はじめに
皆さんはAWSでActive Directoryを利用しようとされたことはありますか?
今回は、AWSでActive Directoryを利用することができるサービスの1つであるAWS Managed Microsoft ADについて、利用する際の注意点を紹介します。
AWS Managed Microsoft ADの概要
AWS Directory Serviceの1つである、「AWS Managed Microsoft AD」は、実際にWindows Server上に構築したActive Directory環境を提供するマネージドサービスです。
StandardとEnterpriseの2つのエディションに分けられます。
基本料金
Standard(オブジェクト数:30,000):$0.146 /時間当たり
Enterprise(オブジェクト数:500,000):$0.445 /時間当たり
※2台構成(最小)のドメインコントローラーの料金となります。
メリット
- 実際のMicrosoft Active DirectoryをAWS環境でそのまま利用できます。
- デフォルトでマルチAZに冗長化されているため、高い可用性を備えています。
- マネージドサービスのため、OSメンテナンス等の運用作業が不要です。
注意点
-
ドメインにユーザを追加する等の管理作業のために、管理用インスタンス(EC2)が必要となります。
- 必要時のみ起動することで、コスト削減が可能です。
-
オンプレミスのActive DirectoryをAWS Managed Microsoft ADに移行する場合、移行ツールがAWSから提供されていません。
- Microsoftから提供されているActive Directory移行ツールキッド(ADMT)を利用することは可能です。
-
「administrator」や「Domain Admins」などの従来のActive Directoryにて提供されているユーザやグループが使用できません。
- administratorに相当するユーザとして「admin」が、AWS Managed Microsoft AD で管理用に最初から用意されています。
- Domain Adminsに相当するグループとして「AWS Delegated Administrators」が用意されており、同等の権限をADユーザに付与可能です。
-
Default Domain Policyの変更ができません。
- PSO(Password Setting Object)を利用したパスワードポリシー運用を行うことが推奨されています。
最後に
AWS Directory Serviceの特徴についてまとめてみました。
ADは重要な要素なため、ユースケースに合っているか確認し、適切なサービスを選択しましょう。