前提条件 - Amazon AppStream 2.0

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

前提条件

証明書ベースの認証を使用する前に、以下のステップを完了します。

  1. ドメインに参加しているフリートをセットアップし、2.0 SAML を設定します。SAML_Subject のusername@domain.comuserPrincipalName形式を使用していることを確認してくださいNameID。詳細については、「ステップ 5: SAML認証レスポンスのアサーションを作成する」を参照してください。

    注記

    証明書ベースの認証を使用する場合は、スタック内の Active Directory のスマートカードサインインを有効にしないでください。詳細については、「スマートカード」を参照してください。

  2. イメージで AppStream 2.0 エージェントバージョン 10-13-2022 以降を使用します。詳細については、「Amazon AppStream 2.0 イメージを保持する Up-to-Date」を参照してください。

  3. SAML アサーションで ObjectSid 属性を設定します。この属性を使用して、Active Directory ユーザーとの強力なマッピングを実行できます。ObjectSid 属性が SAML_Subject で指定されたユーザーの Active Directory セキュリティ識別子 (SID) と一致しない場合、証明書ベースの認証は失敗しますNameID。詳細については、「ステップ 5: SAML認証レスポンスのアサーションを作成する」を参照してください。ObjectSid は、2025 年 9 月 10 日以降の証明書ベースの認証に必須です。詳細については、KB5「014754: Windows ドメインコントローラーでの証明書ベースの認証の変更」を参照してください。

  4. 2.0 SAML 設定で使用するIAMロール信頼ポリシーに アクセスsts:TagSession許可を追加します。詳細については、「AWS STSでのセッションタグの受け渡し」を参照してください。この権限は、証明書ベースの認証を使用する場合に必要です。詳細については、「ステップ 2: 2SAML.0 フェデレーションIAMロールを作成する」を参照してください。

  5. Active Directory で設定されていない場合は、 AWS Private CA を使用してプライベート認証機関 (CA) を作成します。証明書ベースの認証を使用するには AWS 、Private CA が必要です。詳細については、「AWS Private CA デプロイの計画」を参照してください。証明書ベースの認証の多くのユースケースでは、次の AWS Private CA 設定が一般的です。

    • CA タイプオプション

      • 使用期間が短い証明書 CA 使用モード – CA が証明書ベースの認証のためにエンドユーザー証明書のみを発行する場合に推奨されます。

      • ルート CA を含む単一レベルの階層 – 下位 CA を選択して既存の CA 階層と統合します。

    • 主要なアルゴリズムオプション – RSA 2048

    • サブジェクト識別名オプション – 最も適切なオプションを使用して、Active Directory の信頼されたルート証明機関ストアでこの CA を識別します。

    • 証明書失効オプション – CRLディストリビューション

      注記

      証明書ベースの認証には、 AppStream 2.0 フリートインスタンスとドメインコントローラーの両方からアクセスできるオンラインCRLディストリビューションポイントが必要です。これには、プライベート CA CRLエントリ用に AWS 設定された Amazon S3 バケットへの認証されていないアクセス、またはパブリックアクセスをブロックする場合は Amazon S3 バケットへのアクセスを持つ CloudFront ディストリビューションが必要です。これらのオプションの詳細については、「証明書失効リストの計画 (CRL)」を参照してください。

  6. プライベート CA に、 AppStream 2.0 euc-private-ca 証明書ベースの認証で使用する CA を指定する権限を持つキーをタグ付けします。このキーには値は必要ありません。詳細については、「プライベート CA のタグ管理」を参照してください。のリソースにアクセス許可を付与するために AppStream 2.0 で使用する AWS マネージドポリシーの詳細については AWS アカウント、「」を参照してくださいAWS Access AppStream 2.0 リソースに必要な管理ポリシー

  7. 証明書ベースの認証では、仮想スマートカードを使用してログオンします。詳細については、「サードパーティーの証明機関でスマートカードオンを有効にするためのガイドライン」を参照してください。以下の手順に従ってください。

    1. スマートカードユーザーを認証するには、ドメインコントローラー証明書を使用してドメインコントローラーを設定します。Active Directory 証明書サービスのエンタープライズ CA が Active Directory に設定されている場合、スマートカードによるログオンを可能にするドメインコントローラーが証明書に自動的に登録されます。Active Directory 証明書サービスがない場合は、「サードパーティー CA からのドメインコントローラー証明書の要件」を参照してください。 は、Active Directory エンタープライズ認証機関がドメインコントローラー証明書の登録を自動的に管理することを AWS 推奨しています。

      注記

      AWS Managed Microsoft AD を使用する場合は、ドメインコントローラー証明書の要件を満たす Amazon EC2インスタンスで証明書サービスを設定できます。Active Directory Certificate Services で設定された Managed Microsoft AD のデプロイ例については、「新しい Amazon Virtual Private Cloud に Active Directory をデプロイする」を参照してください。 AWS

      AWS Managed Microsoft AD と Active Directory Certificate Services では、コントローラーVPCのセキュリティグループから Certificate Services を実行する Amazon EC2インスタンスへのアウトバウンドルールも作成する必要があります。証明書の自動登録を有効にするには、TCPポート 135、およびポート 49152~65535 へのアクセスをセキュリティグループに提供する必要があります。Amazon EC2インスタンスは、ドメインコントローラーを含むドメインインスタンスからのこれらの同じポートへのインバウンドアクセスも許可する必要があります。 AWS Managed Microsoft AD のセキュリティグループを見つける方法の詳細については、VPC「サブネットとセキュリティグループを設定する」を参照してください。

    2. AWS プライベート CA コンソール、または SDKまたは でCLI、プライベート CA 証明書をエクスポートします。詳細については、「プライベート証明書のエクスポート」を参照してください。

    3. プライベート CA を Active Directory に公開します。ドメインコントローラーまたはドメイン結合マシンにログオンします。プライベート CA 証明書を任意の <path>\<file> にコピーし、ドメイン管理者として次のコマンドを実行します。グループポリシーと Microsoft PKI Health Tool (PKIView) を使用して CA を発行することもできます。詳細については、「設定手順」を参照してください。

      certutil -dspublish -f <path>\<file> RootCA
      certutil -dspublish -f <path>\<file> NTAuthCA

      コマンドが正常に完了したことを確認してから、プライベート CA 証明書ファイルを削除します。Active Directory のレプリケーション設定によっては、CA がドメインコントローラーと AppStream 2.0 フリートインスタンスに発行するまでに数分かかる場合があります。

      注記

      Active Directory は、ドメインに参加するときに、 AppStream 2.0 フリートインスタンスの信頼されたルート認証機関とエンタープライズNTAuthストアに CA を自動的に配布する必要があります。

Windows オペレーティングシステムの場合、CA (認証局) のディストリビューションは自動的に行われます。ただし、Rocky Linux および Red Hat Enterprise Linux の場合は、 AppStream 2.0 Directory Config が使用する CA からルート CA 証明書 (複数可) をダウンロードする必要があります。KDC ルート CA 証明書が異なる場合は、それらもダウンロードする必要があります (複数可)。証明書ベースの認証を使用する前に、これらの証明書をイメージまたはスナップショットにインポートする必要があります。

イメージには、/etc/sssd/pki/sssd_auth_ca_db.pem という名前のファイルが必要です。次のようになります。

-----BEGIN CERTIFICATE----- Base64-encoded certificate chain from ACM Private CA -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Base64-encoded certificate body from ACM private CA -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Base64-encoded root CA KDC certificate chain -----END CERTIFICATE-----
注記

リージョンやアカウント間でイメージをコピーする場合、またはイメージを新しい Active Directory に再関連付けする場合は、このファイルを Image Builder の関連する証明書で再設定し、使用前に再度スナップショットを作成する必要があります。

ルート CA 証明書をダウンロードする手順は次のとおりです。

  1. Image Builder で、/etc/sssd/pki/sssd_auth_ca_db.pem という名前のファイルを作成します。

  2. AWS プライベート CA コンソールを開きます。

  3. AppStream 2.0 Directory Config で使用されるプライベート証明書を選択します。

  4. [CA 証明書] タブを選択します。

  5. 証明書チェーンと証明書本文を Image Builder の /etc/sssd/pki/sssd_auth_ca_db.pem にコピーします。

で使用されるルート CA 証明書KDCsが、your AppStream 2.0 Directory Config で使用されるルート CA 証明書と異なる場合は、以下の手順に従ってダウンロードします。

  1. Image Builder と同じドメインに参加している Windows インスタンスに接続します。

  2. certlm.msc を開きます。

  3. 左側のペインで、[信頼できるルート証明機関] を選択し、[証明書] を選択します。

  4. ルート CA 証明書ごとに、コンテキスト (右クリック) メニューを開きます。

  5. [すべてのタスク] を選択し、[エクスポート] を選択して証明書エクスポートウィザードを開き、[次へ] を選択します。

  6. Base64-encodedされた X.509 (.CER) を選択し、次へを選択します。

  7. [参照] を選択し、ファイル名を入力し、[次へ] を選択します。

  8. [完了] を選択します。

  9. エクスポートされた証明書をテキストエディタで開きます。

  10. ファイルの内容を Image Builder の /etc/sssd/pki/sssd_auth_ca_db.pem にコピーします。