AWS Directory Service よくある質問

Page Topics

全般
11
AWS Managed Microsoft AD
21
マルチリージョンでのレプリケーション
10
シームレスなドメイン参加
4
IAM 統合
1
コンプライアンス
3

全般

AWS Directory Service は、ユーザー、グループ、コンピューター、およびその他のリソースといった組織についての情報を含むディレクトリ機能を提供するマネージド型サービスです。AWS Directory Service はマネージド型サービスであり、管理作業の削減を目指して設計されているため、より多くの時間とリソースをビジネスに集中させられます。高可用性のために込み入ったディレクトリトポロジーを自分で構築する必要はありません。各ディレクトリが複数のアベイラビリティーゾーンにデプロイされ、モニタリングによって障害の発生したドメインコントローラーを自動的に検出して置換することが可能なためです。さらに、データレプリケーションと自動化された日次のスナップショットが設定されます。ソフトウェアのインストールは不要で、AWS がすべてのパッチ適用、およびソフトウェアの更新を処理します。

AWS Directory Service によって、AWS クラウド内にディレクトリをセットアップして運用することや、AWS リソースを既存のオンプレミス Microsoft Active Directory に接続することが簡単に行えます。作成したディレクトリは、ユーザーとグループの管理、アプリケーションとサービスへのシングルサインオン提供、グループポリシーの作成と適用、Amazon EC2 インスタンスのドメインへの参加、およびクラウドベースの Linux と Microsoft Windows ワークロードのデプロイと管理の簡素化に使用できます。AWS Directory Service によって、エンドユーザーは 、カスタム .NET および SQL Server ベースのアプリケーションといったディレクトリ対応型 Windows ベースのワークロードに加え、Amazon WorkSpaces、Amazon WorkDocs、および Amazon WorkMail といった AWS アプリケーションへのアクセスにも既存の企業内認証情報を使用できます。最後に、AWS Identity and Access Management (IAM) ロールベースでの AWS マネジメントコンソールを経由して、既存の企業内認証情報を使用した AWS リソースの管理が行えるため、ID フェデレーションインフラストラクチャを別途構築する必要がありません。

ディレクトリの作成には、AWS マネジメントコンソールまたは API を使用できます。ディレクトリの完全修飾ドメイン名 (FQDN)、管理者アカウント名とパスワード、ディレクトリを添付する VPC などのいくつかの基本情報を入力するだけで済みます。

はい。AWS マネジメントコンソールまたは API を使用して、Linux または Windows を実行している既存の EC2 インスタンスを AWS Managed Microsoft AD ディレクトリに追加できます。

ディレクトリを作成および管理するためのパブリック API が使用できます。このパブリック API を使用して、プログラムでディレクトリを管理できます。パブリック API は、AWS CLI および SDK を介して利用できます。API の詳細については、「AWS Directory Service のドキュメント」をご覧ください。

はい。AWS Directory Service API またはマネジメントコンソールを使用して実行されるアクションは、CloudTrail 監査ログに記録されます。

はい。AWS Directory Service のステータスが変更されるときに電子メールやテキストメッセージを受信するように Amazon Simple Notification Service (SNS) を設定できます。Amazon SNS は、トピックを使用してメッセージを収集して受信者に配信します。AWS Directory Service がディレクトリのステータス変更を検出すると、関連するトピックにメッセージを発行し、トピック受信者にそれが送信されます。詳細については、「ドキュメント」をご覧ください。

詳細については料金表ページを参照してください。

はい。AWS Directory Service では、コスト配分タグ付けをサポートしています。タグを使用すると、AWS リソースの分類とグループ化によるコスト配分や経費の削減が簡単になります。例えば、タグを使用して、管理者、アプリケーション名、コストセンター、または特定のプロジェクトごとにリソースをグループ化できます。

AWS Directory Service のリージョン別の可用性の詳細については、製品およびサービス一覧 (リージョン別) を参照してください。

2020 年 5 月 31 日時点、AWS Managed Microsoft AD ディレクトリ用のドメインコントローラーの SYSVOL と NETLOGON 共有に保存されたファイルにアクセスするには、クライアントのコンピューターでは SMB バージョン 2.0 (SMBv2) 以降のみを使用できます。しかし、すべての SMB ベースのファイルサービスで SMBv2 以降のみを使用することが推奨されます。

AWS Managed Microsoft AD

AWS マネジメントコンソールから AWS Directory Service コンソールを起動して、AWS Managed Microsoft AD ディレクトリを作成することができます。別の方法として、AWS SDK または AWS CLI を使用できます。

AWS Managed Microsoft AD ディレクトリは、デフォルトではリージョン内で 2 つのアベイラビリティーゾーンにデプロイされ、ご利用の Amazon Virtual Private Cloud (VPC) に接続されます。毎日 1 回自動的にバックアップが作成され、Amazon Elastic Block Store (EBS) ボリュームは保管中データのセキュリティのため暗号化されます。障害の発生したドメインコントローラーは自動的に同じアベイラビリティーゾーン内で同じ IP アドレスを使用して置き換えられ、最新のバックアップを使用した全面的な災害対策が実行できます。

この機能は現時点ではサポートされていません。

既存の Active Directory ツール (AWS Managed Microsoft AD ドメインに参加している Windows コンピュータで実行されているもの) を使用して、AWS Managed Microsoft AD ディレクトリのユーザーとグループを管理できます。特別なツール、ポリシー、動作変更は必要ありません。

マネージド型サービスのエクスペリエンスを実現するために、AWS Managed Microsoft AD では、サービスの管理を妨げるような操作をお客様が行えないようにする必要があります。そのため、AWS では、昇格した特権を必要とするディレクトリオブジェクト、ロール、およびグループへのアクセスを制限しています。AWS Managed Microsoft AD では、Windows のリモートデスクトップ接続、PowerShell Remoting、Telnet、Secure Shell (SSH) を使用したドメインコントローラーへのダイレクトホストアクセスは許可されません。お客様が AWS Managed Microsoft AD ディレクトリを作成する際、お客様には 1 つの組織単位 (OU) と、その OU に対する管理権限が委任された管理アカウントが割り当てられます。お客様は Active Directory ユーザーとグループ、または PowerShell ActiveDirectory モジュールなどの標準のリモートサーバー管理ツールを使用して、OU 内でユーザーアカウント、グループ、およびポリシーを作成できます。

はい。AWS Managed Microsoft AD 設定時にお客様用に作成される管理アカウントでは、リモートアクセスサービス (RAS) およびインターネット認証サービス (IAS) セキュリティグループに対する管理権限が委任されています。このため、お客様は、NPS を AWS Managed Microsoft AD で登録し、ドメイン内のアカウントでネットワークアクセスポリシーを管理することができます。

はい。AWS Managed Microsoft AD は、LDAP Data Interchange Format (LDIF) ファイルの形式でサービスに送信されるスキーマ拡張をサポートします。スキーマ拡張は可能ですが、Active Directory のコアスキーマは変更できません。

Amazon Chime

Amazon Connect

Amazon EC2 インスタンス

Amazon FSx for Windows ファイルサーバー

Amazon QuickSight

Amazon RDS for MySQL

Amazon RDS for Oracle

Amazon RDS for PostgreSQL

Amazon RDS for SQL Server

Amazon シングルサインオン

Amazon WorkDocs

Amazon WorkMail

Amazon WorkSpaces

AWS Client VPN

AWS マネジメントコンソール

これらのアプリケーションのすべての設定がサポートされているのではないことにご注意ください。

AWS Managed Microsoft AD は実際の Active Directory に基づいており、次のような幅広いネイティブ AD ツールとサードパーティーアプリのサポートを提供します。

Active Directory ベースのアクティベーション (ADBA)

Active Directory 認定サービス (AD CS): エンタープライズ認証機関

Active Directory フェデレーションサービス (AD FS)

Active Directory ユーザーおよびコンピュータ (ADUC)

アプリケーションサーバー (.NET)

Azure Active Directory (Azure AD)

Azure Active Directory (AD) Connect

分散ファイルシステムの複製 (DFSR)

分散ファイルシステムの名前空間 (DFSN)

Microsoft リモートデスクトップサービスのライセンスサーバー

Microsoft SharePoint Server

Microsoft SQL Server (SQL Server 常時稼動の可用性グループなど)

Microsoft System Center Configuration Manager (SCCM)

Microsoft Windows および Windows Server OS

Office 365

Active Directory 認定サービス (AD CS): 証明書登録ウェブサービス

Active Directory 認定サービス (AD CS): 証明書登録ポリシーウェブサービス

Microsoft Exchange Server

Microsoft Skype for Business Server

AWS では、自己管理された Active Directory を AWS Managed Microsoft AD に移行するための移行ツールは提供していません。パスワードのリセットを含む移行の実行戦略を確立し、リモートサーバー管理ツールを使用して計画を実施する必要があります。

はい。Directory Service コンソールや API を使用して AWS Managed Microsoft AD の条件付きフォワーダーおよび信頼を設定することができます。 

はい。マネージドドメインには、AWS Directory Service コンソールまたは API を使用してドメインコントローラーを追加できます。Amazon EC2 インスタンスのドメインコントローラーへの手動昇格はサポートされていません。 

はい。AWS Managed Microsoft AD から Azure AD には、Azure AD Connect を使用してアイデンティティを同期できます。そして、Microsoft Active Directory Federation Services (AD FS) for Windows 2016 を AWS Managed Microsoft AD と共に使用して Office 365 ユーザーを認証できます。詳しい手順については、「AWS の Microsoft Active Directory 認証情報を使ってユーザーが Office 365 にアクセスできるようにする方法」 を参照してください。  

はい。Microsoft Active Directory Federation Services (AD FS) for Windows 2016 を AWS Managed Microsoft AD で管理されるドメインに使用して、SAML をサポートするクラウドアプリケーションにユーザーを認証できます。 

はい。AWS Managed Microsoft AD は、クライアントとサーバーの両方の役割で、Secure Socket Layer (SSL) / Transport Layer Security (TLS) 上の Lightweight Directory Access Protocol (LDAP)、または LDAPS をサポートしています。サーバーとして動作する場合、AWS Managed Microsoft AD は、ポート 636 (SSL) および 389 (TLS) での LDAPS をサポートします。AWS ベースの Active Directory Certificate Services 認証機関 (CA) から AWS Managed Microsoft AD ドメインコントローラーに証明書をインストールすることにより、サーバー側の LDAPS 通信を有効にします。詳細については、「安全な LDAP (LDAPS) の実現方法」を参照してください。 

はい。AWS Managed Microsoft AD は、クライアントとサーバーの両方の役割で、Secure Socket Layer (SSL) / Transport Layer Security (TLS) 上の Lightweight Directory Access Protocol (LDAP)、または LDAPS をサポートしています。クライアントとして動作する場合、AWS Managed Microsoft AD は、ポート 636 (SSL) での LDAPS をサポートします。サーバー証明書発行者からの認証機関 (CA) 証明書を AWS に登録することにより、クライアント側の LDAPS 通信を有効にします。詳細については、「安全な LDAP (LDAPS) の実現方法」を参照してください。 

AWS Managed Microsoft AD は、セルフマネージド Active Directory と通信する LDAP クライアントとして機能する場合、LDAP 署名と SSL/TLS (LDAPS) を経由する LDAP の両方をサポートします。クライアント側の LDAP 署名では有効化するためのユーザーによるアクションは不要で、データに整合性をもたらします。クライアント側の LDAPS には設定が必要で、データに整合性と機密性をもたらします。詳細については、この「 AWS フォーラムの記事」を参照してください。 

AWS Managed Microsoft AD (スタンダードエディション) には、1 GB のディレクトリオブジェクトストレージが含まれます。この容量により、最大で 5,000 ユーザー、またはユーザー、グループ、コンピュータなど 30,000 ディレクトリオブジェクトをサポートできます。AWS Managed Microsoft AD (エンタープライズエディション) には、17 GB のディレクトリオブジェクトストレージが含まれ、最大 100,000 ユーザーまたは 500,000 オブジェクトをサポートできます。 

はい。クラウド内でユーザー、グループ、コンピュータ、グループポリシーオブジェクト (GPO) を管理するプライマリディレクトリとして使用できます。AWS のアプリケーションとサービス、および AWS クラウド内の Amazon EC2 インスタンスで実行中のサードパーティー製ディレクトリ対応アプリケーションに対して、アクセスの管理とシングルサインオン (SSO) を実現します。さらに、Azure AD Connect と AD FS を使用して、Office 365 を含むクラウドアプリケーションへの SSO をサポートできます。 

はい。AWS Managed Microsoft AD を、プライマリコンピュータとグループから成る、オンプレミスディレクトリへの信頼関係を備えたリソースフォレストとして使用できます。これにより、ユーザーはオンプレミスの AD 認証情報を使用して AWS のアプリケーションとリソースにアクセスできます。 

マルチリージョンでのレプリケーション

マルチリージョンでのレプリケーションとは、単一の AWS Managed Microsoft AD ディレクトリを、複数の AWS リージョンでデプロイし使用するための機能のことです。この機能により、Microsoft Windows や Linux のワークロードでのグローバルなデプロイと管理が、より簡単に、コスト効率良く行えるようになります。自動化されたマルチリージョンレプリケーション機能を使用することで、より高い回復性が得られます。また、アプリケーションはローカルディレクトリを使用することになるので、パフォーマンスも最適化されます。この機能を利用できるのは、AWS Managed Microsoft AD (Enterprise Edition) のみです。この機能は、新規の、あるいは既存のディレクトリの両方で適用できます。

まず最初に、すでにディレクトリを立ち上げて実行中のリージョン (プライマリリージョン) で、AWS Directory Service コンソールを開きます。拡張したいディレクトリを選択し、[リージョンを追加] をクリックします。次に、拡張する対象となるリージョンを選択し、Amazon Virtual Private Cloud (VPC) を指定し、ディレクトリをデプロイするためのサブネットを指定します。また、ディレクトリの拡張には、API を使用することもできます。詳細については、「ドキュメント」を参照してください。

AWS Managed Microsoft AD はリージョン間のネットワーク接続を自動的に設定し、ドメインコントローラーをデプロイした上で、ユーザー、グループ、グループポリシーオブジェクト (GPO)、スキーマを含むすべてのディレクトリデータを、選択したリージョン全体にレプリケートします。さらに、AWS Managed Microsoft AD は、リージョンごとに新しい AD サイトを設定します。これにより、リージョン内のユーザー認証とドメインコントローラーレプリケーションのパフォーマンスが向上すると同時に、リージョン間のデータ転送が最小限に抑えられるため、コストが削減されます。新しいリージョンにおいても、ご使用のディレクトリ識別子 (directory_id) はそのまま維持され、プライマリリージョンでのものと同じ名前の AWS アカウント内にデプロイされます。

はい。マルチリージョンでのレプリケーションには、リージョン内で異なる AWS アカウント間のディレクトリの共有ができる柔軟性が備わっています。プライマリリージョンでのディレクトリの共有設定は、自動的にレプリケートされません。異なる AWS アカウント間でのディレクトリの共有の詳細については、「ドキュメント」を参照してください。

はい。マルチリージョンでのレプリケーションでは、ドメインコントローラーの数を、リージョンごとに柔軟に定義できます。ドメインコントローラーの追加の詳細についは、「ドキュメント」を参照してください。

マルチリージョンでのレプリケーションでは、個別のリージョンごとに、ディレクトリのステータスをモニタリングできます。AWS Directory Service コンソールもしくは API を使用して、ディレクトリをデプロイしたリージョンの Amazon Simple Notification Service (SNS) を有効化する必要があります。詳細については、「ドキュメント」を参照してください。

マルチリージョンでのレプリケーションでは、個別のリージョンごとに、ディレクトリのセキュリティログをモニタリングできます。AWS Directory Service コンソールもしくは API を使用して、ディレクトリをデプロイしたリージョンでの Amazon CloudWatch Logs の転送を、有効化する必要があります。詳細については、「ドキュメント」を参照してください。

はい。標準的な AD ツールを使用して、リージョン単位で、AD サイトの名前を変更することができます。詳細については、「ドキュメント」を参照してください。

はい。AWS Managed Microsoft AD では、ディレクトリから AWS リージョンを削除することができます。この場合、ディレクトリに登録された AWS アプリケーションがないことと、そのディレクトリが同じリージョンで別の AWS アカウントと共有されていないことが必要です。プライマリリージョンの削除には、先だってディレクトリの削除が必要です。

マルチリージョンでのレプリケーションには、Amazon EC2、Amazon RDS (SQL Server、Oracle、MySQL、PostgreSQL、MariaDB)、Amazon Aurora (MySQL と PostgreSQL)、および Amazon FSx for Windows File Server との間の、ネイティブな互換性があります。また、リージョン単位で、AWS Managed Microsoft AD ディレクトリに対し AD Connector を設定することで、新しいリージョンのディレクトリに、AWS アプリケーションを統合できます。これらのアプリケーションには、Amazon WorkSpaces、AWS Single Sign-On、AWS Client VPN、Amazon QuickSight、Amazon Connect、Amazon WorkDocs、Amazon WorkMail、Amazon Chime などが含まれます。

シームレスなドメイン参加

シームレスなドメイン参加は、起動時に AWS マネジメントコンソールから、Amazon EC2 for Windows Server および Amazon EC2 for Linux インスタンスをドメインにシームレスに参加させる機能です。AWS クラウド内で起動する AWS Managed Microsoft AD にインスタンスを参加させることができます。

AWS マネジメントコンソールから EC2 for Windows または EC2 for Linux インスタンスを作成して起動する場合、インスタンスが参加するドメインを選択できます。詳細については、「ドキュメント」を参照してください。

既存の EC2 for Windows Server および EC2 for Linux インスタンスには AWS マネジメントコンソールのシームレスなドメイン参加機能を使用することはできませんが、EC2 API を使用するか、またはインスタンスで PowerShell を使用することで、既存のインスタンスをドメインに参加させることはできます。詳細については、「ドキュメント」を参照してください。

シームレスドメイン結合機能は現在、Amazon Linux、Amazon Linux 2、CentOS 7 以降、RHEL 7.5 以降、および Ubuntu 14〜18 で利用できます。

IAM 統合

AWS Directory Service によって、AWS クラウド内で IAM ロールを AWS Managed Microsoft AD または Simple AD のユーザーやグループに割り当てることができます。また、AD Connector を使用して、既存のオンプレミス Microsoft Active Directory のユーザーやグループにも割り当てることができます。これらのロールは、そのロールに割り当てられた IAM ポリシーに基づいてユーザーの AWS サービスへのアクセスを制御します。AWS Directory Service は、ユーザーが会社の既存の認証情報を用いたサインインに使用できる、AWS マネジメントコンソール用の顧客固有の URL を提供します。この機能の詳細については、「ドキュメント」を参照してください。 

コンプライアンス

はい。AWS Managed Microsoft AD は、お客様が 米国の医療保険の携行性と責任に関する法律 (HIPAA)の要件を満たすのに必要な制御を実装しています。また、クレジットカード業界のデータセキュリティ基準 (PCI DSS) の準拠と責任に関する証明書の対象サービスに含まれています。 

AWS クラウド内のコンプライアンスとセキュリティに関連したドキュメントの包括的なリストは、「AWS Artifact」 で確認してください。

HIPAA や PCI DSS へのコンプライアンスを含め、セキュリティは AWS とお客様による責任共有モデルです。たとえば、AWS Managed Microsoft AD を使用するときに PCI DSS 要件を満たす AWS Managed Microsoft AD パスワードポリシーを設定するのは、お客様の責任です。HIPAA および PCI DSS のコンプライアンス要件を満たすためにお客様が取るべきアクションの詳細については、「AWS Managed Microsoft AD のコンプライアンスドキュメント」を参照し、Amazon Web Services のホワイトペーパーで 「Architecting for HIPAA Security and Compliance」を読み、さらに「AWS クラウドコンプライアンスHIPAA CompliancePCI DSS Compliance」を参照してください。

Directory Service 料金の詳細

料金の例を参照し、コストを計算してください。

詳細 
AWS アカウントにサインアップする
無料のアカウントにサインアップする

AWS 無料利用枠にすぐにアクセスできます。 

サインアップ 
Directory Service で構築を開始する
コンソールで構築を開始する

AWS コンソールで AWS Directory Service を使用して構築を開始する。

サインイン