Q: AWS Directory Service とは何ですか?

AWS Directory Service は、ユーザー、グループ、コンピューター、およびその他のリソースといった組織についての情報を含むディレクトリ機能を提供するマネージド型サービスです。AWS Directory Service はマネージド型サービスであり、管理作業の削減を目指して設計されているため、より多くの時間とリソースをビジネスに集中させられます。高可用性のために込み入ったディレクトリトポロジーを自分で構築する必要はありません。各ディレクトリが複数のアベイラビリティーゾーンにデプロイされ、モニタリングによって障害の発生したドメインコントローラーを自動的に検出して置換することが可能なためです。さらに、データレプリケーションと自動化された日次のスナップショットが設定されます。ソフトウェアのインストールは不要で、AWS がすべてのパッチ適用、およびソフトウェアの更新を処理します。

Q: AWS Directory Service を使用して何ができますか?

AWS Directory Service によって、AWS クラウド内にディレクトリをセットアップして運用することや、AWS リソースを既存のオンプレミス Microsoft Active Directory に接続することが簡単に行えます。作成したディレクトリは、ユーザーとグループの管理、アプリケーションとサービスへのシングルサインオン提供、グループポリシーの作成と適用、Amazon EC2 インスタンスのドメインへの参加、およびクラウドベースの Linux と Microsoft Windows ワークロードのデプロイと管理の簡素化に使用できます。AWS Directory Service によって、エンドユーザーは 、カスタム .NET および SQL Server ベースのアプリケーションといったディレクトリ対応型 Windows ベースのワークロードに加え、Amazon WorkSpaces、Amazon WorkDocs、および Amazon WorkMail といった AWS アプリケーションへのアクセスにも既存の企業内認証情報を使用できます。最後に、AWS Identity and Access Management (IAM) ロールベースでの AWS マネジメントコンソールを経由して、既存の企業内認証情報を使用した AWS リソースの管理が行えるため、ID フェデレーションインフラストラクチャを別途構築する必要がありません。

Q: ディレクトリを作成するには、どうすればよいですか?

ディレクトリの作成には、AWS マネジメントコンソールまたは API を使用できます。ディレクトリの完全修飾ドメイン名 (FQDN)、管理者アカウント名とパスワード、ディレクトリを添付する VPC などのいくつかの基本情報を入力するだけで済みます。

Q: 既存の Amazon EC2 インスタンスを AWS Directory Service のディレクトリに参加させることができますか?

はい。AWS マネジメントコンソールまたは API を使用して、Linux または Windows を実行している既存の EC2 インスタンスを AWS Microsoft AD に追加できます。

Q: AWS Directory Service には API が用意されていますか?

ディレクトリを作成および管理するためのパブリック API が使用できるようになりました。このパブリック API を使用して、プログラムでディレクトリを管理できます。パブリック API は、AWS CLI および SDK を介して利用できます。API の詳細については、AWS Directory Service のドキュメントをご覧ください。

Q: AWS Directory Service は CloudTrail ログに対応していますか?

はい。AWS Directory Service API またはマネジメントコンソールを使用して実行されるアクションは、CloudTrail 監査ログに記録されます。

Q: 自分のディレクトリのステータスが変更されるときに通知を受け取ることができますか?

はい。AWS Directory Service のステータスが変更されるときに電子メールやテキストメッセージを受信するように Amazon Simple Notification Service (SNS) を設定できます。Amazon SNS は、トピックを使用してメッセージを収集して受信者に配信します。AWS Directory Service がディレクトリのステータス変更を検出すると、関連するトピックにメッセージを発行し、トピック受信者にそれが送信されます。詳細については、ドキュメントをご覧ください。

Q: AWS Directory Service の料金はいくらですか?

詳細については料金表ページを参照してください。

Q: 自分のディレクトリにタグを付けられますか?

はい。AWS Directory Service では、コスト配分タグ付けをサポートしています。タグを使用すると、AWS リソースの分類とグループ化によるコスト配分や経費の削減が簡単になります。例えば、タグを使用して、管理者、アプリケーション名、コストセンター、または特定のプロジェクトごとにリソースをグループ化できます。

Q: どの AWS リージョンで AWS Directory Service を利用できますか?

AWS Directory Service のリージョン別の可用性の詳細については、製品およびサービス一覧 (リージョン別) を参照してください。

Q: AWS Microsoft AD ディレクトリを作成するには、どうすればよいですか?

AWS マネジメントコンソールから AWS Directory Service コンソールを起動して、AWS Microsoft AD ディレクトリを作成することができます。別の方法として、AWS SDK または AWS CLI を使用できます。

Q: AWS Microsoft AD ディレクトリはどのようにデプロイされますか?

AWS Microsoft AD ディレクトリは、デフォルトではリージョン内で 2 つのアベイラビリティーゾーンにデプロイされ、ご利用の Amazon Virtual Private Cloud (VPC) に接続されます。毎日 1 回自動的にバックアップが作成され、Amazon Elastic Block Store (EBS) ボリュームは保管中データのセキュリティーのため暗号化されます。障害の発生したドメインコントローラーは自動的に同じアベイラビリティーゾーン内で同じ IP アドレスを使用して置き換えられ、最新のバックアップを使用した全面的な災害対策が実行できます。

Q: AWS Microsoft AD ディレクトリのストレージ、CPU、またはメモリといったパラメータは自分で設定できますか?

いいえ。この機能は現時点ではサポートされていません。

Q: AWS Microsoft AD のユーザーとグループの管理はどのように行いますか?

既存の Active Directory ツール (AWS Microsoft AD ドメインに参加している Windows コンピュータで実行されているもの) を使用して、AWS Microsoft AD ディレクトリのユーザーとグループを管理できます。特別なツール、ポリシー、動作変更は必要ありません。

Q: AWS Microsoft AD と、自分の Amazon EC2 Windows インスタンス内での Active Directory の実行とでは、管理権限がどのように異なりますか?

マネージド型サービスのエクスペリエンスを実現するために、AWS Microsoft AD では、サービスの管理を妨げるような操作をお客様が行えないようにする必要があります。このため、AWS ではディレクトリインスタンスに対する Windows PowerShell アクセスを提供しておらず、権限の昇格を必要とするディレクトリオブジェクト、ロール、およびグループへのアクセスも制限しています。AWS Microsoft AD では、Telnet、Secure Shell (SSH)、Windows のリモートデスクトップ接続を使用したドメインコントローラーへのダイレクトホストアクセスは許可されません。お客様が AWS Microsoft AD ディレクトリを作成する際、お客様には 1 つの組織単位 (OU) と、その OU に対する管理権限が委任された管理アカウントが割り当てられます。お客様は Active Directory ユーザーとグループといった標準のリモートサーバー管理ツールを使用して、OU 内でユーザーアカウント、グループ、およびポリシーを作成できます。

Q: Microsoft Network Policy Server (NPS) を AWS Microsoft AD で使用できますか?

はい。AWS Microsoft AD 設定時にお客様用に作成される管理アカウントでは、リモートアクセスサービス (RAS) およびインターネット認証サービス (IAS) セキュリティグループに対する管理権限が委任されています。このため、お客様は、NPS を AWS Microsoft AD で登録し、ドメイン内のアカウントでネットワークアクセスポリシーを管理することができます。

Q: AWS Microsoft AD はスキーマ拡張をサポートしていますか?

はい。AWS Microsoft AD は、LDAP Data Interchange Format (LDIF) ファイルの形式でサービスに送信されるスキーマ拡張をサポートします。スキーマ拡張は可能ですが、Active Directory のコアスキーマは変更できません。

Q: AWS Microsoft AD はどのアプリケーションと互換性がありますか?

以下のアプリケーションには AWS Microsoft AD との互換性があります。

  • Amazon Chime
  • Amazon Connect
  • Amazon EC2
  • Amazon RDS for SQL Server
  • Amazon QuickSight
  • Amazon WorkDocs
  • Amazon WorkMail
  • Amazon WorkSpaces
  • AWS マネジメントコンソール
  • Active Directory フェデレーションサービス (AD FS)
  • アプリケーションサーバー (.NET)
  • Azure Active Directory (AD) Connect
  • Enterprise Certificate Authority
  • Remote Desktop Licensing Manager
  • SharePoint Server
  • SQL Server  

これらのアプリケーションのすべての設定がサポートされているのではないことにご注意ください。

Q: 既存のオンプレミス Microsoft Active Directory を AWS Microsoft AD に移行できますか?

AWS では、自己管理された Active Directory を AWS Microsoft AD に移行するための移行ツールは提供していません。パスワードのリセットを含む移行の実行戦略を確立し、リモートサーバー管理ツールを使用して計画を実施する必要があります。

Q: 条件付きフォワード機能を設定した場合、Directory Service コンソールを信頼できますか?

はい。条件付きフォワード機能を設定した場合、Directory Service コンソールや API を使用している AWS Microsoft AD を信頼できます。

Q: AWS Microsoft AD にドメインコントローラーを手動で追加できますか?

はい。マネージドドメインには、AWS Directory Service コンソールまたは API を使用してドメインコントローラーを追加できます。Amazon EC2 インスタンスのドメインコントローラーへの手動昇格はサポートされていません。

Q: AWS Microsoft AD で管理されるユーザーアカウントで Microsoft Office 365 を使用できますか?

はい。AWS Microsoft AD から Azure AD には、Azure AD Connect を使用してアイデンティティを同期できます。そして、Microsoft Active Directory Federation Services (AD FS) for Windows 2016 を AWS Microsoft AD と共に使用して Office 365 ユーザーを認証できます。ステップごとの手順については、How to Enable Your Users to Access Office 365 with AWS Microsoft Active Directory Credentials を参照してください。

Q: AWS Microsoft AD を使って、Security Assertion Markup Language (SAML) 2.0 ベースの認証をクラウドアプリケーションに使用できますか?

はい。Microsoft Active Directory Federation Services (AD FS) for Windows 2016 を AWS Microsoft AD で管理されるドメインに使用して、SAML をサポートするクラウドアプリケーションにユーザーを認証できます。

Q: アプリケーションと AWS Microsoft AD の間の通信を LDAPS で暗号化できますか?

はい。AWS Microsoft AD では、Secure Socket Layer (SSL) 経由の Lightweight Directory Access Protocol (LDAP) がポート 636 でサポートされており、Transport Layer Security (TLS) 経由の LDAP (LDAPS とも呼ばれる) もポート 389 でサポートされています。どちらのタイプの LDAPS 通信も、AWS Microsoft AD ドメインコントローラーに Microsoft Certificate Authority (CA) からの証明書をインストールすることで有効化できます。詳細については、How to Enable LDAPS for Your AWS Microsoft AD Directory を参照してください。

Q: AWS Microsoft AD がサポートしているユーザー数、グループ数、コンピュータ数、およびオブジェクトの総数は?

AWS Microsoft AD (スタンダードエディション) には、1 GB のオブジェクトストレージが含まれます。この容量により、最大で 5,000 ユーザー、またはユーザー、グループ、コンピュータなど 30,000 ディレクトリオブジェクトをサポートできます。AWS Microsoft AD (エンタープライズエディション) には、17 GB のディレクトリオブジェクトストレージが含まれ、最大 100,000 ユーザーまたは 500,000 オブジェクトをサポートできます。

Q: AWS Microsoft AD をプライマリディレクトリとして使用できますか?

はい。クラウド内でユーザー、グループ、コンピュータ、グループポリシーオブジェクト (GPO) を管理するプライマリディレクトリとして使用できます。AWS のアプリケーションとサービス、および AWS クラウド内の Amazon EC2 インスタンスで実行中のサードパーティ製ディレクトリ対応アプリケーションに対して、アクセスの管理とシングルサインオン (SSO) を実現します。さらに、Azure AD Connect と AD FS を使用して、Office 365 を含むクラウドアプリケーションへの SSO をサポートできます。

Q: AWS Microsoft AD をリソースフォレストとして使用できますか?

はい。AWS Microsoft AD を、オンプレミスディレクトリへの信頼関係を持つプライマリコンピュータとグループを含むリソースフォレストとして使用できます。これにより、ユーザーはオンプレミスの AD 認証情報を使用して AWS のアプリケーションとリソースにアクセスできます。

Q: シームレスなドメイン参加とはどのような意味ですか?

シームレスなドメイン参加は、起動時に AWS マネジメントコンソールから、Amazon EC2 for Windows Server インスタンスをドメインにシームレスに参加させる機能です。AWS クラウド内で作成する AWS Microsoft AD にインスタンスを参加させることができます。

Q: インスタンスをドメインにシームレスに参加させるにはどのようにしますか?

AWS マネジメントコンソールから EC2 for Windows インスタンスを作成して起動する場合、インスタンスが参加するドメインを選択できます。詳細については、ドキュメントをご覧ください。

Q: 既存の EC2 for Windows Server インスタンスをシームレスにドメイン参加させることはできますか?

Windows Server インスタンスの既存の EC2 には AWS マネジメントコンソールのシームレスなドメイン参加機能を使用することはできませんが、EC2 API を使用するか、インスタンスで PowerShell を使用して既存のインスタンスをドメインに参加させることはできます。 詳細については、ドキュメントをご覧ください。

Q: AWS Directory Service は AWS マネジメントコンソールへのシングルサインオン (SSO) をどのように実現していますか?

AWS Directory Service によって、AWS クラウド内で IAM ロールを AWS Microsoft AD または Simple AD のユーザーやグループに割り当てることができます。また、AD Connector を使用して既存のオンプレミス Microsoft Active Directory のユーザーやグループも割り当てられます。これらのロールは、そのロールに割り当てられた IAM ポリシーに基づいてユーザーのアクセスを制御します。AWS Directory Service は、ユーザーが会社の既存の認証情報を用いたサインインに使用できる、AWS マネジメントコンソール用の顧客固有の URL を提供します。この機能の詳細については、ドキュメントを参照してください。

Q: AWS Microsoft AD は、コンプライアンス標準に従う必要のある AWS クラウドのワークロードに使用できますか?

はい。AWS Microsoft AD には米国の医療保険の携行性と責任に関する法律 (HIPAA) 要件の満足に必須のコントロールが実装されており、ペイメントカード業界データセキュリティ基準 (PCI DSS) Attestation of Compliance and Responsibility Summary の対象サービスに含まれています。

Q: コンプライアンスおよびセキュリティレポートにはどのようにしてアクセスできますか?

AWS クラウド内のコンプライアンスとセキュリティに関連したドキュメントの包括的なリストには、AWS Artifact でアクセスできます。

Q: AWS 責任共有モデルとは何ですか?

HIPPA や PCI DSS へのコンプライアンスを含め、セキュリティは AWS とお客様とが共有する責任です。例えば、AWS Microsoft AD を使用するときに PCI DSS 要件を満たす AWS Microsoft AD パスワードポリシーを設定するのは、お客様の責任です。HIPAA および PCI DSS のコンプライアンス要件満足に必要なアクションの詳細については、AWS Microsoft AD のコンプライアンス要件 を参照し、アマゾン ウェブ サービスのホワイトペーパーで HIPAA セキュリティおよびコンプライアンスのためのアーキテクチャ設計を読み、さらに AWS クラウドコンプライアンスHIPAA への準拠PCI DSS への準拠を参照してください。


AD Connector または Simple AD に関する質問については、AWS Directory Service, Other Directory Options を参照してください。