AWS マネージド Microsoft AD の使用を開始する - AWS Directory Service
AWS マネージド型Microsoft AD の前提条件AWS マネージド型Microsoft AD を作成 Active DirectoryAWS 管理対象の Microsoft AD アクティブディレクトリで作成されるもの管理者アカウント権限

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS マネージド Microsoft AD の使用を開始する

AWS マネージド Microsoft AD は、フルマネージドの Microsoft Active Directory AWS をクラウド内に作成し、Windows Server 2019 を搭載し、2012 R2 フォレストおよびドメインの機能レベルで動作します。 AWS Managed Microsoft AD でディレクトリを作成すると、2 AWS Directory Service つのドメインコントローラーが作成され、ユーザーに代わって DNS サービスが追加されます。ドメインコントローラーは、1 つの Amazon VPC の異なるサブネットに作成されます。この冗長性により、障害が発生してもディレクトリに確実にアクセスできます。さらに追加のドメインコントローラーが必要になれば、後で追加できます。詳細については、「追加ドメインコントローラーのデプロイ」を参照してください。

AWS マネージド型Microsoft AD の前提条件

AWS マネージド Microsoft AD を作成するにはActive Directory、以下の機能を備えた Amazon VPC が必要です。

  • 少なくとも 2 つのサブネット。各サブネットはそれぞれ異なるアベイラビリティーゾーンにある必要があります。

  • VPC にはデフォルトのハードウェアテナンシーが必要です。

  • 198.18.0.0/15 アドレス空間のアドレスを使用して VPC AWS にマネージド Microsoft AD を作成することはできません。

AWS 管理対象の Microsoft AD Active Directory ドメインを既存のオンプレミスドメインと統合する必要がある場合は、オンプレミスドメインのフォレストとドメインの機能レベルを Windows Server 2003 以上に設定する必要があります。

AWS Directory Service 2 つの VPC 構造を使用します。ディレクトリを構成する EC2 AWS インスタンスはアカウントの外部で実行され、 AWSによって管理されます。これらには、2 つのネットワークアダプタ (ETH0 および ETH1) があります。ETH0 は管理アダプタで、アカウント外部に存在します。ETH1 はアカウント内で作成されます。

ディレクトリの ETH0 ネットワークの管理 IP 範囲は 198.18.0.0/15 です。

AWS IAM Identity Center 前提条件

AWS 管理対象の Microsoft AD で IAM ID センターを使用する予定の場合は、次の点を確認する必要があります。

  • AWS 管理対象の Microsoft AD ディレクトリは、 AWS 組織の管理アカウントで設定されます。

  • IAM アイデンティティセンターのインスタンスは、 AWS 管理対象の Microsoft AD ディレクトリが設定されているのと同じリージョンにあります。

詳細については、『ユーザーガイド』の「IAM Identity Center の前提条件」を参照してください。 AWS IAM Identity Center

Multi-Factor·Authentication の前提条件

AWS Managed Microsoft AD ディレクトリでの多要素認証をサポートするには、オンプレミスまたはクラウドベースのリモート認証ダイヤルインユーザーサービス (RADIUS) サーバーを次のように構成して、 AWS 管理対象 Microsoft AD ディレクトリからの要求を受け付けるようにする必要があります。 AWS

  1. RADIUS サーバーで、 AWS 管理対象の Microsoft AD ドメインコントローラー (DC) の両方を表す 2 つの RADIUS クライアントを作成します。 AWS次の一般的なパラメータ (RADIUS サーバーが異なる場合があります) を使用して両方のクライアントを設定する必要があります。

    • アドレス (DNS または IP): AWS これは管理対象の Microsoft AD DC の 1 つの DNS アドレスです。両方の DNS アドレスは、MFA AWS を使用する予定の管理対象の Microsoft AD ディレクトリの詳細ページにあるDirectory Service コンソールにあります。 AWS 表示される DNS アドレスは、 AWS AWSによって使用される両方の管理対象の Microsoft AD DC の IP アドレスを表しています。

      注記

      RADIUS サーバーが DNS アドレスをサポートしている場合は、RADIUS クライアント設定を 1 つだけ作成する必要があります。あるいは、各 AWS Managed Microsoft AD DC に 1 つの RADIUS クライアント設定を作成する必要があります。

    • ポート番号: RADIUS サーバーが RADIUS クライアント接続を受け付けるポート番号を設定します。標準の RADIUS ポートは 1812 です。

    • 共有シークレット: RADIUS サーバーの RADIUS クライアントとの接続に使用される共有シークレットを入力または生成します。

    • プロトコル: AWS 管理対象の Microsoft AD DC と RADIUS サーバー間の認証プロトコルを設定する必要がある場合があります。サポートされているプロトコルは、PAP、CHAP MS-CHAPv1、および MS-CHAPv2 です。非常に強力な 3 つのオプションのセキュリティを用意している MS-CHAPv2 を推奨します。

    • アプリケーション名: これは一部の RADIUS サーバーでは必須ではなく、通常はメッセージまたはレポートでアプリケーションを識別します。

  2. RADIUS クライアント (AWS 管理対象の Microsoft AD DC の DNS アドレス、ステップ 1 を参照) から RADIUS サーバーポートへのインバウンドトラフィックを許可するように既存のネットワークを設定します。

  3. AWS 管理対象の Microsoft AD ドメインの Amazon EC2 セキュリティグループに、以前に定義した RADIUS サーバーの DNS アドレスとポート番号からのインバウンドトラフィックを許可するルールを追加します。詳細については、「EC2 ユーザーガイド」の「セキュリティグループへのルールの追加」を参照してください。

MFA AWS でマネージド Microsoft AD を使用する方法の詳細については、を参照してくださいAWS Managed Microsoft AD の Multi-Factor·Authentication を有効にする

AWS マネージド型Microsoft AD を作成 Active Directory

新しいディレクトリを作成するには、以下の手順を実行します。この手順を開始する前に、「AWS マネージド型Microsoft AD の前提条件」で定義されている前提条件を満たしていることを確認します。

AWS 管理対象の Microsoft AD ディレクトリを作成するには

  1. AWS Directory Service コンソールのナビゲーションペインで、[Directories] (ディレクトリ)、[Set up directory] (ディレクトリの設定) の順に選択します。

  2. [Select directory type] (ディレクトリタイプの選択) ページで [AWS Managed Microsoft AD] を選択してから、[Next] (次へ) をクリックします。

  3. [Enter directory information] (ディレクトリ情報の入力) ページに、以下の情報を指定します。

    エディション

    AWS Managed Microsoft AD のスタンダードエディションまたはエンタープライズエディションのいずれかを選択します。エディションの詳細については、「AWS Directory Service for Microsoft Active Directory」を参照してください。

    ディレクトリドメインネームシステム (DNS) 名

    ディレクトリの完全修飾名 (例: corp.example.com)。

    注記

    DNS に Amazon Route 53 を使用する予定の場合、 AWS マネージド Microsoft AD のドメイン名は Route 53 ドメイン名と異なる必要があります。Route 53 AWS とマネージド Microsoft AD が同じドメイン名を共有している場合、DNS 解決の問題が発生する可能性があります。

    [Directory NetBIOS name] (ディレクトリの NetBIOS 名)

    ディレクトリの短縮名 (例: CORP)。

    [Directory description] (ディレクトリの説明)

    必要に応じて、ディレクトリの説明。

    管理者パスワード

    ディレクトリ管理者のパスワードです。ディレクトリの作成プロセスでは、ユーザー名 Admin とこのパスワードを使用して管理者アカウントが作成されます。

    パスワードには、「admin」という単語を含めることはできません。

    ディレクトリ管理者のパスワードは大文字と小文字が区別され、8 文字以上 64 文字以下の長さにする必要があります。また、次の 4 つのカテゴリうち 3 つから少なくとも 1 文字を含める必要があります。

    • 小文字 (a〜z)

    • 大文字 A〜Z

    • 数字 (0〜9)

    • アルファベットと数字以外の文字 (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    [Confirm password] (パスワードを確認)

    管理者のパスワードをもう一度入力します。

  4. [Choose VPC and subnets] (VPC とサブネットの選択) ページで、次の情報を指定して [Next] (次へ) をクリックします。

    [VPC]

    ディレクトリ用の VPC。

    [Subnets] (サブネット)

    ドメインコントローラーのサブネットを選択します。2 つのサブネットは、異なるアベイラビリティーゾーンに存在している必要があります。

  5. [Review & create] (確認と作成) ページでディレクトリ情報を確認し、必要に応じて変更を加えます。情報が正しい場合は、[Create directory] (ディレクトリの作成) を選択します。ディレクトリの作成所要時間は 20~40 分です。作成が完了すると、[Status] (ステータス) 値が [Active] (アクティブ) に変わります。

AWS 管理対象の Microsoft AD アクティブディレクトリで作成されるもの

AWS Managed Microsoft AD を使用して Active Directory を作成すると、 AWS Directory Service ユーザーに代わって次のタスクが実行されます。

  • Elastic Network Interface (ENI) を自動作成し、各ドメインコントローラーと関連付けます。これらの ENI はそれぞれ VPC AWS Directory Service とドメインコントローラ間の接続に不可欠であり、決して削除しないでください。で使用するために予約されているすべてのネットワークインターフェースは、「directory directory-id AWS 用のネットワークインターフェースを作成しました」 AWS Directory Service という説明で識別できます。詳細については、「Windows インスタンス用 Amazon EC2 ユーザーガイド」の「Elastic Network Interface」を参照してください。 AWS マネージド Microsoft AD のデフォルトの DNS Active Directory サーバーは、クラスレスドメイン間ルーティング (CIDR) +2 にある VPC DNS サーバーです。詳細については、Amazon VPC ユーザーガイドの「Amazon DNS サーバー」を参照してください。

    注記

    ドメインコントローラーは、デフォルトでリージョン内の 2 つのアベイラビリティーゾーンにまたがってデプロイされ、Amazon VPCloud (VPC) に接続されます。バックアップは 1 日に 1 回自動的に実行され、Amazon EBS (EBS) ボリュームは保管中のデータを保護するために暗号化されます。障害が発生したドメインコントローラーは、同じ IP アドレスを使用して同じアベイラビリティーゾーン内で自動的に置き換えられ、最新のバックアップを使用して完全な災害対策を実行できます。

  • 耐障害性と高可用性のために、2 つのドメインコントローラーを使用して VPC 内で Active Directory がプロビジョニングされます。ディレクトリが正常に作成されて Active になった後で、回復性とパフォーマンスを高めるためにドメインコントローラーを追加でプロビジョニングできます。詳細については、「追加ドメインコントローラーのデプロイ」を参照してください。

    注記

    AWS AWS 管理対象の Microsoft AD ドメインコントローラに監視エージェントをインストールすることはできません。

  • ドメインコントローラーに出入りするトラフィックのネットワークルールを確立する AWS セキュリティグループを作成します。デフォルトのアウトバウンドルールでは、 AWS 作成したセキュリティグループにアタッチされているすべてのトラフィック ENI またはインスタンスが許可されます。デフォルトのインバウンドルールでは、任意のソース (0.0.0.0/0) からの Active Directory の必須ポートを経由したトラフィックのみが許可されます。ドメインコントローラーへのトラフィックは、VPC、ピアリングされた他のVPC、またはTransit Gateway、 AWS Direct Connectまたは仮想プライベートネットワークを使用して接続したネットワークからのトラフィックに限定されるため、0.0.0.0/0 ルールではセキュリティ上の脆弱性は発生しません。 AWS セキュリティを強化するため、作成された ENI には Elastic IP がアタッチされず、これらの ENI に Elastic IP をアタッチするためのアクセス許可はユーザーに付与されません。したがって、 AWS 管理対象の Microsoft AD と通信できるインバウンドトラフィックは、ローカル VPC と VPC ルーティングトラフィックだけです。これらのルールを変更すると、ドメインコントローラーと通信できなくなる可能性があるため、変更する場合は細心の注意を払ってください。詳細については、「AWS マネージド Microsoft AD のベストプラクティス」を参照してください。 AWS 以下のセキュリティグループルールがデフォルトで作成されます。

    インバウンドルール

    プロトコル ポート範囲 ソース トラフィックの種類 Active Directory の使用
    ICMP 該当なし 0.0.0.0/0 Ping LDAP キープアライブ、DFS
    TCP と UDP 53 0.0.0.0/0 DNS ユーザーとコンピュータの認証、名前解決、信頼
    TCP と UDP 88 0.0.0.0/0 Kerberos ユーザーとコンピュータの認証、フォレストレベルの信頼
    TCP と UDP 389 0.0.0.0/0 LDAP ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
    TCP と UDP 445 0.0.0.0/0 SMB / CIFS レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
    TCP と UDP 464 0.0.0.0/0 Kerberos パスワードの変更 / 設定 レプリケーション、ユーザーとコンピュータの認証、信頼
    TCP 135 0.0.0.0/0 レプリケーション RPC、EPM
    TCP 636 0.0.0.0/0 LDAP SSL ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
    TCP 1024-65535 0.0.0.0/0 RPC レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
    TCP 3268 - 3269 0.0.0.0/0 LDAP GC および LDAP GC SSL ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
    UDP 123 0.0.0.0/0 Windows タイム Windows タイム、信頼
    UDP 138 0.0.0.0/0 DFSN と NetLogon DFS、グループポリシー
    すべて すべて sg-################## すべてのトラフィック

    アウトバウンドルール

    プロトコル ポート範囲 送信先 トラフィックの種類 Active Directory の使用
    すべて すべて sg-################## すべてのトラフィック

  • Active Directory で使用されるポートとプロトコルの詳細については、Microsoft ドキュメントの「Windows のサービス概要およびネットワークポート要件」を参照してください。

  • 「Admin」というユーザー名と指定されたパスワードを使用して、ディレクトリ管理者アカウントを作成します。このアカウントは、Users OU (例えば、Corp > Users) の下にあります。このアカウントを使用して、クラウド内のディレクトリを管理します。 AWS 詳細については、「管理者アカウントのアクセス権限」を参照してください。

    重要

    このパスワードは必ず保存してください。 AWS Directory Service このパスワードは保存されず、取得することもできません。ただし、 AWS Directory Service パスワードはコンソールから、または ResetUserPasswordAPI を使用してリセットできます。

  • ドメインのルートに次の 3 つの組織単位 (OU) を作成します。

    OU 名 説明

    AWS 委任グループ

    		AWS 特定の権限をユーザーに委任するために使用できるすべてのグループを保存します。
    AWS 予約済み AWS 管理固有のアカウントをすべて格納します。
    <yourdomainname> この OU の名前は、ディレクトリの作成時に入力した NetBIOS 名に基づきます。NetBIOS 名を指定しなかった場合、デフォルトで、Directory DNS 名の最初の部分が使用されます (例えば、corp.example.com の場合、NetBIOS 名は corp となります)。この OU は、 AWS AWSユーザーがフルコントロールを許可されている関連ディレクトリオブジェクトがすべて所有し、そのオブジェクトを含んでいます。デフォルトでは、この OU の下に 2 つの子 OU (Computers および Users) が存在します。例:

    • Corp

      • Computers

      • Users

  • AWS 委任グループ OU に次のグループを作成します。

    グループ名 説明
    AWS 委任アカウントオペレータ このセキュリティグループのメンバーには、パスワードのリセットなどの限定されたアカウント管理機能が付与されています。

    AWS Active Directory ベースのアクティベーションの委任管理者

    このセキュリティグループのメンバーは、Active Directory ボリュームライセンスアクティベーションオブジェクトを作成できます。これにより、エンタープライズはドメインへの接続を介してコンピュータをアクティベートできます。
    AWS ドメインユーザーへのワークステーションの委任追加 このセキュリティグループのメンバーは、10 台のコンピュータをドメインに参加させることができます。
    AWS 委任管理者 このセキュリティグループのメンバーは、 AWS Managed Microsoft AD を管理したり、OU 内のすべてのオブジェクトを完全に制御したり、 AWS 委任グループ OU に含まれるグループを管理したりできます。
    AWS 委任されたユーザーにはオブジェクトの認証が許可されています。 このセキュリティグループのメンバーには、 AWS 予約済み OU 内のコンピューターリソースを認証できます (選択的認証が有効なトラストを使用するオンプレミスオブジェクトにのみ必要)。
    AWS ドメインコントローラへの認証が委任されました このセキュリティグループのメンバーは、ドメインコントローラー OU 内のコンピュータリソースに対する認証を許可されます (信頼に選択的な認証を適用できるオンプレミスオブジェクトにのみ必要)。

    AWS 委任された削除済みオブジェクトの有効期間管理者

    このセキュリティグループのメンバーは、DeletedObjectLifetime削除されたオブジェクトを AD ごみ箱から回復できる期間を定義する MSDs-オブジェクトを変更できます。
    AWS 委任された分散ファイルシステム管理者 このセキュリティグループのメンバーは、FRS、DFS-R、DFS の名前空間を追加および削除できます。
    AWS 委任されたドメイン名システム管理者 このセキュリティグループのメンバーは、Active Directory に統合された DNS を管理できます。
    AWS 動的ホスト設定プロトコルの委任管理者 このセキュリティグループのメンバーは、エンタープライズ内の Windows DHCP サーバーを承認できます。
    AWS 委任されたエンタープライズ認証局管理者 このセキュリティグループのメンバーは、Microsoft Enterprise Certificate Authority インフラストラクチャをデプロイおよび管理できます。
    AWS きめ細かい設定が可能な委任パスワードポリシー管理者 このセキュリティグループのメンバーは、作成済みの詳細なパスワードポリシーを変更できます。
    AWS 委任された FSx 管理者 このセキュリティグループのメンバーは、Amazon FSx リソースを管理できます。
    AWS 委任されたグループポリシー管理者 このセキュリティグループのメンバーは、グループポリシー管理タスク (作成、編集、削除、リンク) を実行できます。
    AWS 委任された Kerberos 委任管理者 このセキュリティグループのメンバーは、コンピュータおよびユーザーアカウントオブジェクトに対する委任を有効にすることができます
    AWS 委任管理サービスアカウント管理者 このセキュリティグループのメンバーは、マネージド型サービスアカウントを作成および削除できます。
    AWS 委任された MS-NPRC 非対応デバイス このセキュリティグループのメンバーは、ドメインコントローラーとの安全なチャネル通信を行う必要はありません。このグループはコンピュータアカウント用です。
    AWS 委任リモートアクセスサービス管理者 このセキュリティグループのメンバーは、RAS および IAS サーバーグループに対して RAS サーバーを追加および削除できます。
    AWS 委任レプリケートディレクトリ変更管理者 このセキュリティグループのメンバーは、Active Directory のプロファイル情報をサーバーと同期できます。 SharePoint
    AWS 委任されたサーバー管理者 このセキュリティグループのメンバーは、すべてのドメイン参加済みコンピュータのローカル管理者グループに含まれます。
    AWS 委任されたサイト管理者とサービス管理者 このセキュリティグループのメンバーは、Active Directory のサイトとサービスで Default-First-Site-Name オブジェクトの名前を変更できます。
    AWS 委任されたシステム管理管理者 このセキュリティグループのメンバーは、システムマネジメントコンテナ内のオブジェクトを作成および管理できます。
    AWS 委任されたターミナルサーバーライセンス管理者 このセキュリティグループのメンバーは、ターミナルサーバーライセンスサーバーグループに属するターミナルサーバーライセンスサーバーを追加および削除できます。
    AWS 委任ユーザー、プリンシパル名、サフィックス、管理者 このセキュリティグループのメンバーは、ユーザープリンシパル名のサフィックスを追加および削除できます。

  • 次のグループポリシーオブジェクト (GPO) を作成して適用します。

    注記

    これらの GPO を削除、変更、またはリンク解除するアクセス許可がありません。 AWS これらは使用専用であるため、これは仕様によるものです。必要に応じて、制御している OU にそれらをリンクできます。

    グループポリシー名 適用対象 説明
    デフォルトのドメインポリシー ドメイン ドメインパスワードと Kerberos ポリシーが含まれます。
    ServerAdmins ドメインコントローラー以外のすべてのコンピュータアカウント 「AWS 委任されたサーバー管理者」を BUILTIN\ Administrators グループのメンバーとして追加します。
    AWS リザーブドポリシー:ユーザー AWS リザーブドユーザーアカウント AWS 予約済み OU のすべてのユーザーアカウントに推奨セキュリティ設定を設定します。
    AWS マネージド・アクティブ・ディレクトリ・ポリシー すべてのドメインコントローラー すべてのドメインコントローラーに対して推奨されるセキュリティ設定を設定します。
    TimePolicyNT5DS PDCe 以外のすべてのドメインコントローラー Windows タイム (NT5DS) を使用するように、PDCe 以外のすべてのドメインコントローラーのタイムポリシーを設定します。
    TimePolicyPDC PDCe ドメインコントローラー ネットワークタイムプロトコル (NTP) を使用するように PDCe ドメインコントローラーのタイムポリシーを設定します。
    ドメインコントローラーのデフォルトポリシー 使用されていない ドメインの作成時にプロビジョニングされ、 AWS 代わりにマネージド Active Directory ポリシーが使用されます。

    各 GPO の設定を確認する場合は、グループポリシー管理コンソール (GPMC) を有効にしてドメイン結合した Windows インスタンスから設定を表示できます。

管理者アカウントのアクセス権限

Microsoft Active AWS Directory ディレクトリ用ディレクトリサービスを作成すると、 AWS 関連するすべてのグループとアカウントを格納する組織単位 (OU) AWS が作成されます。この OU の詳細については、「AWS 管理対象の Microsoft AD アクティブディレクトリで作成されるもの」を参照してください。これには管理者アカウントも含まれます。管理者アカウントには、OU に対して次の一般的な管理アクティビティを実行するためのアクセス許可があります。

  • ユーザー、グループ、コンピュータを追加、更新、または削除する。詳細については、「AWS Managed Microsoft AD でユーザーとグループを管理する」を参照してください。

  • ファイルやプリントサーバーなどのドメインにリソースを追加して、追加したリソースへのアクセス許可を OU のユーザーとグループに割り当てる。

  • 追加の OU やコンテナを作成する。

  • 追加の OU とコンテナの権限を委任する。詳細については、「AWS Managed Microsoft AD のディレクトリ結合権限を委任する」を参照してください。

  • グループポリシーを作成し、リンクする。

  • 削除されたオブジェクトを Active Directory のごみ箱から元に戻す。

  • Active Directory Web サービス上で Active Directory Windows PowerShell モジュールと DNS モジュールを実行します。

  • グループ管理サービスアカウントを作成して設定する。詳細については、「グループ管理サービスアカウント」を参照してください。

  • Kerberos の制約付き委任を設定する。詳細については、「Kerberos の制約付き委任」を参照してください。

管理者アカウントには、ドメイン全体に関係する次のアクティビティを実行する権限もあります。

  • DNS 設定 (レコード、ゾーン、フォワーダーの追加、削除、更新) を管理する

  • DNS イベントログを参照する

  • セキュリティイベントログを参照する

ここにリストされているアクションのみが、管理者アカウントに許可されます。また、管理者アカウントには、親 OU 上など、特定の OU 以外のディレクトリ関連のアクションに対するアクセス許可はありません。

重要

AWS ドメイン管理者は、ホストされているすべてのドメインに対する完全な管理アクセス権を持ちます AWS。 AWS AWS システムに保存するディレクトリ情報などのコンテンツの処理方法の詳細については、 AWS AWS 契約書およびデータ保護に関する FAQ を参照してください。

注記

このアカウントを削除したり、名前を変更したりしないでください。アカウントが不要になった場合は、長いパスワード (64 個以上のランダムな文字) を設定して、アカウントを無効にすることをお勧めします。

エンタープライズおよびドメイン管理者の特権のあるアカウント

AWS 90 日ごとに、ビルトインの管理者パスワードをランダムなパスワードに自動的にローテーションします。ビルトインの管理者パスワードを人間が使用できるように要求されると、 AWS チケットが作成され、 AWS Directory Service チームで記録されます。アカウントの認証情報は暗号化され、安全なチャネルで処理されます。また、 AWS Directory Service 管理者アカウントの認証情報は管理チームのみがリクエストできます。

AWS ディレクトリの運用管理を行うには、エンタープライズ管理者権限とドメイン管理者権限を持つアカウントを排他的に管理します。これには Active Directory 管理者アカウントの排他的制御も含まれます。 AWS パスワードボールトを使用してパスワード管理を自動化することにより、このアカウントを保護します。管理者パスワードの自動ローテーション中に、 AWS 一時的なユーザーアカウントを作成し、ドメイン管理者権限を付与します。この一時アカウントは、管理者アカウントでパスワードのローテーションが失敗した場合のバックアップとして使用されます。 AWS 管理者パスワードのローテーションが正常に完了したら、 AWS 一時的な管理者アカウントを削除します。

通常、 AWS ディレクトリはすべて自動化によって操作されます。自動化プロセスで運用上の問題を解決できない場合は、診断を行うためにサポートエンジニアにドメインコントローラー (DC) AWS にサインインしてもらう必要がある場合があります。このようなまれなケースでは、 AWS アクセスを許可するリクエスト/通知システムを実装しています。このプロセスでは、 AWS 自動化により、ドメイン管理者権限を持つ期間限定のユーザーアカウントがディレクトリに作成されます。 AWS ユーザーアカウントを、ディレクトリでの作業に割り当てられたエンジニアに関連付けます。 AWS この関連付けをログシステムに記録し、使用する認証情報をエンジニアに提供します。エンジニアによるアクションはすべて、Windows のイベントログに記録されます。割り当てられた時間が経過すると、ユーザーアカウントはオートメーションによって削除されます。

管理者アカウントアクションをモニタリングするには、ディレクトリのログ転送機能を使用します。この機能により、AD CloudWatch Securityのイベントをシステムに転送して、監視ソリューションを実装できます。詳細については、「ログ転送の有効化」を参照してください。

誰かが DC にインタラクティブにログオンすると、セキュリティイベント ID 4624、4672、および 4648 はすべてログに記録されます。イベントビューワー Microsoft 管理コンソール (MMC) を使用すると、ドメインに結合している Windows コンピュータから各 DC の Windows セキュリティイベントログを表示できます。また、ログ転送の有効化 CloudWatch すべてのセキュリティイベントログをアカウントのログに送信することもできます。

AWS 予約済み OU 内でユーザーが作成および削除されたりすることがあります。 AWS は、この OU、およびアクセスと管理の権限をユーザーに委任していないその他の OU またはコンテナ内のすべてのオブジェクトの管理とセキュリティに責任を負います。その OU 内の作成と削除が表示される場合があります。これは、 AWS Directory Service 自動化によってドメイン管理者パスワードのローテーションが定期的に行われているためです。パスワードがローテーションされると、ローテーションが失敗した場合にバックアップが作成されます。ローテーションが成功すると、バックアップアカウントは自動的に削除されます。また、まれにトラブルシューティングの目的でデータセンターへのインタラクティブアクセスが必要になった場合は、 AWS Directory Service エンジニアが使用できる一時的なユーザーアカウントが作成されます。エンジニアが作業を完了すると、一時的なユーザーアカウントは削除されます。ディレクトリのインタラクティブ認証情報が要求されるたびに、 AWS Directory Service 管理チームに通知されることに注意してください。