AWS Managed Microsoft AD の開始方法 - AWS Directory Service
AWS Managed Microsoft AD の前提条件AWS IAM Identity Center 前提条件Multi-Factor·Authentication の前提条件AWS Managed Microsoft AD の作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Managed Microsoft AD の開始方法

AWS Managed Microsoft AD は、フルマネージドの Microsoft Active Directory AWS クラウド および の は、Windows Server 2019 および は、2012 R2 フォレストおよびドメインの機能レベルで動作します。 AWS Managed Microsoft AD でディレクトリを作成すると、 は 2 つのドメインコントローラー AWS Directory Service を作成し、ユーザーに代わってDNSサービスを追加します。ドメインコントローラーは Amazon の異なるサブネットに作成されます。VPCこの冗長性により、障害が発生した場合でもディレクトリにアクセスできるようになります。さらに追加のドメインコントローラーが必要になれば、後で追加できます。詳細については、「AWS Managed Microsoft AD に追加のドメインコントローラーをデプロイする」を参照してください。

トピック

AWS Managed Microsoft AD を作成するための前提条件

AWS Managed Microsoft AD を作成するには Active Directoryでは、以下の VPC Amazon が必要です。

  • 少なくとも 2 つのサブネット。各サブネットはそれぞれ異なるアベイラビリティーゾーンにある必要があります。

  • にはデフォルトのハードウェアテナンシーVPCが必要です。

  • 198.18.0.0/15 アドレススペースのアドレスVPCを使用して、 に AWS Managed Microsoft AD を作成することはできません。

AWS Managed Microsoft AD ドメインを既存のオンプレミスと統合する必要がある場合 Active Directory ドメインの場合、オンプレミスドメインのフォレストとドメインの機能レベルを に設定する必要があります。Windows Server 2003 以降。

AWS Directory Service は 2 つのVPC構造を使用します。ディレクトリを構成するEC2インスタンスは、 AWS アカウント外で実行され、 によって管理されます AWS。これらには、2 つのネットワークアダプタ (ETH0 および ETH1) があります。ETH0 は管理アダプタで、アカウント外部に存在します。ETH1 はアカウント内で作成されます。

ディレクトリの ETH0 ネットワークの管理 IP 範囲は 198.18.0.0/15 です。

AWS 環境と AWS Managed Microsoft AD を作成する方法のチュートリアルについては、「」を参照してくださいAWS Managed Microsoft AD テストラボのチュートリアル

AWS IAM Identity Center 前提条件

AWS Managed Microsoft AD で IAM Identity Center を使用する予定の場合は、次の点に当てはまることを確認する必要があります。

  • AWS Managed Microsoft AD ディレクトリは AWS 、組織の管理アカウントに設定されます。

  • IAM Identity Center のインスタンスは、 AWS Managed Microsoft AD ディレクトリがセットアップされているのと同じリージョンにあります。

詳細については、AWS IAM Identity Center 「 ユーザーガイド」のIAM「アイデンティティセンターの前提条件」を参照してください。

Multi-Factor·Authentication の前提条件

AWS Managed Microsoft AD ディレクトリでの多要素認証をサポートするには、オンプレミスまたはクラウドベースのリモート認証ダイヤルインユーザーサービス (RADIUS) サーバーを、 の AWS Managed Microsoft AD ディレクトリからのリクエストを受け入れるように、次の方法で設定する必要があります AWS。

  1. RADIUS サーバーで、2 つのRADIUSクライアントを作成して、 の AWS Managed Microsoft AD ドメインコントローラー (DCs) の両方を表します AWS。両方のクライアントは、次の一般的なパラメータを使用して設定する必要があります (RADIUSサーバーは異なる場合があります)。

    • アドレス (DNS または IP): これは AWS Managed Microsoft AD のDNSアドレスですDCs。どちらのDNSアドレスも、 を使用する予定の AWS Managed Microsoft AD ディレクトリの詳細ページの AWS ディレクトリサービスコンソールにありますMFA。表示されるDNSアドレスは、 DCsで使用される AWS Managed Microsoft AD の両方の IP アドレスを表します AWS。

      注記

      RADIUS サーバーがDNSアドレスをサポートしている場合は、RADIUSクライアント設定を 1 つだけ作成する必要があります。それ以外の場合は、 AWS マネージド Microsoft AD DC ごとに 1 つのRADIUSクライアント設定を作成する必要があります。

    • ポート番号 : RADIUSサーバーがRADIUSクライアント接続を受け入れるポート番号を設定します。標準RADIUSポートは 1812 です。

    • 共有シークレット : RADIUSサーバーがRADIUSクライアントへの接続に使用する共有シークレットを入力または生成します。

    • プロトコル : AWS Managed Microsoft AD DCsとRADIUSサーバーの間で認証プロトコルを設定する必要があります。サポートされているプロトコルはPAP、、CHAPMS-CHAPv1、MS- ですCHAPv2。MS-CHAPv2 は、3 つのオプションの中で最も強力なセキュリティを提供するため、推奨されます。

    • アプリケーション名 : これは一部のRADIUSサーバーではオプションであり、通常はメッセージまたはレポートでアプリケーションを識別します。

  2. RADIUS クライアント (AWS マネージド Microsoft AD DCs DNS アドレス、ステップ 1 を参照) からRADIUSサーバーポートへのインバウンドトラフィックを許可するように既存のネットワークを設定します。

  3. Managed AWS Microsoft AD ドメインの Amazon EC2 セキュリティグループにルールを追加します。これにより、前に定義したRADIUSサーバーDNSアドレスとポート番号からのインバウンドトラフィックが許可されます。詳細については、EC2「 ユーザーガイド」の「セキュリティグループにルールを追加する」を参照してください。

で AWS Managed Microsoft AD を使用する方法の詳細についてはMFA、「」を参照してくださいAWS Managed Microsoft AD の多要素認証の有効化

AWS Managed Microsoft AD の作成

新しい AWS Managed Microsoft AD を作成するには Active Directory、次の手順を実行します。この手順を開始する前に、「AWS Managed Microsoft AD を作成するための前提条件」で定義されている前提条件を満たしていることを確認します。

Managed AWS Microsoft AD を作成するには

  1. AWS Directory Service コンソールのナビゲーションペインで、[Directories] (ディレクトリ)、[Set up directory] (ディレクトリの設定) の順に選択します。

  2. [Select directory type] (ディレクトリタイプの選択) ページで [AWS Managed Microsoft AD] を選択してから、[Next] (次へ) をクリックします。

  3. [Enter directory information] (ディレクトリ情報の入力) ページに、以下の情報を指定します。

    エディション

    AWS Managed Microsoft AD の Standard Edition または Enterprise Edition から選択します。エディションの詳細については、「AWS Directory Service for Microsoft Active Directory」を参照してください。

    ディレクトリDNS名

    ディレクトリの完全修飾名 (例: corp.example.com)。

    注記

    に Amazon Route 53 を使用する予定の場合DNS、 AWS マネージド Microsoft AD のドメイン名は Route 53 のドメイン名とは異なる必要があります。DNS Route 53 と AWS Managed Microsoft AD が同じドメイン名を共有している場合、解決の問題が発生する可能性があります。

    ディレクトリのネットBIOS名

    ディレクトリの短縮名 (例: CORP)。

    [Directory description] (ディレクトリの説明)

    必要に応じて、ディレクトリの説明。この説明は、 AWS Managed Microsoft AD を作成した後に変更できます。

    管理者パスワード

    ディレクトリ管理者のパスワードです。ディレクトリの作成プロセスでは、ユーザー名 Admin とこのパスワードを使用して管理者アカウントが作成されます。 AWS Managed Microsoft AD の作成後に管理者パスワードを変更できます。

    パスワードには、「admin」という単語を含めることはできません。

    ディレクトリ管理者のパスワードは大文字と小文字が区別され、8 文字以上 64 文字以下の長さにする必要があります。また、次の 4 つのカテゴリうち 3 つから少なくとも 1 文字を含める必要があります。

    • 小文字 (a〜z)

    • 大文字 A〜Z

    • 数字 (0〜9)

    • アルファベットと数字以外の文字 (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    [Confirm password] (パスワードを確認)

    管理者のパスワードをもう一度入力します。

    (オプション) ユーザーとグループの管理

    から AWS Managed Microsoft AD のユーザーとグループの管理を有効にするには AWS Management Console、 でユーザーとグループの管理 AWS Management Consoleを選択します。ユーザーおよびグループ管理の使用方法の詳細については、「」を参照してくださいAWS Management Console または を使用して AWS Managed Microsoft AD ユーザーとグループを管理する AWS CLI

  4. VPC とサブネットの選択ページで、次の情報を指定し、次へ を選択します。

    VPC

    ディレクトリVPCの 。

    [Subnets] (サブネット)

    ドメインコントローラーのサブネットを選択します。2 つのサブネットは、異なるアベイラビリティーゾーンに存在している必要があります。

  5. [Review & create] (確認と作成) ページでディレクトリ情報を確認し、必要に応じて変更を加えます。情報が正しい場合は、[Create directory] (ディレクトリの作成) を選択します。ディレクトリの作成所要時間は 20~40 分です。作成が完了すると、[Status] (ステータス) 値が [Active] (アクティブ) に変わります。

AWS Managed Microsoft AD で作成される内容の詳細については、以下を参照してください。