilisateur . 295Je ne parviens pas à mettre à jour le nom DNS ou l'adresse IP d'une instance jointe à mondomaine (mise à jour dynamique DNS) . 295Je ne peux pas me connecter à SQL Server à l'aide d'un compte SQL Server . 295Mon annuaire est bloqué à l'état « Demandé » . 296L'erreur « AZ Constrained » s'affiche lorsque je crée un annuaire . 296Certains de mes utilisateurs ne peuvent pas s'authentifier avec mon annuaire . 296Motifs de statut d'annu . 296Sécurité . 300Gestion des identités et des accès . 301Authentification . 301Contrôle d'accès . 302Présentation de la gestion des accès . 302Utilisation des politiques basées sur une identité (politiques IAM) . 306Référence des autorisations d'API AWS Directory Service . 312Journalisation et surveillance . 313Validation de la conformité . 313Résilience . 314Sécurité de l'infrastructure . 314Prévention du député confus entre services . 314Contrat de niveau de service . 317Disponibilité dans les régions . 318Compatibilité des navigateurs . 321Qu'est-ce que TLS ? . 322Versions TLS prises en charge parAWS SSO . 322Comment puis-je activer les versions de TLS prises en charge dans mon navigateur . 322Historique du document . 323. cccxxvVersion 1.0v
AWS Directory Service Guide d'administrationQue choisir ?Qu'est-ce que AWS DirectoryService ?AWS Directory Service offre plusieurs façons d'utiliser Microsoft Active Directory avec d'autres servicesAWS. Les annuaires permettent de stocker des informations sur les utilisateurs, groupes et périphériques.Les administrateurs les utilisent pour gérer l'accès à des informations et ressources.AWS DirectoryServicepropose plusieurs options d'annuaire pour les clients qui souhaitent utiliser des applicationsMicrosoft AD ou LDAP (Lightweight Directory Access Protocol) existantes dans le cloud. Il offre égalementces mêmes possibilités pour les développeurs qui ont besoin d'un annuaire pour gérer des utilisateurs, desgroupes, des appareils et des accès.Que choisir ?Vous pouvez choisir des services d'annuaire qui offrent les fonctionnalités et la scalabilité correspondantle mieux à vos besoins. Utilisez le tableau suivant pour vous aider à identifier l'option d'annuaire AWSDirectory Service la mieux adaptée à votre organisation.Que devez-vous faire ?Options AWS Directory Service recommandéesJ'ai besoin d'Active Directory ou deLDAP pour mes applications dans lecloudTâche de sélectionAWSDirectory Service pour MicrosoftActive Directory (p. 2)(Standard Edition ou EnterpriseEdition) si vous avez besoin d'un Microsoft Active Directory réeldans leAWSCloud prenant en charge les charges de travailcompatibles Active Directory, ouAWSapplications et servicestels qu'Amazon WorkSpaces et Amazon QuickSight, ou vousavez besoin de la prise en charge LDAP pour les applicationsLinux.Utilisez AD Connector si vous souhaitez simplement autoriservos utilisateurs locaux à se connecter à des applications etservices AWS à l'aide de leurs informations d'identificationActive Directory. Vous pouvez également utiliser AD Connectorpour relier des instances Amazon EC2 à votre domaine ActiveDirectory existant.UtiliserSimple ADsi vous recherchez un annuaire de base àmointains coûts, qui offrant une compatibilité de base avecActive Directory et qui prenne en charge les applicationscompatibles Samba 4, ou si vous avez besoin d'unecompatibilité LDAP pour vos applications LDAP.Je développe des applications SaaSUtilisez Amazon Cognito si vous développez des applicationsSaaS à grande échelle et si vous avez besoin d'un annuaireévolutif pour gérer et authentifier vos abonnés qui soitégalement capable de gérer les identités de réseaux sociaux.AWS Directory ServiceoptionsAWS Directory Service comprend plusieurs types d'annuaire. Pour plus d'informations, sélectionnez l'undes onglets suivants :Version 1.01
AWS Directory Service Guide d'administrationAWS Directory ServiceoptionsAWS Directory Service for Microsoft Active DirectoryEgalement appeléAWSManaged Microsoft ADAWSDirectory Service for Microsoft Active Directory estoptimisé par une instance Microsoft Windows Server Active Directory (AD) réelle, gérée parAWSdansleAWSCloud. Il vous permet de migrer un large éventail d'applications Active Directory versleAWSCloud.AWS Microsoft AD géré est compatible avec Microsoft SharePoint, avec les groupes dedisponibilité AlwaysOn Microsoft SQL Server, ainsi qu'avec de nombreuses applications .NET. Il prendégalement en chargeAWSapplications et services gérés, y comprisAmazon WorkSpaces,AmazonWorkDocs,Amazon QuickSight,Amazon Chime,Amazon Connect, etAmazon Relational DatabaseService pour Microsoft SQL Server(Amazon RDS for SQL Server, Amazon RDS for Oracle et AmazonRDS for PostgreSQL).AWSMicrosoft AD géré est approuvé pour les applications dans leAWSCloud soumis àLoi américaineHealth Insurance Portability and Accountability Act(HIPAA) ouStandard de sécurité des données dusecteur des cartes de paiement(PCI DSS) lorsque vousactiver la conformité pour votre annuaire.Toutes les applications compatibles fonctionnent avec les informations d'identification utilisateurque vous stockez dansAWSMicrosoft AD géré, ou vous pouvezse connecter à votre infrastructureAD existanteavec une relation d'approbation et utilisation des informations d'identificationd'Active Directory s'exécutant sur site ou sur EC2 Windows. Si vousjoignez des instances EC2 àvotreAWSGestion de Microsoft AD, vos utilisateurs peuvent accéder aux charges de travail Windowsdans leAWSCloud avec la même expérience d'authentification unique (SSO) Windows que lorsqu'ilsaccèdent aux charges de travail de votre réseau sur site.AWSManaged Microsoft AD Seul,AWSManaged Microsoft ADAWS Management Console. AvecAWS Single Sign-On, vous pouvez également obtenir des informations d'identification à court termepour une utilisation avec le kit SDK AWS et l'interface de ligne de commande (CLI), et utiliser desintégrations SAML préconfigurées pour se connecter à de nombreuses applications cloud. En ajoutantAzure AD Connect, et éventuellement Active Directory Federation Service (AD FS), vous pouvez vousconnecter à Microsoft Office 365 et à d'autres applications cloud avec des informations d'identificationstockées dansAWSGestion de Microsoft ADLe service inclut les fonctions clés qui vous permettent d'étendre votre schéma, de gérer desstratégies de mot de passe et d'activer des communications LDAP sécurisées via le protocoleSSL (Secure Socket Layer) ou TLS (Transport Layer Security). Vous pouvez égalementactiverl'authentification multi-facteurs (MFA) pourAWSGestion de Microsoft ADpour fournir une couche desécurité supplémentaire lorsque les utilisateurs accèdentAWSapplications d'Internet. Active Directoryest un annuaire LDAP, autrement dit vous pouvez également utiliserAWSGestion d'authentificationMicrosoft AD pour Linux Secure Shell (SSH) et pour d'autres applications compatibles LDAP.AWSassure des services de surveillance, de création quotidienne d'instantanés et derécupérationAjout d'utilisateurs et de groupes àAWSGestion de Microsoft AD, et administre unestratégie de groupe à l'aide d'outils Active Directory familiers s'exécutant sur un ordinateur Windowsjoint auAWSDomaine Microsoft AD Vous pouvez également mettre à l'échelle l'annuaire en déployantdes contrôleurs de domaine supplémentaires et contribuer à améliorer les performances desapplications en répartissant les demandes sur un plus grand nombre de contrôleurs de domaine.AWSManaged Microsoft AD Standard et Enterprise. Edition Standard :AWS Microsoft AD (Édition Standard) est optimisé pour être utilisé commeannuaire principal dans les petites et moyennes entreprises comptant jusqu'à 5 000 employés.Il offre suffisamment de capacité de stockage pour prendre en charge jusqu'à 30 000* objetsd'annuaire (par exemple, des utilisateurs, des groupes et des ordinateurs). Enterprise Edition :AWS Managed Microsoft AD (Édition Enterprise) s'adresse aux grandesentreprises qui ont à gérer jusqu'à 500 000* objets d'annuaire.Version 1.02
AWS Directory Service Guide d'administrationAWS Directory Serviceoptions* Les plafonds indiqués sont fournis à titre indicatif. Votre annuaire peut prendre en charge plusou moins d'objets d'annuaire, selon la taille de vos objets et le comportement et les besoins deperformances de vos applications.Quand l'utiliserAWSManaged Microsoft AD est votre meilleur allié si vous avez réellement besoin de fonctionnalitésActive Directory pour prendre en chargeAWSapplications ou charges de travail Windows, y comprisAmazon Relational Database Service pour Microsoft SQL Server. Il est également idéal si vousrecherchez une instance AD autonome dans le cloud AWS capable de prendre en charge Office 365ou si vous avez besoin d'un annuaire LDAP pour prendre en charge vos applications Linux. Pour plusd'informations, consultez AWSMicrosoft AD (p. 8).AD ConnectorAD Connector est un service proxy qui fournit un moyen simple de connecter,compatibleAWSapplications, telles qu'Amazon WorkSpaces, Amazon QuickSight etAmazon EC2pourles instances Windows Server, à votre annuaire Microsoft Active Directory sur site existant. Avec ADConnector, vous pouvez simplementajouter un compte de servicesur votre annuaire Active Directory.AD Connector vous évite aussi d'avoir à synchroniser vos annuaires et vous épargne le coût et lacomplexité associés à l'hébergement d'une infrastructure de fédération.Lorsque vous ajoutez des utilisateurs àAWSapplications comme Amazon QuickSight, AD Connectorlit votre annuaire Active Directory existant pour créer des listes d'utilisateurs et de groupes quevous pouvez ensuite sélectionner. Lorsque les utilisateurs se connectent auAWSAD Connectortransfère les demandes de connexion à vos contrôleurs de domaine Active Directory en localpour les authentifier. AD Connector fonctionne avec de nombreuxAWSapplications et services, ycomprisAmazon WorkSpaces,Amazon WorkDocs,Amazon QuickSight,Amazon Chime,AmazonConnect, etAmazon WorkMail. Vous pouvez égalementRejoignez vos instances Windows EC2survotre domaine Active Directory sur site via AD Connector à l'aide d'ADJointure de domainetransparente. AD Connector permet également à vos utilisateurs d'accéder auAWS ManagementConsoleet gérerAWSressources en se connectant à l'aide de leurs informations d'identification ActiveDirectory existantes. AD Connector n'est pas compatible avec RDS SQL Server.Vous pouvez également utiliser AD Connector pouractiver l'authentification multi-facteurs(MFA) pourvotreAWSutilisateurs d'applications en le connectant à votre infrastructure MFA RADIUS existante.Les utilisateurs bénéficient ainsi d'une couche de sécurité supplémentaire quand ils accèdent auxapplications AWS.AD Connector vous permet de continuer à gérer votre annuaire Active Directory comme vous le faitesactuellement. Par exemple, vous pouvez ajouter des utilisateurs et des groupes, et mettre à jour lesmots de passe en utilisant les outils d'administration Active Directory standard dans votre instanceActive Directory. Vous pouvez ainsi appliquer de manière cohérente vos stratégies de sécurité, tellesque l'expiration des mots de passe, l'historique des mots de passe et les verrouillages de compte, quevos utilisateurs accèdent aux ressources sur votre infrastructure en local ou dans le cloud AWS.Quand l'utiliserAD Connector est votre meilleur allié si vous souhaitez utiliser votre annuaire local existant avec lesfonctionnalités compatibles.AWSServices . Pour plus d'informations, consultez Connecteur ActiveDirectory (p. 201).Simple ADSimple AD est un annuaire Microsoft Active Directory.compatiblerépertoire deAWS DirectoryServicequi est alimenté par Samba 4. Simpl
AWS Directory Service Guide d'administration AWS Directory Service Également appelé AWS Managed Microsoft AD, AWS Directory Service pour Microsoft Active Directory est optimisé par une instance Microsoft Windows Server Active Directory (AD) réelle hébergée dans le cloud AWS. Vous permet de migrer un large éventail d'applications Active
![[MS-ADFSOD]: Active Directory Federation Services (AD FS .](/img/1/5bms-adfsod-5d.jpg)
