Amazon Web Services ブログ

AWS Directory Service for Microsoft Active Directory と AD Connector が大阪リージョンでご利用いただけるようになりました

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。

AWS Directory Service for Microsoft Active Directory と AD Connector が大阪リージョンでご利用いただけるようになりましたのでお知らせいたします。AWSではディレクトリを構築する際のマネージドサービスとして現在4つのオプションを提供しています。

今回のアップデートでは、このうち2つ、AWS Managed Microsoft AD と AD Connector が大阪リージョンで利用可能となりました。

AWS Directory Service for Microsoft Active Directory

AWS Directory Service for Microsoft Active Directory はAWS Managed Microsoft Active Directory (AD)とも表記される、AWS のマネージド型 Microsoft Active Directoryのサービスです。このサービスをご利用いただくことで、Amazon EC2上でWindowsインスタンスを起動し自前でActive Directory を運用することなく、お客様のディレクトリ対応ワークロードとの連携が可能となり、さらに、Amazon Workspaces や Amazon FSx for Windows File Server 等AWSのAD連携に対応しているサービスのご利用の際に、より強固な認証基盤をマネージド型運用いただくことが可能となります。

この、AWS Managed Microsoft ADは実際の Microsoft AD 上で動作しているため、使い慣れた標準の AD 管理ツールを使用することができ、グループポリシーオブジェクト (GPO)、ドメインの信頼関係、詳細に設定できるパスワードポリシー、グループ管理サービスアカウント (gMSA)、スキーマ拡張、Kerberos ベースの Single Sign-On など組み込みの AD 機能をそのままご利用いただけます。ハイブリッドクラウド環境においてオンプレミスのADをお使いのお客様は、AWS Managed Microsoft AD を使い、信頼関係を構築することで、既存の Active Directory の AWS への拡張を容易に実現できます。

各ディレクトリは複数のアベイラビリティーゾーン (AZ) にまたがってデプロイされ、モニタリングによって障害の発生したドメインコントローラーを自動的に検出して置換します。さらに、データレプリケーションと自動化された日次のスナップショットが設定され、AWS がパッチ適用とソフトウェア更新のすべてを処理するため、ディレクトリの日々の運用業務を簡素化させることが可能です。

また、お客様ディレクトリ対応アプリケーションやAWSの各サービスだけではなく、AWS Single Sign-On (SSO) との連携により、オンプレミス AD ユーザーに対して AWS マネジメントコンソールと AWS CLI へのワンクリックアクセスを実現でき、AWSクラウドへのアクセス権限管理自体をより強固にすることが可能です。2020年11月には、マルチリージョンレプリケーションに対応し、複数のリージョンにまたがるシステムにおいても、低遅延なADアクセスを自動化し実現させることが可能です。

AWS Managed Microsoft AD はさらに、Azure AD Connect の機能が提供されますので、Azure AD とのアイデンティティ同期が可能となり、 Office 365 ユーザーの認証に使うことができます。

AD Connector

今回新たに利用可能となったもう一つの機能である、AD Connector は、ディレクトリリクエストをオンプレミスの Microsoft Active Directory へリダイレクトするのに使用するディレクトリゲートウェイです。この機能を用いると、AWSクラウド上でADを展開することなく、エンドユーザーおよび IT 管理者は、既存の認証情報を使用して、AWSクラウド上で動作するディレクトリ対応アプリケーションやAWSサービスとの連携が実現可能です。オンプレミス環境ですでにADを運用されているお客様は、上記AWS Managed Microsoft ADなどAWSクラウド上でADを展開する必要はなくなりますが、AD Connectorでは過去行われた認証情報リクエスト結果がキャッシュされないため、都度オンプレミス環境のADへ通信が発生することとなります。このため、通信遅延や認証情報リクエストタイミングなどは設計に注意ください。

AD Connector はオンプレミス AD ドメインと 1 対 1の関係が必要です。つまり、フォレスト内の子ドメインを含む認証する各オンプレミスドメインに対して、個別の一意の AD Connector を作成する必要があります。AD Connector からオンプレミスへの通信は以下のプロトコルとポートが用いられます。

  • TCP/UDP 53 – DNS
  • TCP/UDP 88 – Kerberos 認証
  • TCP/UDP 389 – LDAP

詳しくはこちらをご覧ください。

– シニアエバンジェリスト 亀田