AWS Directory Service よくある質問

ディレクトリはミッションクリティカルなインフラストラクチャであるため、AWS Managed Microsoft AD は高可用性の AWS インフラストラクチャおよび複数のアベイラビリティーゾーンにデプロイされます。ドメインコントローラーは、デフォルトではリージョン内で 2 つのアベイラビリティーゾーンにデプロイされ、ご利用の Amazon Virtual Private Cloud (VPC) に接続されます。毎日 1 回自動的にバックアップが作成され、Amazon Elastic Block Store (EBS) ボリュームは保管中データのセキュリティのため暗号化されます。障害の発生したドメインコントローラーは自動的に同じアベイラビリティーゾーン内で同じ IP アドレスを使用して置き換えられ、最新のバックアップを使用した全面的なディザスタリカバリが実行できます。

最初にディレクトリを作成すると、AWS Managed Microsoft AD は複数のアベイラビリティーゾーンに 2 つのドメインコントローラをデプロイします。これは高可用性を実現するために必要です。後で、必要なドメインコントローラーの総数を指定することで、AWS Directory Service コンソールから追加のドメインコントローラーをデプロイできます。AWS Managed Microsoft AD は、ディレクトリが実行されているアベイラビリティーゾーンと VPC サブネットに追加のドメインコントローラーを分散させます。

AWS Managed Microsoft AD は Windows Server 2019 を搭載した AWS マネージドインフラストラクチャで動作します。このディレクトリタイプを選択して起動すると、ディレクトリは、仮想プライベートクラウド (VPC) に接続された高可用性ドメインコントローラーのペアとして作成されます。ドメインコントローラーは、選択したリージョンのさまざまなアベイラビリティーゾーンで動作します。ホストモニタリングとリカバリ、データのレプリケーション、スナップショット、およびソフトウェアアップデートは、AWS Directory Service のサービスレベルアグリーメント (SLA) に従ってお客様に代わって設定および管理されます。

AWS Managed Microsoft AD には、自動化された日次のスナップショットが組み込まれています。また、重要なアプリケーションの更新前に追加のスナップショットを作成し、変更をロールバックする必要がある場合に備えてデータを常に最新の状態に保つこともできます。

マルチリージョンでのレプリケーションにより、単一の AWS Managed Microsoft AD ディレクトリを、複数の AWS リージョンでデプロイおよび使用できます。この機能により、Microsoft Windows や Linux のワークロードでのグローバルなデプロイと管理が、よりシンプルに、コスト効率良く行えるようになります。自動化されたマルチリージョンレプリケーション機能を使用することで、より高い回復性が得られます。また、アプリケーションはローカルディレクトリを使用することになるので、パフォーマンスも向上します。

AWS Managed Microsoft AD は AWS Organizations と緊密に統合されているため、複数の AWS アカウント間でシームレスにディレクトリを共有できます。1 つのディレクトリを同じ組織内の他の信頼できる AWS アカウントと共有することも、組織外の他の AWS アカウントとディレクトリを共有することもできます。お使いの AWS アカウントが現在組織のメンバーではない場合も、ディレクトリを共有できます。

AWS Managed Microsoft AD により、新規および既存の Amazon EC2 for Windows Server および Amazon EC2 for Linux インスタンスを、シームレスにドメインに参加させることができます。新規の EC2 インスタンスに対しては、AWS マネジメントコンソールを使用して、起動時に参加するドメインを選択できます。EC2Config サービスを使用して、既存の EC2 インスタンスをシームレスにドメインに参加させることができます。さらに Amazon EC2 インスタンスは、リージョン内の任意の AWS アカウントと任意の Amazon VPC から、ひとつのシェアされたディレクトリにシームレスに参加できるようになりました。

AWS Managed Microsoft AD では、ネイティブの Active Directory グループポリシーオブジェクト (GPO) を使用してユーザーとデバイスを管理できます。グループポリシー管理コンソール (GPMC) などの既存のツールを使用して GPO を作成できます。

新しいオブジェクトクラスと属性を追加することで、AWS Managed Microsoft AD スキーマを拡張できます。スキーマ拡張機能を使用して、特定の Active Directory オブジェクトクラスと属性に依拠するアプリケーションのサポートを有効にすることもできます。これは、AWS Managed Microsoft AD に依存する企業アプリケーションを AWS クラウドに移行する必要がある場合に特に役立ちます。(ソース)

管理者は、グループマネージドサービスアカウント (gMSAs) と呼ばれる方法を使用してサービスアカウントを管理できます。gMSA を使用すると、サービス管理者はサービスインスタンス間のパスワード同期を手動で管理する必要がなくなります。代わりに、管理者は Active Directory に gMSA を作成し、その単一の gMSA を使用するように複数のサービスインスタンスを構成するだけで済みます。AWS Managed Microsoft AD のユーザーが gMSA を作成できるように権限を付与するには、そのユーザーのアカウントを AWS 委任マネージドサービスアカウント管理者セキュリティグループのメンバーとして追加する必要があります。デフォルトでは、管理者アカウントはこのグループのメンバーです。

AD の信頼関係を使用して、AWS Managed Microsoft AD を既存の AD と統合できます。信頼関係を使用して、組織の既存の Active Directory から AWS リソースにアクセスする AD ユーザーを制御できます。

AWS Managed Microsoft AD は、既存のオンプレミス AD と同じ Kerberos ベースの認証を使用します。AWS リソースを AWS Managed Microsoft AD と統合することで、AD ユーザーが SSO によって AWS のアプリケーションとリソースに単一の認証情報セットでサインインできるようになります。

AWS Managed Microsoft AD のディレクトリ設定は、運用上のワークロードを増やさずにコンプライアンス要件とセキュリティ要件を満たすようきめ細かく設定できます。ディレクトリ設定では、ディレクトリで使用されているプロトコルと暗号のセキュアチャネル設定を更新できます。例えば、RC4 や DES などの個別のレガシー暗号や、SSL 2.0/3.0 や TLS 1.0/1.1 などのプロトコルを柔軟に無効化できます。その後、AWS Managed Microsoft AD は、ディレクトリ内のすべてのドメインコントローラに設定をデプロイし、ドメインコントローラの再起動を管理し、スケールアウトまたは追加の AWS リージョンをデプロイしてもこの設定を維持します。使用可能なすべての設定については、「ディレクトリセキュリティ設定のリスト」をご覧ください。

サーバー側 LDAPS は、商用または自社開発の LDAP 対応アプリケーション (LDAP クライアントとして動作) と AWS Managed Microsoft AD (LDAP サーバーとして動作) 間の LDAP 通信を暗号化します。詳細については、「AWS Managed Microsoft AD を使用してサーバー側 LDAPS を有効にする」をご覧ください。

クライアント側 LDAPS は、WorkSpaces (LDAP クライアントとして動作) などの AWS アプリケーションと自己管理型の Active Directory (LDAP サーバーとして動作) 間の LDAP 通信を暗号化します。詳細については、「AWS Managed Microsoft AD を使用してクライアント側 LDAPS を有効にする」をご覧ください。

AWS Managed Microsoft AD と AD Connector を AWS Private Certificate Authority (AWS Private CA) Connector for AD と統合することで、ユーザー、グループ、マシンなどの AD ドメインに参加したオブジェクトを、AWS Private CA が発行した証明書に登録できます。 AWS Private CA は、ローカルエージェントやプロキシサーバーをデプロイ、パッチ、更新することなく、自己管理型のエンタープライズ CA の代替品として使用できます。数回クリックするだけで、または API を介してプログラム的に AWS Private CA をディレクトリとの統合を設定できます。

AWS Managed Microsoft AD を使用して、米国連邦リスクおよび認可管理プログラム (FedRAMP) の対象となる AD 対応のクラウドアプリケーションを構築および実行することができます。Health Insurance Portability and Accountability Act (HIPAA) および Payment Card Industry Data Security Standard (PCI DSS) コンプライアンスプログラム。AWS Managed Microsoft AD により、コンプライアンスに適合した AD インフラストラクチャをクラウドアプリケーション向けにデプロイする手間を削減し、独自の HIPAA リスク管理プログラムや PCI DSS または FedRAMP コンプライアンス認証を管理できます。 AWS Managed AD が対応しているコンプライアンスプログラムの全リストをご覧ください。

Amazon Simple Notification Service (Amazon SNS) を利用すると、ディレクトリのステータスの変更時に E メールまたはテキスト (SMS) メッセージを受信できます。ディレクトリのステータスが [アクティブ] から [障害] または [動作不能] になった場合に通知を受けます。また、ディレクトリが [アクティブ] ステータスに戻る場合にも通知を受け取ります。

AWS Directory Service は Amazon CloudWatch と統合されており、ディレクトリ内の各ドメインコントローラの重要なパフォーマンスメトリクスを提供するのに役立ちます。つまり、CPU やメモリの使用率など、ドメインコントローラーのパフォーマンスカウンターをモニタリングできます。また、アラームを設定して、使用率が高い時間帯に対応するための自動化アクションを開始することもできます。 

AWS Directory Service コンソールまたは API を使用して、ドメインコントローラーのセキュリティイベントログを Amazon CloudWatch Logs に転送します。これにより、ディレクトリのセキュリティイベントに透明性が提供され、セキュリティモニタリング、監査、およびログの保持ポリシー要件を満たすために役立ちます。また、セキュリティイベントログをディレクトリから選択した Amazon Web Services (AWS) アカウントの Amazon CloudWatch Logs に転送したり、AWS サービスや、AWS セキュリティコンピテンシーを持つ AWS パートナーネットワーク (APN) アドバンストテクノロジーパートナーである Splunk などのサードパーティーアプリケーションを使用してイベントを一元的にモニタリングすることもできます。

AWS マネージド Microsoft AD を ID ソースとして選択することにより、オンプレミス AD ユーザーに AWS アイデンティティセンター (AWS SSO の後継) を使用した既存の AD 認証情報で AWS マネジメントコンソールと AWS CLI にサインインするアクセス権を付与できます。これにより、ユーザーはサインイン時に割り当てられたロールの 1 つを引き受け、ロールに定義された権限に従ってリソースにアクセスしてアクションを実行できます。別のオプションとして、AWS Managed Microsoft AD を使用して、ユーザーが AWS Identity and Access Management (IAM) ロールを引き受けることを可能にすることができます。

AWS Managed Microsoft AD では、Amazon EC2 インスタンス、Amazon RDS for SQL Server インスタンス、および Amazon WorkSpaces などの AWS エンドユーザーコンピューティングサービスを含む AWS リソース内で、AWS ディレクトリ対応型ワークロードに単一のディレクトリを使用できます。ディレクトリを共有すれば、複数の AWS アカウントに散在する Amazon EC2 インスタンスとリージョン内の複数の Amazon VPC を、ディレクトリ対応型ワークロードで管理できます。さらにこれによって、複数のディレクトリ間でデータを複製および同期化する複雑さを回避できます。