セキュリティ

Active Directory 連携 - AWS Directory Service でオンプレミス ID 基盤をクラウドに拡張する

AWS Directory Service を使った Active Directory のクラウド統合を解説。AWS Managed Microsoft AD、AD Connector、Simple AD の使い分けと、WorkSpaces ・ RDS ・ FSx との連携を紹介します。

約 3 分で読めます

Active Directory のクラウド統合の課題

多くの企業がオンプレミスで Microsoft Active Directory (AD) を運用しており、ユーザー認証、グループポリシー、ファイルサーバーのアクセス制御など、IT インフラの中核を担っています。クラウド移行に際して、AD に依存するアプリケーション (Windows ベースの業務アプリ、SQL Server、ファイルサーバー) をどう扱うかが課題になります。AWS Directory Service は 3 つのディレクトリタイプを提供し、ユースケースに応じた AD のクラウド統合を実現します。AWS Managed Microsoft AD は完全な Microsoft AD をクラウドで提供し、オンプレミス AD との信頼関係 (Trust) を構築できます。AD Connector はオンプレミス AD へのプロキシで、クラウド側にデータを持ちません。Simple AD は Samba 4 ベースの軽量ディレクトリで、基本的な LDAP 機能のみを提供します。

3 つのディレクトリタイプの使い分け

AWS Managed Microsoft AD は、クラウド上にスタンドアロンの AD を構築する場合、またはオンプレミス AD との信頼関係が必要な場合に選択します。グループポリシー、LDAP、Kerberos、NTLM 認証をフルサポートし、AD 依存のアプリケーションをそのまま動作させられます。Standard Edition (最大 30,000 オブジェクト) と Enterprise Edition (最大 500,000 オブジェクト) があります。マルチ AZ でドメインコントローラーが自動的に冗長化され、パッチ適用やスナップショットも AWS が管理します。AD Connector は、オンプレミスの既存 AD をそのまま使い続けたい場合に選択します。AWS サービス (WorkSpacesIAM Identity Center など) からの認証リクエストをオンプレミス AD に転送するプロキシとして動作します。クラウド側にユーザーデータを保持しないため、データ主権の要件がある場合に適しています。Small (最大 500 ユーザー、0.05 USD/時) と Large (最大 5,000 ユーザー、0.15 USD/時) の 2 サイズがあります。Simple AD は AD の基本機能 (ユーザー管理、グループ管理、LDAP 認証) のみが必要な小規模環境向けです。グループポリシーや信頼関係は非サポートですが、最も低コスト (Small: 0.05 USD/時) で利用できます。

AWS サービスとの統合

Directory Service の主な価値は、 AD 認証を必要とする AWS サービスとのネイティブ統合にあります。 Amazon WorkSpaces (仮想デスクトップ) は AD のユーザーアカウントでログインし、グループポリシーでデスクトップ環境を制御できます。 Amazon FSx for Windows File Server は AD のアクセス制御リスト (ACL) でファイルレベルの権限管理を行います。 RDS for SQL Server は Windows 認証 (Kerberos) をサポートし、 AD のユーザーアカウントで SQL Server にログインできます。 Amazon Connect (コンタクトセンター) は AD のユーザーでエージェントを管理できます。 IAM Identity Center と統合すれば、 AD のユーザーアカウントで AWS マネジメントコンソールや CLI にシングルサインオンでアクセスできます。 EC2 の Windows インスタンスをドメインに参加させることも可能で、 Systems Manager の自動ドメイン参加機能を使えば、起動時に自動的に AD ドメインに参加します。 ディレクトリサービスについて体系的に学びたい方は、関連書籍 (Amazon)も参考になります。

オンプレミス AD との信頼関係

Managed Microsoft AD とオンプレミス AD の間にフォレスト信頼 (Forest Trust) を構築することで、双方のユーザーが相手側のリソースにアクセスできるようになります。信頼関係の構築には、オンプレミスと AWS VPC 間の VPN 接続または Direct Connect が必要です。信頼の方向は一方向 (片方からのみアクセス) または双方向 (相互アクセス) を選択できます。セキュリティの観点から、必要最小限の方向で信頼を構築することを推奨します。信頼関係を構築すると、オンプレミスの AD ユーザーが AWS 上の WorkSpaces にログインしたり、FSx のファイル共有にアクセスしたりできるようになります。DNS の条件付きフォワーダーを設定し、各ドメインの名前解決が正しく動作するようにする必要があります。Managed Microsoft AD はドメインコントローラーの IP アドレスを提供するため、オンプレミス側の DNS にこれらを条件付きフォワーダーとして登録します。

Directory Service の料金

AWS Managed Microsoft AD の Standard エディションは 1 時間あたり約 0.146 ドル (月額約 105 ドル)、Enterprise は約 0.292 ドル (月額約 210 ドル) です。AD Connector は Small で月額約 36 ドル、Large で約 72 ドルです。Simple AD は Small で月額約 36 ドル、Large で約 72 ドルです。WorkSpaces や RDS との統合に追加料金は発生しません。

まとめ - Directory Service の活用指針

AWS Directory Service は、Active Directory のクラウド統合を実現する 3 つのディレクトリタイプを提供します。Managed Microsoft AD はフル機能の AD が必要な場合、AD Connector はオンプレミス AD をそのまま使いたい場合、Simple AD は基本的な LDAP のみが必要な場合に選択します。WorkSpaces ・ FSx ・ RDS for SQL Server など AD 認証を必要とする AWS サービスとのネイティブ統合が主な価値です。オンプレミスの AD 依存アプリケーションをクラウドに移行する際、Directory Service は移行の複雑さを大幅に軽減します。

関連するサービス

AWS Directory ServiceAWS でマネージド Active Directory を提供するサービスAWS IAM Identity Center複数の AWS アカウントと SaaS アプリケーションへのシングルサインオンを提供するサービスAWS IAMAWS リソースへのアクセスを安全に管理するための認証・認可サービス

関連する記事

SSO とアイデンティティ管理 - AWS IAM Identity Center による一元認証AWS IAM Identity Center (旧 AWS SSO) を使ったシングルサインオンとマルチアカウントアクセス管理を解説。外部 IdP 連携、権限セット設計、Cognito との使い分けまで紹介します。ID とアクセス管理の設計 - IAM によるゼロトラストセキュリティの実現AWS IAM を活用したアクセス管理の設計手法を解説し、最小権限の原則、ポリシー設計、Cognito との連携によるゼロトラストセキュリティの実現方法を紹介します。ゼロトラストネットワークアクセス - AWS Verified Access で VPN なしのセキュアアクセスを実現するAWS Verified Access を使った VPN レスのゼロトラストアクセスを解説。ID プロバイダー統合、デバイストラスト、ポリシーベースのアクセス制御、従来の VPN との比較を紹介します。

同じテーマの記事

IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。AWS Certificate Manager で自動化する SSL/TLS 証明書管理 - 発行からローテーションまでACM によるパブリック証明書の無料発行、DNS 検証、自動更新、ALB ・ CloudFront へのデプロイを解説します。AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理SOC・PCI DSS・ISO の監査レポートをオンデマンドで取得し、BAA や GDPR DPA を Organizations 全体に一括適用する手順を紹介します。監査の自動化 - AWS Audit Manager でコンプライアンス証跡を継続的に収集するAWS Audit Manager を使った監査証跡の自動収集を解説。フレームワーク (SOC 2、PCI DSS、GDPR 等) に基づく自動評価、エビデンスの一元管理、監査レポートの生成を紹介します。AWS アカウント ID の 12 桁に隠された構造 - なぜ 12 桁なのか、何が読み取れるのかAWS アカウント ID が 12 桁の数字である理由、ARN の構造に埋め込まれた設計意図、アカウント ID から推測できる情報とセキュリティ上の注意点を雑学的に解説します。AWS アカウントのルートユーザーはなぜ危険なのか - 権限分離の設計思想と封印の実践AWS ルートユーザーが IAM では制限できない特権を持つ理由、ルートユーザーでしかできない操作の一覧、MFA の設定方法、Organizations のルートアクセス管理による封印戦略を解説します。証明書管理と HTTPS 化 - AWS Certificate Manager による TLS 証明書の自動運用AWS Certificate Manager (ACM) を使った TLS/SSL 証明書の発行・自動更新・デプロイを解説。CloudFront ・ ALB ・ API Gateway との統合、DNS 検証、プライベート CA の活用まで紹介します。AWS CloudHSM で実現する専用鍵管理 - FIPS 140-2 Level 3 準拠の暗号化専有の HSM インスタンスで FIPS 140-2 Level 3 準拠の鍵管理を実現する。KMS との使い分けと、KMS カスタムキーストアによる両者の統合を紹介します。

内容が近い記事・サービス

AWS Directory Service で構築するマネージド Active Directory - ハイブリッド環境の ID 管理AWS Managed Microsoft AD の構築とオンプレミス AD との信頼関係を設計する。WorkSpaces・RDS・FSx との統合によるハイブリッド ID 管理を紹介します。AWS Directory ServiceAWS 上でマネージド Active Directory やディレクトリ連携を提供するサービスで、Windows ワークロードの認証基盤をクラウドに構築するAmazon WorkSpacesWindows または Linux のフルマネージド仮想デスクトップを提供し、任意のデバイスからセキュアにアクセスできるクラウド DaaS (Desktop as a Service)Amazon WorkSpacesクラウド上の仮想デスクトップ (VDI) をマネージドに提供するサービス