このクイックスタートは、サイバーセキュリティ成熟度モデル認証 (CMMC) に準拠した Microsoft Active Directory 環境をデプロイする必要のあるユーザー向けです。米国の国防省の請負業者には、通常、CMMC 認証が要求されます。
このクイックスタートアーキテクチャは、CMMC への準拠性を維持しながら、Active Directory ドメインサービス、ドメインネームシステム、および認証機関サービスへのより安全で低レイテンシーの接続を必要とするワークロードを実行する組織を対象に設計されています。
このクイックスタートのテンプレートは、AWS Key Management Service (AWS KMS)、Amazon API Gateway、お客様の制御によるファイルダウンロードソース、Defense Information Systems Agency Security Technical Implementation Guides の実装などの複数のサービスおよびリソースを使用します。
このクイックスタートのデプロイに際しては、組織における法律、認定、ポリシー、その他の規制に対するコンプライアンスは保証されません。
このクイックスタートは AWS によって開発されました。
-
構築するもの
-
デプロイ方法
-
コストとライセンス
-
構築するもの
-
このクイックスタートでは以下のセットアップを行います。
- 2 つのアベイラビリティーゾーンにまたがる可用性の高いアーキテクチャ。*
- AWS ベストプラクティスに基づくパブリックサブネットとプライベートサブネットで構成される VPC。これにより、AWS で独自の仮想ネットワークが提供されます。*
- パブリックサブネット内:
- マネージドネットワークアドレス変換 (NAT) ゲートウェイ。プライベートサブネット内のリソースへのアウトバウンドのインターネットアクセスを提供します。*
- パブリックサブネットおよびプライベートサブネット内の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスへのインバウンドのリモートデスクトッププロトコル (RDP) アクセスを可能にする、Auto Scaling グループ内のリモートデスクトップゲートウェイ (RD ゲートウェイ)。RD ゲートウェイは、アベイラビリティーゾーン 1 が使用可能ではなくなった場合にのみ、アベイラビリティーゾーン 2 にデプロイされます。*
- プライベートサブネット内:
- オフラインのルート認証機関。
- 2 つの Active Directory ドメインコントローラー。
- オンラインの下位認証機関。
- グループポリシーオブジェクト (GPO)、ログ、証明書失効リスト、およびセットアップファイルにアクセスするための Amazon Simple Storage Service (Amazon S3) 連邦情報処理標準 (FIPS) エンドポイント。
- 新規 GPO をチェックおよびインポートする Lambda 関数。
- GPO をインポートし、Active Directory ドメインコントローラーと認証機関の両方をセットアップする AWS Systems Manager Automation。
- 認証情報を保存するための AWS Secrets Manager。
- Amazon Elastic Block Store (Amazon EBS) および AWS Secrets Manager の暗号化で使用する AWS KMS カスタマーマスターキー。
- Amazon EC2 インスタンス用の暗号化された Amazon EBS ボリューム。
* クイックスタートを既存の VPC にデプロイするテンプレートでは、アスタリスクが付けられたタスクがスキップされ、既存 VPC の設定に誘導されます。
-
デプロイ方法
-
CMMC-Ready Microsoft Active Directory をデプロイするには、デプロイガイドの手順に従ってください。標準的なデプロイには約 1 時間かかり、次のステップが含まれます。
- AWS アカウントをまだお持ちでない場合は、https://aws.amazon.com でサインアップし、そのアカウントにサインインします。
- クイックスタートを新規または既存の VPC にデプロイします。スタックを作成する前に、上部のツールバーからリージョンを選択します。
- デプロイ後のタスクを実行します。
Amazon は、本ソリューションで AWS と協力した AWS パートナーとユーザーデプロイ情報を共有する場合があります。
-
コストとライセンス
-
このクイックスタートは、Microsoft Windows Server 2019 向けの Amazon マシンイメージ (AMI) を起動し、Windows Server オペレーティングシステム用のライセンスを含みます。AMI はオペレーティングシステムの最新サービスパックに合わせて定期的に更新されるため、更新をインストールする必要はありません。Windows Server AMI には、Microsoft リモートデスクトップサービスのライセンスが 2 つ含まれています。Windows Server AMI には、クライアントアクセスライセンスは必要ありません。詳細については、「AWS での Microsoft のライセンシング」を参照してください。
このクイックスタートリファレンスデプロイの実行中に使用した AWS のサービスおよびサードパーティーライセンスのコストは、お客様のご負担となります。クイックスタートを使用しても追加コストは発生しません。
このクイックスタートの AWS CloudFormation テンプレートには、カスタマイズ可能な設定パラメータが含まれています。インスタンスタイプなどの設定の一部は、デプロイにかかるコストに影響します。料金の見積もりについては、利用する AWS の各サービスの料金ページを参照してください。料金は変更される場合があります。
ヒント: クイックスタートをデプロイした後は、 AWS のコストと使用状況レポートを作成して、クイックスタートに関連する料金を追跡します。これらのレポートは、お客様のアカウントでの Amazon Simple Storage Service (Amazon S3) バケットへの請求メトリクスを提供します。毎月の使用量に基づいてコストを見積もり、月末のデータを集計します。詳細については、「 AWS のコストと使用状況レポートとは」を参照してください。