Amazon Web Services ブログ

Category: AWS Directory Service

AWS Directory Service for Microsoft Active Directory と AD Connector が大阪リージョンでご利用いただけるようになりました

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。 AWS Directory Service for Microsoft Active Directory と AD Connector が大阪リージョンでご利用いただけるようになりましたのでお知らせいたします。AWSではディレクトリを構築する際のマネージドサービスとして現在4つのオプションを提供しています。 今回のアップデートでは、このうち2つ、AWS Managed Microsoft AD と AD Connector が大阪リージョンで利用可能となりました。

Read More

ハイブリッド環境向けに複数リージョンを跨ったAWS Managed Microsoft Active Directoryを設計する

これまで、大規模かつ複雑な構成のMicrosoft Active Directoryを複数の地域に跨って展開しているお客様は、オンプレミスのActive DirectoryをAWSに移行するにおいて様々な課題に直面してきました。AWS Managed Microsoft Active Directoryとの連携も、容易ではありませんでした。
昨年リリースされたAWS Managed Microsoft Active Directoryの「マルチリージョンレプリケーション」機能を利用すれば、このようなグローバル展開の作業を簡略化し、移行プロジェクトにおける難題を軽減することができます。このマルチリージョン機能を活用し、AWS Managed Microsoft Active Directoryを利用したハイブリッドActive Directoryをどのように設計・構築すれば良いかという質問を多くのお客様から受けています。
この記事では、複数のリージョンにまたがるAWS Managed Microsoft Active Directoryの設計と名前解決(DNS)のアーキテクチャーについて説明していきます。

Read More

SAP Fioriを多要素認証(MFA)でよりセキュアに

はじめに クラウドセキュリティは、「Job Zero」としてAWSでは最優先事項として位置付けています。AWSはお客様との責任共有モデルに基づき、ホストOSや仮想化レイヤーからサービスを運用する施設の物理的なセキュリティに至るまで、コンポーネントを管理・制御しています。お客様は、ゲストOS(アップデートやセキュリティパッチを含む)、その他の関連アプリケーションソフトウェア、およびAWSが提供するセキュリティグループのファイアウォールの設定について責任と管理を負います。お客様の責任は、使用するサービス、それらのサービスのIT環境への統合、および適用される法律や規制によって異なるため、お客様は選択するサービスを慎重に検討する必要があります。私たちは、アプリケーションレベルのセキュリティ対策を実現するために、お客様が活用できる様々なベストプラクティス・ドキュメント、暗号化ツール、その他のガイダンスを提供しています。

Read More

セルフマネージド型 Active Directory を AWS Control Tower に拡張

クラウドジャーニーの初期段階によくあるユースケースの 1 つとして、既存のアイデンティティサービス (Microsoft Active Directory など) を使用することが挙げられます。このブログでは、AWS Control Tower をセットアップして、AWS Managed Microsoft AD を介してユーザー認証をセルフマネージド型 Microsoft Active Directory に委任する方法について解説します。既存のオンプレミスの Active Directory を AWS Control Tower に接続する方法を、シミュレート環境でみていきます。 背景 AWS Control Tower には、マルチアカウント環境における SSO アクセスを簡素化するクラウドベースのサービス、AWS Single Sign-on (AWS SSO) が組み込まれています。ユーザー認証の管理は、AWS SSO を使用して、AWS Control Tower に接続されたディレクトリが行います。各ユーザーに割り当てられたアカウントアクセスおよび付与されたアクセス許可のレベルによって、認証が判断されます。 AWS SSO はアクセス許可のセットを使用します。これは、ユーザーのアクセス許可が、所定の AWS アカウントにアクセスするために有効かどうかを判断する、管理者定義ポリシーのコレクションです。アクセス許可のセットには、AWS が管理するポリシーまたは AWS SSO に保存されているインラインポリシーのいずれかが含まれています。ポリシーとは、基本的に、1 つまたは複数のアクセス許可ステートメントのコンテナとして機能するドキュメントのことです。所定の AWS アカウント内でユーザーがどのアクションを実行できるかまたはできないかは、これらのステートメントが判断します。アクセス許可のセットは […]

Read More
Cloud Video Editing

【Edit in the Cloud】AWSで編集環境を構築する方法 ~Cloud Video Editing テンプレート~

Edit in the Cloudシリーズの第1回目では、AWS上で様々な編集シナリオの想定モデルを実現するための基礎知識を説明しました。今回はいよいよGitHubのサンプルをデプロイする段階に入ります。このステップ バイステップガイドでは、AWS上で編集ホスト、ストレージをデプロイし、接続する方法を詳しく説明します。このテンプレートによりユーザーはAmazon Elastic Compute Cloud (Amazon EC2) 上に編集環境を構築することができます。加えて、Amazon FSx for Windows ファイルサーバーはEC2インスタンスからストレージとして利用し、メディアアセットの共有リポジトリとして活用することができます。また、このテンプレートには、Teradici for Federated Loginと連携したAWS Directory Servicesが含まれており、シームレスな編集体験を可能にしています。では早速テンプレートを利用して環境を構築していきましょう。まずご自身のAWSアカウントを利用して、AWSマネジメントコンソールにログインしたら次のAWS CloudFormationデプロイメントテンプレートを使用します。本テンプレートは現在、US-East-1とUS-West-2で提供しています。

Read More
Amazon FSx architecture diagram

Amazon FSxへのファイルサーバーの移行とAWS Managed Microsoft Active Directoryとの統合

「Amazon FSx」は、他サードパーティ製ファイルシステムのような互換性と同時に多様な用途に堪える様々な機能を提供します。Amazon FSxを活用することによって、ハードウェアの調達・ソフトウェアの設定・パッチ適用・バックアップ等、時間と労力のかかる従来の運用作業を自動化することができます。この記事ではActive Directoryドメイン移行のシナリオにおいて、オンプレミスのファイル共有をAWS DataSyncを用いてどのようにAmazon FSxに移行できるかを説明していきたいと思います。多くのお客様がオンプレミスのADからAWS Managed Microsoft Active Directoryへの移行と同時に、ファイルサーバーもAmazon FSxに移行しています。

Read More

AWS マネージド Microsoft Active Directory でマルチリージョンレプリケーションが有効になりました

当社のお客様は、世界中のあらゆるユーザーにサービスを提供する必要があるアプリケーションを構築しています。お客様の話を聞くと、AWS で Active Directory (AD) 対応のアプリケーションを構築することは快適であるものの、グローバルに動作させることは本当に課題になり得るとのことです。 お客様は、AWS Directory Service for Microsoft Active Directory によって時間と費用を節約し、AD 対応アプリケーションの実行に必要なすべての機能が得られたと語っています。ただし、グローバル化したい場合は、リージョンごとに独立した AWS マネージド Microsoft AD ディレクトリを作成する必要がありました。その後、各リージョン間でデータを同期するソリューションを作成する必要があります。このレベルの管理オーバーヘッドは大きく、複雑で、コストも高くなります。また、AD 対応のワークロードをクラウドに移行しようとしたため、お客様のペースも低下しました。 本日は、複数の AWS リージョンで単一の AWS マネージド Microsoft AD をデプロイできる新機能についてお伝えします。マルチリージョンレプリケーションと呼ばれるこの新しい機能は、リージョン間のネットワーク接続を自動的に設定し、ドメインコントローラーをデプロイし、複数のリージョン間ですべての Active Directory データを複製します。これにより、これらのリージョンに存在する Windows および Linux ワークロードは AWS マネージド Microsoft AD に接続し、低レイテンシー、ハイパフォーマンスで使用できるようになります。 AWS マネージド Microsoft AD を利用すると、AD 対応のアプリケーションやワークロードの AWS への移行の費用効果が高くなり、グローバルな運用が簡単になります。さらに、自動マルチリージョンレプリケーションにより、マルチリージョンの耐障害性が得られます。 AWS は、ユーザー、グループ、グループポリシーオブジェクト (GPO)、スキーマなど、すべてのカスタマーディレクトリデータを複数のリージョン間で同期できるようになりました。AWS は、自動化されたソフトウェア更新、モニタリング、リカバリ、および基盤となる AD インフラストラクチャのセキュリティをすべてのリージョンにわたって処理するため、お客様はアプリケーションの構築に専念できます。Amazon […]

Read More

Linux インスタンスを Microsoft Active Directory 用の AWS Directory Service にシームレスに結合する

多くのお客様が、Active Directory を使用して、さまざまなアプリケーションやサービスに対する一元的なユーザー認証と承認を管理しています。このようなお客様にとって、Active Directory は IT Jigsaw における重要な要素です。 AWS では、Microsoft Active Directory 用の AWS Directory Service を提供しています。このサービスは、実際の Microsoft Active Directory に基づいて構築された、可用性と耐障害性のある Active Directory サービスをお客様に提供します。AWS は、Active Directory の実行に必要なインフラストラクチャを管理し、必要なパッチ適用とソフトウェアの更新をすべて処理します。たとえば、フルマネージド型でドメインコントローラに障害が発生した場合、モニタリングによって障害が発生したコントローラを自動的に検出し、置き換えることができます。 マシンを Active Directory に手動で接続するのはありがたい作業です。コンピュータに接続し、手動で一連の変更を行ってから、再起動を実行する必要があります。特に難しいことはありませんが、この作業には時間がかかるため、搭載したいマシンが複数台ある場合はすぐに時間の無駄につながります。 本日、チームは、Linux EC2 インスタンスが起動時に、Microsoft Active Directory 用の AWS Directory Service にシームレスに接続できる新機能を発表しました。これは、Windows EC2 インスタンスが起動されるときにシームレスにドメインに結合できるようにする既存の機能を補完するものです。この機能により、お客様はより迅速な移行が可能になり、管理者の体験が向上します。 これで、Windows インスタンスと Linux EC2 インスタンスの両方が Microsoft Active Directory 用の AWS Directory Service […]

Read More

AWS Managed Microsoft ADのディレクトリ管理を、オンプレミスのActive Directoryユーザーに委任する方法

オンプレミスのユーザー管理者が、AWS Managed Microsoft ADとも呼ばれる “AWS Directory Service for Microsoft Active Directory” を管理できるようになりました。 Active Directory(AD)信頼と新しいAWS委任ADセキュリティグループを使用すると、オンプレミスADディレクトリのグループメンバシップを管理することで、オンプレミスユーザーに管理アクセス許可を与えることができます。これにより、管理を実行できるユーザーを簡単に管理できます。また、管理者は、オンプレミスのAD資格情報を使用して既存のワークステーションにサインインして、AWS Managed Microsoft ADを管理できるため、管理者の作業が楽になります。 AWSは、AWS Managed Microsoft ADディレクトリに新しいドメインローカルADセキュリティグループ(AWS委任グループ)を作成しました。各AWS委任グループには、一意のAD管理者権限があります。新しいAWS委任グループのメンバーであるユーザーは、ユーザーの追加、細かいパスワードポリシーの構成、Microsoftエンタープライズ認証局の有効化などの管理タスクを実行するためのアクセス許可を取得します。 AWS委任されたグループは、範囲内のドメインローカルなので、オンプレミスADに対するAD信頼を使用してそれらを使用できます。これにより、AWS Managed Microsoft ADを管理するために別個のIDを作成して使用する必要がなくなります。代わりに、選択したオンプレミスユーザーを必要なAWS委任グループに追加することで、管理者に権限の一部またはすべてを付与できます。オンプレミスのADセキュリティグループをAWS委任グループに追加することで、これをさらに簡素化できます。これにより、オンプレミスのADセキュリティグループからユーザーを追加したり削除したりして、AWS Managed Microsoft ADの管理者権限を管理できるようになります。 このブログでは、オンプレミスのユーザーに権限を委任して、管理タスク(AWS Managed Microsoft ADディレクトリの細かなパスワードポリシーの設定)を実行する方法を説明します。この記事の手順に従うことで、グループマネージドサービスアカウントとKerberos制約付き委任の構成などの他の管理アクセス許可をオンプレミスのユーザーに委任できます。   背景 これまで、AWS Managed Microsoft ADは、組織単位(OU)にADセキュリティグループを作成し、これらのAWS委任グループに共通管理アクティビティを許可することによって、ディレクトリの管理者権限を委任していました。ディレクトリ内の管理者ユーザーは、OU内にユーザーアカウントを作成し、これらのユーザーにこれらのAWS委任グループの1つ以上にディレクトリを追加してディレクトリを管理する権限を与えていました。 ただし、オンプレミスADフォレストへの信頼をAWS Managed Microsoft ADに構成した場合、オンプレミスディレクトリのユーザーをこれらのAWS委任グループに追加することはできませんでした。これは、AWSがグローバルスコープのAWS委任グループを作成し、別のフォレストからのユーザーの追加を制限するためです。そのため、管理目的でAWS Managed Microsoft ADに異なるユーザーアカウントを作成する必要がありました。その結果、AD管理者は、通常、AWS Managed Microsoft ADの追加の資格情報を覚えておく必要がありました。 これに対処するために、AWSはドメインローカルスコープを持つ新しいAWS委任グループを、AWS Delegated Groupsと呼ばれる別個のOUに作成しました。ドメインローカルスコープを持つこれらの新しいAWS委任グループは柔軟性が高く、他のドメインやフォレストからのユーザーやグループの追加を可能にします。これにより、管理者ユーザは社内のユーザおよびグループの管理者権限をAWS Managed Microsoft ADディレクトリに委任できます。 備考: […]

Read More

AWS Single Sign-On 紹介

12/7 にリリースされた AWS Single Sign-On (AWS SSO) サービスをご紹介します。このサービスにより、複数の AWS アカウントやビジネスアプリケーションへの SSO アクセスを簡単に集中管理できるようになります。AWS SSO はユーザポータルを提供するため、ユーザは既にある企業内の認証情報を使ってアサインされた全ての AWS アカウントやアプリケーションを確認して、アクセスできます。AWS SSO は AWS Organizations と統合されており、組織内にある複数の AWS アカウントへのアクセスを管理できます。加えて、AWS SSO は Security Assertion Markup Language (SAML) 2.0 をサポートしており、AWS SSO アプリケション設定ウィザートを使って SAML が利用できるアプリケーションへの SSO アクセスにも広げることができます。AWS SSO は Salesforce、BOX、Office 365 など多くのビジネスアプリケーションとの SSO 連携が組み込まれており、簡単に設定が行なえます。 このブログ記事では、以下の 3 つの質問に答えることで AWS SSO を使い始めに役立つよう説明します。: AWS SSO はどんなメリットを提供するか? AWS […]

Read More