AWS Directory Service は、Amazon WorkSpacesAmazon WorkDocsAmazon WorkMail などのサービスを使用している Amazon Enterprise IT アプリケーションのお客様に、サービスを開始するためのベーシックなディレクトリソリューションを提供します。お客様が有効なユーザー要件を満たしている間は、これらのサービスに登録されている Simple AD ディレクトリや AD Connector ディレクトリに対して課金されません。

1 か月あたりの要件は次のとおりです。

  • スモールディレクトリに 1 人以上のアクティブなユーザーがいること 
  • ラージディレクトリに 100 人以上のアクティブなユーザーがいること 

実際の Microsoft Active Directory に関心があるお客様には、Microsoft AD としても知られる AWS Directory Service for Microsoft Active Directory (Enterprise Edition) の方が適切なソリューションである場合があります。詳細については、Microsoft AD 製品ページをご覧ください。

よくある質問

Simple AD

Q: Simple AD ディレクトリとは何ですか?

Simple AD ディレクトリは Samba 4 Active Directory Compatible Server を利用したマネージドディレクトリです。Microsoft AD の機能のサブセットが提供され、ユーザーアカウント、グループメンバーシップ、Linux および Windows が動作する Amazon EC2 インスタンスのドメイン参加、Kerberos ベースのシングルサインオン (SSO)、およびグループポリシーといった一般的に使用される機能がサポートされています。これにより、Linux および Windows を実行する EC2 インスタンスの管理と、AWS クラウドへのアプリケーションのデプロイがさらに簡単になります。現在使用されている、Microsoft Active Directory サポートを必要とするアプリケーションとツールの多くは、Simple AD で使用できます。Simple AD のユーザーアカウントでも、Amazon WorkSpaces や Amazon WorkDocs、Amazon WorkMail などの AWS Enterprise IT アプリケーションへのアクセスや、AWS マネジメントコンソールによる AWS リソースの管理が可能です。さらに Simple AD は、デフォルトで日次の自動スナップショットを実行するので、ポイントインタイムリカバリーが可能になります。

Q: Simple AD と Microsoft AD との違いは何ですか?

Simple AD は Samba 4 Active Directory Compatible Server を利用したマネージドディレクトリです。Kerberos の SSO、ドメイン参加したコンピュータ、グループポリシーベースの管理といった Microsoft Active Directory の機能のサブセットが提供されます。Microsoft AD はマネージド型の Microsoft Active Directory で、Windows Server 2019 を利用して他のドメインとの信頼関係、Active Directory Administrative Center、Active Directory ごみ箱、Network Policy Server サポート、およびスキーマ拡張といった追加機能が提供されます。

Q: Simple AD から Microsoft AD への移行は可能ですか?

Microsoft の CSV データ抽出ツール (csvde) などの既存のツールを使用してデータを Simple AD から Microsoft AD に移行できます。移行する場合、カスタマープランニングを策定し、エンドユーザーはパスワードをリセットする必要があります。

Q: Simple AD でサポートされていない一般的なディレクトリの機能はどれですか?

Simple AD では、他のドメインとの信頼関係、Active Directory Administrative Center、Windows PowerShell サポート、Active Directory ゴミ箱、きめ細かなパスワードポリシー、グループマネージド型サービスアカウント、スキーマ拡張といった機能はサポートされません。

Q: Simple AD ドメインではどのようにユーザー、グループ、コンピュータ、またはポリシーを作成しますか?

既存の Microsoft Active Directory ツールを使用して Simple AD ディレクトリ内のユーザーとグループを管理できます。特別なツール、ポリシー、動作変更は必要ありません。

Q: 既存の EC2 インスタンスを Simple AD ドメインに参加させることはできますか?

はい。Linux または Windows を実行している既存の EC2 インスタンスは、Microsoft AD ドメインまたは Simple AD ドメインに追加できます。

Q: Simple AD インスタンスに他のドメインコントローラーを手動で追加できますか?

現時点では追加できません。

AD Connector

Q: AD Connector とは何ですか?

AD Connector は、AWS Enterprise IT アプリケーションの認証をサポートし、Amazon EC2 インスタンスがドメインおよびセルフマネージド型の Active Directory に参加するように設計されたディレクトリゲートウェイです。AD Connector で、クラウド内の情報のキャッシュはまったく行わずに AWS Enterprise IT アプリケーションからオンプレミスの Microsoft Active Directory にディレクトリのリクエストをプロキシすることが可能です。また、AD Connector で、ドメイン参加した Amazon EC2 インスタンスをシームレスにセルフマネージド型の Active Directory に参加させることができます。一度セットアップすれば、エンドユーザーと IT スタッフは会社の既存の認証情報を使用して Amazon WorkSpaces や Amazon WorkDocs、Amazon WorkMail、AWS マネジメントコンソールなどの AWS アプリケーションにサインオンできます。セルフマネージド型のディレクトリでグループポリシーを使用して Amazon EC2 インスタンスなどの AWS リソースを管理することもできます。

Q: オンプレミスのディレクトリに接続する AD Connector はどのように作成しますか?

AWS マネジメントコンソールを使用して、既存の セルフマネージド型の Microsoft Active Directory を AWS に接続する AD Connector を作成できます。オンプレミス環境にハードウェアの仮想プライベートネットワーク (VPN) 接続を持つ Amazon Virtual Private Cloud (VPC) を構成するか、AWS Direct Connect で専用接続をプロビジョニングする必要があります。この統合のセットアップが完了すると、オンプレミスの Microsoft Active Directory の名前、Microsoft Active Directory を検出する DNS サーバー、Microsoft Active Directory で作成したアカウント名とパスワードなどの基本情報をいくつか入力する必要があります。これは AD Connector がいずれかのドメインコントローラーを認証してそれに接続し、さまざまな認証、コンピュータのドメイン参加、および検索リクエストなどをプロキシするために使用する、権限の制限されたアカウントです。

Q: AD Connector はオンプレミスのディレクトリで、どのような種類のユーザーアカウントを使用しますか?

AWS Directory Service では、AD Connector 用に管理者以外のアカウントとパスワードが必要です。このアカウントは、ユーザー、グループ、コンピュータを検索するための読み取り専用許可を持ち、コンピュータのドメイン参加を実行できるものである必要があります。このユーザー名とパスワードは、Amazon WorkSpaces による既存のドメインへの自動参加、Amazon WorkDocs のユーザーとグループの検索、または AWS Identity and Access Management (IAM) との統合の際に使用されます。

Q: Multi-Factor Authentication (MFA) を AD Connector で使用できますか?

はい。既存の RADIUS ベースのインフラストラクチャを使用した MFA を可能にすることで、ユーザーが AWS アプリケーションにアクセスするときに追加のセキュリティ層を備えることもできます。

Q: AD Connector は、AD ドメインコントローラのデフォルト LDAP セキュリティ設定の変更について説明した Microsoft アドバイザリ ADV190023 にどのように対処しますか?

AD Connector は、セルフマネージド Active Directory と通信する LDAP クライアントとして機能する場合、LDAP 署名と SSL/TLS (LDAPS) を経由する LDAP の両方をサポートします。クライアント側の LDAP 署名では有効化するためのユーザーによるアクションは不要で、データに整合性をもたらします。クライアント側の LDAPS には設定が必要で、データに整合性と機密性をもたらします。詳細については、この AWS フォーラムの記事を参照してください。

AWS Directory Service の開始方法について学ぶ

開始方法のページにアクセスする
構築の準備はできましたか?
AWS Directory Service の使用を開始する
ご不明な点がおありですか?
お問い合わせ