AWS Directory Service で構築するマネージド Active Directory - ハイブリッド環境の ID 管理

AWS Managed Microsoft AD の構築とオンプレミス AD との信頼関係を設計する。WorkSpaces・RDS・FSx との統合によるハイブリッド ID 管理を紹介します。

Directory Service の概要

Directory Service は AWS でマネージド Active Directory を提供するサービスです。AWS Managed Microsoft AD、AD Connector、Simple AD の 3 つのオプションがあります。Managed Microsoft AD はフルマネージドの AD を 2 つ以上の AZ にドメインコントローラーを配置してマルチ AZ で提供し、オンプレミス AD との信頼関係を構築できます。ドメインコントローラーの OS パッチ適用、データレプリケーション、スナップショットベースのバックアップ (日次) は AWS が自動的に実施するため、運用チームは AD のスキーマ設計やグループポリシーに集中できます。

ハイブリッド統合

オンプレミス AD と Managed Microsoft AD の間にフォレスト信頼を構築すると、オンプレミスのユーザーが AWS リソースにシングルサインオンでアクセスできます。VPN または Direct Connect でオンプレミスと VPC を接続し、DNS の条件付きフォワーダーを設定します。信頼の方向は「一方向 (incoming)」と「双方向」から選択でき、AWS 側のユーザーがオンプレミスのリソースにもアクセスする必要がある場合は双方向信頼を構成します。AD Connector はオンプレミス AD へのプロキシで、AWS 上に AD データを複製しません。WorkSpaces や AWS SSO のディレクトリとして使用し、認証リクエストをオンプレミス AD に転送します。AD Connector は認証のレイテンシがネットワーク経路に依存するため、VPN よりも Direct Connect のような低レイテンシ接続が推奨されます。

WorkSpaces と RDS との統合

Managed Microsoft AD は WorkSpacesRDS for SQL Server、FSx for Windows File Server、QuickSight など多数の AWS サービスと直接統合します。WorkSpaces のユーザー認証に AD を使用し、グループポリシーでデスクトップ設定を一元管理します。RDS for SQL Server の Windows 認証で、AD ユーザーが SQL Server にシームレスにログインできます。FSx for Windows File Server は AD の ACL を使ったファイルレベルのアクセス制御を提供し、NTFS パーミッションをそのまま利用できます。AD Connector はオンプレミス AD へのプロキシとして機能し、AWS 上にディレクトリを複製せずに認証を委任します。Simple AD は Samba ベースの軽量ディレクトリで、小規模環境や開発環境に適しています。 Directory Service の理解をさらに深めたい場合はAmazon の専門書も活用できます。

設計のベストプラクティスと落とし穴

Managed Microsoft AD の設計で見落としがちなポイントを整理します。第一に、VPC サブネットの選択です。ドメインコントローラーは指定した 2 つのサブネット (異なる AZ) に配置されるため、これらのサブネットからの DNS 解決とネットワークアクセスが全ワークロードに到達可能である必要があります。第二に、DHCP オプションセットの設定です。VPC 内のインスタンスがドメインに参加するには、DHCP オプションセットのドメイン名とネームサーバーを Managed Microsoft AD の DNS アドレスに設定する必要があります。これを忘れるとドメイン参加が失敗します。第三に、スキーマ拡張です。Managed Microsoft AD は LDIF ファイルによるスキーマ拡張をサポートしますが、スキーマ変更はロールバックできないため、テスト環境で十分に検証してから適用します。第四に、管理者権限の範囲です。AWS が管理するコンテナ (Builtin, Domain Controllers OU 等) にはアクセスできず、ユーザーがカスタムの OU を作成してその中で管理する形になります。

AD Connector・Simple AD・IAM Identity Center との使い分け

Directory Service の 3 つのオプションと IAM Identity Center (旧 AWS SSO) の使い分けは、要件に応じて明確に判断できます。既存のオンプレミス AD を維持しつつ AWS リソースへのアクセスのみ必要な場合は AD Connector が最もシンプルです。AWS 上に新規で完全な AD が必要で、グループポリシー、LDAP、Kerberos を活用する場合は Managed Microsoft AD を選択します。Linux インスタンスのみで軽量なディレクトリが欲しい場合は Simple AD で十分です。一方、AWS マネジメントコンソールや AWS CLI への SSO アクセスが主目的で、AD が不要な場合は IAM Identity Center の組み込みディレクトリが適しています。IAM Identity Center は Managed Microsoft AD や AD Connector をアイデンティティソースとして接続することも可能で、AD ユーザーに AWS アカウントへのアクセスを割り当てるハブとして機能します。

Directory Service の料金

Managed Microsoft AD の Standard エディションは月額約 146 ドル (2 ドメインコントローラー)、Enterprise エディションは月額約 438 ドルです。追加のドメインコントローラーは 1 台あたり月額約 73 ドル (Standard) です。AD Connector は Small (月額約 73 ドル) と Large (月額約 219 ドル) があります。Simple AD は Small (月額約 73 ドル) と Large (月額約 219 ドル) です。Standard と Enterprise の主な違いはオブジェクト数の上限 (Standard: 約 30,000、Enterprise: 約 500,000) とドメインコントローラーのインスタンスサイズです。大半のユースケースでは Standard から開始し、オブジェクト数が上限に近づいた場合に Enterprise へ移行する段階的アプローチが推奨されます。

まとめ

Directory Service はマネージド Active Directory でハイブリッド環境の ID 管理を実現するサービスです。WorkSpaces、RDS for SQL Server、FSx for Windows File Server と直接統合し、オンプレミス AD とのフォレスト信頼でシームレスな認証を提供します。AD Connector でオンプレミス AD へのプロキシ接続も可能です。IAM Identity Center と組み合わせることで、AD ユーザーへの AWS アカウントアクセス管理を一元化できます。