- 製品›
- セキュリティ、アイデンティティ、コンプライアンス›
- AWS Directory Service
その他のディレクトリタイプ
その他のディレクトリタイプ
AWS ディレクトリサービスは、 Amazon WorkSpaces、Amazon WorkDocs、Amazon WorkMail などのサービスを利用する Amazon エンタープライズ IT アプリケーションのお客様に、始めるための基本的なディレクトリソリューションを提供します。お客様が有効なユーザー要件を満たしている間は、これらのサービスに登録されている Simple AD ディレクトリや AD Connector ディレクトリに対して課金されません。
1 か月あたりの要件は次のとおりです。
- スモールディレクトリに 1 人以上のアクティブなユーザーがいること
- ラージディレクトリに 100 人以上のアクティブなユーザーがいること
実際の Microsoft Active Directory に関心があるお客様には、Microsoft AD としても知られる AWS Directory Service for Microsoft Active Directory (Enterprise Edition) の方が適切なソリューションである場合があります。詳細については、 Microsoft AD 製品ページをご覧ください。
よくある質問
ページトピック
Simple AD
すべて開く
Simple AD ディレクトリは Samba 4 Active Directory Compatible Server を利用したマネージドディレクトリです。Microsoft AD の機能のサブセットが提供され、ユーザーアカウント、グループメンバーシップ、Linux および Windows が動作する Amazon EC2 インスタンスのドメイン参加、Kerberos ベースのシングルサインオン (SSO)、およびグループポリシーといった一般的に使用される機能がサポートされています。これにより、Linux および Windows を実行する EC2 インスタンスの管理と、AWS クラウドへのアプリケーションのデプロイがさらに簡単になります。現在使用されている、Microsoft Active Directory サポートを必要とするアプリケーションとツールの多くは、Simple AD で使用できます。Simple AD のユーザーアカウントでも、Amazon WorkSpaces や Amazon WorkDocs、Amazon WorkMail などの AWS Enterprise IT アプリケーションへのアクセスや、AWS マネジメントコンソールによる AWS リソースの管理が可能です。さらに Simple AD は、デフォルトで日次の自動スナップショットを実行するので、ポイントインタイムリカバリーが可能になります。
Simple AD は Samba 4 Active Directory Compatible Server を利用したマネージドディレクトリです。Kerberos の SSO、ドメイン参加したコンピュータ、グループポリシーベースの管理といった Microsoft Active Directory の機能のサブセットが提供されます。Microsoft AD はマネージド型の Microsoft Active Directory で、Windows Server 2019 を利用して他のドメインとの信頼関係、Active Directory Administrative Center、Active Directory ごみ箱、Network Policy Server サポート、およびスキーマ拡張といった追加機能が提供されます。
Microsoft の CSV データ抽出ツール (csvde) などの既存のツールを使用してデータを Simple AD から Microsoft AD に移行できます。移行する場合、カスタマープランニングを策定し、エンドユーザーはパスワードをリセットする必要があります。
Simple AD では、他のドメインとの信頼関係、Active Directory Administrative Center、Windows PowerShell サポート、Active Directory ゴミ箱、きめ細かなパスワードポリシー、グループマネージド型サービスアカウント、スキーマ拡張といった機能はサポートされません。
既存の Microsoft Active Directory ツールを使用して Simple AD ディレクトリ内のユーザーとグループを管理できます。特別なツール、ポリシー、動作変更は必要ありません。
はい。Linux または Windows を実行している既存の EC2 インスタンスを Microsoft AD ドメインまたはシンプル AD ドメインに追加できます。
現時点では使用できません。
AD Connector
すべて開く
AD Connector は、AWS Enterprise IT アプリケーションの認証をサポートし、Amazon EC2 インスタンスがドメインおよびセルフマネージド型の Active Directory に参加するように設計されたディレクトリゲートウェイです。AD Connector で、クラウド内の情報のキャッシュはまったく行わずに AWS Enterprise IT アプリケーションからオンプレミスの Microsoft Active Directory にディレクトリのリクエストをプロキシすることが可能です。また、AD Connector で、ドメイン参加した Amazon EC2 インスタンスをシームレスにセルフマネージド型の Active Directory に参加させることができます。セットアップが完了すると、エンドユーザーと IT スタッフは既存の企業認証情報を使用して、Amazon WorkSpaces、Amazon WorkDocs、Amazon WorkMail などの AWS アプリケーションと AWS マネジメントコンソールにサインオンできます。セルフマネージド型のディレクトリでグループポリシーを使用して Amazon EC2 インスタンスなどの AWS リソースを管理することもできます。
AWS マネジメントコンソールを使用して、既存の セルフマネージド型の Microsoft Active Directory を AWS に接続する AD Connector を作成できます。オンプレミス環境にハードウェアの仮想プライベートネットワーク (VPN) 接続を持つ Amazon Virtual Private Cloud (VPC) を構成するか、AWS Direct Connect で専用接続をプロビジョニングする必要があります。この統合のセットアップが完了すると、オンプレミスの Microsoft Active Directory の名前、Microsoft Active Directory を検出する DNS サーバー、Microsoft Active Directory で作成したアカウント名とパスワードなどの基本情報をいくつか入力する必要があります。これは AD Connector がいずれかのドメインコントローラーを認証してそれに接続し、さまざまな認証、コンピュータのドメイン参加、および検索リクエストなどをプロキシするために使用する、権限の制限されたアカウントです。
AWS Directory Service では、AD Connector 用に管理者以外のアカウントとパスワードが必要です。このアカウントは、ユーザー、グループ、コンピュータを検索するための読み取り専用許可を持ち、コンピュータのドメイン参加を実行できるものである必要があります。このユーザー名とパスワードは、Amazon WorkSpaces による既存のドメインへの自動参加、Amazon WorkDocs のユーザーとグループの検索、または AWS Identity and Access Management (IAM) との統合の際に使用されます。
はい。既存の RADIUS ベースのインフラストラクチャを使用した MFA を可能にすることで、ユーザーが AWS アプリケーションにアクセスするときに追加のセキュリティ層を備えることもできます。
AD Connector は、セルフマネージド Active Directory と通信する LDAP クライアントとして機能する場合、LDAP 署名と SSL/TLS (LDAPS) を経由する LDAP の両方をサポートします。クライアント側の LDAP 署名では有効化するためのユーザーによるアクションは不要で、データに整合性をもたらします。クライアント側の LDAPS には設定が必要で、データに整合性と機密性をもたらします。詳細については、この AWS フォーラムの投稿を参照してください。