What is Microsoft Active Directory (AD)?
- Microsoft AD란 AD 도메인 서비스와 함께 모든 Windows 서버에서 찾을 수 있는 소프트웨어
- 객체 데이터베이스이며 여기서 객체는 사용자 계정과 컴퓨터, 프린터, 파일 공유 보안 그룹이 될 수 있음
- 전체 Microsoft 생태계에서 온프레미스로 관리되는 모든 사용자는 Microsoft AD에서 관리됨
- 중앙 보안 관리가 있어 계정을 만들고 허가를 발급하는 등의 작업을 할 수 있음
- 모든 객체들은 트리로 조직화되며 트리의 그룹은 포레스트라는 용어로 부름
예) 도메인 제어기가 존재하며 여기에 사용자 이름은 John, 암호는 password로 계정을 생성
네트워크 내에 있는 모든 Windows 머신들이 이 도메인 제어기에 연결될 것이며
첫 번째 머신에 방금 만든 계정을 입력하면 제어기 내에서 계정 정보를 찾아 계정 정보가 일치할 경우 그 머신에서 로그인 허락
머신들이 전부 도메인 제어기에 연결되기 때문에 어떤 머신에서도 사용자가 액세스 가능하도록 할 수 있음
AWS Directory Services
- AWS Directory Service는 AWS에 Active Directory를 생성할 수 있게 해 줌
- AWS Directory Service에는 세 가지 종류가 존재
- AWS Managed Microsoft AD
AWS에 Active Directory를 만들 수 있게 하며 로컬에서 사용자를 관리할 수 있으며 멀티팩터 인증(MFA)을 지원
독립 실행형 Active Directory로 사용자가 있는 다른 온프레미스 AD와 신뢰 관계를 생성할 수 있음
즉, AWS는 온프레미스 AD를 신리하고 온프레미스 AD는 AWS를 신뢰하므로
만약 사용자가 AWS에서 관리되지 않는 계정으로 로그인했을 때 그 계정 정보를 온프레미스 AD에서도 탐색 가능하며
마찬가지로 온프레미스 AD 사용자가 AWS 계정을 이용해 온프레미스 AD에 인증한다면 AWS에서도 탐색 할 수 있음
그러므로 온프레미스 AD와 AWS가 사용자를 공유한다고 보면 됨
- AD Connector
온프레미스 AD로 리다이렉트해서 온프레미스 AD에서만 사용자가 관리되게 하는 Directory Gateway
AD Connector가 프록시로 사용되고 있어서 만약 사용자가 AD Connector로 로그인하면
그 요청을 온프레미스 AD로 프록시해서 거기서 탐색을 하도록 함
Managed Microsoft AD의 경우 AWS Managed AD 사용자와 온프레미스 AD의 사용자가 따로 있지만
AD Connector는 이름대로 쿼리 즉 연결 요청을 프록시해서 온프레미스 AD로 돌려보내며 사용자는 온프레미스 AD에서만 관리
- Simple AD
AWS의 AD 호환 관리형 디렉토리이며 Microsoft Directory를 사용하지 않고 온프레미스 AD와도 연결되지 않음
만약 온프레미스 AD가 없다면 AWS Cloud를 위한 AD가 필요할 것이므로 그 때 독립 실행형 AD로 Simple AD를 이용
Active Directory를 통해 Windows를 작동하게 할 EC2 인스턴스를 만들 수 있고
인스턴스들은 네트워크의 도메인 컨트롤러와 연결돼 로그인과 자격 증명을 공유할 수 있으므로 AWS에 디렉터리가 있으면 좋음
<디렉토리 서비스 실습>
- 디렉토리 서비스 개요
디렉토리 서비스는 여러 가지 옵션을 제공
Amazon Cognito User Pools는 Cognito로 사용자를 리디렉트하므로 디렉토리 서비스가 아니므로 정보를 입력하지 않음
AWS Managed Microsoft AD는 AD가 연결될 수 있고 AWS Cloud에 통합되며 온프레미스 디렉토리와 신뢰 관계 생성 가능
신뢰 관계를 생성하기 위해서는 두 가지 버전이 존재하며
표준 버전에는 30000개의 객체가 가능하고 기업용 버전은 그보다 훨씬 많은 500000개까지 가능함
또한 MFA를 지원함
Simple AD는 독립 관리형 디렉토리이자 AD와 호환 가능한 API가 존재하지만 온프레미스 Active Directory와는 연결 불가능
AD Connector는 디렉토리 요청을 Microsoft 온프미스 AD로 리디렉트하는 프록시이며
두 가지 버전이 존재하며 사용자가 500명까지 가능한 버전와 5000명까지 가능한 버전이 존재
'Cloud > AWS' 카테고리의 다른 글
| [SAA] IAM 고급 (0) | 2022.04.21 |
|---|---|
| [SAA] 조직 개요 (0) | 2022.04.21 |
| [SAA] ID 연합 및 Cognito (0) | 2022.04.21 |
| [SAA] 보안 토큰 서비스 (STS) 개요 (0) | 2022.04.20 |
| [SAA] CloudTrail vs CloudWatch vs Config (0) | 2022.04.20 |
