AWS Directory Service とは
AWS Directory Service では、Amazon Cloud Directory および Microsoft Active Directory (AD) を他の AWS サービスと併用するための複数の方法を提供します。ディレクトリはユーザー、グループ、デバイスに関する情報を保存します。管理者は、これらのディレクトリを通じて情報やリソースへのアクセスを管理します。AWS Directory Service は、既存の Microsoft AD やライトウェイトディレクトリアクセスプロトコル (LDAP) –対応のアプリケーションをクラウド上で使用するユーザー向けに複数のディレクトリオプションを提供します。また、開発者がディレクトリを通じてユーザー、グループ、デバイス、およびアクセスを管理する場合にも、同じオプションを提供します。
ディレクトリオプションの選択
-
SaaS アプリケーションを開発する
- 高スケールの SaaS アプリケーションを開発する場合、受信者を管理および認証するために、ソーシャルメディア ID に対応するスケーラブルなディレクトリが必要なときは、Amazon Cognito を使用
-
複雑な関係を持つ階層データを管理するクラウドアプリケーションを開発する
- アプリケーション間での階層データの共有やアクセス管理にクラウドスケールのディレクトリが必要な場合は、Amazon Cloud Directory を使用します。
-
クラウド内のアプリケーションに Active Directory または LDAP が必要である
- Active Directory– 対応のワークロードや AWS のアプリケーションとサービス (Amazon WorkSpaces、Amazon QuickSight など) をサポートする実際の Microsoft Active Directory が AWS クラウドで必要な場合、または Linux アプリケーション用に LDAP サポートが必要な場合
- AWS Directory Service for Microsoft Active Directory
- オンプレミスのユーザーが Active Directory 認証情報で AWS アプリケーションやサービスにログインすることを許可する
- AD Connecter
- Samba 4 互換アプリケーションをサポートする基本的な Active Directory 互換性を持つ低スケール、低コストのディレクトリが必要な場合、または LDAP 対応アプリケーションの LDAP 互換性が必要な場合
- SimpleAD
- Active Directory– 対応のワークロードや AWS のアプリケーションとサービス (Amazon WorkSpaces、Amazon QuickSight など) をサポートする実際の Microsoft Active Directory が AWS クラウドで必要な場合、または Linux アプリケーション用に LDAP サポートが必要な場合
AWS Managed Microsoft AD のユースケース
ユースケース 1: AD 認証情報で AWS アプリケーションとサービスにサインインする
ユーザーが AWS マネジメントコンソール に AD 認証情報でサインインできるようにすることが可能です。そのためには、ディレクトリ内のアプリケーションとして AWS マネジメントコンソール を有効にしてから、AD ユーザーとグループを IAM ロールに割り当てます。ユーザーが AWS マネジメントコンソール にサインインすると、AWS リソースを管理するための IAM ロールが割り当てられます。
ユースケース 2: Amazon EC2 インスタンスを管理する
使い慣れた AD 管理ツールを使用し、インスタンスを AWS Managed Microsoft AD ドメインに結合して、AD グループポリシーオブジェクト (group policy objects、GPO) を適用して Amazon EC2 for Windows または Linux インスタンスを一元管理できます。
また、ユーザーはインスタンスに AD 認証情報でサインインできます。これにより、個別のインスタンス認証情報を使用したり、プライベートキー (PEM) ファイルを配布したりする必要がなくなります。その結果、使い慣れた AD ユーザー管理ツールで、ユーザーに対してアクセスをすばやく許可または取り消すことができます。
ユースケース 3: AD 対応ワークロードにディレクトリサービスを提供する
従来の AD 対応ワークロード (リモートデスクトップライセンスマネージャや Microsoft SharePoint and Microsoft SQL Server Always On など) を AWS クラウド上で使用できるようにする
ユースケース 4: Office 365 およびその他のクラウドアプリケーションに SSO する
AWS Managed Microsoft AD を使用して、クラウドアプリケーションへの SSO を有効にすることができます。Azure AD Connect を使用してユーザーを Azure AD に同期させた後、Active Directory フェデレーションサービス (AD FS) を使用して、Microsoft Office 365 およびその他の SAML 2.0 クラウドアプリケーションにユーザーが AD 認証情報でアクセスできるようにすることが可能
ユースケース 5: オンプレミス AD を AWS クラウドに拡張する
ユーザーは既存の AD ユーザー名とパスワードを使用して、AWS マネジメントコンソール と Amazon WorkSpaces にサインインできます。また、AWS Managed Microsoft AD で SharePoint などの AD 対応アプリケーションを使用すると、ログインした Windows ユーザーは認証情報を再入力せずにこれらのアプリケーションにアクセスできます。
ユースケース 6: ディレクトリを共有して、AWS アカウント間でシームレスに Amazon EC2 インスタンスをドメインに結合する
複数の AWS アカウント間でディレクトリを共有すると、各アカウントや各 VPC で直接作業する必要なく、Amazon EC2 などの AWS サービスを管理することができます。1 つの AWS リージョン内の任意の AWS アカウントおよび任意の Amazon VPC からディレクトリを使用することができます。この機能によって、複数のアカウントと VPC 間で単一のディレクトリのディレクトリ対応型ワークロードを簡単で優れたコスト効果で管理することができます。たとえば、EC2 インスタンスにデプロイした Windows ワークロードを単一の AWS Managed Microsoft AD ディレクトリを使用して複数のアカウントと VPC 間で簡単に管理することができるようになります。
Active Directory Connector
AD Connector は、クラウドの情報をキャッシュせずにディレクトリリクエストをオンプレミスの Microsoft Active Directory へリダイレクトするのに使用するディレクトリゲートウェイ
AD Connector には、スモールとラージの 2 つのサイズがあります。
Active Directory Connector(AD Connector)を試してみた
Simple Active Directory
スモールとラージの 2 つのサイズがあります。
Windowsを一切使わずDirectory ServiceのSimple ADを使ってLinuxユーザーを一元管理する
参考文献
- AWS Directory Service とは