セキュリティ

AWS Directory Service で構築するマネージド Active Directory - ハイブリッド環境の ID 管理

AWS Managed Microsoft AD の構築とオンプレミス AD との信頼関係を設計する。WorkSpaces・RDS・FSx との統合によるハイブリッド ID 管理を紹介します。

約 1 分で読めます

Directory Service の概要

Directory Service は AWS でマネージド Active Directory を提供するサービスです。AWS Managed Microsoft AD、AD Connector、Simple AD の 3 つのオプションがあります。Managed Microsoft AD はフルマネージドの AD を 2 つ以上の AZ にドメインコントローラーを配置してマルチ AZ で提供し、オンプレミス AD との信頼関係を構築できます。

ハイブリッド統合

オンプレミス AD と Managed Microsoft AD の間にフォレスト信頼を構築すると、オンプレミスのユーザーが AWS リソースにシングルサインオンでアクセスできます。VPN または Direct Connect でオンプレミスと VPC を接続し、DNS の条件付きフォワーダーを設定します。AD Connector はオンプレミス AD へのプロキシで、AWS 上に AD データを複製しません。WorkSpaces や AWS SSO のディレクトリとして使用し、認証リクエストをオンプレミス AD に転送します。

WorkSpaces と RDS との統合

Managed Microsoft AD は WorkSpacesRDS for SQL Server 、 FSx for Windows File Server 、 QuickSight など多数の AWS サービスと直接統合します。 WorkSpaces のユーザー認証に AD を使用し、グループポリシーでデスクトップ設定を一元管理します。 RDS for SQL Server の Windows 認証で、 AD ユーザーが SQL Server にシームレスにログインできます。 AD Connector はオンプレミス AD へのプロキシとして機能し、 AWS 上にディレクトリを複製せずに認証を委任します。 Simple AD は Samba ベースの軽量ディレクトリで、小規模環境や開発環境に適しています。 Directory Service の理解をさらに深めたい場合はAmazon の専門書も活用できます。

Directory Service の料金

Managed Microsoft AD の Standard エディションは月額約 146 ドル (2 ドメインコントローラー)、Enterprise エディションは月額約 438 ドルです。追加のドメインコントローラーは 1 台あたり月額約 73 ドル (Standard) です。AD Connector は Small (月額約 73 ドル) と Large (月額約 219 ドル) があります。Simple AD は Small (月額約 73 ドル) と Large (月額約 219 ドル) です。ユースケースに応じて最小限のエディションを選択し、ドメインコントローラーの追加は可用性要件に基づいて判断します。

まとめ

Directory Service はマネージド Active Directory でハイブリッド環境の ID 管理を実現するサービスです。WorkSpaces、RDS for SQL Server、FSx for Windows File Server と直接統合し、オンプレミス AD とのフォレスト信頼でシームレスな認証を提供します。AD Connector でオンプレミス AD へのプロキシ接続も可能です。

関連するサービス

AWS Directory ServiceAWS でマネージド Active Directory を提供するサービスAmazon FSxWindows File Server、Lustre、NetApp ONTAP、OpenZFS のフルマネージドファイルシステムAmazon WorkSpacesクラウド上の仮想デスクトップ (VDI) をマネージドに提供するサービス

関連する記事

AWS Organizations で実現するマルチアカウント管理 - OU 設計と SCP によるガバナンスOU 階層の設計と SCP によるアクセス制御でマルチアカウント環境のガバナンスを確立する。一括請求によるコスト管理も紹介します。Amazon WorkSpaces で構築するクラウドデスクトップ - DaaS の設計とコスト最適化AlwaysOn と AutoStop の料金モデルで使用パターンに応じたコスト最適化を実現する。Active Directory 統合と MFA・IP アクセスコントロールによるセキュリティ強化を紹介します。Active Directory 連携 - AWS Directory Service でオンプレミス ID 基盤をクラウドに拡張するAWS Directory Service を使った Active Directory のクラウド統合を解説。AWS Managed Microsoft AD、AD Connector、Simple AD の使い分けと、WorkSpaces ・ RDS ・ FSx との連携を紹介します。

同じテーマの記事

IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。AWS Certificate Manager で自動化する SSL/TLS 証明書管理 - 発行からローテーションまでACM によるパブリック証明書の無料発行、DNS 検証、自動更新、ALB ・ CloudFront へのデプロイを解説します。AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理SOC・PCI DSS・ISO の監査レポートをオンデマンドで取得し、BAA や GDPR DPA を Organizations 全体に一括適用する手順を紹介します。監査の自動化 - AWS Audit Manager でコンプライアンス証跡を継続的に収集するAWS Audit Manager を使った監査証跡の自動収集を解説。フレームワーク (SOC 2、PCI DSS、GDPR 等) に基づく自動評価、エビデンスの一元管理、監査レポートの生成を紹介します。AWS アカウント ID の 12 桁に隠された構造 - なぜ 12 桁なのか、何が読み取れるのかAWS アカウント ID が 12 桁の数字である理由、ARN の構造に埋め込まれた設計意図、アカウント ID から推測できる情報とセキュリティ上の注意点を雑学的に解説します。AWS アカウントのルートユーザーはなぜ危険なのか - 権限分離の設計思想と封印の実践AWS ルートユーザーが IAM では制限できない特権を持つ理由、ルートユーザーでしかできない操作の一覧、MFA の設定方法、Organizations のルートアクセス管理による封印戦略を解説します。証明書管理と HTTPS 化 - AWS Certificate Manager による TLS 証明書の自動運用AWS Certificate Manager (ACM) を使った TLS/SSL 証明書の発行・自動更新・デプロイを解説。CloudFront ・ ALB ・ API Gateway との統合、DNS 検証、プライベート CA の活用まで紹介します。AWS CloudHSM で実現する専用鍵管理 - FIPS 140-2 Level 3 準拠の暗号化専有の HSM インスタンスで FIPS 140-2 Level 3 準拠の鍵管理を実現する。KMS との使い分けと、KMS カスタムキーストアによる両者の統合を紹介します。

内容が近い記事・サービス

Active Directory 連携 - AWS Directory Service でオンプレミス ID 基盤をクラウドに拡張するAWS Directory Service を使った Active Directory のクラウド統合を解説。AWS Managed Microsoft AD、AD Connector、Simple AD の使い分けと、WorkSpaces ・ RDS ・ FSx との連携を紹介します。AWS Directory ServiceAWS 上でマネージド Active Directory やディレクトリ連携を提供するサービスで、Windows ワークロードの認証基盤をクラウドに構築するAmazon WorkSpacesWindows または Linux のフルマネージド仮想デスクトップを提供し、任意のデバイスからセキュアにアクセスできるクラウド DaaS (Desktop as a Service)