¿Para qué se utiliza Amazon Directory Service?
Es un servicio manejado que provee directorios que contienen información acerca de su organización, incluyendo usuarios, grupos, computadoras y otros recursos.
¿Qué tipos de directorios se pueden elegir en AWS Directory Service?
Se pueden elegir entre tres tipos de tipos de directorio:
AWS Directory Service para Microsoft Active Directory (Enterprise Edition “Microsoft AD”)
Provee mucha de la funcionalidad de Microsoft Active Directory ademas de la integración con aplicaciones de AWS. Con la funcionalidad tradicional de Active Directory, se puede habilitar relaciones de confianza con su Active Directory del dominio y extenderlo a otros servicios de AWS.
Este servicio es la mejor opción para mas de 5000 usuarios y cuando se necesita una relación entre un directorio almacenado en AWS y uno en su organización.
Simple AD
Es un Microsoft Active Directory que esta provisto de Samba 4. Soporta características comunes de Active Directory como cuentas de usuario, membresías de grupo, domain-joining instancias de EC2 ejecutando Linux y Windows, y policies de grupo. Esto hace aun mas sencillo manejar instancias de EC2 ejecutando Linux y Windows y desplegar aplicaciones Windows en la nube.
Muchas de las aplicaciones que requieren Active Directory pueden ser usadas con Simple AD. Las cuentas de usuario en Simple AD pueden también acceder aplicaciones AWS, como Workspaces, WorkDocs o WorkMail.
Es posible usar IAM roles para acceder la consola de administración y manejar los recursos de AWS. Finalmente, Simple AD provee snapshots automáticos todos los días que habilitan recuperación de un punto en el tiempo.
En la mayoría de los casos es la opción mas económica y la mejor opción si se tienen 5000 o menos usuarios.
AD Connector
Es un servicio proxy para conectar Microsoft Active Directory en sus instalaciones con AWS en la nube sin requerir de compleja sincronización de directorios o el costo y complejo hosting de infraestructura de gobernabilidad (federation).
AD-Connector reenvía una petición de autenticación a los controladores de Active Directory de su dominio para autenticación y provee la habilidad a las aplicaciones de hacer consultas al directory para retraer datos. Después del montaje, sus usuarios pueden usar las credenciales corporativas existentes para iniciar sesión en las aplicaciones de AWS, como WorkSpaces, WorkDocs o WorkMail. Con los permisos apropiados de también pueden acceder a la administración de la consola de AWS y manejar recursos como instancias de EC y buckets de S3.
Con AD Connector se puede continuar manejando Active Directory de forma normal. Agregando usuarios, grupos y actualizando contraseñas mediante las herramientas de administración estándar del directorio. Ademas AD Connect habilita la aplicación de sus existentes políticas de seguridad como la caducidad del password, password history, y cuentas bloqueadas, mientras los usuarios acceden los recursos en las instalaciones de la organización o en la nube.
Es la mejor opción cuando se usa el directorio que se encuentra en las instalaciones de la organización y los servicios de AWS.
Este servicio esta pensado para reducir las tareas de administración de identidad. No es necesario realizar complejas topologías de directorios debido a que cada directorio es desplegado a traves de diferentes AZ, y monitoreado automáticamente para detectar y reemplazar los controles del dominio que fallen. Ademas, la replicación de datos y los snapshots diarios son configurados automáticamente. No hay software que se requiera instalar, y AWS maneja todos los parches y actualizaciones de software.