AWS Managed Microsoft AD の開始方法 - AWS Directory Service
AWS Managed Microsoft AD の前提条件AWS IAM Identity Center 前提条件Multi-Factor·Authentication の前提条件AWS Managed Microsoft AD の作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Managed Microsoft AD の開始方法

AWS Managed Microsoft AD は、フルマネージド型の Microsoft Active Directory AWS クラウド と の は、Windows Server 2019 および は、2012 R2 のフォレストおよびドメインの機能レベルで動作します。 AWS Managed Microsoft AD でディレクトリを作成すると、 は 2 つのドメインコントローラー AWS Directory Service を作成し、ユーザーに代わってDNSサービスを追加します。ドメインコントローラーは Amazon の異なるサブネットに作成されます。VPCこの冗長性により、障害が発生してもディレクトリにアクセスし続けることができます。さらに追加のドメインコントローラーが必要になれば、後で追加できます。詳細については、「AWS Managed Microsoft AD に追加するドメインコントローラーのデプロイ」を参照してください。

AWS Managed Microsoft AD のデモと概要については、以下を参照してください。YouTube 動画。

トピック

AWS Managed Microsoft AD を作成するための前提条件

AWS Managed Microsoft AD を作成するには Active Directoryでは、以下VPCを含む Amazon が必要です。

  • 少なくとも 2 つのサブネット。各サブネットはそれぞれ異なるアベイラビリティーゾーンにある必要があります。

  • にはデフォルトのハードウェアテナンシーVPCが必要です。

  • 198.18.0.0/15 アドレス空間のアドレスVPCを使用して に AWS Managed Microsoft AD を作成することはできません。

AWS Managed Microsoft AD ドメインを既存のオンプレミスと統合する必要がある場合 Active Directory domain、オンプレミスドメインのフォレストとドメインの機能レベルを に設定する必要があります。Windows Server 2003 以降。

AWS Directory Service は 2 つのVPC構造を使用します。ディレクトリを構成するEC2インスタンスは、 AWS アカウントの外部で実行され、 によって管理されます AWS。これらには、2 つのネットワークアダプタ (ETH0 および ETH1) があります。ETH0 は管理アダプタで、アカウント外部に存在します。ETH1 はアカウント内で作成されます。

ディレクトリの ETH0 ネットワークの管理 IP 範囲は 198.18.0.0/15 です。

AWS 環境と AWS Managed Microsoft AD を作成する方法のチュートリアルについては、「」を参照してくださいAWS Managed Microsoft AD のテストラボのチュートリアル

AWS IAM Identity Center 前提条件

AWS Managed Microsoft AD で IAM Identity Center を使用する予定の場合は、次の点に当てはまることを確認する必要があります。

  • AWS Managed Microsoft AD ディレクトリは、 AWS 組織の管理アカウントに設定されます。

  • IAM Identity Center のインスタンスは、 AWS Managed Microsoft AD ディレクトリがセットアップされているのと同じ リージョンにあります。

詳細については、「 AWS IAM Identity Center ユーザーガイド」のIAM「 Identity Center の前提条件」を参照してください。

Multi-Factor·Authentication の前提条件

AWS Managed Microsoft AD ディレクトリで多要素認証をサポートするには、次の方法でオンプレミスまたはクラウドベースの Remote Authentication Dial-In User Service (RADIUS) サーバーを設定して、 AWS Managed Microsoft AD ディレクトリからのリクエストを受け入れる必要があります AWS。

  1. RADIUS サーバーで、両方の AWS Managed Microsoft AD ドメインコントローラー (DCs) を表す 2 つのRADIUSクライアントを作成します AWS。次の共通パラメータを使用して両方のクライアントを設定する必要があります (RADIUSサーバーは異なる場合があります)。

    • アドレス (DNS または IP): これは AWS Managed Microsoft AD のDNSアドレスですDCs。どちらのDNSアドレスも、 を使用する予定の AWS Managed Microsoft AD ディレクトリの詳細ページの AWS Directory Service Console にありますMFA。表示されるDNSアドレスは、 DCsで使用される Managed AWS Microsoft AD の両方の IP アドレスを表します AWS。

      注記

      RADIUS サーバーがDNSアドレスをサポートしている場合は、RADIUSクライアント設定を 1 つだけ作成する必要があります。それ以外の場合は、 AWS Managed Microsoft AD DC ごとに 1 つのRADIUSクライアント設定を作成する必要があります。

    • ポート番号: RADIUSサーバーがRADIUSクライアント接続を受け入れるポート番号を設定します。標準RADIUSポートは 1812 です。

    • 共有シークレット: RADIUSサーバーがRADIUSクライアントとの接続に使用する共有シークレットを入力または生成します。

    • プロトコル: AWS Managed Microsoft AD DCsとRADIUSサーバーの間で認証プロトコルを設定する必要がある場合があります。サポートされているプロトコルは、PAP、CHAPMS-CHAPv1、MS- ですCHAPv2。MS-CHAPv2 は、3 つのオプションの中で最も強力なセキュリティを提供するため、推奨されます。

    • アプリケーション名: これは一部のRADIUSサーバーではオプションであり、通常はメッセージまたはレポートでアプリケーションを識別します。

  2. RADIUS クライアント (AWS マネージド Microsoft AD DCs DNS アドレス、ステップ 1 を参照) からRADIUSサーバーポートへのインバウンドトラフィックを許可するように既存のネットワークを設定します。

  3. Managed Microsoft AD AWS ドメインの Amazon EC2 セキュリティグループに、前に定義したRADIUSサーバーDNSアドレスとポート番号からのインバウンドトラフィックを許可するルールを追加します。詳細については、「 EC2ユーザーガイド」の「セキュリティグループへのルールの追加」を参照してください。

で AWS Managed Microsoft AD を使用する方法の詳細についてはMFA、「」を参照してくださいAWS Managed Microsoft AD の多要素認証を有効にする

AWS Managed Microsoft AD の作成

新しい AWS Managed Microsoft AD を作成するには Active Directory、次の手順を実行します。この手順を開始する前に、「AWS Managed Microsoft AD を作成するための前提条件」で定義されている前提条件を満たしていることを確認します。

AWS Managed Microsoft AD を作成するには

  1. AWS Directory Service コンソールのナビゲーションペインで、[Directories] (ディレクトリ)、[Set up directory] (ディレクトリの設定) の順に選択します。

  2. [Select directory type] (ディレクトリタイプの選択) ページで [AWS Managed Microsoft AD] を選択してから、[Next] (次へ) をクリックします。

  3. [Enter directory information] (ディレクトリ情報の入力) ページに、以下の情報を指定します。

    エディション

    AWS Managed Microsoft AD の Standard Edition または Enterprise Edition のいずれかを選択します。エディションの詳細については、「AWS Directory Service for Microsoft Active Directory」を参照してください。

    ディレクトリDNS名

    ディレクトリの完全修飾名 (例: corp.example.com)。

    注記

    に Amazon Route 53 を使用する予定の場合DNS、 AWS Managed Microsoft AD のドメイン名は Route 53 のドメイン名とは異なる必要があります。Route 53 と AWS Managed Microsoft AD が同じドメイン名を共有している場合、DNS解決の問題が発生する可能性があります。

    ディレクトリのネットBIOS名

    ディレクトリの短縮名 (例: CORP)。

    [Directory description] (ディレクトリの説明)

    必要に応じて、ディレクトリの説明。この説明は、 AWS Managed Microsoft AD の作成後に変更できます。

    管理者パスワード

    ディレクトリ管理者のパスワードです。ディレクトリの作成プロセスでは、ユーザー名 Admin とこのパスワードを使用して管理者アカウントが作成されます。 AWS Managed Microsoft AD の作成後に管理者パスワードを変更できます。

    パスワードには、「admin」という単語を含めることはできません。

    ディレクトリ管理者のパスワードは大文字と小文字が区別され、8 文字以上 64 文字以下の長さにする必要があります。また、次の 4 つのカテゴリうち 3 つから少なくとも 1 文字を含める必要があります。

    • 小文字 (a〜z)

    • 大文字 A〜Z

    • 数字 (0〜9)

    • アルファベットと数字以外の文字 (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    [Confirm password] (パスワードを確認)

    管理者のパスワードをもう一度入力します。

    (オプション) ユーザーとグループの管理

    から AWS Managed Microsoft AD のユーザーとグループの管理を有効にするには AWS Management Console、「」の「ユーザーとグループの管理の管理 AWS Management Console」を選択します。ユーザーおよびグループ管理の使用方法の詳細については、「AWS Managed Microsoft AD のユーザーとグループを AWS Management Console、 AWS CLI、、または で管理する AWS Tools for PowerShell」を参照してください。

  4. 「 VPCとサブネットの選択」ページで、次の情報を入力し、次を選択します。

    VPC

    ディレクトリVPCの 。

    [Subnets] (サブネット)

    ドメインコントローラーのサブネットを選択します。2 つのサブネットは、異なるアベイラビリティーゾーンに存在している必要があります。

  5. [Review & create] (確認と作成) ページでディレクトリ情報を確認し、必要に応じて変更を加えます。情報が正しい場合は、[Create directory] (ディレクトリの作成) を選択します。ディレクトリの作成所要時間は 20~40 分です。作成が完了すると、[Status] (ステータス) 値が [Active] (アクティブ) に変わります。

AWS Managed Microsoft AD で作成される内容の詳細については、以下を参照してください。