はじめに
AWS Directory Serviceには、Simple ADとAD Connectorという2つの選択肢があり、AWS環境でユーザー認証やグループ管理を実現できます。しかし、それぞれの特徴や適したユースケースは大きく異なります。「結局どっちを選べばいいの?」と悩む方もいるのではないでしょうか。
本記事では、Simple ADとAD Connectorの機能、メリット・デメリットを徹底比較し、どのような場合にどちらを選ぶべきか解説します。
Simple ADとは?
Simple ADは、AWSクラウド上に構築される、Microsoft ADの機能サブセットを実装したマネージドディレクトリサービスです。既存のオンプレミスAD環境は不要で、AWS内に独立したユーザー管理基盤を構築したい場合に適しています。
Simple ADの主な特徴
- AWSクラウド専用: AWS上に閉じた環境で動作し、既存のAD環境との連携は前提としません。
- AD互換機能: ユーザーアカウント、グループ、グループポリシー、ドメイン参加など、基本的なAD機能を提供します。
- 低コスト: 一般的に、AWS Managed Microsoft ADよりも安価に利用できます。
- 最大5,000ユーザー: 小〜中規模の環境に適しています。
- LDAP/Samba互換: LDAP対応アプリケーションやSambaベースのファイルサーバーとの連携が可能です。
- 信頼関係非サポート: 他のディレクトリとの信頼関係は構築できません。
- 高度なAD機能制限: DNS動的更新、スキーマ拡張、LDAPS、PowerShell ADコマンドレットなどは利用できません。
Simple ADのメリット・デメリット
メリット:
- 既存のAD環境が不要で、AWS上で手軽にユーザー管理基盤を構築できる。
- 低コストで利用できるため、費用を抑えたい場合に有利。
- 基本的なAD機能で要件を満たせる場合にシンプル。
デメリット:
- 既存のAD環境との連携機能はない。
- 最大ユーザー数に制限がある。
- 高度なAD機能は利用できない。
- 他のディレクトリとの信頼関係を構築できない。
Simple ADの主なユースケース
- Amazon WorkSpacesのユーザー認証基盤として、AWS内に独立したユーザー管理を行いたい場合。
- Sambaベースのファイルサーバーの認証基盤として、AWS内で完結させたい場合。
- AWS上にシンプルな認証基盤を低コストで構築したい小〜中規模の環境。
AD Connectorとは?
AD Connectorは、既存のオンプレミスまたはAWS上に構築されたActive DirectoryとAWS環境を接続するためのディレクトリゲートウェイです。ユーザー認証リクエストを既存のADに転送し、AWSリソースへのアクセスに既存のADアカウントを利用できます。
AD Connectorの主な特徴
- 既存ADとの連携: オンプレミスまたはAWS上の既存ADとVPNまたはDirect Connect経由で接続します。
- 認証情報の転送: AWSリソースへの認証リクエストを既存のADに転送し、認証処理を行います。
- ディレクトリ同期不要: ユーザー情報やパスワードは既存のADで管理され、AWS側に同期されません。
- シングルサインオン (SSO): 既存のADアカウントでAWS Management Consoleや対応サービスにSSOでアクセス可能。
- 多要素認証 (MFA) 連携: 既存のAD環境で設定されたMFAをAWS環境でも利用可能。
- EC2インスタンスのドメイン参加: AD Connector経由でEC2インスタンスを既存のADドメインに参加させることが可能。
- IAMロールの割り当て: ADのユーザーやグループにIAMロールを割り当てることで、AWSリソースへのアクセス制御をAD側で管理可能。
- サイズ選択: Small (最大500ユーザー)、Large (最大5,000ユーザー) の2つのサイズから選択可能。
- VPN/Direct Connect必須: 既存ADとのネットワーク接続が必須。
AD Connectorのメリット・デメリット
メリット:
- 既存のAD環境をそのままAWS環境でも利用できるため、ユーザーは新しい認証情報を覚える必要がない。
- 既存のADのセキュリティポリシーやパスワードポリシーをAWS環境にも適用できる。
- シングルサインオン (SSO) や多要素認証 (MFA) を既存のAD環境と連携できる。
- EC2インスタンスを既存のADドメインに容易に参加させることができる。
- ディレクトリ同期が不要なため、管理の複雑さを軽減できる。
デメリット:
- 既存のAD環境とのネットワーク接続(VPN/Direct Connect)が必須となる。
- 既存のADの可用性に依存するため、ADに障害が発生するとAWSリソースへの認証も影響を受ける可能性がある。
- Simple ADと比較して、構成がやや複雑になる場合がある。
AD Connectorの主なユースケース
- 既存のオンプレミスAD環境を持つ組織が、AWSへの移行やハイブリッド環境を構築する際に、既存の認証基盤をAWSでも利用したい場合。
- ユーザーに既存のADアカウントでAWSリソース(Amazon WorkSpaces、EC2インスタンスなど)にアクセスさせたい場合。
- AWS Management Consoleへのシングルサインオンを実現したい場合。
- 既存のADで管理しているセキュリティポリシーをAWS環境にも適用したい場合。
Simple AD vs AD Connector:機能比較表
| 機能 | Simple AD | AD Connector |
|---|---|---|
| 既存AD連携 | × | ○ (VPN/Direct Connect必須) |
| ディレクトリ同期 | AWS内に独立 | 不要 (既存ADを参照) |
| シングルサインオン (SSO) | - | ○ (対応サービス) |
| 多要素認証 (MFA)連携 | RADIUS経由で限定的 | ○ (既存ADのMFAを利用) |
| EC2ドメイン参加 | ○ | ○ |
| IAMロール割り当て | - | ○ (ADユーザー/グループにIAMロールを割り当て) |
| 最大ユーザー数 | 5,000 | Small: 500, Large: 5,000 |
| 高度なAD機能 | × (DNS動的更新、スキーマ拡張など) | 既存ADに依存 |
| 信頼関係 | × | 既存ADに依存 |
| コスト | 一般的に低コスト | Simple ADより高コストの場合が多い (WorkSpaces連携で無料の場合あり) |
| ネットワーク接続 | 不要 | VPNまたはDirect Connect必須 |
どちらを選ぶべきか?
| 要件 | 推奨されるサービス |
|---|---|
| 既存のオンプレミスAD環境があり、AWSと連携したい | AD Connector |
| ユーザーに既存のADアカウントでAWSリソースにアクセスさせたい | AD Connector |
| AWS Management ConsoleへのSSOを実現したい | AD Connector |
| AWS上に閉じたシンプルなユーザー管理基盤を構築したい | Simple AD |
| 既存のAD環境がなく、新たにAWS内でユーザー管理を行いたい | Simple AD |
| コストを抑えたい小〜中規模のAWS専用環境 | Simple AD |
| ディレクトリ同期の管理 overhead を避けたい | AD Connector |
まとめ
Simple ADとAD Connectorは、それぞれ異なる目的と特性を持つサービスです。既存のAD環境の有無、AWSでの利用目的、必要な機能、コストなどを総合的に考慮し、最適なサービスを選択することが重要です。
AWS環境とActive Directoryの連携を検討する際には、本記事を参考に、ご自身の環境に合ったサービスを選択してください。