投稿日: Jul 17, 2023
Amazon Elastic Container Service (ECS) が、Amazon EC2 で実行されている Linux および Windows コンテナ用のドメインレスグループマネージドサービスアカウント (gMSA) に対応するようになりました。この統合により、Amazon ECS (EC2 上) でホストされているアプリケーションが Microsoft Active Directory (AD) で簡単に認証され、ネットワーク共有リソースにアクセスできるようになります。このサポートの開始により、自動スケーリングイベント時にも、ECS ノードをドメインに参加させることなく、AD 認証を必要とするコンテナを実行できるようになりました。
グループマネージドサービスアカウント (gMSA) は、自動パスワード管理、サービスプリンシパル名 (SPN) 管理、複数のサーバーまたはインスタンスの管理を管理者に委任する機能を持つマネージドアカウントです。gMSA を使用すると、複数のコンテナまたはリソースで AD アカウントを共有できます。そのため、各コンテナやリソースを個別に認証したり、SQL Server ホストやファイル共有などのネットワーク共有リソースにアクセスしたりする必要がありません。以前は、基盤となるノードをターゲット AD ドメインに結合することで、gMSA を使用して ECS コンテナを実行できました。今後は、最新の ECS 最適化 Windows AMI に組み込まれているプラグインも使用できます。このプラグインにより、基盤となるノードは、ホストコンピュータアカウントではなくポータブルなユーザー ID とプラグインメカニズムを使用して gMSA 認証情報を取得できます。ECS 上の Linux コンテナと Windows コンテナでこの機能を使用する方法についてのステップバイステップのチュートリアルについては、Linux コンテナ用ガイドと Windows コンテナ用ガイドをそれぞれ参照してください。
この機能は、Amazon ECS が提供されているすべてのリージョンで利用可能です。詳細情報と開始方法については、Linux コンテナと Windows コンテナで gMSA を使用するための公開ドキュメントを参照してください。