AWS Directory Service について
今回はAWSがフルマネージドで提供するActiveDirectory(以下AD)について、まとめます。
ユーザの操作制御、データへのアクセス制御などの他にAWSサービスでもAD連携必須というものもあるので、AWSでシステム構築する上で避けては通れないジャンルだと思われます。
私自身AD構築を進める際に色々と調べましたが「初心者向けの情報って全然ないじゃん!」(設定方法をPowershellのコマンドレットで書くんじゃない!)ってどこに向けたらいいか分からない怒りを覚えた記憶があります(笑)。
AWS Directory Service とは
AWS公式ページ
公式には以下のように説明されております。
AWS Directory Service は、既存の Microsoft AD やライトウェイトディレクトリアクセスプロトコル (LDAP) –対応のアプリケーションをクラウド上で使用するユーザー向けに複数のディレクトリオプションを提供します。また、開発者がディレクトリを通じてユーザー、グループ、デバイス、およびアクセスを管理する場合にも、同じオプションを提供します。
AWS フルマネージドでADを作るとなると「Simple AD」もしくは「AWS Managed Micorosoft AD」(以下MS AD)のどちらかになります。
※EC2にAD機能を持たせるという構成でもAD環境構築は出来ます
AWS Directory Serviceの他メニューには「AD Connect」や「AWS Cognito」がありますが若干毛色のちがうサービスになるので、この記事では触れません。以降は主にSimple ADとMS ADについての説明となります。
#構成イメージ
Directory ServiceをデプロイするVPCを選択し、さらに2つ以上のAZを選択する形となる。
AWS Directory Serviceの特長および利用メリット
- デフォルトで冗長化設定がされている。
- サーバOSのファームウェアverUpやセキュリティパッチ適用などのメンテナンスをユーザ側で行う必要がない。
- オンプレADとほぼ同じくグループポリシーでユーザ制御やクライアントPCへセキュリティ設定の一斉配布/適用が可能になる。
利用上の留意点
- ADにドメインユーザを作成、グループポリシーの設定、オブジェクトの登録状況確認等をするためには別途Windowsインスタンス(もしくはAD DS機能を持ったサーバ)が必要。
※AWS Directory Service はマネージドサービスのため、ユーザが直接サーバコンソール画面にはアクセスできません。そのため、EC2などユーザがサーバコンソールにアクセスできるリソースから中身の設定を追加してやる必要があります。
- オンプレADのセカンダリ(正確な表現ではないですが)としては利用できない。
※課金がドメインコントローラーの数によって変動するため
※オンプレからのAD移行などので、セカンダリとして構築したい場合はEC2でADを構築しましょう
- 必ずマルチAZでの運用になる(シングルAZでは構成不可)
Simple ADと MS ADの比較
◆Simple AD・・・小規模環境向け簡易AD(単純なAD環境であればこれで問題ない)
・Active Directory管理センター機能や一部のAWSサービスで連携できないなどの機能制限がある。
対応不可AWSサービス:Amazon AppStream 2.0 / AWS FSx for Windows / Amazon chime など
・登録できるオブジェクト数(ユーザ、グループ、コンピュータ)制限がある。
◆AWS Managed Microsoft AD・・・一般的なAD(機能的にはWindows Server のものとほぼ同じ)
・Simple ADが対応不可のAWSサービスでも連携できる。
・登録できるオブジェクト数(ユーザ、グループ、コンピュータ)がSimple ADよりも多い。
・Domain Controllers にはAWSで特定のGPOがアタッチ済みで変更できない。
・AWSの作成したユーザ、グループがあり、削除できないなどの制限もある。
(ユーザ名Administrator はAWSで利用制限されており、ユーザが利用できるのはAdmin)
MS ADの「ユーザとコンピュータ」、「グループポリシーの管理」はこんな感じです。
FSxを構築しているのでFsx関係のオブジェクトが出来ています。他サービスもディレクト連携すると自動で追加されるようです。
ちなみにWorkDocus を連携させるとユーザに[GorillaBoyAdministrator]というユーザグループオブジェクトが追加されます。※WorkDocusの管理者権限を持つセキュリティグループのようです。
MS ADではユーザ名[Admin]をグループ[Domain Admins]に追加しようとしてもエラーになります。
※他ユーザも同様
管理者権限をユーザに付与したい場合は対象ユーザをグループ[AWS Delegeted administrator]に参加させるようにしてください。
構築手順
Simple ADもMS ADも大体構築手順は同じです。
今回はSimple ADを構築するパターンで手順を紹介します。
利用規模に応じて、スモールとラージを選択します。
次にデプロイするVPCとサブネットを選択します。
Directory Serviceを作成をすると上記のように設定情報が確認できます。
次にVPCのDHCPのオプションセットを作成し、VPC内のDNSがSimple ADに向くように設定します。
DNS情報はSimple ADのディレクト情報で確認できます。
続いて、Simple ADをデプロイしたVPCに先ほど作成したDHCPオプションセットを適用していきます。
AWSサービスをDirectory連携されるときにVPCにDHCPオプションを適用していないと、Directoryを認識できず、連携が失敗します。
インスタンス側でドメイン参加するにはRDPでインスタンスに接続し、上記のようにNetwork Interface のDNSをSimple ADのアドレスへ変更して、コントロールパネルの[システム]からドメインを変更してください。
これでSimple ADの構築およびインスタンスのドメイン参加が完了しました!
料金体系
AWS公式
注意してほしいのは、料金表の価格はドメインコントローラ単位の費用になるということです。
Simple ADでもMS ADでもドメインコントローラは最低2つ必要ですが、何個分必要なのかを意識して試算してください。
最後に
AD自体かなり奥が深く、私自身使いこなせるようになるまでには時間がかかると思います。その道のプロからするとおかしな表現も多々あると思いますので、間違いあればご指摘頂ければと思います。