リファレンスデプロイ

AWS での CMMC-Ready Microsoft Active Directory

CMMC に準拠するように Active Directory 環境を用意する

デプロイガイドを表示する

このクイックスタートは、サイバーセキュリティ成熟度モデル認証 (CMMC) に準拠した Microsoft Active Directory 環境をデプロイする必要のあるユーザー向けです。米国の国防省の請負業者には、通常、CMMC 認証が要求されます。

このクイックスタートアーキテクチャは、CMMC への準拠性を維持しながら、Active Directory ドメインサービス、ドメインネームシステム、および認証機関サービスへのより安全で低レイテンシーの接続を必要とするワークロードを実行する組織を対象に設計されています。 

このクイックスタートのテンプレートは、AWS Key Management Service (AWS KMS)、Amazon API Gateway、お客様の制御によるファイルダウンロードソース、Defense Information Systems Agency Security Technical Implementation Guides の実装などの複数のサービスおよびリソースを使用します。

このクイックスタートのデプロイに際しては、組織における法律、認定、ポリシー、その他の規制に対するコンプライアンスは保証されません。

AWS のロゴ

このクイックスタートは AWS によって開発されました。

  •  構築するもの

  • このクイックスタートでは以下のセットアップを行います。

    • 2 つのアベイラビリティーゾーンにまたがる可用性の高いアーキテクチャ。*
    • AWS ベストプラクティスに基づくパブリックサブネットとプライベートサブネットで構成される VPC。これにより、AWS で独自の仮想ネットワークが提供されます。*
    • パブリックサブネット内:
      • マネージドネットワークアドレス変換 (NAT) ゲートウェイ。プライベートサブネット内のリソースへのアウトバウンドのインターネットアクセスを提供します。*
      • パブリックサブネットおよびプライベートサブネット内の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスへのインバウンドのリモートデスクトッププロトコル (RDP) アクセスを可能にする、Auto Scaling グループ内のリモートデスクトップゲートウェイ (RD ゲートウェイ)。RD ゲートウェイは、アベイラビリティーゾーン 1 が使用可能ではなくなった場合にのみ、アベイラビリティーゾーン 2 にデプロイされます。*
    • プライベートサブネット内:
      • オフラインのルート認証機関。
      • 2 つの Active Directory ドメインコントローラー。
      • オンラインの下位認証機関。
    • グループポリシーオブジェクト (GPO)、ログ、証明書失効リスト、およびセットアップファイルにアクセスするための Amazon Simple Storage Service (Amazon S3) 連邦情報処理標準 (FIPS) エンドポイント。
    • 新規 GPO をチェックおよびインポートする Lambda 関数。
    • GPO をインポートし、Active Directory ドメインコントローラーと認証機関の両方をセットアップする AWS Systems Manager Automation。
    • 認証情報を保存するための AWS Secrets Manager。
    • Amazon Elastic Block Store (Amazon EBS) および AWS Secrets Manager の暗号化で使用する AWS KMS カスタマーマスターキー。
    • Amazon EC2 インスタンス用の暗号化された Amazon EBS ボリューム。

    * クイックスタートを既存の VPC にデプロイするテンプレートでは、アスタリスクが付けられたタスクがスキップされ、既存 VPC の設定に誘導されます。 

  •  デプロイ方法

  • CMMC-Ready Microsoft Active Directory をデプロイするには、デプロイガイドの手順に従ってください。標準的なデプロイには約 1 時間かかり、次のステップが含まれます。

    1. AWS アカウントをまだお持ちでない場合は、https://aws.amazon.com でサインアップし、そのアカウントにサインインします。
    2. クイックスタートを新規または既存の VPC にデプロイします。スタックを作成する前に、上部のツールバーからリージョンを選択します。 
    3. デプロイ後のタスクを実行します。 

    Amazon は、本ソリューションで AWS と協力した AWS パートナーとユーザーデプロイ情報を共有する場合があります。  

    デプロイガイドで詳細を見る
  •  コストとライセンス

  • このクイックスタートは、Microsoft Windows Server 2019 向けの Amazon マシンイメージ (AMI) を起動し、Windows Server オペレーティングシステム用のライセンスを含みます。AMI はオペレーティングシステムの最新サービスパックに合わせて定期的に更新されるため、更新をインストールする必要はありません。Windows Server AMI には、Microsoft リモートデスクトップサービスのライセンスが 2 つ含まれています。Windows Server AMI には、クライアントアクセスライセンスは必要ありません。詳細については、「AWS での Microsoft のライセンシング」を参照してください。

    このクイックスタートリファレンスデプロイの実行中に使用した AWS のサービスおよびサードパーティーライセンスのコストは、お客様のご負担となります。クイックスタートを使用しても追加コストは発生しません。

    このクイックスタートの AWS CloudFormation テンプレートには、カスタマイズ可能な設定パラメータが含まれています。インスタンスタイプなどの設定の一部は、デプロイにかかるコストに影響します。料金の見積もりについては、利用する AWS の各サービスの料金ページを参照してください。料金は変更される場合があります。

    ヒント: クイックスタートをデプロイした後は、 AWS のコストと使用状況レポートを作成して、クイックスタートに関連する料金を追跡します。これらのレポートは、お客様のアカウントでの Amazon Simple Storage Service (Amazon S3) バケットへの請求メトリクスを提供します。毎月の使用量に基づいてコストを見積もり、月末のデータを集計します。詳細については、「 AWS のコストと使用状況レポートとは」を参照してください。