セキュリティ

AWS Directory Service

AWS 上でマネージド Active Directory やディレクトリ連携を提供するサービスで、Windows ワークロードの認証基盤をクラウドに構築する

約 2 分で読めます

概要

AWS Directory Service は、Microsoft Active Directory (AD) をフルマネージドで提供する AWS Managed Microsoft AD を中心に、Simple AD や AD Connector など複数のディレクトリオプションを提供するサービスです。Windows ベースのワークロードに必要なグループポリシー、Kerberos 認証、LDAP クエリをクラウド上で利用でき、オンプレミスの AD との信頼関係構築により、既存の認証基盤をシームレスに拡張できます。

3 つのディレクトリオプションと選択基準

Directory Service は用途に応じて 3 つのオプションを提供しています。AWS Managed Microsoft AD は、実際の Microsoft Active Directory が 2 つ以上のアベイラビリティゾーンにまたがるドメインコントローラーとして稼働するフルマネージドサービスです。グループポリシー、信頼関係、スキーマ拡張など AD のフル機能が利用でき、RDS for SQL Server や Amazon WorkSpaces など AD 認証を必要とする AWS サービスとの統合に最適です。Simple AD は Samba 4 ベースの軽量ディレクトリで、基本的な LDAP 認証とユーザー管理のみが必要な小規模環境向けです。AD Connector はディレクトリそのものではなく、オンプレミスの既存 AD へのプロキシとして機能します。AWS のサービスからの認証リクエストを VPN や Direct Connect 経由でオンプレミス AD に転送するため、クラウド側にユーザー情報を複製する必要がありません。選択基準として、AD のフル機能が必要なら Managed Microsoft AD、既存 AD を活用したいなら AD Connector、低コストで基本認証だけ必要なら Simple AD が適しています。

Managed Microsoft AD の信頼関係とハイブリッド認証設計

エンタープライズ環境では、オンプレミスの AD フォレストと AWS の Managed Microsoft AD の間に信頼関係 (Trust) を構築するハイブリッド構成が一般的です。フォレスト信頼 (Forest Trust) を設定すると、オンプレミスのユーザーが AWS 上のリソースにシングルサインオンでアクセスでき、逆に AWS 上のサービスアカウントがオンプレミスのリソースを参照することも可能になります。信頼関係の通信は Direct Connect または Site-to-Site VPN 経由で行われ、Kerberos チケットの交換に必要なポート (TCP/UDP 88, 389, 636 など) をセキュリティグループで許可する必要があります。Active Directory の関連書籍 (Amazon) では、フォレスト信頼の設計パターンとトラブルシューティングが詳しく解説されています。Managed Microsoft AD はマルチリージョンレプリケーションにも対応しており、プライマリリージョンのディレクトリを他リージョンに自動複製することで、グローバルに分散したワークロードの認証レイテンシーを低減できます。Azure AD (Microsoft Entra ID) とは異なり、Managed Microsoft AD はオンプレミス AD と同じプロトコルスタックで動作するため、既存の AD 管理ツールやスクリプトをそのまま利用できる点が移行の障壁を下げます。

AWS サービス統合と運用上の考慮事項

Managed Microsoft AD は多数の AWS サービスと統合されています。Amazon WorkSpaces はデスクトップの認証に AD を使用し、RDS for SQL Server は Windows 認証でデータベース接続を行い、Amazon FSx for Windows File Server は AD のアクセス制御リスト (ACL) でファイル共有の権限を管理します。EC2 の Windows インスタンスはドメイン参加により、グループポリシーの適用やドメインユーザーでのログオンが可能になります。SSM (Systems Manager) のシームレスドメイン参加機能を使えば、インスタンス起動時に自動的にドメインに参加させることもできます。運用面では、ドメインコントローラーの OS パッチ適用やスナップショットは AWS が自動的に管理するため、インフラ運用の負荷は大幅に軽減されます。ただし、OU (組織単位) の設計、グループポリシーの作成、ユーザー・グループの管理は利用者の責任です。ディレクトリのサイズは Standard (最大 30,000 オブジェクト) と Enterprise (最大 500,000 オブジェクト) の 2 エディションがあり、ユーザー数とコンピューターオブジェクト数の合計で選択します。

共有するXB!

関連する用語

AWS IAM Identity CenterAWS IAMAmazon CognitoAmazon EC2AWS Direct Connect

関連するサービス

AWS IAM Identity CenterAmazon WorkSpacesAmazon FSxAWS Systems Manager

関連する記事

AWS Directory Service で構築するマネージド Active Directory - ハイブリッド環境の ID 管理AWS Managed Microsoft AD の構築とオンプレミス AD との信頼関係を設計する。WorkSpaces・RDS・FSx との統合によるハイブリッド ID 管理を紹介します。AWS AppConfig で実装するフィーチャーフラグ - 安全な設定デプロイとロールバックコードデプロイとは独立した設定変更を、Linear・Exponential 戦略で段階的にロールアウトする。CloudWatch アラーム連動の自動ロールバックで安全性を確保します。カオスエンジニアリング実践 - AWS Fault Injection Simulator で耐障害性を検証するAWS Fault Injection Simulator (FIS) を使ったカオスエンジニアリングの実践を解説。障害注入シナリオの設計、EC2 ・ ECS ・ RDS への障害注入、安全な実験の進め方を紹介します。AWS Config で実現する継続的コンプライアンス監視 - ルール評価と自動修復AWS Config によるリソース構成の記録、Config ルールによるコンプライアンス評価、自動修復アクションの設定を解説します。AWS Control Tower でマルチアカウント環境を構築 - ランディングゾーンとガードレールベストプラクティスに基づくマルチアカウント環境を自動構築し、400 以上のガードレールでコンプライアンスを継続的に維持する。Account Factory と Customizations for Control Tower による拡張手法を解説します。

内容が近い用語・記事

Active Directory 連携 - AWS Directory Service でオンプレミス ID 基盤をクラウドに拡張するAWS Directory Service を使った Active Directory のクラウド統合を解説。AWS Managed Microsoft AD、AD Connector、Simple AD の使い分けと、WorkSpaces ・ RDS ・ FSx との連携を紹介します。AWS Directory Service で構築するマネージド Active Directory - ハイブリッド環境の ID 管理AWS Managed Microsoft AD の構築とオンプレミス AD との信頼関係を設計する。WorkSpaces・RDS・FSx との統合によるハイブリッド ID 管理を紹介します。AWS Directory ServiceAWS でマネージド Active Directory を提供するサービスAmazon WorkSpacesWindows または Linux のフルマネージド仮想デスクトップを提供し、任意のデバイスからセキュアにアクセスできるクラウド DaaS (Desktop as a Service)Amazon WorkSpacesクラウド上の仮想デスクトップ (VDI) をマネージドに提供するサービス