の開始方法 AWS Managed Microsoft AD - AWS Directory Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の開始方法 AWS Managed Microsoft AD

AWS Managed Microsoft AD は、フルマネージド型の Microsoft Active Directory の AWS クラウド と は を利用しています。Windows Server 2019 および は、2012 R2 フォレストおよびドメインの機能レベルで動作します。を使用してディレクトリを作成する場合 AWS Managed Microsoft AD、 AWS Directory Service は 2 つのドメインコントローラーを作成し、ユーザーに代わってDNSサービスを追加します。ドメインコントローラーは、Amazon の異なるサブネットに作成されます。VPCこの冗長性により、障害が発生した場合でもディレクトリにアクセスし続けることができます。さらに追加のドメインコントローラーが必要になれば、後で追加できます。詳細については、「追加ドメインコントローラーのデプロイ」を参照してください。

AWS Managed Microsoft AD の前提条件

を作成するには AWS Managed Microsoft AD Active Directoryでは、次の VPC Amazon が必要です。

  • 少なくとも 2 つのサブネット。各サブネットはそれぞれ異なるアベイラビリティーゾーンにある必要があります。

  • にはデフォルトのハードウェアテナンシーVPCが必要です。

  • を作成することはできません AWS 198.18.0.0/15 アドレス空間のアドレスVPCを使用して の Managed Microsoft AD。

を統合する必要がある場合 AWS 既存のオンプレミスを持つ Managed Microsoft AD ドメイン Active Directory domain、オンプレミスドメインのフォレストとドメインの機能レベルを に設定する必要があります Windows Server 2003 以降。

AWS Directory Service は 2 つのVPC構造を使用します。ディレクトリを構成するEC2インスタンスは、 の外部で実行されます。 AWS アカウント、および は によって管理されます。 AWS。 これらには ETH0と の 2 つのネットワークアダプタがありますETH1ETH0は管理アダプタであり、 アカウント外にあります。 ETH1は アカウント内に作成されます。

ディレクトリの ETH0 ネットワークの管理 IP 範囲は 198.18.0.0/15 です。

AWS IAM Identity Center 前提条件

で IAM Identity Center を使用する予定がある場合 AWS Managed Microsoft AD では、以下が満たされていることを確認する必要があります。

  • の AWS Managed Microsoft AD ディレクトリが にセットアップされている AWS 組織の管理アカウント。

  • IAM Identity Center のインスタンスは、 と同じ リージョンにあります。 AWS Managed Microsoft AD ディレクトリがセットアップされます。

詳細については、「」のIAM「 Identity Center の前提条件」を参照してください。 AWS IAM Identity Center ユーザーガイド

Multi-Factor·Authentication の前提条件

で多要素認証をサポートするには AWS Managed Microsoft AD ディレクトリでは、オンプレミスまたはクラウドベースの Remote Authentication Dial-In User Service (RADIUS) サーバーを次の方法で設定して、 からのリクエストを受け入れることができるようにする必要があります。 AWS の Managed Microsoft AD ディレクトリ AWS.

  1. RADIUS サーバーで、 の両方を表す 2 つのRADIUSクライアントを作成します。 AWS の Managed Microsoft AD ドメインコントローラー (DCs) AWS。 次の共通パラメータを使用して両方のクライアントを設定する必要があります (RADIUSサーバーは異なる場合があります)。

    • アドレス (DNS または IP): これはDNS、 AWS Managed Microsoft AD DCs。両方のDNSアドレスは にあります。 AWS の詳細ページの Directory Service Console AWS を使用する予定の Managed Microsoft AD ディレクトリMFA。表示されるDNSアドレスは、両方の の IP アドレスを表します。 AWS DCs によって使用される Managed Microsoft AD AWS.

      注記

      RADIUS サーバーがDNSアドレスをサポートしている場合は、RADIUSクライアント設定を 1 つだけ作成する必要があります。それ以外の場合は、それぞれに 1 つのRADIUSクライアント設定を作成する必要があります。 AWS Managed Microsoft AD DC。

    • ポート番号 : RADIUSサーバーがRADIUSクライアント接続を受け入れるポート番号を設定します。標準RADIUSポートは 1812 です。

    • 共有シークレット : RADIUSサーバーがRADIUSクライアントとの接続に使用する共有シークレットを入力または生成します。

    • プロトコル : 間で認証プロトコルを設定する必要がある場合があります AWS Managed Microsoft AD DCsとRADIUSサーバー。サポートされているプロトコルは、PAP、CHAPMS-CHAPv1、MS- ですCHAPv2。MS-CHAPv2 は、3 つのオプションの中で最も強力なセキュリティを提供するため、推奨されます。

    • アプリケーション名 : これは一部のRADIUSサーバーではオプションで、通常はメッセージまたはレポートでアプリケーションを識別します。

  2. RADIUS クライアントからのインバウンドトラフィックを許可するように既存のネットワークを設定します (AWS Managed Microsoft AD DCs DNS アドレス、「ステップ 1) からRADIUSサーバーポートへ」を参照してください。

  3. の Amazon EC2 セキュリティグループにルールを追加する AWS 前に定義したRADIUSサーバーDNSアドレスとポート番号からのインバウンドトラフィックを許可する Managed Microsoft AD ドメイン。詳細については、「 ユーザーガイド」の「セキュリティグループへのルールの追加EC2」を参照してください。

の使用の詳細については、「」を参照してください。 AWS Managed Microsoft AD with についてはMFA、「」を参照してくださいAWS マネージド Microsoft AD のマルチファクタ認証を有効にする

を作成する AWS Managed Microsoft AD

新しい を作成するには AWS Managed Microsoft AD Active Directory、次の手順を実行します。この手順を開始する前に、「AWS Managed Microsoft AD の前提条件」で定義されている前提条件を満たしていることを確認します。

を作成するには AWS Managed Microsoft AD
  1. AWS Directory Service コンソールのナビゲーションペインでディレクトリを選択し、ディレクトリ のセットアップを選択します

  2. ディレクトリタイプの選択ページで、 AWS Managed Microsoft AD を選択し次へ を選択します。

  3. [Enter directory information] (ディレクトリ情報の入力) ページに、以下の情報を指定します。

    エディション

    Standard Edition または Enterprise Edition から選択します。 AWS Managed Microsoft AD。エディションの詳細については、「」を参照してください。 AWS Directory Service for Microsoft Active Directory

    ディレクトリDNS名

    ディレクトリの完全修飾名 (例: corp.example.com)。

    注記

    に Amazon Route 53 を使用する予定がある場合はDNS、 のドメイン名 AWS Managed Microsoft AD は、Route 53 ドメイン名とは異なる必要があります。DNS Route 53 と の場合、解決の問題が発生する可能性があります。 AWS Managed Microsoft AD は同じドメイン名を共有します。

    ディレクトリのネットBIOS名

    ディレクトリの短縮名 (例: CORP)。

    [Directory description] (ディレクトリの説明)

    必要に応じて、ディレクトリの説明。

    管理者パスワード

    ディレクトリ管理者のパスワードです。ディレクトリの作成プロセスでは、ユーザー名 Admin とこのパスワードを使用して管理者アカウントが作成されます。

    パスワードには、「admin」という単語を含めることはできません。

    ディレクトリ管理者のパスワードは大文字と小文字が区別され、8 文字以上 64 文字以下の長さにする必要があります。また、次の 4 つのカテゴリうち 3 つから少なくとも 1 文字を含める必要があります。

    • 小文字 (a〜z)

    • 大文字 A〜Z

    • 数字 (0〜9)

    • アルファベットと数字以外の文字 (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    [Confirm password] (パスワードを確認)

    管理者のパスワードをもう一度入力します。

    (オプション) ユーザーとグループの管理

    を有効にするには AWS からの Managed Microsoft AD ユーザーおよびグループ管理 AWS Management Consoleで、「ユーザーとグループの管理」を選択します。 AWS Management Console。 ユーザーおよびグループ管理の使用方法の詳細については、「」を参照してくださいを使用してユーザーとグループを管理する AWS Management Console

  4. VPCとサブネットの選択」ページで、次の情報を入力し、「次へ」を選択します。

    VPC

    ディレクトリVPCの 。

    [Subnets] (サブネット)

    ドメインコントローラーのサブネットを選択します。2 つのサブネットは、異なるアベイラビリティーゾーンに存在している必要があります。

  5. [Review & create] (確認と作成) ページでディレクトリ情報を確認し、必要に応じて変更を加えます。情報が正しい場合は、[Create directory] (ディレクトリの作成) を選択します。ディレクトリの作成所要時間は 20~40 分です。作成が完了すると、[Status] (ステータス) 値が [Active] (アクティブ) に変わります。

で作成されるもの AWS Managed Microsoft AD

を作成する場合 Active Directory with AWS Managed Microsoft AD、 AWS Directory Service は、ユーザーに代わって次のタスクを実行します。

  • Elastic Network Interface (ENI) を自動的に作成し、各ドメインコントローラーに関連付けます。これらはそれぞれENIs、 VPCと 間の接続に不可欠です。 AWS Directory Service ドメインコントローラーと は削除しないでください。で使用するために予約されているすべてのネットワークインターフェイスを識別できます。 AWS Directory Service 説明:「AWS がディレクトリ directory-id のネットワークインターフェイスを作成しました。詳細については、「Amazon ユーザーガイド」の「Elastic Network Interfaces」を参照してください。 EC2 のデフォルトDNSサーバー AWS Managed Microsoft AD Active Directory は、Classless Inter-Domain Routing (CIDR)+2 のVPCDNSサーバーです。詳細については、「Amazon ユーザーガイド」の「Amazon DNSサーバー」を参照してください。 VPC

    注記

    ドメインコントローラーは、デフォルトでリージョン内の 2 つのアベイラビリティーゾーンにデプロイされ、Amazon VPC () に接続されますVPC。バックアップは 1 日に 1 回自動的に取得され、Amazon EBS (EBS) ボリュームは保管中のデータを保護するために暗号化されます。障害が発生したドメインコントローラーは、同じ IP アドレスを使用して同じアベイラビリティーゾーン内で自動的に置き換えられ、最新のバックアップを使用して完全な災害対策を実行できます。

  • プロビジョニング Active Directory 耐障害性と高可用性のために 2 つのドメインコントローラーVPCを使用する 内の 。ディレクトリが正常に作成されて Active になった後で、回復性とパフォーマンスを高めるためにドメインコントローラーを追加でプロビジョニングできます。詳細については、「追加ドメインコントローラーのデプロイ」を参照してください。

    注記

    AWS では、 にモニタリングエージェントをインストールすることはできません。 AWS Managed Microsoft AD ドメインコントローラー。

  • を作成します。 AWS ドメインコントローラーに出入りするトラフィックのネットワークルールを確立する セキュリティグループ。デフォルトのアウトバウンドルールは、作成された にアタッチされたすべてのトラフィックENIsまたはインスタンスを許可します。 AWS セキュリティグループ。デフォルトのインバウンドルールでは、 で必要なポート経由のトラフィックのみが許可されます。Active Directory 任意のソース (0.0.0.0/0) から。0.0.0.0/0 ルールでは、ドメインコントローラーへのトラフィックは、Amazon からのトラフィックVPC、他のピアリングされた からのトラフィック、または を使用して接続したネットワークからのトラフィックに制限されるためVPCs、セキュリティの脆弱性は発生しません。 AWS Direct Connect, AWS トランジットゲートウェイ、または仮想プライベートネットワーク。セキュリティを強化するために、ENIs作成された には Elastic がアIPsタッチされておらず、それらの に Elastic IP をアタッチするアクセス許可もありませんENIs。したがって、 と通信できる唯一のインバウンドトラフィック AWS Managed Microsoft AD はローカルVPCでルーティングVPCされたトラフィックです。これらのルールを変更すると、ドメインコントローラーと通信できなくなる可能性があるため、変更する場合は細心の注意を払ってください。詳細については、「AWS Managed Microsoft AD のベストプラクティス」を参照してください。以下のようになります AWS セキュリティグループのルールはデフォルトで作成されます。

    インバウンドルール

    プロトコル ポート範囲 ソース トラフィックの種類 Active Directory の使用
    ICMP 該当なし 0.0.0.0/0 Ping LDAP キープアライブ、 DFS
    TCP & UDP 53 0.0.0.0/0 DNS ユーザーとコンピュータの認証、名前解決、信頼
    TCP & UDP 88 0.0.0.0/0 Kerberos ユーザーとコンピュータの認証、フォレストレベルの信頼
    TCP & UDP 389 0.0.0.0/0 LDAP ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
    TCP & UDP 445 0.0.0.0/0 SMB / CIFS レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
    TCP & UDP 464 0.0.0.0/0 Kerberos パスワードの変更 / 設定 レプリケーション、ユーザーとコンピュータの認証、信頼
    TCP 135 0.0.0.0/0 レプリケーション RPC, EPM
    TCP 636 0.0.0.0/0 LDAP SSL ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
    TCP 1024-65535 0.0.0.0/0 RPC レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
    TCP 3268 - 3269 0.0.0.0/0 LDAP GC と LDAP GC SSL ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
    UDP 123 0.0.0.0/0 Windows タイム Windows タイム、信頼
    UDP 138 0.0.0.0/0 DFSN & NetLogon DFS、グループポリシー
    すべて すべて sg-################## すべてのトラフィック

    アウトバウンドルール

    プロトコル ポート範囲 送信先 トラフィックの種類 Active Directory の使用
    すべて すべて sg-################## すべてのトラフィック
  • ドメインルートの下に次の 3 つの組織単位 (OUs) を作成します。

    OU 名 説明

    AWS 委任グループ

    委任に使用できるすべてのグループを保存します。 AWS ユーザーへの特定のアクセス許可。
    AWS リザーブド すべての を保存します。 AWS 管理固有のアカウント。
    <yourdomainname> この OU の名前は、ディレクトリの作成時に入力した NetBIOS 名に基づいています。NetBIOS 名を指定しなかった場合、ディレクトリDNS名の最初の部分がデフォルトになります (例えば、corp.example.com の場合、NetBIOS 名は corp になります)。この OU は によって所有されています AWS と には、すべての が含まれます。 AWS関連ディレクトリオブジェクト。フルコントロールが付与されます。デフォルトでは、この OU の下にコンピュータとユーザーという 2 つの子OUsがあります。例:
    • Corp

      • Computers

      • Users

  • で次のグループを作成します。 AWS 委任グループ OU:

    グループ名 説明
    AWS 委任アカウントオペレーター このセキュリティグループのメンバーには、パスワードのリセットなどの限定されたアカウント管理機能が付与されています。

    AWS 委任された Active Directory ベースのアクティベーション管理者

    このセキュリティグループのメンバーは、Active Directory ボリュームライセンスアクティベーションオブジェクト。これにより、企業はドメインへの接続を通じてコンピュータをアクティブ化できます。

    AWS がドメインユーザーにワークステーションを追加を委任 このセキュリティグループのメンバーは、10 台のコンピュータをドメインに参加させることができます。
    AWS 委任された管理者 このセキュリティグループのメンバーは を管理できます AWS Managed Microsoft AD は、OU 内のすべてのオブジェクトを完全に制御し、 に含まれるグループを管理できます。 AWS 委任グループ OU。
    AWS オブジェクトの認証が許可されている委任 このセキュリティグループのメンバーには、 のコンピュータリソースに対して認証する機能が提供されます。 AWS 予約済み OU (選択認証が有効な信頼を持つオンプレミスオブジェクトにのみ必要)。
    AWS ドメインコントローラーへの認証が許可されている委任 このセキュリティグループのメンバーは、ドメインコントローラー OU 内のコンピュータリソースに対する認証を許可されます (信頼に選択的な認証を適用できるオンプレミスオブジェクトにのみ必要)。

    AWS が委任した削除済みオブジェクトのライフタイム管理者

    このセキュリティグループのメンバーは、削除されたオブジェクトが AD ごみ箱から復旧できる期間を定義する msDS -DeletedObjectLifetime オブジェクトを変更できます。

    AWS 委任分散ファイルシステム管理者 このセキュリティグループのメンバーはFRS、、DFS-R、およびDFS名前空間を追加および削除できます。
    AWS 委任されたドメイン名システム管理者 このセキュリティグループのメンバーは、Active Directory 統合 を管理できますDNS。
    AWS 委任された動的ホスト設定プロトコル管理者 このセキュリティグループのメンバーは、Windows DHCP エンタープライズ内の サーバー。
    AWS 委任されたエンタープライズ認証機関管理者 このセキュリティグループのメンバーは、 をデプロイおよび管理できます。Microsoft Enterprise Certificate Authority インフラストラクチャ。
    AWS 委任されたきめ細かなパスワードポリシー管理者 このセキュリティグループのメンバーは、作成済みの詳細なパスワードポリシーを変更できます。
    AWS 委任されたFSx管理者 このセキュリティグループのメンバーには、Amazon FSxリソースを管理する機能が提供されます。
    AWS が委任したグループポリシー管理者 このセキュリティグループのメンバーは、グループポリシー管理タスク (作成、編集、削除、リンク) を実行できます。
    AWS 委任された Kerberos 委任管理者 このセキュリティグループのメンバーは、コンピュータおよびユーザーアカウントオブジェクトに対する委任を有効にすることができます
    AWS が委任した Managed Service アカウント管理者 このセキュリティグループのメンバーは、マネージド型サービスアカウントを作成および削除できます。
    AWS 委任された MS -NPRC 非準拠デバイス このセキュリティグループのメンバーは、ドメインコントローラーとの安全なチャネル通信を行う必要はありません。このグループはコンピュータアカウント用です。
    AWS 委任されたリモートアクセスサービス管理者 このセキュリティグループのメンバーは、 および RASサーバーグループからIASサーバーを追加RASおよび削除できます。
    AWS 委任されたレプリケートディレクトリの変更管理者 このセキュリティグループのメンバーは、Active Directory のプロファイル情報を SharePoint サーバーと同期できます。
    AWS 委任サーバー管理者 このセキュリティグループのメンバーは、すべてのドメイン参加済みコンピュータのローカル管理者グループに含まれます。
    AWS が委任したサイトとサービス管理者 このセキュリティグループのメンバーは、Active Directory のサイトとサービスで Default-First-Site-Name オブジェクトの名前を変更できます。
    AWS 委任されたシステム管理者 このセキュリティグループのメンバーは、システムマネジメントコンテナ内のオブジェクトを作成および管理できます。
    AWS 委任されたターミナルサーバーライセンス管理者 このセキュリティグループのメンバーは、ターミナルサーバーライセンスサーバーグループに属するターミナルサーバーライセンスサーバーを追加および削除できます。
    AWS 委任されたユーザープリンシパル名のサフィックス管理者 このセキュリティグループのメンバーは、ユーザープリンシパル名のサフィックスを追加および削除できます。
  • 次のグループポリシーオブジェクト (GPOs) を作成して適用します。

    注記

    これらの を削除、変更、またはリンク解除するアクセス許可がありませんGPOs。これは 用に予約されているため、設計上です。 AWS を使用します。必要に応じて、管理OUsしている にリンクできます。

    グループポリシー名 適用対象 説明
    デフォルトのドメインポリシー ドメイン ドメインパスワードと Kerberos ポリシーが含まれます。
    ServerAdmins ドメインコントローラー以外のすべてのコンピュータアカウント 「」を追加します。AWS \Administrators Group のメンバーとしてサーバーBUILTIN管理者を委任しました。
    AWS 予約ポリシー:ユーザー AWS 予約済みユーザーアカウント 内のすべてのユーザーアカウントに推奨されるセキュリティ設定を設定します。 AWS 予約済み OU。
    AWS マネージド Active Directory ポリシー すべてのドメインコントローラー すべてのドメインコントローラーに対して推奨されるセキュリティ設定を設定します。
    TimePolicyNT5DS すべての非PDCeドメインコントローラー Windows Time () を使用するようにPDCe、ドメインコントローラー以外のすべての時間ポリシーを設定しますNT5DS。
    TimePolicyPDC PDCe ドメインコントローラー Network Time Protocol () を使用するようにPDCeドメインコントローラーの時間ポリシーを設定しますNTP。
    ドメインコントローラーのデフォルトポリシー 使用されていない ドメインの作成時にプロビジョニングされます。 AWS マネージド Active Directory ポリシーがその代わりに使用されます。

    各 の設定を表示する場合はGPO、グループポリシー管理コンソール (GPMC) を有効にして、ドメインに参加している Windows インスタンスから表示できます。

  • の次のデフォルトローカルアカウントを作成します。 AWS Managed Microsoft AD 管理:

    重要

    管理者パスワードは必ず保存してください。 AWS Directory Service はこのパスワードを保存せず、取得できません。ただし、 からパスワードをリセットすることはできます。 AWS Directory Service コンソールを使用するか、 ResetUserPassword を使用しますAPI。

    管理

    管理者は、 AWS Managed Microsoft AD が最初に作成されます。を作成するときに、このアカウントのパスワードを指定します。 AWS Managed Microsoft AD。このアカウントは、Users OU (例えば、Corp > Users) の下にあります。このアカウントを使用して を管理します。Active Directory の AWS。 詳細については、「」を参照してください管理者アカウントのアクセス許可

    AWS_11111111111

    で始まる任意のアカウント名 AWS の後にアンダースコアが続き、 AWS リザーブド OU はサービスマネージドアカウントです。このサービスマネージドアカウントは、 によって使用されます。 AWS を操作 Active Directory。 これらのアカウントは、 AWS Directory Service データは有効になっており、新しい ごとに有効になります。 AWS アプリケーションは で承認されます Active Directory。 これらのアカウントには、 のみがアクセスできます。 AWS サービス。

管理者アカウントおよび によって作成された他のアカウントの詳細については、「」を参照してください。Active Directory、「」を参照してください。 Microsoft ドキュメント

管理者アカウントのアクセス許可

を作成する場合 AWS Directory Service for Microsoft Active Directory ディレクトリ、 AWS は、すべての を保存する組織単位 (OU) を作成します。 AWS 関連するグループとアカウント。この OU の詳細については、「で作成されるもの AWS Managed Microsoft AD」を参照してください。これには管理者アカウントも含まれます。管理者アカウントには、OU に対して次の一般的な管理アクティビティを実行するためのアクセス許可があります。

  • ユーザー、グループ、コンピュータを追加、更新、または削除する。詳細については、「でユーザーとグループを管理する AWS Managed Microsoft AD」を参照してください。

  • ファイルやプリントサーバーなどのドメインにリソースを追加して、追加したリソースへのアクセス許可を OU のユーザーとグループに割り当てる。

  • 追加の コンテナOUsと コンテナを作成します。

  • 追加の コンテナOUsと コンテナの権限を委任します。詳細については、「のディレクトリ結合権限を委任する AWS Managed Microsoft AD」を参照してください。

  • グループポリシーを作成し、リンクする。

  • 削除されたオブジェクトを から復元する Active Directory ごみ箱。

  • Active Directory と を実行する DNS Windows PowerShell の モジュール Active Directory Web Service.

  • グループ管理サービスアカウントを作成して設定する。詳細については、「グループ管理サービスアカウント」を参照してください。

  • Kerberos の制約付き委任を設定する。詳細については、「Kerberos の制約付き委任」を参照してください。

管理者アカウントには、ドメイン全体に関する以下のアクティビティを実行する権限もあります。

  • DNS 設定の管理 (レコード、ゾーン、フォワーダーの追加、削除、更新)

  • DNS イベントログの表示

  • セキュリティイベントログを参照する

ここにリストされているアクションのみが、管理者アカウントに許可されます。また、管理者アカウントには、親 OU 上など、特定の OU 以外のディレクトリ関連のアクションに対するアクセス許可はありません。

重要

AWS ドメイン管理者は、 でホストされているすべてのドメインへの完全な管理アクセス権を持ちます。 AWS。 との契約を確認する AWS と AWS FAQ のデータ保護方法の詳細 AWS は、 に保存されているディレクトリ情報を含むコンテンツを処理します。 AWS システム。

注記

このアカウントを削除したり、名前を変更したりしないでください。アカウントが不要になった場合は、長いパスワード (64 個以上のランダムな文字) を設定して、アカウントを無効にすることをお勧めします。

エンタープライズおよびドメイン管理者の特権のあるアカウント

AWS は、組み込みの管理者パスワードを 90 日ごとに自動的にランダムなパスワードにローテーションします。組み込みの管理者パスワードが人間が使用するためにリクエストされるたびに AWS チケットが作成され、 でログに記録されます。 AWS Directory Service チーム。アカウントの認証情報は暗号化され、安全なチャネルで処理されます。また、管理者アカウントの認証情報は、 によってのみリクエストできます。 AWS Directory Service 管理チーム。

ディレクトリの運用管理を実行するには、 AWS は、エンタープライズ管理者およびドメイン管理者権限を持つアカウントを排他的に制御できます。これには、Active Directory 管理者アカウントの排他的制御が含まれます。 AWS は、パスワードボールトを使用してパスワード管理を自動化することで、このアカウントを保護します。管理者パスワードの自動ローテーション中、 AWS は一時的なユーザーアカウントを作成し、ドメイン管理者権限を付与します。この一時アカウントは、管理者アカウントでパスワードのローテーションが失敗した場合のバックアップとして使用されます。後 AWS は管理者パスワードを正常にローテーションします。 AWS は一時管理者アカウントを削除します。

通常 AWS は、自動化によってディレクトリを完全に操作します。自動化プロセスが運用上の問題を解決できない場合は、 AWS 診断を実行するには、サポートエンジニアにドメインコントローラー (DC) にサインインさせる必要がある場合があります。このようなまれに、 AWS は、アクセスを許可するためのリクエスト/通知システムを実装します。このプロセスでは、 AWS オートメーションは、ドメイン管理者のアクセス許可を持つ時間制限付きユーザーアカウントをディレクトリに作成します。 AWS は、ユーザーアカウントを、ディレクトリでの作業に割り当てられたエンジニアに関連付けます。 AWS は、この関連付けをログシステムに記録し、使用する認証情報をエンジニアに提供します。エンジニアによるアクションはすべて、Windows のイベントログに記録されます。割り当てられた時間が経過すると、ユーザーアカウントはオートメーションによって削除されます。

管理者アカウントアクションをモニタリングするには、ディレクトリのログ転送機能を使用します。この機能により、AD セキュリティイベントを CloudWatch システムに転送し、モニタリングソリューションを実装できます。詳細については、「AWS Managed Microsoft AD の Amazon CloudWatch Logs ログ転送を有効にする」を参照してください。

セキュリティイベント IDs 4624、4672、4648 はすべて、誰かが DC にインタラクティブにログインしたときにログに記録されます。各 DC の Windows セキュリティイベントログは、ドメインに参加している Windows コンピュータのイベントビューワー Microsoft マネジメントコンソール (MMC) を使用して表示できます。またAWS Managed Microsoft AD の Amazon CloudWatch Logs ログ転送を有効にする、すべてのセキュリティイベントログをアカウントの CloudWatch ログに送信することもできます。

内で作成および削除されたユーザーが表示されることがあります。 AWS 予約済み OU。 AWS は、この OU 内のすべてのオブジェクト、およびお客様がアクセスおよび管理するためのアクセス許可を委任していないその他の OU またはコンテナの管理とセキュリティに責任を負います。その OU 内の作成と削除が表示される場合があります。これは、 AWS Directory Service は自動化を使用してドメイン管理者のパスワードを定期的に更新します。パスワードがローテーションされると、ローテーションが失敗した場合にバックアップが作成されます。ローテーションが成功すると、バックアップアカウントは自動的に削除されます。また、まれに、トラブルシューティングDCsの目的で でインタラクティブアクセスが必要な場合、 の一時的なユーザーアカウントが作成されます。 AWS Directory Service 使用する エンジニア。エンジニアが作業を完了すると、一時的なユーザーアカウントは削除されます。ディレクトリに対してインタラクティブ認証情報がリクエストされるたびに、 AWS Directory Service 管理チームに通知されます。