AWS Managed Microsoft ADのディレクトリ管理を、オンプレミスのActive Directoryユーザーに委任する方法

オンプレミスのユーザー管理者が、AWS Managed Microsoft ADとも呼ばれる “AWS Directory Service for Microsoft Active Directory” を管理できるようになりました。 Active Directory（AD）信頼と新しいAWS委任ADセキュリティグループを使用すると、オンプレミスADディレクトリのグループメンバシップを管理することで、オンプレミスユーザーに管理アクセス許可を与えることができます。これにより、管理を実行できるユーザーを簡単に管理できます。また、管理者は、オンプレミスのAD資格情報を使用して既存のワークステーションにサインインして、AWS Managed Microsoft ADを管理できるため、管理者の作業が楽になります。

AWSは、AWS Managed Microsoft ADディレクトリに新しいドメインローカルADセキュリティグループ（AWS委任グループ）を作成しました。各AWS委任グループには、一意のAD管理者権限があります。新しいAWS委任グループのメンバーであるユーザーは、ユーザーの追加、細かいパスワードポリシーの構成、Microsoftエンタープライズ認証局の有効化などの管理タスクを実行するためのアクセス許可を取得します。 AWS委任されたグループは、範囲内のドメインローカルなので、オンプレミスADに対するAD信頼を使用してそれらを使用できます。これにより、AWS Managed Microsoft ADを管理するために別個のIDを作成して使用する必要がなくなります。代わりに、選択したオンプレミスユーザーを必要なAWS委任グループに追加することで、管理者に権限の一部またはすべてを付与できます。オンプレミスのADセキュリティグループをAWS委任グループに追加することで、これをさらに簡素化できます。これにより、オンプレミスのADセキュリティグループからユーザーを追加したり削除したりして、AWS Managed Microsoft ADの管理者権限を管理できるようになります。

このブログでは、オンプレミスのユーザーに権限を委任して、管理タスク（AWS Managed Microsoft ADディレクトリの細かなパスワードポリシーの設定）を実行する方法を説明します。この記事の手順に従うことで、グループマネージドサービスアカウントとKerberos制約付き委任の構成などの他の管理アクセス許可をオンプレミスのユーザーに委任できます。

背景

これまで、AWS Managed Microsoft ADは、組織単位（OU）にADセキュリティグループを作成し、これらのAWS委任グループに共通管理アクティビティを許可することによって、ディレクトリの管理者権限を委任していました。ディレクトリ内の管理者ユーザーは、OU内にユーザーアカウントを作成し、これらのユーザーにこれらのAWS委任グループの1つ以上にディレクトリを追加してディレクトリを管理する権限を与えていました。

ただし、オンプレミスADフォレストへの信頼をAWS Managed Microsoft ADに構成した場合、オンプレミスディレクトリのユーザーをこれらのAWS委任グループに追加することはできませんでした。これは、AWSがグローバルスコープのAWS委任グループを作成し、別のフォレストからのユーザーの追加を制限するためです。そのため、管理目的でAWS Managed Microsoft ADに異なるユーザーアカウントを作成する必要がありました。その結果、AD管理者は、通常、AWS Managed Microsoft ADの追加の資格情報を覚えておく必要がありました。

これに対処するために、AWSはドメインローカルスコープを持つ新しいAWS委任グループを、AWS Delegated Groupsと呼ばれる別個のOUに作成しました。ドメインローカルスコープを持つこれらの新しいAWS委任グループは柔軟性が高く、他のドメインやフォレストからのユーザーやグループの追加を可能にします。これにより、管理者ユーザは社内のユーザおよびグループの管理者権限をAWS Managed Microsoft ADディレクトリに委任できます。

備考: 既存のAWS Managed Microsoft ADディレクトリが元のAWS委任グループをグローバルスコープとして持つ場合は、AWSはAWS Managed Microsoft AD内のIDを元のAWS委任グループを処理の中で保持しました。AWSでは、ドメインローカルスコープで新しいAWS委任グループを使用するように移行することをおすすめします。新規に作成されたすべてのAWS Managed Microsoft ADディレクトリには、ドメインローカルスコープのみを持つ新しいAWS委任グループが設けられています。

それでは、オンプレミスユーザーとグループに管理者権限を委任し、厳密なパスワードポリシーを AWS Managed Microsoft ADに設定するステップをご案内します。

前提条件

前提として、皆さんがAD セキュリティグループと、セキュリティグループのふるまい、およびADの信頼関係についておおよその知識をお持ちであることを想定しています。

このブログ内の手順は、以下のコンポーネントが皆さんの環境で稼働しているものとします。

• アクティブなAWS Managed Microsoft AD: ディレクトリを作成するには、Creating an AWS Managed Microsoft AD directoryのステップに従ってください。また、AWS Managed Microsoft AD ディレクトリ内のAWSがあらかじめ作成してあるADセキュリティグループにユーザーやグループを追加するため、admin アカウントのパスワードをご存じである必要があります。
• オンプレミスのActive Directory: みなさんのオンプレミスのActive Directory にAWS Managed Microsoft ADディレクトリの管理を委任したいユーザーが含まれている必要があります
• オンプレミス AD とAWS Managed Microsoft AD間の信頼関係: AWS Managed Microsoft ADディレクトリからオンプレミスのActive Directoryに対する一方向、または双方向の信頼関係が必要です。詳細は Simplified Configuraton of Trust Relationship in the AWS Directory Service Console をご確認ください。
• AWS Managed Microsoft ADのドメインに参加するマシンに対する Active Directory ユーザーとコンピューター (ADTC) がインストールされていること: ADUCがインストールされていない場合、Amazon EC2 の Windows Server インスタンスをAWS Managed Microsoft ADドメインに参加させ、Active Directory 管理ツールをインストールしてください。
• ADUCがインストールされたマシンがオンプレミスのActive Directoryに参加されていること: Active Directory 管理ツールをオンプレミスのActive Directoryに参加した Windows コンピュータにインストールすることでADUCがインストールされます。

ソリューション概要

これらのアクセス許可を管理するために社内のADセキュリティグループを効率的に使用して、社内ユーザーがディレクトリを管理するアクセス許可を委任したオンプレミスユーザーを管理する方法を示します。

1. オンプレミスグループをAWS委任グループに追加します。この手順では、AWS Managed Microsoft ADディレクトリに接続されている管理用インスタンスに”admin” ユーザとしてサインインし、オンプレミスグループをAWS委任グループに追加します。
2. AWS Managed Microsoft ADディレクトリをオンプレミスユーザーとして管理します。このステップでは、オンプレミスの資格情報を使用してオンプレミスADに接続されたワークステーションにサインインし、AWS Managed Microsoft ADディレクトリを管理します。

このブログでは、すでにオンプレミスのADディレクトリ（この場合は “on-premises.com”）が用意されています。また、Amazon RDS for SQL Server で使用するAWS Managed Microsoft ADディレクトリ（この場合は “corp.example.com”）も作成しました。 “on-premises.com” ドメインへの統合Windows認証を有効にするため、AWS Managed Microsoft ADディレクトリからオンプレミスADディレクトリへの一方向の信頼を確立しました。 AWS Managed Microsoft ADを管理するために、Windows Serverインスタンス用のAmazon EC2（この場合は “Cloud Management”）を作成しました。また、社内のADディレクトリに接続されている社内ワークステーション（この場合は “On-premises Management”）もあります。

以下の図は、オンプレミスADとAWS Managed Microsoft ADディレクトリの関係を表しています。

左側は、AWS Managed Microsoft ADディレクトリを含むAWSクラウドを表しています。一方向のフォレストの信頼関係を通じて、このディレクトリをオンプレミスADディレクトリに接続しました。 AWS Managed Microsoft ADディレクトリを作成したとき、AWSはAWS Managed Microsoft ADで細かいパスワードポリシーを設定する権限を持つ “AWS Delegated Fine Grained Password Policy Administrators” というグループを作成しています。

ダイアグラムの右側は、オンプレミスADディレクトリを表しています。”On-premises fine grained password policy admins” というグローバルのADセキュリティグループを作成し、すべてのメンバーがオンプレミスADの細かいパスワードポリシーを管理できるように構成しました。この会社にJohnとRichardという2人の管理者がおり、”On-premises fine grained password policy admins” のメンバーとして追加しました。JohnとRichardがAWS Managed Microsoft ADで細かいパスワードポリシーを管理できるようにしたいと考えています。

“AWS Delegated Fine Grained Password Policy Administrators” にJohnとRichardを追加することはできますが、AWS Managed Microsoft ADで細かいパスワードポリシーを管理するためのオンプレミスユーザーの権限を委任して削除する方が効率的です。実際には、オンプレミスディレクトリのパスワードポリシーを管理するユーザーと同じユーザーにアクセス許可を割り当てる必要があります。

これを行うために、以下を実施します

1. “admin” ユーザーとして、”Cloud Management” マシンから “AWS Delegated Fine Grained Password Policy Administrators” セキュリティグループのメンバーとして “On-premises fine grained password policy admins” を追加します。
2. “On-premises fine grained password policy admins” のメンバーとしてユーザーを追加および削除することで、AWS Managed Microsoft ADディレクトリのパスワードポリシーを管理できるユーザーを管理します。これにより、自分の “Cloud Management” インスタンスに対してリモートデスクトッププロトコル（RDP）セッションを使用する必要はなく、社内ディレクトリですべての委任作業を実行することができます。この場合、 “On-premises fine grained password policy admins” グループのメンバーであるRichard氏は、”On-premise Management” ワークステーションからAWS Managed Microsoft ADディレクトリを管理できるようになりました。

ここでは、きめ細かいパスワードポリシー委任に関するケースを取り上げていますが、これは新しいAWS委任グループとオンプレミスのグループとユーザーのいずれかで行うことができます。

それでは始めましょう。

Step 1 – オンプレミスのグループをAWS委任グループに追加する

この手順では、”Cloud Management” インスタンスへのRDPセッションを開始し、AWS Managed Microsoft ADディレクトリの管理ユーザーとしてサインインします。その後、AWS Managed Microsoft ADディレクトリのオンプレミスADからAWS委任グループへのユーザーとグループを追加します。この例では、以下を実施します。

1. “Cloud Management” インスタンスに、ディレクトリを作成した際の “admin” ユーザーとパスワードでサインインします。
2. “Microsoft Windows サーバーマネージャー” を開き、 [ツール] > [Active Directory ユーザーとコンピューター] の順にたどります。
   
3. ツリービューに切り替え、”corp.example.com” > “AWS Delegated Groups” の順にたどります。 “AWS Delegated Fine Grained Password Policy Administrators” を右クリックし、[プロパティ] を選択します
   
4. “AWS Delegated Fine Grained Password Policy” ウィンドウ中で、[Members] タブに切り替え [Add] を選択します
   
5. “Select Users, Contacts, Computers, Service Accounts, or Groups” ウィンドウで “Locations” を選択します
   
6. “Locations” ウィンドウで “on-premises.com” ドメインを選択し、[OK] を選択します
   
7. “Enter the object names to select” ボックスで、 “on-premises fine grained password policy admins” と入力し、 “Check Names” を選択します
   
8. AWS Managed Microsoft ADからオンプレミスADへの一方向の信頼性があるため、検索を完了する権限を持つオンプレミスユーザーアカウントの資格情報を入力するよう求められます。双方向の信頼関係を持ち、AWS Managed Microsoft ADの管理者アカウントに自分のオンプレミスディレクトリを読み取る権限がある場合、Windowsはプロンプトを表示しません。Windows Securityウィンドウで、 “on-premises.com” ドメインの資格情報を入力し、OKを選択します
   
9. “OK” をクリックして、”AWS Managed Microsoft AD” ディレクトリの “AWS Delegated Fine Grained Password Policy Administrators” のメンバーとして “On-premises fine grained password policy admins” グループを追加します。
   

この時点で、”On-premises fine grained password policy admins” グループのメンバーのユーザーは、AWS Managed Microsoft AD ディレクトリのパスワードポリシーを管理する権限を持ちます。

Step 2 – AWS Managed Microsoft AD のユーザーをオンプレミスのユーザーとして管理する

AWS委任グループに追加したオンプレミスグループのメンバーは、AWS委任グループの権限を継承しました。

この例では、”Richard” が”On-premises Management” のインスタンスにサインインしています。Richard は “Delegated Fine Grained Password Policy Administrators” の権限を継承し、オンプレミスの資格情報を利用して AWS Managed Microsoft AD ディレクトリの細かなパスワードポリシーを管理することができます。

1. “On-premises Management” インスタンスに Richard でサインインします
2. “Microsoft Windows Server Manager” を開き、[Tools] > [Active Directory ユーザーとコンピューター] の順にたどります
   
3. ツリービューに設定し、[Active Directory ユーザーとコンピューター] を右クリックし、 [Change Domain] を選択します
   
4. [Change Domain] ウィンドウで “corp.example.com” と入力し、[OK] を選択します
   
5. AWS Managed Microsoft AD ドメインに接続されます
   

Richard はパスワードポリシーを管理できるようになりました。JohnもまたAWS委任グループのメンバーで、Johnも同じ方法でパスワードポリシーの管理をすることができるようになります。
将来的に、Richard が別の部門に異動してRichard の代わりにJudyを雇用した場合、Richardを “On-premises fine grained password policy admins” から削除し、Judyをこのグループに追加するだけです。Richard の管理者権限はなくなり、JudyがAWS Managed Microsoft AD ディレクトリのパスワードポリシーを管理することができるようになります。

ドメインローカルスコープのAWS委任グループを作成することで、AWS Managed Microsoft ADディレクトリを簡単に管理できるようになりました。オンプレミスADグループをAWS委任グループに追加できます。次に、オンプレミスADディレクトリのグループメンバーシップを管理することによって、ディレクトリを管理できるユーザーを制御できます。管理者は、オンプレミスの認証情報を使用して既存のオンプレミスワークステーションにサインインし、AWS Managed Microsoft ADディレクトリを管理できます。 AWS Managed Microsoft ADの管理インスタンスのActive Directoryユーザーとコンピュータを使用して、新しいAWS委任セキュリティグループを探索することをお勧めします。 AWS Directory Serviceの詳細については、AWS Directory Serviceのホームページを参照してください。質問がある場合は、Direcroty Service フォーラムに投稿してください。

本ブログの翻訳はSA大井が担当しました。原文はこちら。