AWS - Directory Services / WorkDocs Enum

Huduma za Direktori

AWS Directory Service kwa Microsoft Active Directory ni huduma iliyosimamiwa ambayo inafanya iwe rahisi kuweka, kusimamia, na kupanua direktori katika AWS Cloud. Imejengwa kwenye Microsoft Active Directory halisi na inaunganisha kwa karibu na huduma zingine za AWS, hivyo kuwa rahisi kusimamia mzigo wako wa kazi unaofahamu direktori na rasilimali za AWS. Kwa AWS Managed Microsoft AD, unaweza kutumia watumiaji wako wa Active Directory wa sasa, vikundi, na sera kusimamia ufikiaji wa rasilimali zako za AWS. Hii inaweza kusaidia kusahilisha usimamizi wako wa kitambulisho na kupunguza haja ya suluhisho za kitambulisho ziada. AWS Managed Microsoft AD pia hutoa nakala rudufu za moja kwa moja na uwezo wa kupona kutokana na maafa, kusaidia kuhakikisha upatikanaji na uthabiti wa direktori yako. Kwa ujumla, Huduma ya Direktori ya AWS kwa Microsoft Active Directory inaweza kukusaidia kuokoa muda na rasilimali kwa kutoa huduma iliyosimamiwa, inayopatikana kwa urahisi, na inayoweza kupanuliwa ya Active Directory katika AWS Cloud.

Chaguo

Huduma za Direktori inaruhusu kuunda aina 5 za miongozo:

• AWS Managed Microsoft AD: Itakayotekeleza Microsoft AD mpya katika AWS. Utaweza kuweka nenosiri la msimamizi na kupata DCs katika VPC.

• Simple AD: Itakuwa Linux-Samba Active Directory–server inayoweza kulinganishwa. Utaweza kuweka nenosiri la msimamizi na kupata DCs katika VPC.

• AD Connector: Mwakilishi wa kupeleka maombi ya direktori kwa Microsoft Active Directory uliopo bila kuhifadhi habari yoyote kwenye wingu. Itakuwa inasikiliza katika VPC na unahitaji kutoa vyeti vya kupata AD iliyopo.

• Amazon Cognito User Pools: Hii ni sawa na Cognito User Pools.

• Cloud Directory: Hii ni rahisi. Direktori isio na seva ambapo unaweza kuelezea muundo wa kutumia na unalipwa kulingana na matumizi.

Huduma za Direktori za AWS inaruhusu kusawazisha na Microsoft AD yako ya kwenye-premises, kuendesha yako mwenyewe katika AWS au kusawazisha na aina zingine za miongozo.

Maabara

Hapa unaweza kupata mafunzo mazuri ya kuunda Microsoft AD yako mwenyewe katika AWS: https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_test_lab_base.html

Uchambuzi

# Get directories and DCs
aws ds describe-directories
aws ds describe-domain-controllers --directory-id <id>
# Get directory settings
aws ds describe-trusts
aws ds describe-ldaps-settings --directory-id <id>
aws ds describe-shared-directories --owner-directory-id <id>
aws ds get-directory-limits
aws ds list-certificates --directory-id <id>
aws ds describe-certificate --directory-id <id> --certificate-id <id>

Ingia

Tafadhali kumbuka kwamba ikiwa muelezo wa saraka una kikoa katika uga wa AccessUrl ni kwa sababu mtumiaji anaweza labda kuingia na sifa zake za AD katika baadhi ya huduma za AWS:

• <jina>.awsapps.com/connect (Amazon Connect)

• <jina>.awsapps.com/workdocs (Amazon WorkDocs)

• <jina>.awsapps.com/workmail (Amazon WorkMail)

• <jina>.awsapps.com/console (Amazon Management Console)

• <jina>.awsapps.com/start (IAM Identity Center)

Kupandisha Hadhi ya Mamlaka

Uthabiti

Kutumia mtumiaji wa AD

Mtumiaji wa AD anaweza kupewa upatikanaji kwenye konsoli ya usimamizi wa AWS kupitia Jukumu la kudai. Jina la mtumiaji la msingi ni Admin na ni rahisi kubadilisha nenosiri lake kutoka kwenye konsoli ya AWS.

Hivyo basi, ni rahisi kubadilisha nenosiri la Admin, kuunda mtumiaji mpya au kubadilisha nenosiri la mtumiaji na kumpa mtumiaji huyo Jukumu la kudumisha upatikanaji. Pia ni rahisi kuongeza mtumiaji kwenye kikundi ndani ya AD na kumpa kikundi cha AD upatikanaji wa Jukumu (ili kufanya uthabiti huu kuwa wa siri zaidi).

Kushiriki AD (kutoka kwa muathiriwa kwenda kwa mshambuliaji)

Inawezekana kushiriki mazingira ya AD kutoka kwa muathiriwa kwenda kwa mshambuliaji. Kwa njia hii, mshambuliaji ataweza kuendelea kupata mazingira ya AD. Hata hivyo, hii inamaanisha kushiriki AD iliyosimamiwa na pia kuunda uhusiano wa peering wa VPC.

Unaweza kupata mwongozo hapa: https://docs.aws.amazon.com/directoryservice/latest/admin-guide/step1_setup_networking.html

Kushiriki AD (kutoka kwa mshambuliaji kwenda kwa muathiriwa)

Haionekani kuwa inawezekana kutoa upatikanaji wa AWS kwa watumiaji kutoka kwa mazingira tofauti ya AD kwenda kwenye akaunti moja ya AWS.

WorkDocs

Amazon Web Services (AWS) WorkDocs ni huduma ya kuhifadhi na kushirikisha faili inayotegemea wingu. Ni sehemu ya seti ya huduma za kuhesabu wingu za AWS na imeundwa kutoa suluhisho salama na lenye uwezo wa kupanuka kwa mashirika kuhifadhi, kushirikisha, na kushirikiana kwenye faili na nyaraka.

AWS WorkDocs hutoa kiolesura cha wavuti kwa watumiaji kupakia, kupata, na kusimamia faili na nyaraka zao. Pia inatoa vipengele kama udhibiti wa toleo, ushirikiano wa wakati halisi, na ushirikiano na huduma zingine za AWS na zana za watu wa tatu.

Uorodheshaji

# Get AD users (Admin not included)
aws workdocs describe-users --organization-id <directory-id>
# Get AD groups (containing "a")
aws workdocs describe-groups --organization-id d-9067a0285c --search-query a

# Create user (created inside the AD)
aws workdocs create-user --username testingasd --given-name testingasd --surname testingasd --password <password> --email-address name@directory.domain --organization-id <directory-id>

# Get what each user has created
aws workdocs describe-activities --user-id "S-1-5-21-377..."

# Get what was created in the directory
aws workdocs describe-activities --organization-id <directory-id>

# Get folder content
aws workdocs describe-folder-contents --folder-id <fold-id>

# Get file (a url to access with the content will be retreived)
aws workdocs get-document --document-id <doc-id>

# Get resource permissions if any
aws workdocs describe-resource-permissions --resource-id <value>

# Add permission so anyway can see the file
aws workdocs add-resource-permissions --resource-id <id> --principals Id=anonymous,Type=ANONYMOUS,Role=VIEWER
## This will give an id, the file will be acesible in: https://<name>.awsapps.com/workdocs/index.html#/share/document/<id>

Privesc