AWS Managed Microsoft AD の開始 - AWS Directory Service
AWS Managed Microsoft AD の前提条件AWS IAM Identity Center の前提条件Multi-Factor·Authentication の前提条件AWS Managed Microsoft AD の作成

AWS Managed Microsoft AD の開始

AWS Managed Microsoft AD は、フルマネージド Microsoft Active Directory を AWS クラウド 内に作成し、Windows Server 2019 を使用して 2012 R2 のフォレストおよびドメインの機能レベルで動作します。AWS Managed Microsoft AD でディレクトリを作成すると、AWS Directory Service がユーザーに代わって 2 つのドメインコントローラーを作成し、DNS サービスを追加します。ドメインコントローラーは、1 つの Amazon VPC の異なるサブネットに作成されます。この冗長性により、障害が発生してもディレクトリに確実にアクセスできます。さらに追加のドメインコントローラーが必要になれば、後で追加できます。詳細については、「AWS Managed Microsoft AD に追加するドメインコントローラーのデプロイ」を参照してください。

トピック

AWS Managed Microsoft AD を作成するための前提条件

AWS Managed Microsoft AD の Active Directory を作成するには、Amazon VPC に関して以下の条件があります。

  • 少なくとも 2 つのサブネット。各サブネットはそれぞれ異なるアベイラビリティーゾーンにある必要があります。

  • VPC にはデフォルトのハードウェアテナンシーが必要です。

  • 198.18.0.0/15 アドレス空間のアドレスを使用する VPC 内に AWS Managed Microsoft AD を作成することはできません。

AWS Managed Microsoft AD ドメインを既存のオンプレミスの Active Directory ドメインと統合する必要がある場合は、オンプレミスの Active Directory ドメインのフォレストおよびドメインの機能レベルを Windows Server 2003 以降に設定する必要があります。

AWS Directory Service は、2 つの VPC 構造を使用します。ディレクトリを構成する EC2 インスタンスは、AWS アカウントの外部で実行され、AWS によって管理されます。これらには、2 つのネットワークアダプタ (ETH0 および ETH1) があります。ETH0 は管理アダプタで、アカウント外部に存在します。ETH1 はアカウント内で作成されます。

ディレクトリの ETH0 ネットワークの管理 IP 範囲は 198.18.0.0/15 です。

AWS 環境と AWS Managed Microsoft AD を作成する方法のチュートリアルについては、「AWS Managed Microsoft AD のテストラボのチュートリアル」を参照してください。

AWS IAM Identity Center の前提条件

IAM Identity Center を AWS Managed Microsoft AD で使用する場合は、次の条件が満たされていることを確認する必要があります。

  • AWS Managed Microsoft AD ディレクトリが AWS 組織の管理アカウントにセットアップされている。

  • IAM Identity Center のインスタンスが AWS Managed Microsoft AD ディレクトリがセットアップされているリージョンにある。

詳細については、AWS IAM Identity Center ユーザーガイドの「IAM Identity Center prerequisites」を参照してください。

Multi-Factor·Authentication の前提条件

AWS Managed Microsoft AD ディレクトリで Multi-Factor·Authentication をサポートするためには、AWS の AWS Managed Microsoft AD ディレクトリからリクエストを受け付けられるように、次の方法でオンプレミスまたはクラウドベースの Remote Authentication Dial-In User Service (RADIUS) サーバーを設定する必要があります。

  1. RADIUS サーバーで、 AWS の AWS Managed Microsoft AD ドメインコントローラー (DC) の両方を表す 2 つの RADIUS クライアントを作成します。次の一般的なパラメータ (RADIUS サーバーが異なる場合があります) を使用して両方のクライアントを設定する必要があります。

    • アドレス (DNS または IP): これは AWS Managed Microsoft AD DC の 1 つの DNS アドレスです。DNS アドレスはいずれも、MFA を使用しようとしている AWS Managed Microsoft AD ディレクトリの [Details] (詳細) ページの AWS Directory Service Console にあります。表示される DNS アドレスは、AWS によって使用されるの両方の AWS Managed Microsoft AD DC の IP アドレスを表しています。

      注記

      RADIUS サーバーが DNS アドレスをサポートしている場合は、RADIUS クライアント設定を 1 つだけ作成する必要があります。あるいは、各 AWS Managed Microsoft AD DC に 1 つの RADIUS クライアント設定を作成する必要があります。

    • ポート番号: RADIUS サーバーが RADIUS クライアント接続を受け付けるポート番号を設定します。標準の RADIUS ポートは 1812 です。

    • 共有シークレット: RADIUS サーバーの RADIUS クライアントとの接続に使用される共有シークレットを入力または生成します。

    • プロトコル: AWS Managed Microsoft AD DC と RADIUS サーバー間に認証プロトコルを設定する必要がある場合があります。サポートされているプロトコルは、PAP、CHAP MS-CHAPv1、および MS-CHAPv2 です。非常に強力な 3 つのオプションのセキュリティを用意している MS-CHAPv2 を推奨します。

    • アプリケーション名: これは一部の RADIUS サーバーでは必須ではなく、通常はメッセージまたはレポートでアプリケーションを識別します。

  2. 既存のネットワークを設定して、RADIUS クライアント (AWS Managed Microsoft AD DC DNS アドレス、ステップ 1 を参照してください) から RADIUS サーバーポートへのインバウンドトラフィックを許可します。

  3. RADIUS サーバーの DNS アドレスと以前に定義したポート番号からのインバウンドトラフィックを許可する AWS Managed Microsoft AD ドメインの Amazon EC2 セキュリティグループにルールを追加します。詳細については、「EC2 ユーザーガイド」の「セキュリティグループへのルールの追加」を参照してください。

MFA で AWS Managed Microsoft AD を使用する場合の詳細については、「AWS Managed Microsoft AD の多要素認証を有効にする」を参照してください。

AWS Managed Microsoft AD の作成

新しい AWS Managed Microsoft AD Active Directory を作成するには、次の手順を実行します。この手順を開始する前に、「AWS Managed Microsoft AD を作成するための前提条件」で定義されている前提条件を満たしていることを確認します。

AWS Managed Microsoft AD を作成するには

  1. AWS Directory Service コンソールのナビゲーションペインで、[Directories] (ディレクトリ)、[Set up directory] (ディレクトリの設定) の順に選択します。

  2. [Select directory type] (ディレクトリタイプの選択) ページで [AWS Managed Microsoft AD] を選択してから、[Next] (次へ) をクリックします。

  3. [Enter directory information] (ディレクトリ情報の入力) ページに、以下の情報を指定します。

    エディション

    AWS Managed Microsoft AD の [Standard Edition] (スタンダードエディション) または [Enterprise Edition] (エンタープライズエディション) を選択します。エディションの詳細については、「AWS Directory Service for Microsoft Active Directory」を参照してください。

    [Directory DNS name] (ディレクトリの DNS 名)

    ディレクトリの完全修飾名 (例: corp.example.com)。

    注記

    DNS に Amazon Route 53 を使用する予定の場合、AWS Managed Microsoft AD のドメイン名は Route 53 ドメイン名とは異なる必要があります。Route 53 と AWS Managed Microsoft AD が同じドメイン名を共有している場合、DNS 解決の問題が発生する可能性があります。

    [Directory NetBIOS name] (ディレクトリの NetBIOS 名)

    ディレクトリの短縮名 (例: CORP)。

    [Directory description] (ディレクトリの説明)

    必要に応じて、ディレクトリの説明。この説明は、AWS Managed Microsoft AD を作成後に変更できます。

    管理者パスワード

    ディレクトリ管理者のパスワードです。ディレクトリの作成プロセスでは、ユーザー名 Admin とこのパスワードを使用して管理者アカウントが作成されます。AWS Managed Microsoft AD の作成後に管理者パスワードを変更できます。

    パスワードには、「admin」という単語を含めることはできません。

    ディレクトリ管理者のパスワードは大文字と小文字が区別され、8 文字以上 64 文字以下の長さにする必要があります。また、次の 4 つのカテゴリうち 3 つから少なくとも 1 文字を含める必要があります。

    • 小文字 (a〜z)

    • 大文字 A〜Z

    • 数字 (0〜9)

    • アルファベットと数字以外の文字 (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    [Confirm password] (パスワードを確認)

    管理者のパスワードをもう一度入力します。

    (オプション) ユーザーとグループの管理

    AWS Management Console から AWS Managed Microsoft AD ユーザーとグループの管理を有効にするには、[AWS Management Console でユーザーとグループの管理] を選択します。ユーザーおよびグループ管理の使用方法の詳細については、「AWS Managed Microsoft AD で AWS Management Console または AWS CLI でユーザーとグループを管理する」を参照してください。

  4. [Choose VPC and subnets] (VPC とサブネットの選択) ページで、次の情報を指定して [Next] (次へ) をクリックします。

    [VPC]

    ディレクトリ用の VPC。

    [Subnets] (サブネット)

    ドメインコントローラーのサブネットを選択します。2 つのサブネットは、異なるアベイラビリティーゾーンに存在している必要があります。

  5. [Review & create] (確認と作成) ページでディレクトリ情報を確認し、必要に応じて変更を加えます。情報が正しい場合は、[Create directory] (ディレクトリの作成) を選択します。ディレクトリの作成所要時間は 20~40 分です。作成が完了すると、[Status] (ステータス) 値が [Active] (アクティブ) に変わります。

AWS Managed Microsoft AD で作成される内容の詳細については、以下を参照してください: