Post on 25-Jul-2015
São Paulo
Integrando serviços de
diretório na nuvem
Bruno Franca dos Reis
Technical Trainer @ Amazon Web Services
AWS Directory Service: Introdução
AWS Directory Service: por quê?
• Gerenciar contas de usuários e senhasseparadamente adiciona custo e complexidade– Áreas de TI gostariam de usar as credenciais corporativas para
gerenciar recursos na AWS
– Usuários finais gostariam de usar as credenciais corporativaspara acessar aplicações rodando na AWS
• Gerenciar instâncias Windows do Amazon EC2 deveria ser tão simples quanto o gerenciamentode servidores locais
AWS Directory Service: o que é?
• Simples– Provisionamento com wizard de 3 passos
– Disponível em minutos
• Serviço gerenciado– Gerenciamento de patches
– Monitoramento, replicação
– Alta disponibilidade
– Snapshots diários automatizados
AWS Directory Service: o que é?
• Segurança– Executa dentro de uma VPC
– Sujeito a regras de Network ACLs e Security Groups
– AD Connector via túnel VPN IPSEC padrão de indústria
– Suporte a RADIUS
• Alta confiabilidade e disponibilidade– Replicado em 2 zonas de disponibilidade
– Substituição de hosts automaticamente em caso de falha
– Snapshots diários (Simple AD) automatizados
AWS Directory Service: o que é?
• Auditável– Via CloudTrail
– Via Windows Event Log (Simple AD)
• Pague conforme usar
AWS Directory Service: para que serve?
Serviços de AplicaçãoAmazon WorkSpaces
Amazon WorkDocs
Amazon WorkMail
AWS Directory Service: para que serve?
Console de Gerenciamento
AWS Directory Service: para que serve?
Instâncias Windows– Gerenciamento
– Ingresso a domínios
EC2
AWS Directory Service: como funciona?
• AD Connector– Integração de Microsoft Active Directory existente
• Simple AD– Diretório independente em nuvem, compatível com Samba 4
AWS Directory Service: AD Connector
AWS Directory Service: AD Connector
• Integra com Microsoft Active Directory existente– Conexão via VPN ou AWS Direct Connect
– Identidades ficam armazenadas on-premises
• Requer usuário com permissões somente leitura– Listar usuários / grupos / computadores
– Ingressar computadores no domínio
• Diretórios em dois tamanhos– Pequeno: 10k objetos
– Grande: 100k objetos
AWS Directory Service: AD Connector
Microsoft Active
Directory
Data Center do cliente
Região da AWS
VPN
Connection
AD Connector AD Connector
Subnet (Zona A) Subnet (Zona B)
AWS Directory Service: AD Connector
• Proxy para Microsoft Active Directory existente– Segue as mesmas políticas de senhas
– Respeita bloqueio de contas de usuários
• Suporte a Autenticação Multi-Fator– Integra com a infraestrutura RADIUS existente
AWS Directory Service: Simple AD
AWS Directory Service: Simple AD
• Diretório independente, baseado em Samba 4– Não requer infraestrutura existente
– Identidades ficam armazenadas no Simple AD
• Durabilidade através de Snapshots– Automáticos (diário) ou manuais
• Diretórios em dois tamanhos– Pequeno: 2k objetos, carga de ~500 usuários
– Grande: 20k objetos, carga de ~5000 usuários
AWS Directory Service: Simple AD
Região da AWS
Simple AD Simple AD
Subnet (Zona A) Subnet (Zona B)
Demo
Obrigado!