Introducción a AWS Managed Microsoft AD - AWS Directory Service
Requisitos previos de AWS Managed Microsoft ADAWS IAM Identity CenterRequisitos previos de Requisitos previos de la autenticación multifactorCreación de un AWS Managed Microsoft AD

Introducción a AWS Managed Microsoft AD

El AWS Managed Microsoft AD crea un Microsoft Active Directory completamente administrado en la Nube de AWS, impulsado por Windows Server 2019 y opera en los niveles funcionales de Bosque y Dominio de 2012 R2. Al crear un directorio con AWS Managed Microsoft AD, Directory Service crea dos controladores de dominio y agrega el servicio de DNS en su nombre. Los controladores de dominio se crean en subredes diferentes de una Amazon VPC; esta redundancia ayuda a garantizar que el directorio permanecerá accesible incluso en caso de error. Si necesita más controladores de dominio, puede añadirlos posteriormente. Para obtener más información, consulte Implementación de controladores de dominio adicionales para el AWS Managed Microsoft AD.

Para ver una demostración y una descripción general de AWS Managed Microsoft AD, consulte el siguiente video de YouTube.

Temas

Requisitos previos para crear un AWS Managed Microsoft AD

Para crear un AWS Managed Microsoft AD Active Directory necesitará una Amazon VPC con lo siguiente:

  • Dos subredes como mínimo. Cada una de las subredes debe estar en una zona de disponibilidad diferente y debe ser del mismo tipo de red.

    Se puede usar IPv6 para su VPC. Para obtener más información, consulte Compatibilidad con IPv6 para su VPC en la Guía del usuario de Amazon Virtual Private Cloud.

  • La VPC debe disponer de tenencia de hardware predeterminada.

  • No puede crear un directorio de AWS Managed Microsoft AD en una VPC con direcciones dentro del espacio de direcciones 198.18.0.0/15.

Si necesita integrar su dominio de AWS Managed Microsoft AD con un dominio en las instalaciones existente de Active Directory, debe establecer los niveles funcionales de dominio y bosque del dominio en las instalaciones en Windows Server 2003 o posterior.

Directory Service utiliza una estructura con dos VPC. Las instancias EC2 que conforman su directorio se ejecutan fuera de su cuenta de AWS y las administra AWS. Contienen dos adaptadores de red, ETH0 y ETH1. ETH0 es el adaptador de administración y se encuentra fuera de su cuenta. ETH1 se crea dentro de su cuenta.

El rango IP de administración de la red ETH0 de su directorio es 198.18.0.0/15.

Para ver un tutorial sobre cómo crear el entorno de AWS y el AWS Managed Microsoft AD, consulte Tutoriales de laboratorio de pruebas de AWS Managed Microsoft AD.

AWS IAM Identity CenterRequisitos previos de

Si planea utilizar IAM Identity Center con AWS Managed Microsoft AD, debe asegurarse de que se cumpla lo siguiente:

  • El directorio de AWS Managed Microsoft AD debe estar configurado en la cuenta de administración de la organización de AWS.

  • Su instancia de IAM Identity Center debe estar en la misma región en la que se configuró su directorio de AWS Managed Microsoft AD.

Para más información, consulte Requisitos previos del IAM Identity Center en la Guía del usuario de AWS IAM Identity Center.

Requisitos previos de la autenticación multifactor

Para poder utilizar la autenticación multifactor con su directorio de AWS Managed Microsoft AD, debe configurar su servidor Remote Authentication Dial-In User Service (RADIUS) basado en la nube o en las instalaciones de la siguiente manera para que pueda aceptar solicitudes del directorio de AWS Managed Microsoft AD en AWS.

  1. En el servidor RADIUS, cree dos clientes RADIUS para representar los dos controladores de dominio (DC) de AWS Managed Microsoft AD en AWS. Debe configurar ambos clientes utilizando los siguientes parámetros comunes (su servidor RADIUS puede variar):

    • Dirección (DNS o IP): esta es la dirección de DNS para uno de los controladores de dominio de AWS Managed Microsoft AD. Ambas direcciones DNS se pueden encontrar en la consola de AWS Directory Service, en la página Detalles del directorio de AWS Managed Microsoft AD en el que tiene previsto utilizar MFA. Las direcciones DNS que aparecen representan las direcciones IP de ambos controladores de dominio de AWS Managed Microsoft AD utilizados por AWS.

      nota

      Si su servidor RADIUS es compatible con direcciones DNS, deberá crear una única configuración de cliente RADIUS. De lo contrario, deberá crear una configuración de cliente de RADIUS para cada controlador de dominio de AWS Managed Microsoft AD.

    • Port number: configure el número de puerto donde su servidor RADIUS acepta conexiones de clientes RADIUS. El puerto para RADIUS estándar es 1812.

    • Shared secret (Secreto compartido): escriba o genere el secreto compartido que el servidor RADIUS utilizará para conectar con los clientes de RADIUS.

    • Protocolo: puede que necesite configurar el protocolo de autenticación entre los controladores de dominio de AWS Managed Microsoft AD y el servidor RADIUS. Los protocolos admitidos son PAP, CHAP, MS-CHAPv1 y MS-CHAPv2. Se recomienda utilizar MS-CHAPv2, ya que es el que ofrece la mayor seguridad de las tres opciones.

    • Application name: puede ser opcional en algunos servidores RADIUS y normalmente identifica la aplicación en los mensajes o en los informes.

  2. Configure la red existente para permitir el tráfico entrante desde los clientes RADIUS (direcciones DNS del controlador de dominio de AWS Managed Microsoft AD consulte el paso 1) al puerto del servidor RADIUS.

  3. Agregue una regla al grupo de seguridad de Amazon EC2 en su dominio de AWS Managed Microsoft AD que permita el tráfico entrante desde la dirección de DNS del servidor RADIUS y el número de puerto definido anteriormente. Para obtener más información, consulte Agregar reglas a un grupo de seguridad en la Guía del usuario de EC2.

Para obtener más información acerca de cómo utilizar AWS Managed Microsoft AD con MFA, consulte Habilitación de la autenticación multifactor para el AWS Managed Microsoft AD.

Creación de un AWS Managed Microsoft AD

Para crear un nuevo AWS Managed Microsoft AD Active Directory, lleve a cabo los siguientes pasos. Antes de comenzar este procedimiento, asegúrese de haber completado los requisitos previos que se indican en Requisitos previos para crear un AWS Managed Microsoft AD.

Creación de un AWS Managed Microsoft AD

  1. En el panel de navegación de la consola de AWS Directory Service, elija Directorios y, a continuación, elija Configurar directorio.

  2. En la página Seleccionar tipo de directorio, elija AWS Managed Microsoft AD y, a continuación, elija Siguiente.

  3. En la página Enter directory information (Especifique la información del directorio), facilite la siguiente información:

    Edición

    Elija entre la edición Standard Edition o Enterprise Edition de AWS Managed Microsoft AD. Para obtener más información acerca de las ediciones, consulte AWS Directory Service para Microsoft Active Directory.

    Nombre de DNS del directorio

    El nombre completo del directorio, como por ejemplo corp.example.com.

    nota

    Si planea usar Amazon Route 53 para DNS, el nombre de dominio del AWS Managed Microsoft AD debe ser diferente al nombre de dominio de Route 53. Pueden ocurrir problemas de resolución de DNS si Route 53 y el AWS Managed Microsoft AD comparten el mismo nombre de dominio.

    Nombre NetBIOS del directorio

    El nombre abreviado del directorio, como CORP.

    Descripción del directorio

    Descripción opcional del directorio. Esta descripción se puede cambiar después de crear un AWS Managed Microsoft AD.

    Contraseña de administrador

    Contraseña del administrador del directorio. Al crear el directorio, se crea también una cuenta de administrador con el nombre de usuario Admin y esta contraseña. Puede cambiar la contraseña de administrador después de crear el AWS Managed Microsoft AD.

    La contraseña no puede incluir la palabra “admin”.

    La contraseña del administrador del directorio distingue entre mayúsculas y minúsculas y debe tener 8 caracteres como mínimo y 64 como máximo. También debe contener al menos un carácter de tres de las siguientes categorías:

    • Letras minúsculas (a-z)

    • Letras mayúsculas (A-Z)

    • Números (0-9)

    • Caracteres no alfanuméricos (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    Confirm password

    Vuelva a escribir la contraseña de administrador.

    (Opcional) Administración de usuarios y grupos

    Para habilitar la administración de usuarios y grupos del AWS Managed Microsoft AD desde la Consola de administración de AWS, seleccione Administración de usuarios y grupos en la Consola de administración de AWS. Para obtener más información acerca de cómo usar la administración de grupos y usuarios, consulte Administración de usuarios y grupos en AWS Managed Microsoft AD con la Consola de administración de AWS, la AWS CLI o Herramientas de AWS para PowerShell.

  4. En la página Choose VPC and subnets (Elegir la VPC y las subredes), proporcione la siguiente información y, a continuación, elija Next (Siguiente).

    de VPC

    Seleccione la VPC del directorio.

    Tipo de red

    El sistema de direcciones del Protocolo de Internet (IP) asociado a la VPC y las subredes.

    Seleccione el bloque de CIDR asociado a su VPC existente. Los recursos en la subred pueden estar configurados para usar solo IPv4, solo IPv6 o IPv4 e IPv6 (pila doble). Para obtener más información, consulte Creación de IPv4 y IPv6 en la Guía del usuario de Amazon Virtual Private Cloud.

    Subredes

    Seleccione las subredes de los controladores de dominio. Las dos subredes deben estar en diferentes zonas de disponibilidad.

  5. En la página Review & create (Revisar y crear), revise la información del directorio y haga los cambios que sean necesarios. Cuando la información sea correcta, seleccione Create directory (Crear directorio). Se tarda entre 20 y 40 minutos en crear el directorio. Una vez creado, el valor Status cambia a Active.

Para obtener más información sobre lo que se crea con el AWS Managed Microsoft AD, consulte lo siguiente:

Artículos relacionados del blog de seguridad de AWS