- vừa được xem lúc

AWS Certified Solutions Architect Professional -Identity Federation - Directory Services

0 0 15

Người đăng: Quân Huỳnh

Theo Viblo Asia

Introduction

A quick note about AWS Directory Services. This post is a quick note from the course Ultimate AWS Certified Solutions Architect Professional by Stephane Maarek. The only purpose of this post is a summary, if you want detailed learning, please buy a Stephane Maarek's course.

image.png

Microsoft Active Directory

You can find Microsoft Active Directory on any Windows Server with AD Domain Services.

It’s a database of objects: users, accounts, computers, printers, and security groups.

Centralized security management, create an account, and assign permissions. Security is integrated with Active Directory through logon authentication and access control to objects in the directory.

In Active Directory, objects are organized in trees. A group of trees is a forest.

For example.

image.png

We have a domain controller that accepts John's authentication and another machine connected to this domain controller. Now, we can use John's login authentication to access the resources of another machine.

AWS Directory Services

AWS provides three services that support Directory Services.

AWS Managed Microsoft AD

With AWS Managed Microsoft AD you can create your AD in AWS, manage users locally, and support MFA.

AWS Directory Service makes it easy to set up and run directories in the AWS Cloud or connect your AWS resources with an existing on-premises Microsoft Active Directory.

image.png

The users can authenticate on the right-hand side in on-premise AD or on the left-hand side in the AWS Cloud.

AWS AD Connector

AD Connector is a directory gateway with which you can redirect directory requests to your on-premises Microsoft Active Directory without caching any information in the cloud.

Users are managed on the on-premise AD.

AD Connector offers the following benefits:

  • End-users can use their existing corporate credentials to log on to AWS applications.
  • You can consistently enforce existing security policies whether users are accessing resources in your on-premises infrastructure or in the AWS Cloud.
  • Support MFA.

image.png

AWS Simple Active Directory

Which is not Microsoft AD, it’s an AD-compatible API called Samba.

It cannot be joined with on-premise AD.

Simple AD provides a subset of the features offered by AWS Managed Microsoft AD, including the ability to manage user accounts and group memberships, create and apply group policies, and securely connect to Amazon EC2 instances, but it does not support MFA.

image.png

AWS Managed Microsoft AD

Connect between AWS Managed AD and on-premise AD

Ability to connect your on-premise AD to AWS Managed Microsoft AD. For this, you need to set up a Direct Connect or VPN connection between the two.

image.png

On the left side, you have our on-premise AD which manages its users on-premise, and on the right side you have AWS Manage AD, this going to also be managing its users on AWS. And so you can set up three kinds of forest trust:

  1. One-way trust: AWS => on-premises.
  2. One-way trust: on-premises => AWS.
  3. Two-way forest trust: AWS <=>on-premises.

Active Directory Replication

You may want to create a replica of your on-premise AD on AWS to minimize the latency in case Direct Connect or VPN goes down.

image.png

To set up a replica, you need to deploy AD on an EC2 Windows instance, and you will have to set up a replication between on-premise AD and an EC2 Windows instance.

And finally, we can set up a two-way forest trust between our EC2 instance and AWS Manage AD.

AD Connector

AD Connector is a directory gateway to redirect directory requests to your on-premises Microsoft Active Directory.

No caching capability.

Manage users solely on-premises, with no possibility of setting up a trust.

Establish a connection use VPN or Direct Connect.

image.png

AWS Simple AD

Simple AD is an inexpensive Active Directory–compatible service with the common directory features.

Supports joining EC2 instances, and managing users and groups.

Does not support MFA, RDS SQL Server, or AWS SSO.

Small: 500 users, large: 5000 users.

Powered by Samba 4, compatible with Microsoft AD.

Lower cost, low scale, basic AD compatible, or LDAP compatibility.

No trust relationship.

End

End note about AWS Directory Services.

Bình luận

Bài viết tương tự

- vừa được xem lúc

PDF Export, cẩn thận với những input có thể truyền vào

Giới thiệu. Dạo gần đây mình tình cờ gặp rất nhiều lỗi XSS, tuy nhiên trang đó lại có sử dụng dữ liệu người dùng input vào để export ra PDF.

0 0 66

- vừa được xem lúc

Giới thiệu về AWS Batch

Khi sử dụng hệ thống cloud service, điều chúng ta thường phải quan tâm đến không chỉ là hiệu suất hoạt động (performance) mà còn phải chú ý đến cả chi phí bỏ ra để duy trì hoạt động của hệ thống. Chắn hẳn là hệ thống lớn hay nhỏ nào cũng đã từng phải dùng đến những instance chuyên để chạy batch thực

0 0 143

- vừa được xem lúc

Tìm hiểu về AWS KMS

1. AWS KMS là gì. Ở KMS bạn có thể lựa chọn tạo symetric key (khóa đối xứng) hoặc asymetric key (khóa bất đối xứng) để làm CMK (Customer Master Key). Sau khi tạo key thì có thể thiết đặt key policy để control quyền access và sử dụng key.

0 0 66

- vừa được xem lúc

AWS VPC cho người mới bắt đầu

Tuần này, tôi trình bày lại những gì tôi đã học được về Virtual Private Cloud (VPC) của Amazon. Nếu bạn muốn xem những gì tôi đã học được về AWS, hãy xem Tổng quan về DynamoDB và Tổng quan về S3. VPC là gì. Những điều cần lưu ý:.

0 0 84

- vừa được xem lúc

AWS Essentials (Phần 6): Guildline SNS Basic trên AWS

Tiếp tục với chuỗi bài viết về Basic AWS Setting, chúng ta tiếp tục tìm hiểu tiếp tới SNS (Simple Notification Service). Đây là một service của AWS cho phép người dùng setting thực hiện gửi email, text message hay push notification tự động tới mobile device dựa trên event người dùng setting phía AWS

0 0 145

- vừa được xem lúc

Sử dụng Amazon CloudFront Content Delivery Network với Private S3 Bucket — Signing URLs

Trong nhiều trường hợp, thì việc sử dụng CDN là bắt buộc. Mình đã trải nghiệm với một số CDN nhưng cuối cùng mình lựa chọn sử dụng AWS CloudFront.

0 0 117