AWS Managed Microsoft AD を共有する

AWS Managed Microsoft AD はと緊密に統合 AWS Organizations されているため、複数の間でディレクトリをシームレスに共有できます AWS アカウント。1 つのディレクトリを同じ組織内で信頼 AWS アカウント AWS アカウントされている他のディレクトリと共有することも、組織外の他のディレクトリと共有することもできます。 AWS アカウントが現在組織のメンバーでない場合は、ディレクトリを共有することもできます。

主要なディレクトリ共有の概念

以下の主要な概念に精通していれば、ディレクトリ共有機能をさらに活用できます。

ディレクトリ共有、ドメイン結合、Amazon VPC ピアリングを備えた 2 つの AWS Managed Microsoft AD。

ディレクトリ所有者アカウント

ディレクトリ所有者は、共有ディレクトリ関係で発信元ディレクトリを所有する AWS アカウント所有者です。このアカウントの管理者は、ディレクトリの共有 AWS アカウント先を指定してディレクトリ共有ワークフローを開始します。ディレクトリの所有者は、 AWS Directory Service コンソールの、特定のディレクトリの [Scale & Share] (スケーリングと共有) タブを使用して誰とディレクトリを共有したのかを確認することができます。

ディレクトリコンシューマーアカウント

共有したディレクトリ関係では、ディレクトリコンシューマーは、ディレクトリ所有者がディレクトリを共有した AWS アカウントを表します。使用する共有メソッドによって、このアカウントの管理者は、共有ディレクトリの使用を開始する前に、ディレクトリ所有者が送信する招待を受理する必要がある場合もあります。

ディレクトリ共有プロセスでは、ディレクトリコンシューマーアカウント内に共有ディレクトリが作成されます。この共有ディレクトリには、EC2 インスタンスがシームレスにドメインを結合できるメタデータが含まれています。これは、ディレクトリ所有者アカウントの元のディレクトリにあります。ディレクトリコンシューマーアカウントの各共有ディレクトリには、一意の識別子 (共有ディレクトリ ID) があります。

共有メソッド

AWS Managed Microsoft AD には、次の 2 つのディレクトリ共有方法があります。

AWS Organizations – このメソッドでは、ディレクトリコンシューマーアカウントを参照して検証できるため、組織内でのディレクトリの共有が容易になります。このオプションを組織で使用するには、[All features] (すべての機能) が有効であり、ユーザーのディレクトリが組織の管理アカウントにある必要があります。この共有方法は、ディレクトリコンシューマーアカウントがディレクトリ共有リクエストを受け入れる必要がないため、セットアップを簡素化します。コンソールでは、このメソッドを組織 AWS アカウント内でこのディレクトリを共有すると呼びます。
ハンドシェイク – この方法では、を使用していないときにディレクトリを共有できます AWS Organizations。ハンドシェイクメソッドでは、ディレクトリコンシューマーアカウントがディレクトリの共有リクエストを受理することが必要となります。コンソールでは、このメソッドは [Share this directory with other AWS アカウント] (このディレクトリを他の AWS アカウントと共有) と表示されます。

ネットワーク接続

ネットワーク接続は、間でディレクトリ共有関係を使用するための前提条件です AWS アカウント。は、VPC を接続するための多くのソリューション AWS をサポートしています。これには、VPC ピアリング、Transit Gateway、VPN などがあります。 VPCs 開始するには、「チュートリアル: AWS Managed Microsoft AD ディレクトリを共有してシームレスな EC2 ドメイン結合を実現する」を参照してください。

考慮事項

AWS Managed Microsoft AD でディレクトリ共有を使用する場合の考慮事項を以下に示します。

料金

AWS ディレクトリ共有には追加料金がかかります。共有 AWS Managed Microsoft AD AWS アカウントを使用しているは、共有料金が請求されるアカウントです。詳細については、 AWS Directory Service ウェブサイトの料金ページを参照してください。
ディレクトリ共有により、 AWS Managed Microsoft AD は複数のアカウントと VPC で Amazon EC2 と統合するコスト効率の高い方法になります。 VPCs

利用可能なリージョン

ディレクトリ共有は、 AWSAWS Managed Microsoft AD が提供されているすべてのリージョンで利用できます。
AWS 中国 (寧夏) では、(SSM) AWS Systems Manager を使用して Amazon EC2 インスタンスをシームレスに結合する場合にのみこの機能を使用できます。

ディレクトリ共有の詳細と、 AWS Managed Microsoft AD ディレクトリのアクセス範囲を AWS アカウントの境界を越えて拡張する方法については、以下のトピックを参照してください。

トピック

追加リソース

ユースケース: ディレクトリを共有して、Amazon EC2 インスタンスを AWS アカウント間でドメインにシームレスに結合する
AWS セキュリティブログ記事: Amazon EC2 インスタンスを複数のアカウントと VPCs から単一の AWS Managed Microsoft AD ディレクトリに結合する方法
「Joining your Amazon RDS DB instances across accounts to a single shared domain」(アカウントをまたがった Amazon RDS DB インスタンスを単一の共有ドメインに結合する)

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

レプリケートされたリージョンの削除

チュートリアル: AWS Managed Microsoft AD ディレクトリを共有する