はじめに
AWSの管理ツールについて学習したので内容をまとめます。
背景
本記事はAWSソリューションアーキテクトプロフェッショナルに合格するために、Udemyの模擬試験を解いて分からなかった部分を勉強してまとめるものです。
試験対策用のため、分からない知識を補足したり試験で問われなさそうなところを省略したりしながらまとめています。
なるべくわかりやすい記載を心がけますが、最終目的は自己学習用であるということをご容赦ください。
基本用語
- Active Directory:Windowsネットワークの基本的な認証とセキュリティ基盤
- AWS Directory Service:Microsoft Active DirectoryをAWSで利用するためのサービス。以下の三つがある。
- Simple AD:一般的なディレクトリ機能を提供
- AWS Managed Microsoft AD:Simple ADより多彩な機能を提供
- AD Connector:既存のオンプレミスActive DirectoryをAWSに接続
Simple AD
- 一般的なディレクトリ機能を提供
- 信頼関係はサポートしない
- 小規模
AWS Managed Microsoft AD
- Simple ADに加え多くの機能の利用可能。
- AWSアプリケーションと統合可能。
- 既存(オンプレミス)のActive Directoryドメインとの信頼関係を設定可能。
- IAMのアクセス許可があればマネジメントコンソールからAWSリソースの管理も可能。
AD Connector
- VPNやDirect Connectを通じてVPCをオンプレミスのActive Directoryに接続する。
- 設定後、既存の認証情報を使用してAWSアプリケーションにサインイン可能。
- IAMのアクセス許可があればマネジメントコンソールからAWSリソースの管理も可能。
- MFAと統合することで多要素認証も可能。
試験対策
設問①SAML対応のアプリケーションを構築したい。MFAも必要。
- SAML連携やSSOはAD Connectorと連携可能。
設問②Direct Connectで接続されているMicrosoft Active Directoryからマネジメントコンソールにアクセスしたい。
- SAML2.0形式でIdP側とAWS側でメタデータの交換をし、信頼関係の構築が必要。
- オンプレミス環境にADFSをセットアップ、SAMLメタデータを取得しAWSのID プロバイダーに登録、IAMとIdPの間の信頼関係を確立するIAMロールを作成、ADFSでもAWSのフェデレーションメタデータを登録。
設問③オンプレミスのMicrosoft Active Directoryを使用してマネジメントコンソールにログインしたい。
- オンプレミスのActive DirectoryにSAML2.0に対応したIdPとしてADFSをインストールする。ADFSからSAMLアサーションを受け取りAWS SSOでマネジメントコンソールにシングルサインオンする。
設問④ハイブリッドアーキテクチャでオンプレミスのWindowsアカウントからAWSリソースにアクセスしたい。ADワークロードはAWS側に移行したい。
- AWS Managed Microsoft ADを利用してシングルサインオンを実現する。
- ADConnectorではワークロードがオンプレミス側になる。
用語集
- ADFS:クラウドにアクセスするために必要なトークンを発行する
- SAMLアサーション:ユーザー認証ステータスを含むXMLドキュメント
- SAML2.0:シングルサインオンで利用するプロトコル。認証を管理する。