AWS Managed Microsoft AD の開始方法

PDFRSS

AWS Managed Microsoft AD AWS クラウド は、 Microsoft Active Directoryでフルマネージド型 を作成し、WindowsServer 2019 を搭載し、2012 R2 フォレストおよびドメインの機能レベルで動作します。 AWS Managed Microsoft AD でディレクトリを作成すると、 は 2 つのドメインコントローラー AWS Directory Service を作成し、ユーザーに代わって DNS サービスを追加します。ドメインコントローラーは、1 つの Amazon VPC の異なるサブネットに作成されます。この冗長性により、障害が発生してもディレクトリに確実にアクセスできます。さらに追加のドメインコントローラーが必要になれば、後で追加できます。詳細については、「AWS Managed Microsoft AD 用の追加のドメインコントローラーのデプロイ」を参照してください。

AWS Managed Microsoft AD のデモと概要については、次のYouTube動画を参照してください。

トピック

• AWS Managed Microsoft AD を作成するための前提条件

• AWS IAM Identity Center 前提条件

• Multi-Factor·Authentication の前提条件

• AWS Managed Microsoft AD の作成

• AWS Managed Microsoft AD で作成されるもの

• AWS Managed Microsoft AD Administrator アカウントのアクセス許可

AWS Managed Microsoft AD を作成するための前提条件

AWS Managed Microsoft AD を作成するにはActive Directory、以下を含む Amazon VPC が必要です。

• 少なくとも 2 つのサブネット。各サブネットはそれぞれ異なるアベイラビリティーゾーンにある必要があります。

• VPC にはデフォルトのハードウェアテナンシーが必要です。

• 198.18.0.0/15 アドレス空間のアドレスを使用して VPC に AWS Managed Microsoft AD を作成することはできません。

AWS Managed Microsoft AD ドメインを既存のオンプレミスActive Directoryドメインと統合する必要がある場合は、オンプレミスドメインのフォレストとドメインの機能レベルを Windows Server 2003 以上に設定する必要があります。

AWS Directory Service は 2 つの VPC 構造を使用します。ディレクトリを構成する EC2 インスタンスは、 AWS アカウントの外部で実行され、 によって管理されます AWS。これらには、2 つのネットワークアダプタ (ETH0 および ETH1) があります。ETH0 は管理アダプタで、アカウント外部に存在します。ETH1 はアカウント内で作成されます。

ディレクトリの ETH0 ネットワークの管理 IP 範囲は 198.18.0.0/15 です。

AWS 環境と AWS Managed Microsoft AD を作成する方法のチュートリアルについては、「」を参照してくださいAWS Managed Microsoft AD テストラボのチュートリアル。

AWS IAM Identity Center 前提条件

AWS Managed Microsoft AD で IAM Identity Center を使用する予定の場合は、次の点に当てはまることを確認する必要があります。

• AWS Managed Microsoft AD ディレクトリは、 AWS 組織の管理アカウントに設定されます。

• IAM Identity Center のインスタンスは、 AWS Managed Microsoft AD ディレクトリがセットアップされているのと同じリージョンにあります。

詳細については、AWS IAM Identity Center ユーザーガイドの「IAM Identity Center prerequisites」を参照してください。

Multi-Factor·Authentication の前提条件

AWS Managed Microsoft AD ディレクトリで多要素認証をサポートするには、次の方法でオンプレミスまたはクラウドベースの Remote Authentication Dial-In User Service (RADIUS) サーバーを設定して、 の AWS Managed Microsoft AD ディレクトリからのリクエストを受け入れる必要があります AWS。

1. RADIUS サーバーで、2 つの RADIUS クライアントを作成して、両方の AWS Managed Microsoft AD ドメインコントローラー (DCsを表します AWS。次の一般的なパラメータ (RADIUS サーバーが異なる場合があります) を使用して両方のクライアントを設定する必要があります。

   • アドレス (DNS または IP): これは AWS Managed Microsoft AD DCs。両方の DNS アドレスは、MFA を使用する予定の AWS Managed Microsoft AD ディレクトリの詳細ページの AWS Directory Service Console にあります。表示される DNS アドレスは、 で使用される両方の AWS Managed Microsoft AD DCs の IP アドレスを表します AWS。

     注記

     RADIUS サーバーが DNS アドレスをサポートしている場合は、RADIUS クライアント設定を 1 つだけ作成する必要があります。それ以外の場合は、 AWS Managed Microsoft AD DC ごとに 1 つの RADIUS クライアント設定を作成する必要があります。

   • ポート番号: RADIUS サーバーが RADIUS クライアント接続を受け付けるポート番号を設定します。標準の RADIUS ポートは 1812 です。

   • 共有シークレット: RADIUS サーバーの RADIUS クライアントとの接続に使用される共有シークレットを入力または生成します。

   • プロトコル: AWS Managed Microsoft AD DCs と RADIUS サーバーの間で認証プロトコルを設定する必要がある場合があります。サポートされているプロトコルは、PAP、CHAP MS-CHAPv1、および MS-CHAPv2 です。非常に強力な 3 つのオプションのセキュリティを用意している MS-CHAPv2 を推奨します。

   • アプリケーション名: これは一部の RADIUS サーバーでは必須ではなく、通常はメッセージまたはレポートでアプリケーションを識別します。

2. RADIUS クライアント (AWS マネージド Microsoft AD DCsDNS アドレス、ステップ 1 を参照) から RADIUS サーバーポートへのインバウンドトラフィックを許可するように既存のネットワークを設定します。

3. Managed AWS Microsoft AD ドメインの Amazon EC2 セキュリティグループに、RADIUS サーバーの DNS アドレスと前に定義したポート番号からのインバウンドトラフィックを許可するルールを追加します。詳細については、「EC2 ユーザーガイド」の「セキュリティグループへのルールの追加」を参照してください。

MFA で AWS Managed Microsoft AD を使用する方法の詳細については、「」を参照してくださいAWS Managed Microsoft AD の多要素認証の有効化。

AWS Managed Microsoft AD の作成

新しい AWS Managed Microsoft AD を作成するにはActive Directory、次の手順を実行します。この手順を開始する前に、「AWS Managed Microsoft AD を作成するための前提条件」で定義されている前提条件を満たしていることを確認します。

AWS Managed Microsoft AD を作成するには

1. AWS Directory Service コンソールのナビゲーションペインで、[Directories] (ディレクトリ)、[Set up directory] (ディレクトリの設定) の順に選択します。

2. [Select directory type] (ディレクトリタイプの選択) ページで [AWS Managed Microsoft AD] を選択してから、[Next] (次へ) をクリックします。

3. [Enter directory information] (ディレクトリ情報の入力) ページに、以下の情報を指定します。

   エディション

   AWS Managed Microsoft AD の Standard Edition または Enterprise Edition のいずれかを選択します。エディションの詳細については、「AWS Directory Service for Microsoft Active Directory」を参照してください。

   [Directory DNS name] (ディレクトリの DNS 名)

   ディレクトリの完全修飾名 (例: corp.example.com)。

   注記

   DNS に Amazon Route 53 を使用する予定の場合、 AWS Managed Microsoft AD のドメイン名は Route 53 ドメイン名とは異なる必要があります。Route 53 と AWS Managed Microsoft AD が同じドメイン名を共有している場合、DNS 解決の問題が発生する可能性があります。

   [Directory NetBIOS name] (ディレクトリの NetBIOS 名)

   ディレクトリの短縮名 (例: CORP)。

   [Directory description] (ディレクトリの説明)

   必要に応じて、ディレクトリの説明。この説明は、 AWS Managed Microsoft AD の作成後に変更できます。

   管理者パスワード

   ディレクトリ管理者のパスワードです。ディレクトリの作成プロセスでは、ユーザー名 Admin とこのパスワードを使用して管理者アカウントが作成されます。 AWS Managed Microsoft AD の作成後に管理者パスワードを変更できます。

   パスワードには、「admin」という単語を含めることはできません。

   ディレクトリ管理者のパスワードは大文字と小文字が区別され、8 文字以上 64 文字以下の長さにする必要があります。また、次の 4 つのカテゴリうち 3 つから少なくとも 1 文字を含める必要があります。

   • 小文字 (a〜z)

   • 大文字 A〜Z

   • 数字 (0〜9)

   • アルファベットと数字以外の文字 (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

   [Confirm password] (パスワードを確認)

   管理者のパスワードをもう一度入力します。

   (オプション) ユーザーとグループの管理

   から AWS Managed Microsoft AD のユーザーとグループの管理を有効にするには AWS Management Console、「」の「ユーザーとグループの管理の管理 AWS Management Console」を選択します。ユーザーおよびグループ管理の使用方法の詳細については、「AWS Managed Microsoft AD のユーザーとグループを AWS Management Console、、 AWS CLI、または で管理する AWS Tools for PowerShell」を参照してください。

4. [Choose VPC and subnets] (VPC とサブネットの選択) ページで、次の情報を指定して [Next] (次へ) をクリックします。

   [VPC]

   ディレクトリ用の VPC。

   [Subnets] (サブネット)

   ドメインコントローラーのサブネットを選択します。2 つのサブネットは、異なるアベイラビリティーゾーンに存在している必要があります。

5. [Review & create] (確認と作成) ページでディレクトリ情報を確認し、必要に応じて変更を加えます。情報が正しい場合は、[Create directory] (ディレクトリの作成) を選択します。ディレクトリの作成所要時間は 20～40 分です。作成が完了すると、[Status] (ステータス) 値が [Active] (アクティブ) に変わります。

AWS Managed Microsoft AD で作成される内容の詳細については、以下を参照してください。

• AWS Managed Microsoft AD で作成されるもの

• AWS Managed Microsoft AD Administrator アカウントのアクセス許可