AWS Directory Service よくある質問
AWS Directory Service は、組織が Active Directory に依拠するワークロードをクラウドに移行するためのシームレスなパスを提供します。このサービスは、ネイティブの Windows Server ベースのフルマネージド Active Directory を提供することで、IT チームが既存の AD スキルとアプリケーションを活用できるようにしながら、強化されたセキュリティ、信頼性、およびスケーラビリティの恩恵を享受できるようにします。企業は、オンプレミスの AD を Amazon RDS、FSx、EC2 などのクラウドホスト型サービスと簡単に統合できるため、環境全体で一貫した AD 管理エクスペリエンスを実現できます。エンドツーエンドの暗号化や業界標準への準拠など、このサービスの堅牢なセキュリティ機能により、機密データが保護されます。また、マルチリージョンのデプロイと自律的な管理により、AWS Directory Service は、中断が発生した場合でも重要なディレクトリサービスの可用性が高いまま維持されるようにします。IT の意思決定者、アーキテクト、CIO のいずれであっても、AWS Directory Service は、クラウドトランスフォーメーションジャーニーを合理化して、AD インフラストラクチャをモダナイズするとともに、安全でスケーラブルな ID 管理を通じてワークフォースをサポートできるようにします。
可用性、スケーラビリティ、回復性
複数のアベイラビリティ―ゾーン
ディレクトリはミッションクリティカルなインフラストラクチャであるため、AWS Managed Microsoft AD は高可用性の AWS インフラストラクチャおよび複数のアベイラビリティーゾーンにデプロイされます。ドメインコントローラーは、デフォルトではリージョン内で 2 つのアベイラビリティーゾーンにデプロイされ、ご利用の Amazon Virtual Private Cloud (VPC) に接続されます。毎日 1 回自動的にバックアップが作成され、Amazon Elastic Block Store (EBS) ボリュームは保管中データのセキュリティのため暗号化されます。障害の発生したドメインコントローラーは自動的に同じアベイラビリティーゾーン内で同じ IP アドレスを使用して置き換えられ、最新のバックアップを使用した全面的なディザスタリカバリが実行できます。
ドメインコントローラーを追加してスケールアウトする
最初にディレクトリを作成すると、AWS Managed Microsoft AD は複数のアベイラビリティーゾーンに 2 つのドメインコントローラをデプロイします。これは高可用性を実現するために必要です。後で、必要なドメインコントローラーの総数を指定することで、AWS Directory Service コンソールから追加のドメインコントローラーをデプロイできます。AWS Managed Microsoft AD は、ディレクトリが実行されているアベイラビリティーゾーンと VPC サブネットに追加のドメインコントローラーを分散させます。
Managed AD インフラストラクチャ
AWS Managed Microsoft AD は Windows Server 2019 を搭載した AWS マネージドインフラストラクチャで動作します。このディレクトリタイプを選択して起動すると、ディレクトリは、仮想プライベートクラウド (VPC) に接続された高可用性ドメインコントローラーのペアとして作成されます。ドメインコントローラーは、選択したリージョンのさまざまなアベイラビリティーゾーンで動作します。ホストモニタリングとリカバリ、データのレプリケーション、スナップショット、およびソフトウェアアップデートは、AWS Directory Service のサービスレベルアグリーメント (SLA) に従ってお客様に代わって設定および管理されます。
日次のスナップショット
AWS Managed Microsoft AD には、自動化された日次のスナップショットが組み込まれています。また、重要なアプリケーションの更新前に追加のスナップショットを作成し、変更をロールバックする必要がある場合に備えてデータを常に最新の状態に保つこともできます。
グローバルワークロード管理
マルチリージョンでのレプリケーション
マルチリージョンでのレプリケーションにより、単一の AWS Managed Microsoft AD ディレクトリを、複数の AWS リージョンでデプロイおよび使用できます。この機能により、Microsoft Windows や Linux のワークロードでのグローバルなデプロイと管理が、よりシンプルに、コスト効率良く行えるようになります。自動化されたマルチリージョンレプリケーション機能を使用することで、より高い回復性が得られます。また、アプリケーションはローカルディレクトリを使用することになるので、パフォーマンスも向上します。
複数の AWS アカウントでディレクトリを共有する
AWS Managed Microsoft AD は AWS Organizations と緊密に統合されているため、複数の AWS アカウント間でシームレスにディレクトリを共有できます。1 つのディレクトリを同じ組織内の他の信頼できる AWS アカウントと共有することも、組織外の他の AWS アカウントとディレクトリを共有することもできます。お使いの AWS アカウントが現在組織のメンバーではない場合も、ディレクトリを共有できます。
Windows 2019 AD のネイティブ機能
シームレスなドメイン参加
AWS Managed Microsoft AD により、新規および既存の Amazon EC2 for Windows Server および Amazon EC2 for Linux インスタンスを、シームレスにドメインに参加させることができます。新規の EC2 インスタンスに対しては、AWS マネジメントコンソールを使用して、起動時に参加するドメインを選択できます。EC2Config サービスを使用して、既存の EC2 インスタンスをシームレスにドメインに参加させることができます。さらに Amazon EC2 インスタンスは、リージョン内の任意の AWS アカウントと任意の Amazon VPC から、ひとつのシェアされたディレクトリにシームレスに参加できるようになりました。
グループベースのポリシー
AWS Managed Microsoft AD では、ネイティブの Active Directory グループポリシーオブジェクト (GPO) を使用してユーザーとデバイスを管理できます。グループポリシー管理コンソール (GPMC) などの既存のツールを使用して GPO を作成できます。
スキーマ拡張機能
新しいオブジェクトクラスと属性を追加することで、AWS Managed Microsoft AD スキーマを拡張できます。スキーマ拡張機能を使用して、特定の Active Directory オブジェクトクラスと属性に依拠するアプリケーションのサポートを有効にすることもできます。これは、AWS Managed Microsoft AD に依存する企業アプリケーションを AWS クラウドに移行する必要がある場合に特に役立ちます。(ソース)
グループマネージドサービスアカウント
管理者は、グループマネージドサービスアカウント (gMSAs) と呼ばれる方法を使用してサービスアカウントを管理できます。gMSA を使用すると、サービス管理者はサービスインスタンス間のパスワード同期を手動で管理する必要がなくなります。代わりに、管理者は Active Directory に gMSA を作成し、その単一の gMSA を使用するように複数のサービスインスタンスを構成するだけで済みます。AWS Managed Microsoft AD のユーザーが gMSA を作成できるように権限を付与するには、そのユーザーのアカウントを AWS 委任マネージドサービスアカウント管理者セキュリティグループのメンバーとして追加する必要があります。デフォルトでは、管理者アカウントはこのグループのメンバーです。
信頼のサポート
AD の信頼関係を使用して、AWS Managed Microsoft AD を既存の AD と統合できます。信頼関係を使用して、組織の既存の Active Directory から AWS リソースにアクセスする AD ユーザーを制御できます。
シングルサインオン
AWS Managed Microsoft AD は、既存のオンプレミス AD と同じ Kerberos ベースの認証を使用します。AWS リソースを AWS Managed Microsoft AD と統合することで、AD ユーザーが SSO によって AWS のアプリケーションとリソースに単一の認証情報セットでサインインできるようになります。
セキュリティとコンプライアンス
ディレクトリセキュリティ設定
AWS Managed Microsoft AD のディレクトリ設定は、運用上のワークロードを増やさずにコンプライアンス要件とセキュリティ要件を満たすようきめ細かく設定できます。ディレクトリ設定では、ディレクトリで使用されているプロトコルと暗号のセキュアチャネル設定を更新できます。例えば、RC4 や DES などの個別のレガシー暗号や、SSL 2.0/3.0 や TLS 1.0/1.1 などのプロトコルを柔軟に無効化できます。その後、AWS Managed Microsoft AD は、ディレクトリ内のすべてのドメインコントローラに設定をデプロイし、ドメインコントローラの再起動を管理し、スケールアウトまたは追加の AWS リージョンをデプロイしてもこの設定を維持します。使用可能なすべての設定については、「ディレクトリセキュリティ設定のリスト」をご覧ください。
サーバー側 LDAPS
サーバー側 LDAPS は、商用または自社開発の LDAP 対応アプリケーション (LDAP クライアントとして動作) と AWS Managed Microsoft AD (LDAP サーバーとして動作) 間の LDAP 通信を暗号化します。詳細については、「AWS Managed Microsoft AD を使用してサーバー側 LDAPS を有効にする」をご覧ください。
クライアント側 LDAPS
クライアント側 LDAPS は、WorkSpaces (LDAP クライアントとして動作) などの AWS アプリケーションと自己管理型の Active Directory (LDAP サーバーとして動作) 間の LDAP 通信を暗号化します。詳細については、「AWS Managed Microsoft AD を使用してクライアント側 LDAPS を有効にする」をご覧ください。
AWS Private CA Connector for Active Directory (AD)
AWS Managed Microsoft AD と AD Connector を AWS Private Certificate Authority (AWS Private CA) Connector for AD と統合することで、ユーザー、グループ、マシンなどの AD ドメインに参加したオブジェクトを、AWS Private CA が発行した証明書に登録できます。 AWS Private CA は、ローカルエージェントやプロキシサーバーをデプロイ、パッチ、更新することなく、自己管理型のエンタープライズ CA の代替品として使用できます。数回クリックするだけで、または API を介してプログラム的に AWS Private CA をディレクトリとの統合を設定できます。
FedRAMP、HIPAA、PCI への適合など
AWS Managed Microsoft AD を使用して、米国連邦リスクおよび認可管理プログラム (FedRAMP) の対象となる AD 対応のクラウドアプリケーションを構築および実行することができます。Health Insurance Portability and Accountability Act (HIPAA) および Payment Card Industry Data Security Standard (PCI DSS) コンプライアンスプログラム。AWS Managed Microsoft AD により、コンプライアンスに適合した AD インフラストラクチャをクラウドアプリケーション向けにデプロイする手間を削減し、独自の HIPAA リスク管理プログラムや PCI DSS または FedRAMP コンプライアンス認証を管理できます。 AWS Managed AD が対応しているコンプライアンスプログラムの全リストをご覧ください。
モニタリング、ロギング、オブザーバビリティ
ディレクトリのステータスのモニタリング
Amazon Simple Notification Service (Amazon SNS) を利用すると、ディレクトリのステータスの変更時に E メールまたはテキスト (SMS) メッセージを受信できます。ディレクトリのステータスが [アクティブ] から [障害] または [動作不能] になった場合に通知を受けます。また、ディレクトリが [アクティブ] ステータスに戻る場合にも通知を受け取ります。
ドメインコントローラーメトリクス
AWS Directory Service は Amazon CloudWatch と統合されており、ディレクトリ内の各ドメインコントローラの重要なパフォーマンスメトリクスを提供するのに役立ちます。つまり、CPU やメモリの使用率など、ドメインコントローラーのパフォーマンスカウンターをモニタリングできます。また、アラームを設定して、使用率が高い時間帯に対応するための自動化アクションを開始することもできます。
Amazon CloudWatch でのログのモニタリングなど
AWS Directory Service コンソールまたは API を使用して、ドメインコントローラーのセキュリティイベントログを Amazon CloudWatch Logs に転送します。これにより、ディレクトリのセキュリティイベントに透明性が提供され、セキュリティモニタリング、監査、およびログの保持ポリシー要件を満たすために役立ちます。また、セキュリティイベントログをディレクトリから選択した Amazon Web Services (AWS) アカウントの Amazon CloudWatch Logs に転送したり、AWS サービスや、AWS セキュリティコンピテンシーを持つ AWS パートナーネットワーク (APN) アドバンストテクノロジーパートナーである Splunk などのサードパーティーアプリケーションを使用してイベントを一元的にモニタリングすることもできます。
AWS アプリケーション統合
AWS アカウントとアプリケーションへのフェデレーティッドアクセス
AWS マネージド Microsoft AD を ID ソースとして選択することにより、オンプレミス AD ユーザーに AWS アイデンティティセンター (AWS SSO の後継) を使用した既存の AD 認証情報で AWS マネジメントコンソールと AWS CLI にサインインするアクセス権を付与できます。これにより、ユーザーはサインイン時に割り当てられたロールの 1 つを引き受け、ロールに定義された権限に従ってリソースにアクセスしてアクションを実行できます。別のオプションとして、AWS Managed Microsoft AD を使用して、ユーザーが AWS Identity and Access Management (IAM) ロールを引き受けることを可能にすることができます。
AWS アプリケーションとのシームレスなディレクトリ統合
AWS Managed Microsoft AD では、Amazon EC2 インスタンス、Amazon RDS for SQL Server インスタンス、および Amazon WorkSpaces などの AWS エンドユーザーコンピューティングサービスを含む AWS リソース内で、AWS ディレクトリ対応型ワークロードに単一のディレクトリを使用できます。ディレクトリを共有すれば、複数の AWS アカウントに散在する Amazon EC2 インスタンスとリージョン内の複数の Amazon VPC を、ディレクトリ対応型ワークロードで管理できます。さらにこれによって、複数のディレクトリ間でデータを複製および同期化する複雑さを回避できます。