AWS Directory Service FAQ

일반

AWS Directory Service는 사용자, 그룹, 컴퓨터, 기타 리소스 등 조직에 관한 정보가 포함된 디렉터리를 제공하는 관리형 서비스 오퍼링입니다. AWS Directory Service는 관리형 오퍼링으로서, 관리 작업을 줄여 비즈니스에 더 많은 시간과 리소스를 집중할 수 있도록 설계되었습니다. 각 디렉터리가 여러 가용 영역에 걸쳐 배포되고 모니터링을 통해 실패한 도메인 컨트롤러를 자동으로 탐지하여 교체하므로, 복잡하고 가용성이 뛰어난 디렉터리 토폴로지를 자체적으로 구축할 필요가 없습니다. 또한, 데이터 복제와 자동화된 일일 스냅샷도 구성됩니다. 설치해야 할 소프트웨어가 없으며 AWS가 모든 패치와 소프트웨어 업그레이드를 처리합니다.

AWS Directory Service를 사용하면 손쉽게 AWS 클라우드에서 디렉터리를 설정 및 실행하거나 AWS 리소스를 기존 온프레미스 Microsoft Active Directory에 연결할 수 있습니다. 디렉터리가 생성되면, 이를 사용하여 사용자와 그룹을 관리하고, 애플리케이션과 서비스에 SSO를 제공하며, 그룹 정책을 생성 및 적용하고, Amazon EC2 인스턴스를 도메인에 조인하고, 클라우드 기반 Linux 및 Microsoft Windows 워크로드의 배포 및 관리를 간소화할 수 있습니다. AWS Directory Service를 사용하면 최종 사용자가 기존 기업 자격 증명을 사용하여 Amazon WorkSpaces, Amazon WorkDocs, Amazon WorkMail과 같은 AWS 애플리케이션과 커스텀 .NET 및 SQL Server 기반 애플리케이션과 같은 디렉터리 인식 Microsoft 워크로드에 액세스할 수 있습니다. 마지막으로 기존 기업 자격 증명을 사용하면 AWS Management Console에 대한 AWS Identity and Access Management(IAM) 역할 기반 액세스를 통해 AWS 리소스를 관리할 수 있으므로 자격 증명 연동 인프라를 추가로 구출할 필요가 없습니다.

AWS Management Console 또는 API를 사용하여 디렉터리를 생성할 수 있습니다. 디렉터리에 대해 정규화된 도메인 이름(FQDN), 관리자 계정 이름 및 암호, 디렉터리를 연결할 VPC 같은 일부 기본 정보만 제공하면 됩니다.

예. AWS Management Console 또는 API를 사용하여 Linux 또는 Windows 구동 기존 EC2 인스턴스를 AWS Managed Microsoft AD 디렉터리에 추가할 수 있습니다.

디렉터리를 생성하고 관리하기 위한 퍼블릭 API가 지원됩니다. 이제 퍼블릭 API를 사용하여 디렉터리를 프로그래밍 방식으로 관리할 수 있습니다. 이 API는 AWS CLI 및 SDK를 통해 사용 가능합니다. AWS Directory Service 설명서에서 API에 대해 자세히 알아보세요.

예. AWS Service API 또는 Management Console을 통해 수행되는 작업은 CloudTrail 감사 로그에 포함됩니다.

예. AWS Directory Service의 상태가 변경될 때, 이메일 및 텍스트 메시지를 받도록 Amazon Simple Notification Service(SNS)를 구성할 수 있습니다. Amazon SNS는 주제를 사용하여 메시지를 수집하고 구독자에게 메시지를 배포합니다. AWS Directory Service가 디렉터리의 상태 변경을 탐지하면, 연결된 주제로 메시지를 게시하며, 이 메시지는 주제 구독자에게 전송됩니다. 자세히 알아보려면 설명서를 참조하세요.

자세한 내용은 요금 페이지를 참조하세요.

예. AWS Directory Service에서는 비용 할당 태깅을 지원합니다. 태그를 사용하면 AWS 리소스를 분류하고 그룹화하여 손쉽게 비용을 할당하고 지출을 최적화할 수 있습니다. 예를 들어 태그를 사용하여 리소스를 관리자, 애플리케이션 이름, 비용 센터 또는 특정 프로젝트별로 그룹화할 수 있습니다.

AWS Directory Service의 리전별 가용성에 대한 자세한 내용은 리전별 제품 및 서비스를 참조하세요.

2020년 5월 31일부터 클라이언트 컴퓨터에서 AWS Managed Microsoft AD 디렉터리에 대한 도메인 컨트롤러의 SYSVOL 및 NETLOGON 공유에 저장된 파일에 액세스하려면 SMB 버전 2.0(SMBv2) 이상을 사용해야 합니다. 그러나 AWS는 고객이 모든 SMB 기반 파일 서비스에서 SMBv2 이상을 사용할 것을 권장합니다.

AWS Managed Microsoft AD

AWS Management Console에서 AWS Directory Service 콘솔을 시작하여 AWS Managed Microsoft AD 디렉터리를 생성할 수 있습니다. 아니면 AWS SDK 또는 AWS CLI를 사용할 수도 있습니다.

AWS Managed Microsoft AD 디렉터리는 기본적으로 1개의 리전에서 2개의 가용 영역에 걸쳐 배포되며, Amazon Virtual Private Cloud(VPC)에 연결됩니다. 백업은 하루에 한 번 자동으로 수행되며, 저장 데이터를 보안하기 위해 Amazon Elastic Block Store(EBS) 볼륨이 암호화됩니다. 장애가 발생한 도메인 컨트롤러는 같은 IP 주소를 사용하여 동일한 가용 영역에서 자동으로 교체되며, 전체 재해 복구는 최근 백업을 사용하여 수행됩니다.

아니요. 현재 이 기능은 지원되지 않습니다.

AWS Managed Microsoft AD 도메인에 조인된 Windows 컴퓨터에서 실행되는 기존 Active Directory 도구를 사용하여 AWS Managed Microsoft AD 디렉터리의 사용자와 그룹을 관리할 수 있습니다. 특별한 도구, 정책 또는 동작 변경은 필요 없습니다.

관리형 서비스 환경을 제공하기 위해서는 AWS Managed Microsoft AD가 서비스 관리에 영향을 줄 수 있는 고객의 작업을 허용하지 않아야 합니다. 따라서 AWS는 승격된 권한이 필요한 디렉터리 객체, 역할 및 그룹으로의 액세스를 제한합니다. AWS Managed Microsoft AD는 Windows 원격 데스크톱 연결, PowerShell Remoting, Telnet 또는 Secure Shell(SSH)을 통해 도메인 컨트롤러에 직접 호스트가 액세스하는 것을 허용하지 않습니다. AWS Managed Microsoft AD 디렉터리를 생성할 때 조직 단위(OU) 및 관리 계정이 OU에 대한 관리 권한을 통해 사용자에게 할당됩니다. Active Directory 사용자 및 그룹 또는 PowerShell ActiveDirectory 모듈과 같은 표준 원격 서버 관리 도구를 사용하여 OU 내 사용자 계정, 그룹 및 정책을 생성할 수 있습니다.

예. AWS Managed Microsoft AD를 설정할 때 고객에게 할당된 관리 계정에는 RAS(Remote Access Service) 및 IAS(Internet Authentication Service) 보안 그룹에 대해 위임된 관리 권한이 있습니다. 따라서 고객은 NPS를 AWS Managed Microsoft AD에 등록하고 도메인의 계정에 대한 네트워크 액세스 정책을 관리할 수 있습니다.

예. AWS Managed Microsoft AD는 LDIF(LDAP 데이터 교환 형식) 파일 형식으로 서비스에 제출하는 스키마 확장을 지원합니다. 핵심 Active Directory 스키마를 확장할 수 있지만, 변경할 수는 없습니다.

Amazon Chime

Amazon Connect

Amazon EC2 인스턴스

Amazon FSx for Windows File Server

Amazon QuickSight

MySQL용 Amazon RDS

Oracle용 Amazon RDS

PostgreSQL용 Amazon RDS

SQL Server용 Amazon RDS

Amazon Single Sign On

Amazon WorkDocs

Amazon WorkMail

Amazon WorkSpaces

AWS Client VPN

AWS Management Console

참고로 이러한 애플리케이션의 일부 구성이 지원되지 않을 수 있습니다.

AWS Managed Microsoft AD는 실제 Active Directory를 기반으로 다음과 같이 가장 넓은 범위의 기본 AD 도구 및 타사 앱 지원을 제공합니다.

Active Directory 기반 정품 인증(ADBA)

Active Directory 인증서 서비스(AD CS): 엔터프라이즈 인증 기관

AD FS(Active Directory Federation Services)

Active Directory 사용자 및 컴퓨터(ADUC)

애플리케이션 서버(.NET)

Azure Active Directory(Azure AD)

Azure Active Directory(AD) Connect

분산 파일 시스템 복제(DFSR)

분산 파일 시스템 네임스페이스(DFSN)

Microsoft 원격 데스크톱 서비스 라이선싱 서버

Microsoft SharePoint Server

Microsoft SQL Server(SQL Server Always On 가용성 그룹 포함)

Microsoft System Center Configuration Manager(SCCM)

Microsoft Windows 및 Windows Server OS

Office 365

Active Directory 인증서 서비스(AD CS): 인증서 등록 웹 서비스

Active Directory 인증서 서비스(AD CS): 인증서 등록 정책 웹 서비스

Microsoft Exchange Server

Microsoft Skype for Business Server

AWS에서는 자체 관리형 Active Directory를 AWS Managed Microsoft AD로 마이그레이션할 수 있는 마이그레이션 도구를 제공하지 않습니다. 고객이 암호 재설정을 비롯한 마이그레이션 수행 전략을 수립하고 Remote Server Administration Tools를 사용하여 계획을 구현해야 합니다.

예. Directory Service 콘솔과 API를 사용하여 AWS Managed Microsoft AD에 대한 조건부 전달자와 트러스트를 구성할 수 있습니다. 

예. AWS Directory Service 콘솔 또는 API를 사용하여 관리형 도메인에 도메인 컨트롤러를 추가할 수 있습니다. Amazon EC2 인스턴스를 도메인 컨트롤러로 수동으로 승격하는 기능은 지원되지 않습니다. 

예. Azure AD Connect를 사용하여 AWS Managed Microsoft AD의 자격 증명을 Azure AD로 동기화하고, Windows 2016용 Microsoft AD FS(Active Directory Federation Services)에서 AWS Managed Microsoft AD를 사용하여 Office 365 사용자를 인증할 수 있습니다. 단계별 지침은 How to Enable Your Users to Access Office 365 with AWS Microsoft Active Directory Credentials 게시물을 참조하세요.  

예. Windows 2016용 Microsoft AD FS(Active Directory Federation Services)에서 AWS Managed Microsoft AD에서 관리하는 도메인을 사용하여 SAML을 지원하는 클라우드 애플리케이션에 액세스하도록 사용자를 인증할 수 있습니다. 

예. AWS Managed Microsoft AD에서는 클라이언트 역할과 서버 역할 모두에서 Secure Sockets Layer(SSL)를 사용하는 LDAP(Lightweight Directory Access Protocol)과 TLS(전송 계층 보안)를 사용하는 LDAP를 지원합니다(LDAPS라고도 함). 서버 역할을 하는 경우 AWS Managed Microsoft AD는 포트 636(SSL) 및 389(TLS)를 통해 LDAPS를 지원합니다. AWS 기반 Active Directory Certificate Services 인증 기관(CA)에서 AWS Managed Microsoft AD 도메인 컨트롤러에 인증서를 설치하면 서버 측 LDAPS 통신을 활성화할 수 있습니다. 자세히 알아보려면 Enable Secure LDAP (LDAPS)를 참조하세요. 

예. AWS Managed Microsoft AD에서는 클라이언트 역할과 서버 역할 모두에서 Secure Sockets Layer(SSL)를 사용하는 LDAP(Lightweight Directory Access Protocol)과 TLS(전송 계층 보안)를 사용하는 LDAP를 지원합니다(LDAPS라고도 함). 클라이언트 역할을 하는 경우 AWS Managed Microsoft AD는 포트 636(SSL)을 통해 LDAPS를 지원합니다. 서버 인증서 발급자의 인증 기관(CA) 인증서를 AWS에 등록하면 클라이언트 측 LDAPS 통신을 활성화할 수 있습니다. 자세히 알아보려면 Enable Secure LDAP (LDAPS)를 참조하세요. 

AWS Managed Microsoft AD는 자체 관리형 Active Directory와 통신하는 LDAP 클라이언트 역할을 할 때 LDAP 서명 및 LDAPS(LDAP over SSL/TLS) 모두를 지원합니다. 클라이언트 측 LDAP 서명에서는 고객 작업을 활성화하지 않아도 되며, 데이터 무결성을 제공합니다. 클라이언트 측 LDAPS에는 구성이 필요하며, 데이터 무결성과 기밀성을 제공합니다. 자세한 내용은 이 AWS 포럼 게시물을 참조하세요. 

AWS Managed Microsoft AD(스탠다드 에디션)에는 1GB의 디렉터리 객체 스토리지가 포함되어 있습니다. 이 용량이면 최대 5,000명의 사용자 또는 최대 30,000개의 디렉터리 객체(사용자, 그룹, 컴퓨터 등)를 지원할 수 있습니다. AWS Managed Microsoft AD(엔터프라이즈 에디션)에는 17GB의 디렉터리 객체 스토리지가 포함되어 있어 최대 100,000명의 사용자 또는 500,000개의 객체를 지원할 수 있습니다. 

예. 이를 기본 디렉터리로 사용하여 클라우드에서 사용자, 그룹, 컴퓨터 및 GPO(그룹 정책 개체)를 관리할 수 있습니다. AWS 클라우드에서 AWS 애플리케이션 및 서비스에 대한 그리고 Amazon EC2 인스턴스에서 실행되는 타사 디렉터리 인식 애플리케이션에 대한 액세스를 관리하고 SSO(Single Sign-On)를 제공할 수 있습니다. 또한, Azure AD Connect 및 AD FS를 사용하여 Office 365를 비롯한 클라우드 애플리케이션에 대해 SSO를 지원할 수 있습니다. 

예. AWS Managed Microsoft AD를 온프레미스 디렉터리와 트러스트 관계가 있는 컴퓨터와 그룹이 주로 포함된 리소스 포리스트로 사용할 수 있습니다. 따라서 사용자가 온프레미스 AD 자격 증명으로 AWS 애플리케이션과 리소스에 액세스할 수 있습니다. 

다중 리전 복제

다중 리전 복제는 단일 AWS Managed Microsoft AD 디렉터리를 여러 AWS 리전에 배포하고 사용할 수 있는 기능입니다. 이를 통해 Microsoft Windows 및 Linux 워크로드를 더욱 쉽고 비용 효율적으로 전역에서 배포하고 관리할 수 있습니다. 자동화된 다중 리전 복제 기능으로 더 우수한 복원력을 확보하고 애플리케이션에서는 최적의 성능을 위해 로컬 디렉터리를 사용합니다. 이 기능은 AWS Managed Microsoft AD(Enterprise Edition)에서만 사용할 수 있습니다. 신규 및 기존 디렉터리에서 이 기능을 사용할 수 있습니다.

먼저, 디렉터리를 설정하고 실행 중인 리전(기본 리전)에서 AWS Directory Service 콘솔을 엽니다. 확장하려는 디렉터리를 선택하고 [리전 추가(Add Region)]를 선택합니다. 그런 다음 확장하려는 리전을 선택하고, 디렉터리를 배포할 Amazon Virtual Private Cloud(VPC)와 서브넷을 제공합니다. API를 사용하여 디렉터리를 확장할 수도 있습니다. 자세히 알아보려면 설명서를 참조하세요.

AWS Managed Microsoft AD에서는 리전 간 네트워킹 연결을 자동으로 구성하고, 도메인 컨트롤러를 배포하고, 선택한 리전에서 사용자, 그룹, GPO(그룹 정책 객체) 및 스키마를 포함한 모든 디렉터리 데이터를 복제합니다. 또한 AWS Managed Microsoft AD는 리전 내 사용자 인증 및 도메인 컨트롤러 복제 성능을 개선하는 리전당 새 AD 사이트를 구성하는 동시에 리전 간 데이터 전송을 최소화하여 비용을 낮춰줍니다. 디렉터리 식별자(directory_id)는 새 리전에서 동일하게 유지되며 기본 리전과 동일한 AWS 계정에 배포됩니다.

예. 다중 리전 복제를 사용하면 리전별로 다른 AWS 계정과 유연하게 디렉터리를 공유할 수 있습니다. 기본 리전의 디렉터리 공유 구성은 자동으로 복제되지 않습니다. 다른 AWS 계정과 디렉터리를 공유하는 방법을 자세히 알아보려면 설명서를 참조하세요.

예. 다중 리전 복제를 사용하는 경우 리전별 도메인 컨트롤러의 수를 유연하게 정의할 수 있습니다. 도메인 컨트롤러를 추가하는 방법에 대해 자세히 알아보려면 설명서를 참조하세요.

다중 리전 복제를 사용하는 경우 각 리전의 디렉터리 상태를 개별적으로 모니터링해야 합니다. 디렉터리를 배포한 각 리전에서 AWS Directory Service 콘솔 또는 API를 사용하여 Amazon Simple Notification Service(SNS)를 활성화해야 합니다. 자세히 알아보려면 설명서를 참조하세요.

다중 리전 복제를 사용하는 경우 각 리전의 디렉터리 보안 로그를 개별적으로 모니터링해야 합니다. 디렉터리를 배포한 각 리전에서 AWS Directory Service 콘솔 또는 API를 사용하여 Amazon CloudWatch Logs 전달을 활성화해야 합니다. 자세히 알아보려면 설명서를 참조하세요.

예. 표준 AD 도구를 사용하여 디렉터리의 AD 사이트 이름을 리전별로 변경할 수 있습니다. 자세히 알아보려면 설명서를 참조하세요.

예. 디렉터리에 등록된 AWS 애플리케이션이 없고 리전에 디렉터리를 공유한 AWS 계정이 없다면 AWS Managed Microsoft AD를 사용하여 디렉터리에서 AWS 리전을 제거할 수 있습니다. 기본 리전은 디렉터리를 삭제하지 않는 한 제거할 수 없습니다.

다중 리전 복제는 Amazon EC2, Amazon RDS(SQL Server, Oracle, MySQL, PostgreSQL 및 MariaDB), Amazon Aurora(MySQL 및 PostgreSQL) 및 Amazon FSx for Windows File Server와 기본적으로 호환됩니다. 각 리전의 AWS Managed Microsoft AD 디렉터리에 AD Connector를 구성하여 Amazon WorkSpaces, AWS Single Sign-On, AWS Client VPN, Amazon QuickSight, Amazon Connect, Amazon WorkDocs, Amazon WorkMail 및 Amazon Chime과 같은 다른 AWS 애플리케이션을 새 리전의 디렉터리와 통합할 수도 있습니다.

원활한 도메인 조인

원활한 도메인 조인은 시작할 때 AWS Management Console에서 Amazon EC2 for Windows Server 및 Amazon EC2 for Linux 인스턴스를 도메인에 원활하게 조인할 수 있게 해주는 기능입니다. AWS 클라우드에서 시작하는 인스턴스를 AWS Managed Microsoft AD에 조인할 수 있습니다.

AWS Management Console에서 EC2 for Windows 또는 EC2 for Linux 인스턴스를 생성하여 시작할 때, 인스턴스를 조인할 도메인을 선택할 수 있습니다. 자세히 알아보려면 설명서를 참조하세요.

기존의 EC2 for Windows Server 및 EC2 for Linux 인스턴스에 대해 AWS Management Console에서는 원활한 도메인 조인 기능을 사용할 수 없지만, EC2 API를 사용하거나 해당 인스턴스에서 PowerShell을 사용하여 기존 인스턴스를 도메인에 조인할 수 있습니다. 자세히 알아보려면 설명서를 참조하세요.

원활한 도메인 조인 기능은 현재 Amazon Linux, Amazon Linux 2, CentOS 7 이상, RHEL 7.5 이상 및 Ubuntu 14~18에서 사용할 수 있습니다.

IAM 통합

AWS Directory Service를 사용하면 AWS 클라우드에서 AWS Managed Microsoft AD 또는 Simple AD 사용자와 그룹에 IAM 역할을 할당하거나, AD Connector를 사용하여 기존 온프레미스 Microsoft Active Directory 사용자와 그룹에 할당할 수 있습니다. 이러한 역할은 해당 역할에 할당된 IAM 정책에 따라 AWS 서비스에 대한 사용자의 액세스를 제어합니다. AWS Directory Service에서는 고객별로 AWS Management Console용 URL을 제공하므로 사용자는 기존 기업 자격 증명을 사용해 로그인할 수 있습니다. 이 기능에 대한 자세한 내용은 설명서를 참조하세요. 

규정 준수

예. AWS Managed Microsoft AD는 미국 건강 보험 양도 및 책임에 관한 법(HIPAA) 요구 사항을 충족하는 데 필요한 제어 기능을 구현했으며, 지불 카드 보안 표준(PCI DSS) 규정 준수 증명 및 책임 요약의 범위 내 서비스에 포함되어 있습니다. 

AWS 클라우드의 규정 준수 및 보안과 관련된 포괄적인 문서 목록에 액세스하려면 AWS Artifact를 참조하세요.

HIPAA 및 PCI DSS 규정 준수를 비롯한 보안은 AWS와 고객의 공동 책임입니다. 예를 들어 AWS Managed Microsoft AD를 사용할 때 PCI DSS 요구 사항을 충족하도록 AWS Managed Microsoft AD 암호 정책을 구성하는 것은 고객의 책임입니다. HIPAA 및 PCI DSS 규정 준수 요구 사항을 충족하기 위해 취해야 하는 조치에 대해 자세히 알아보려면 AWS Managed Microsoft AD에 대한 규정 준수 설명서, Amazon Web Services에서 Architecting for HIPAA Security and Compliance(HIPAA 보안 및 규정 준수를 위한 설계) 백서, AWS 클라우드 규정 준수, HIPAA 규정 준수PCI DSS 규정 준수 페이지를 참조하세요.

Directory Service 요금에 대해 자세히 알아보기

요금 예제를 보고 비용을 계산할 수 있습니다.

자세히 알아보기 
AWS 계정에 가입
무료 계정에 가입

AWS 프리 티어에 즉시 액세스할 수 있습니다. 

가입 
Directory Service로 구축 시작하기
콘솔에서 구축 시작

AWS 콘솔에서 AWS Directory Service를 사용하여 구축을 시작할 수 있습니다.

로그인