São Paulo

Integrando serviços de

diretório na nuvem

Bruno Franca dos Reis

Technical Trainer @ Amazon Web Services

AWS Directory Service: Introdução

AWS Directory Service: por quê?

• Gerenciar contas de usuários e senhasseparadamente adiciona custo e complexidade– Áreas de TI gostariam de usar as credenciais corporativas para

gerenciar recursos na AWS

– Usuários finais gostariam de usar as credenciais corporativaspara acessar aplicações rodando na AWS

• Gerenciar instâncias Windows do Amazon EC2 deveria ser tão simples quanto o gerenciamentode servidores locais

AWS Directory Service: o que é?

• Simples– Provisionamento com wizard de 3 passos

– Disponível em minutos

• Serviço gerenciado– Gerenciamento de patches

– Monitoramento, replicação

– Alta disponibilidade

– Snapshots diários automatizados

AWS Directory Service: o que é?

• Segurança– Executa dentro de uma VPC

– Sujeito a regras de Network ACLs e Security Groups

– AD Connector via túnel VPN IPSEC padrão de indústria

– Suporte a RADIUS

• Alta confiabilidade e disponibilidade– Replicado em 2 zonas de disponibilidade

– Substituição de hosts automaticamente em caso de falha

– Snapshots diários (Simple AD) automatizados

AWS Directory Service: o que é?

• Auditável– Via CloudTrail

– Via Windows Event Log (Simple AD)

• Pague conforme usar

AWS Directory Service: para que serve?

Serviços de AplicaçãoAmazon WorkSpaces

Amazon WorkDocs

Amazon WorkMail

AWS Directory Service: para que serve?

Console de Gerenciamento

AWS Directory Service: para que serve?

Instâncias Windows– Gerenciamento

– Ingresso a domínios

EC2

AWS Directory Service: como funciona?

• AD Connector– Integração de Microsoft Active Directory existente

• Simple AD– Diretório independente em nuvem, compatível com Samba 4

AWS Directory Service: AD Connector

AWS Directory Service: AD Connector

• Integra com Microsoft Active Directory existente– Conexão via VPN ou AWS Direct Connect

– Identidades ficam armazenadas on-premises

• Requer usuário com permissões somente leitura– Listar usuários / grupos / computadores

– Ingressar computadores no domínio

• Diretórios em dois tamanhos– Pequeno: 10k objetos

– Grande: 100k objetos

AWS Directory Service: AD Connector

Microsoft Active

Directory

Data Center do cliente

Região da AWS

VPN

Connection

AD Connector AD Connector

Subnet (Zona A) Subnet (Zona B)

AWS Directory Service: AD Connector

• Proxy para Microsoft Active Directory existente– Segue as mesmas políticas de senhas

– Respeita bloqueio de contas de usuários

• Suporte a Autenticação Multi-Fator– Integra com a infraestrutura RADIUS existente

AWS Directory Service: Simple AD

AWS Directory Service: Simple AD

• Diretório independente, baseado em Samba 4– Não requer infraestrutura existente

– Identidades ficam armazenadas no Simple AD

• Durabilidade através de Snapshots– Automáticos (diário) ou manuais

• Diretórios em dois tamanhos– Pequeno: 2k objetos, carga de ~500 usuários

– Grande: 20k objetos, carga de ~5000 usuários

AWS Directory Service: Simple AD

Região da AWS

Simple AD Simple AD

Subnet (Zona A) Subnet (Zona B)

Demo

Obrigado!