セキュリティ

Active Directory 連携 - AWS Directory Service でオンプレミス ID 基盤をクラウドに拡張する

AWS Directory Service を使った Active Directory のクラウド統合を解説。AWS Managed Microsoft AD、AD Connector、Simple AD の使い分けと、WorkSpaces・RDS・FSx との連携を紹介します。

約 3 分で読めます

Active Directory のクラウド統合の課題

多くの企業がオンプレミスで Microsoft Active Directory (AD) を運用しており、ユーザー認証、グループポリシー、ファイルサーバーのアクセス制御など、IT インフラの中核を担っています。クラウド移行に際して、AD に依存するアプリケーション (Windows ベースの業務アプリ、SQL Server、ファイルサーバー) をどう扱うかが課題になります。AWS Directory Service は 3 つのディレクトリタイプを提供し、ユースケースに応じた AD のクラウド統合を実現します。AWS Managed Microsoft AD は完全な Microsoft AD をクラウドで提供し、オンプレミス AD との信頼関係 (Trust) を構築できます。AD Connector はオンプレミス AD へのプロキシで、クラウド側にデータを持ちません。Simple AD は Samba 4 ベースの軽量ディレクトリで、基本的な LDAP 機能のみを提供します。

この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。

3 つのディレクトリタイプの使い分け

AWS Managed Microsoft AD は、クラウド上にスタンドアロンの AD を構築する場合、またはオンプレミス AD との信頼関係が必要な場合に選択します。グループポリシー、LDAP、Kerberos、NTLM 認証をフルサポートし、AD 依存のアプリケーションをそのまま動作させられます。Standard Edition (最大 30,000 オブジェクト) と Enterprise Edition (最大 500,000 オブジェクト) があります。マルチ AZ でドメインコントローラーが自動的に冗長化され、パッチ適用やスナップショットも AWS が管理します。AD Connector は、オンプレミスの既存 AD をそのまま使い続けたい場合に選択します。AWS サービス (WorkSpaces、IAM Identity Center など) からの認証リクエストをオンプレミス AD に転送するプロキシとして動作します。クラウド側にユーザーデータを保持しないため、データ主権の要件がある場合に適しています。Small (最大 500 ユーザー、0.05 USD/時) と Large (最大 5,000 ユーザー、0.15 USD/時) の 2 サイズがあります。Simple AD は AD の基本機能 (ユーザー管理、グループ管理、LDAP 認証) のみが必要な小規模環境向けです。グループポリシーや信頼関係は非サポートですが、最も低コスト (Small: 0.05 USD/時) で利用できます。

AWS サービスとの統合

Directory Service の主な価値は、AD 認証を必要とする AWS サービスとのネイティブ統合にあります。Amazon WorkSpaces (仮想デスクトップ) は AD のユーザーアカウントでログインし、グループポリシーでデスクトップ環境を制御できます。Amazon FSx for Windows File Server は AD のアクセス制御リスト (ACL) でファイルレベルの権限管理を行います。RDS for SQL Server は Windows 認証 (Kerberos) をサポートし、AD のユーザーアカウントで SQL Server にログインできます。Amazon Connect (コンタクトセンター) は AD のユーザーでエージェントを管理できます。IAM Identity Center と統合すれば、AD のユーザーアカウントで AWS マネジメントコンソールや CLI にシングルサインオンでアクセスできます。EC2 の Windows インスタンスをドメインに参加させることも可能で、Systems Manager の自動ドメイン参加機能を使えば、起動時に自動的に AD ドメインに参加します。

オンプレミス AD との信頼関係

Managed Microsoft AD とオンプレミス AD の間にフォレスト信頼 (Forest Trust) を構築することで、双方のユーザーが相手側のリソースにアクセスできるようになります。信頼関係の構築には、オンプレミスと AWS VPC 間の VPN 接続または Direct Connect が必要です。信頼の方向は一方向 (片方からのみアクセス) または双方向 (相互アクセス) を選択できます。セキュリティの観点から、必要最小限の方向で信頼を構築することを推奨します。信頼関係を構築すると、オンプレミスの AD ユーザーが AWS 上の WorkSpaces にログインしたり、FSx のファイル共有にアクセスしたりできるようになります。DNS の条件付きフォワーダーを設定し、各ドメインの名前解決が正しく動作するようにする必要があります。Managed Microsoft AD はドメインコントローラーの IP アドレスを提供するため、オンプレミス側の DNS にこれらを条件付きフォワーダーとして登録します。

さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。

まとめ - Directory Service の活用指針

AWS Directory Service は、Active Directory のクラウド統合を実現する 3 つのディレクトリタイプを提供します。Managed Microsoft AD はフル機能の AD が必要な場合、AD Connector はオンプレミス AD をそのまま使いたい場合、Simple AD は基本的な LDAP のみが必要な場合に選択します。WorkSpaces・FSx・RDS for SQL Server など AD 認証を必要とする AWS サービスとのネイティブ統合が主な価値です。オンプレミスの AD 依存アプリケーションをクラウドに移行する際、Directory Service は移行の複雑さを大幅に軽減します。

AWS の優位点

  • AWS Managed Microsoft AD はフルマネージドの Microsoft Active Directory で、グループポリシー・信頼関係・LDAP・Kerberos をクラウドで利用可能
  • AD Connector はオンプレミスの既存 AD へのプロキシとして動作し、クラウド側にディレクトリデータを保持しない軽量な選択肢
  • Simple AD は Samba 4 ベースの低コストなディレクトリで、基本的な LDAP 認証のみが必要な小規模環境向け
  • WorkSpaces・RDS for SQL Server・FSx for Windows・Amazon Connect など AD 認証を必要とする AWS サービスとネイティブ統合
  • マルチ AZ 構成で高可用性を確保し、ドメインコントローラーの冗長化を AWS が自動管理
  • Managed Microsoft AD の Standard Edition は 0.146 USD/時 (約 107 USD/月)、Enterprise Edition は 0.292 USD/時 (約 213 USD/月)
  • Azure AD (Microsoft Entra ID) がクラウドネイティブの ID サービスであるのに対し、AWS Managed Microsoft AD は従来の AD 互換性を重視し、既存の AD 依存アプリケーションのクラウド移行に適する

関連するサービス

AWS IAM AWS リソースへのアクセスを安全に管理するための認証・認可サービス

関連する比較記事

SSO とアイデンティティ管理 - AWS IAM Identity Center による一元認証 AWS IAM Identity Center (旧 AWS SSO) を使ったシングルサインオンとマルチアカウントアクセス管理を解説。外部 IdP 連携、権限セット設計、Cognito との使い分けまで紹介します。 ID とアクセス管理の設計 - IAM によるゼロトラストセキュリティの実現 AWS IAM を活用したアクセス管理の設計手法を解説し、最小権限の原則、ポリシー設計、Cognito との連携によるゼロトラストセキュリティの実現方法を紹介します。 ID 管理と認証 - AWS と Azure の比較 AWS と Azure の ID 管理・認証サービスを比較し、IAM のきめ細かいアクセス制御と Cognito のアプリケーション認証における AWS の優位性を解説します。

同じテーマの記事

API セキュリティとスロットリング - AWS と Azure の比較 AWS と Azure の API セキュリティ機能を比較し、API Gateway・WAF・Cognito を組み合わせた AWS の多層防御アーキテクチャの優位性を解説します。 監査の自動化 - AWS Audit Manager でコンプライアンス証跡を継続的に収集する AWS Audit Manager を使った監査証跡の自動収集を解説。フレームワーク (SOC 2、PCI DSS、GDPR 等) に基づく自動評価、エビデンスの一元管理、監査レポートの生成を紹介します。 証明書管理と HTTPS 化 - AWS Certificate Manager による TLS 証明書の自動運用 AWS Certificate Manager (ACM) を使った TLS/SSL 証明書の発行・自動更新・デプロイを解説。CloudFront・ALB・API Gateway との統合、DNS 検証、プライベート CA の活用まで紹介します。 コンプライアンス自動化 - AWS と Azure の比較 AWS と Azure のコンプライアンス自動化を比較し、Config、GuardDuty、CloudTrail を活用した AWS の継続的コンプライアンス監視と自動修復の優位性を解説します。 機密コンピューティング - AWS Nitro Enclaves で処理中のデータを隔離保護する AWS Nitro Enclaves を使った機密データの隔離処理を解説。暗号化アテステーション、KMS 統合、PII 処理・暗号鍵管理のユースケースを紹介します。 データプライバシー保護 - Amazon Macie と GuardDuty で実現する機密データの自動検出と脅威防御 Amazon Macie による S3 内の機密データ自動検出と、Amazon GuardDuty による脅威インテリジェンスを組み合わせたデータプライバシー保護の実践手法を解説します。個人情報の特定からリアルタイムの脅威検知まで、包括的なセキュリティ対策を紹介します。 DDoS 対策 - AWS Shield による多層防御の設計と運用 AWS Shield Standard と Shield Advanced による DDoS 防御を解説。CloudFront・Route 53・ALB との統合、WAF との組み合わせ、コスト保護機能まで実践的に紹介します。 暗号化と鍵管理 - AWS と Azure の比較 AWS と Azure の暗号化・鍵管理サービスを比較し、KMS と Secrets Manager を中心とした AWS の包括的なデータ保護基盤の優位性を解説します。 ハードウェアセキュリティモジュール - AWS CloudHSM による暗号鍵の専有管理 AWS CloudHSM を使った暗号鍵の専有管理を解説。KMS との使い分け、FIPS 140-2 Level 3 準拠、TLS オフロード、Oracle TDE 統合など高度なユースケースを紹介します。 ID とアクセス管理の設計 - IAM によるゼロトラストセキュリティの実現 AWS IAM を活用したアクセス管理の設計手法を解説し、最小権限の原則、ポリシー設計、Cognito との連携によるゼロトラストセキュリティの実現方法を紹介します。 ID 管理と認証 - AWS と Azure の比較 AWS と Azure の ID 管理・認証サービスを比較し、IAM のきめ細かいアクセス制御と Cognito のアプリケーション認証における AWS の優位性を解説します。 ネットワークトラフィックフィルタリング - AWS Network Firewall で実現する高度なネットワーク防御 AWS Network Firewall によるステートフルなネットワークトラフィックフィルタリングと、AWS WAF との組み合わせによる多層防御の構築方法を解説します。VPC レベルのトラフィック制御と脅威防御の実践手法を紹介します。 シークレット管理 - AWS Secrets Manager と Azure Key Vault の比較 AWS Secrets Manager と Azure Key Vault を比較し、Secrets Manager の自動ローテーション機能と KMS 連携による暗号化管理の優位性を解説します。 セキュリティとコンプライアンス - AWS と Azure の比較 AWS と Azure のセキュリティ機能とコンプライアンス対応を比較し、責任共有モデル、IAM の柔軟性、コンプライアンス認証における AWS の優位性を解説します。 セキュリティ調査と脅威分析 - Amazon Detective で実現するインシデント対応の効率化 Amazon Detective を活用したセキュリティインシデントの調査と脅威分析の手法を解説します。GuardDuty との連携による検出から調査までのワークフローと、グラフベースの分析による根本原因の特定方法を紹介します。 セキュリティポスチャー管理 - AWS Security Hub で実現する統合セキュリティ監視基盤 AWS Security Hub による統合セキュリティ監視と、GuardDuty との連携による脅威検知の自動化を解説します。セキュリティベストプラクティスへの準拠状況の可視化とマルチアカウント環境のセキュリティガバナンスを紹介します。 セキュリティ監査と脅威検知 - AWS GuardDuty と Azure Sentinel の比較 AWS GuardDuty と Azure Sentinel を比較し、GuardDuty の機械学習ベースの脅威検知と CloudTrail 連携による包括的なセキュリティ監査の優位性を解説します。 SSO とアイデンティティ管理 - AWS IAM Identity Center による一元認証 AWS IAM Identity Center (旧 AWS SSO) を使ったシングルサインオンとマルチアカウントアクセス管理を解説。外部 IdP 連携、権限セット設計、Cognito との使い分けまで紹介します。 ユーザー認証の実装 - Cognito によるセキュアな認証基盤の構築 Amazon Cognito を活用したユーザー認証基盤の設計と実装を解説し、ユーザープール、ID プール、外部 ID プロバイダー連携による認証フローの構築方法を紹介します。 脆弱性評価と脅威検知 - Amazon Inspector と GuardDuty で実現する継続的セキュリティ監視 Amazon Inspector と Amazon GuardDuty を活用した脆弱性評価と脅威検知の設計・運用方法を解説します。Azure Defender やオンプレミスの脆弱性スキャナーと比較し、AWS のセキュリティサービスが持つ自動化、検知精度、運用効率の優位性を紹介します。 WAF 高度なルール設定 - AWS WAF vs Azure WAF AWS WAF と Azure WAF を比較し、マネージドルールグループ、レートベースルール、Bot Control、カスタムレスポンスなど AWS WAF の高度なルール設定の優位性を解説します。 Web アプリケーションファイアウォール - AWS と Azure の比較 AWS と Azure の WAF サービスを比較し、AWS WAF のルールカスタマイズ性と CloudFront 統合を中心とした Web アプリケーション保護の優位性を解説します。 ゼロトラストネットワークアクセス - AWS Verified Access で VPN なしのセキュアアクセスを実現する AWS Verified Access を使った VPN レスのゼロトラストアクセスを解説。ID プロバイダー統合、デバイストラスト、ポリシーベースのアクセス制御、従来の VPN との比較を紹介します。 ゼロトラストセキュリティ - AWS と Azure の比較 AWS と Azure のゼロトラストセキュリティモデルを比較し、IAM・Cognito・WAF を中心とした AWS の多層的なアクセス制御アーキテクチャの優位性を解説します。