AWS Directory Service よくある質問
概要
AWS Directory Service は、組織が Active Directory に依拠するワークロードをクラウドに移行するためのシームレスなパスを提供します。このサービスは、ネイティブの Windows Server ベースのフルマネージド Active Directory を提供することで、IT チームが既存の AD スキルとアプリケーションを活用できるようにしながら、強化されたセキュリティ、信頼性、およびスケーラビリティの恩恵を享受できるようにします。企業は、AD環境をAmazon RDS、FSx、EC2などのクラウドホストサービスと簡単に統合できるため、環境全体で一貫したAD管理エクスペリエンスを実現できます。
エンドツーエンドの暗号化や業界標準への準拠など、このサービスの堅牢なセキュリティ機能により、機密データが保護されます。さらに、AWS Directory Service では、マルチリージョンのデプロイと自律的な管理により、障害が発生した場合でも重要なディレクトリサービスの高可用性を維持できます。IT の意思決定者、アーキテクト、CIO のいずれであっても、AWS Directory Service は、クラウドトランスフォーメーションジャーニーを合理化して、AD インフラストラクチャをモダナイズするとともに、安全でスケーラブルな ID 管理を通じてワークフォースをサポートできるようにします。
可用性、スケーラビリティ、回復性
すべて開く
ディレクトリはミッションクリティカルなインフラストラクチャであるため、AWS Managed Microsoft AD は高可用性の AWS インフラストラクチャおよび複数のアベイラビリティーゾーンにデプロイされます。ドメインコントローラーは、デフォルトでリージョン内の 2 つのアベイラビリティーゾーンにデプロイされ、Amazon Virtual Private Cloud (VPC) に接続されます。毎日 1 回自動的にバックアップが作成され、Amazon Elastic Block Store (EBS) ボリュームは保管中データのセキュリティのため暗号化されます。障害の発生したドメインコントローラーは自動的に同じアベイラビリティーゾーン内で同じ IP アドレスを使用して置き換えられ、最新のバックアップを使用した全面的なディザスタリカバリが実行できます。
最初にディレクトリを作成すると、AWS Managed Microsoft AD は複数のアベイラビリティーゾーンに 2 つのドメインコントローラをデプロイします。これは高可用性を実現するために必要です。後で、必要なドメインコントローラーの総数を指定することで、AWS Directory Service コンソールから追加のドメインコントローラーをデプロイできます。AWS Managed Microsoft AD は、ディレクトリが実行されているアベイラビリティーゾーンと VPC サブネットに追加のドメインコントローラーを分散させます。
AWS マネージドマイクロソフト AD は、Windows Server 2019 を搭載した AWS マネージドインフラストラクチャ上で動作します。このディレクトリタイプを選択して起動すると、ディレクトリは、仮想プライベートクラウド (VPC) に接続された高可用性ドメインコントローラーのペアとして作成されます。ドメインコントローラーは、選択したリージョンのさまざまなアベイラビリティーゾーンで動作します。ホストのモニタリングとリカバリ、データレプリケーション、スナップショット、およびソフトウェア更新は、AWS Directory Service のサービスレベル契約 (SLA) に従ってお客様に代わって設定および管理されます。
AWS Managed Microsoft AD には、自動化された日次のスナップショットが組み込まれています。また、変更をロールバックする必要がある場合に備えて、重要なアプリケーションの更新前に追加のスナップショットを作成して、最新のデータを確保することもできます。
グローバルワークロード管理
すべて開く
マルチリージョンレプリケーションにより、単一の AWS Managed Microsoft AD ディレクトリを複数の AWS リージョンにデプロイして使用することができます。この機能により、Microsoft Windows や Linux のワークロードでのグローバルなデプロイと管理が、よりシンプルに、コスト効率良く行えるようになります。自動化されたマルチリージョンレプリケーション機能を使用することで、より高い回復性が得られます。また、アプリケーションはローカルディレクトリを使用することになるので、パフォーマンスも向上します。
AWS Managed Microsoft AD は AWS 組織と緊密に統合されているため、複数の AWS アカウント間でシームレスにディレクトリを共有できます。1 つのディレクトリを同じ組織内の他の信頼できる AWS アカウントと共有することも、組織外の他の AWS アカウントとディレクトリを共有することもできます。お使いの AWS アカウントが現在組織のメンバーではない場合も、ディレクトリを共有できます。
Windows 2019 AD のネイティブ機能
すべて開く
AWS Managed Microsoft AD では、新規および既存の Amazon EC2 for Windows Server インスタンスと Amazon EC2 for Linux インスタンスにシームレスなドメイン参加を使用できます。新規の EC2 インスタンスに対しては、AWS マネジメントコンソールを使用して、起動時に参加するドメインを選択できます。EC2Config サービスを使用して、既存の EC2 インスタンスをシームレスにドメインに参加させることができます。さらに Amazon EC2 インスタンスは、リージョン内の任意の AWS アカウントと任意の Amazon VPC から、ひとつのシェアされたディレクトリにシームレスに参加できるようになりました。
AWS マネージド Microsoft AD では、ネイティブの Microsoft Active Directory グループポリシーオブジェクト (GPO) を使用してユーザーとデバイスを管理できます。グループポリシー管理コンソール (GPMC) などの既存のツールを使用して GPO を作成できます。
新しいオブジェクトクラスと属性を追加することで、AWS Managed Microsoft AD スキーマを拡張できます。スキーマ拡張を使用して、特定の Active Directory オブジェクトクラスと属性に依存するアプリケーションをサポートすることもできます。これは、AWS Managed Microsoft AD に依存する企業アプリケーションを AWS クラウドに移行する必要がある場合に特に役立ちます。(ソース)
管理者は、グループ管理サービスアカウント (GMSA) と呼ばれる方法を使用してサービスアカウントを管理できます。gMSA を使用すると、サービス管理者はサービスインスタンス間のパスワード同期を手動で管理する必要がなくなります。代わりに、管理者は Active Directory に gMSA を作成し、その単一の gMSA を使用するように複数のサービスインスタンスを構成するだけで済みます。AWS Managed Microsoft AD のユーザーが gMSA を作成できるように権限を付与するには、そのユーザーのアカウントを AWS 委任マネージドサービスアカウント管理者セキュリティグループのメンバーとして追加する必要があります。デフォルトでは、管理者アカウントはこのグループのメンバーです。
AD の信頼関係を使用して、AWS Managed Microsoft AD を既存の AD と統合できます。信頼を使用することで、既存の Active Directory を使用して、どの AD ユーザーがお客様の AWS リソースにアクセスできるかを制御できます。
AWS Managed Microsoft AD は、既存のオンプレミス AD と同じ Kerberos ベースの認証を使用します。AWS リソースを AWS Managed Microsoft AD と統合することで、AD ユーザーは 1 つの認証情報セットを使用して AWS アプリケーションとリソースに SSO でサインインできます。
セキュリティとコンプライアンス
すべて開く
AWS Managed Microsoft AD のディレクトリ設定は、運用上のワークロードを増やさずにコンプライアンス要件とセキュリティ要件を満たすようきめ細かく設定できます。ディレクトリ設定では、ディレクトリで使用されているプロトコルと暗号のセキュアチャネル設定を更新できます。例えば、RC4 や DES などの個別のレガシー暗号や、SSL 2.0/3.0 や TLS 1.0/1.1 などのプロトコルを柔軟に無効化できます。その後、AWS Managed Microsoft AD は、ディレクトリ内のすべてのドメインコントローラに設定をデプロイし、ドメインコントローラの再起動を管理し、スケールアウトまたは追加の AWS リージョンをデプロイしてもこの設定を維持します。使用可能なすべての設定については、ディレクトリセキュリティ設定のリストを参照してください。
サーバー側 LDAPS は、商用または自社開発の LDAP 対応アプリケーション (LDAP クライアントとして動作) と AWS Managed Microsoft AD (LDAP サーバーとして動作) 間の LDAP 通信を暗号化します。詳細については、「AWS マネージド Microsoft AD を使用してサーバーサイドの LDAPS を有効にする」を参照してください。
クライアント側 LDAPS は、WorkSpaces (LDAP クライアントとして動作) などの AWS アプリケーションと自己管理型の Active Directory (LDAP サーバーとして動作) 間の LDAP 通信を暗号化します。詳細については、「AWS マネージド Microsoft AD を使用してクライアント側の LDAPS を有効にする」を参照してください。
AWS Managed Microsoft AD と AD Connector を AWS プライベート認証局 (AWS プライベート CA) Connector for AD と統合することで、ユーザー、グループ、マシンなどの AD ドメインに参加しているオブジェクトを AWS プライベート CA によって発行された証明書に登録できます。 AWS Private CA は、ローカルエージェントやプロキシサーバーをデプロイ、パッチ、更新することなく、自己管理型のエンタープライズ CA の代替品として使用できます。数回クリックするだけで、または API を介してプログラム的に AWS Private CA をディレクトリとの統合を設定できます。
AWS Managed Microsoft AD を使用して、米国連邦リスクおよび認可管理プログラム (FedRAMP) の対象となる AD 対応のクラウドアプリケーションを構築および実行することができます。医療保険の相互運用性と説明責任に関する法律(HIPAA)、およびペイメントカード業界データセキュリティ基準(PCI DSS)コンプライアンスプログラム AWS Managed Microsoft AD により、コンプライアンスに適合した AD インフラストラクチャをクラウドアプリケーション向けにデプロイする手間を削減し、独自の HIPAA リスク管理プログラムや PCI DSS または FedRAMP コンプライアンス認証を管理できます。 AWS Managed AD が対象となるコンプライアンスプログラムの全リストをご覧ください。
モニタリング、ロギング、オブザーバビリティ
すべて開く
Amazon 簡易通知サービス (Amazon SNS) を使用すると、ディレクトリのステータスが変化したときに E メールまたはテキスト (SMS) メッセージを受信できます。ディレクトリのステータスが「アクティブ」から「障害あり」または「操作不能」になったときに通知されます。また、ディレクトリが [アクティブ] ステータスに戻る場合にも通知を受け取ります。
AWS ディレクトリサービスは Amazon CloudWatch と統合されているため、ディレクトリ内の各ドメインコントローラーの重要なパフォーマンスメトリクスを提供できます。つまり、CPU やメモリの使用率など、ドメインコントローラーのパフォーマンスカウンターをモニタリングできます。また、アラームを設定して、使用率が高い時間帯に対応するための自動化アクションを開始することもできます。
AWS ディレクトリサービスコンソールまたは API を使用して、ドメインコントローラのセキュリティイベントログを Amazon CloudWatch Logs に転送します。これにより、ディレクトリのセキュリティイベントに透明性が提供され、セキュリティモニタリング、監査、およびログの保持ポリシー要件を満たすために役立ちます。また、ディレクトリから任意のアマゾンウェブサービス(AWS)アカウントの Amazon CloudWatch Logs にセキュリティイベントログを転送したり、AWS サービスや AWS セキュリティコンピテンシーの AWS パートナーネットワーク(APN)アドバンストテクノロジーパートナーである Splunk などのサードパーティアプリケーションを使用してイベントを一元的に監視したりすることもできます。
AD 依存ワークロードの移行と AWS アプリケーション統合
すべて開くAWS Managed Microsoft AD (ハイブリッドエディション) では、既存の AD ドメインを AWS に拡張して、AD 環境全体で統一されたディレクトリエクスペリエンスを作成できます。このソリューションにより、オンプレミスとクラウドのリソースをスムーズに統合でき、インフラストラクチャ全体で一貫したID管理が可能になります。
専用のクラウドディレクトリサービスを求める組織向けに、スタンダードエディションとエンタープライズエディションでは、既存の AD インフラストラクチャとの安全な信頼関係を確立する機能を備えた新しい AD ドメインを AWS に作成します。これにより、環境間のシームレスな連携を確保しながら、個別のディレクトリサービスを柔軟に管理できます。一方、AD Connectorは、クラウドにディレクトリデータを保存せずにAWSサービスを既存のADに接続するプロキシサービスを提供します。これは軽量で費用対効果の高いソリューションであり、AWS のサービスを活用しながら既存の AD 投資を活用するのに役立ちます。
AWS マネージド Microsoft AD を ID ソースとして選択することにより、オンプレミス AD ユーザーに AWS アイデンティティセンター (AWS SSO の後継) を使用した既存の AD 認証情報で AWS マネジメントコンソールと AWS CLI にサインインするアクセス権を付与できます。これにより、ユーザーはサインイン時に割り当てられたロールの 1 つを引き受け、ロールに定義された権限に従ってリソースにアクセスしてアクションを実行できます。別の方法として、AWS Managed Microsoft AD を使用して、ユーザーが AWS ID およびアクセス管理 (IAM) の役割を引き受けられるようにする方法があります。
AWS Managed Microsoft AD では、 Amazon EC2 インスタンス、 SQL Server インスタンス用 Amazon RDS 、および Amazon WorkSpaces などの AWS エンドユーザーコンピューティングサービスなどの AWS リソース内のディレクトリ対応ワークロードに 1 つのディレクトリを使用できます。ディレクトリを共有すれば、複数の AWS アカウントに散在する Amazon EC2 インスタンスとリージョン内の複数の Amazon VPC を、ディレクトリ対応型ワークロードで管理できます。さらにこれによって、複数のディレクトリ間でデータを複製および同期化する複雑さを回避できます。