AWS Directory Service のアイコン

AWS Directory Service

AWS でマネージド Active Directory を提供するサービス

約 2 分で読めます

何ができるか

AWS Directory Service は、Microsoft Active Directory (AD) をクラウド上でマネージドに提供するサービスです。AWS Managed Microsoft AD、AD Connector、Simple AD の 3 種類のディレクトリタイプを提供しています。ユーザーやコンピュータの認証・認可、グループポリシーの適用など、オンプレミスの Active Directory と同等の機能をクラウドで利用できます。

どのような場面で使うか

Windows ワークロードを AWS に移行する際のユーザー認証基盤、Amazon WorkSpaces や RDS for SQL Server などの AWS サービスとの AD 統合、オンプレミスの AD と AWS 環境の信頼関係構築などに利用されています。既存の AD 環境を持つ企業がクラウド移行する際に、ユーザー管理の仕組みをそのまま活用できます。 この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。

身近な例え

会社の社員証発行システムに例えるとわかりやすいでしょう。社員証 (AD アカウント) を持っていれば、オフィスのドア (各サービス) を開けられます。Directory Service は、この社員証システムをクラウド上で運用するサービスです。本社 (オンプレミス AD) と支社 (AWS) で同じ社員証を使えるようにすることもできます。

Directory Service とは

この記事は約 2 分で読めます。 AWS Directory Service は、Active Directory をクラウドで利用するためのサービスです。Active Directory (AD) とは、Windows 環境でユーザーアカウント、コンピュータ、グループなどを一元管理する仕組みです。多くの企業がオンプレミスで AD を運用していますが、Directory Service を使えば、AD の構築・運用・パッチ適用を AWS に任せることができます。

3 つのディレクトリタイプ

AWS Managed Microsoft AD は、フル機能の Microsoft AD をマネージドで提供します。グループポリシー、信頼関係、LDAP など、すべての AD 機能が利用可能です。AD Connector は、オンプレミスの既存 AD へのプロキシとして機能し、AWS サービスからオンプレミス AD を参照できます。Simple AD は、Samba ベースの軽量ディレクトリで、小規模な環境に適しています。

AWS サービスとの統合

Directory Service は、多くの AWS サービスと統合できます。Amazon WorkSpaces (仮想デスクトップ) のユーザー認証、RDS for SQL Server の Windows 認証、Amazon FSx for Windows File Server のアクセス制御、AWS IAM Identity Center によるシングルサインオンなど、AD ベースの認証を AWS サービス全体で活用できます。

はじめかた

Directory Service を使い始めるには、コンソールでディレクトリタイプを選択し、ディレクトリを作成します。AWS Managed Microsoft AD の場合、VPC とサブネットを指定し、ディレクトリ名と管理者パスワードを設定するだけで、数分でディレクトリが利用可能になります。オンプレミス AD との信頼関係を構築する場合は、VPN または Direct Connect での接続が必要です。

Azure・オンプレミスとの比較

Azure の対応サービス Microsoft Entra Domain Services (旧 Azure AD DS)
オンプレミスでの対応手段 Microsoft Active Directory Domain Services (AD DS)

AWS の優位点

  • ドメインコントローラーの構築・パッチ適用・バックアップが完全に自動化されており、AD インフラの運用負荷を大幅に削減できる
  • WorkSpaces、RDS、FSx、IAM Identity Center など多数の AWS サービスと標準で統合されており、追加設定なしで AD 認証を利用できる
  • マルチ AZ 構成が標準で提供されるため、単一障害点のない高可用性の AD 環境を追加コストなしで実現できる

注意点

  • AWS Managed Microsoft AD は 2 つの AZ にドメインコントローラーを配置するため、最低 2 つのサブネットが必要
  • AD Connector はディレクトリ自体を持たず、オンプレミス AD へのプロキシとして動作するため、オンプレミス AD への安定したネットワーク接続が前提となる
  • Simple AD は Microsoft AD の全機能をサポートしていないため、グループポリシーや信頼関係が必要な場合は AWS Managed Microsoft AD を選択すること

さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。

同じカテゴリのサービス

IAM Access Analyzer のアイコン IAM Access Analyzer 外部からアクセス可能なリソースと未使用のアクセス権限を検出するサービス AWS Certificate Manager のアイコン AWS Certificate Manager SSL/TLS 証明書のプロビジョニング、管理、デプロイを自動化するサービス AWS Artifact のアイコン AWS Artifact AWS のコンプライアンスレポートと契約書をオンデマンドで取得するサービス AWS CloudHSM のアイコン AWS CloudHSM 専用のハードウェアセキュリティモジュールで暗号鍵を管理するサービス Amazon Cognito のアイコン Amazon Cognito Web・モバイルアプリケーションの認証・認可とユーザー管理を提供するサービス Amazon Detective のアイコン Amazon Detective セキュリティの検出結果を自動分析し、根本原因を調査するサービス AWS Firewall Manager のアイコン AWS Firewall Manager AWS Organizations 全体のファイアウォールルールを一元管理するサービス Amazon GuardDuty のアイコン Amazon GuardDuty 機械学習を活用した脅威検出サービス AWS IAM のアイコン AWS IAM AWS リソースへのアクセスを安全に管理するための認証・認可サービス AWS IAM Identity Center のアイコン AWS IAM Identity Center 複数の AWS アカウントと SaaS アプリケーションへのシングルサインオンを提供するサービス Amazon Inspector のアイコン Amazon Inspector EC2 インスタンス、コンテナイメージ、Lambda 関数の脆弱性を自動スキャンするサービス AWS KMS のアイコン AWS KMS データの暗号化に使う鍵を安全に作成・管理できるマネージド暗号鍵サービス Amazon Macie のアイコン Amazon Macie S3 バケット内の機密データを機械学習で自動検出・保護するサービス AWS Network Firewall のアイコン AWS Network Firewall VPC のネットワークトラフィックをきめ細かく制御するマネージドファイアウォールサービス AWS Payment Cryptography のアイコン AWS Payment Cryptography 決済処理に必要な暗号鍵の管理と暗号操作を提供するマネージドサービス AWS Private Certificate Authority のアイコン AWS Private Certificate Authority プライベート証明書の発行・管理を行うマネージド認証局サービス AWS Resource Access Manager のアイコン AWS Resource Access Manager AWS リソースを組織内の他のアカウントと安全に共有するサービス AWS Secrets Manager のアイコン AWS Secrets Manager データベースパスワードや API キーを安全に管理・自動ローテーションするサービス AWS Security Hub のアイコン AWS Security Hub AWS 環境のセキュリティ状態を一元管理し、ベストプラクティスへの準拠を自動チェックするサービス Amazon Security Lake のアイコン Amazon Security Lake セキュリティデータを OCSF 形式で一元集約するデータレイクサービス AWS Shield のアイコン AWS Shield DDoS 攻撃からアプリケーションを保護するマネージドサービス AWS Signer のアイコン AWS Signer コードの署名と検証を行い、信頼されたコードのみがデプロイされることを保証するサービス Amazon Verified Permissions のアイコン Amazon Verified Permissions Cedar ポリシー言語でアプリケーションの認可ロジックを外部化するサービス AWS WAF のアイコン AWS WAF Web アプリケーションを悪意のあるアクセスから保護するファイアウォールサービス