管理者アカウント - AWS Directory Service

管理者アカウント

AWS Directory Service for Microsoft Active Directory ディレクトリを作成すると、AWS はすべての AWS 関連グループとアカウントを保存するための組織単位 (OU) を作成します。この OU の詳細については、「作成される対象」を参照してください。これには管理者アカウントも含まれます。管理者アカウントには、OU に対して次の一般的な管理アクティビティを実行するためのアクセス許可があります。

  • ユーザー、グループ、コンピュータを追加、更新、または削除する。詳細については、「AWS Managed Microsoft AD でユーザーとグループを管理する」を参照してください。

  • ファイルやプリントサーバーなどのドメインにリソースを追加して、追加したリソースへのアクセス許可を OU のユーザーとグループに割り当てる。

  • 追加の OU やコンテナを作成する。

  • 追加の OU とコンテナの権限を委任する。詳細については、「AWS Managed Microsoft AD のディレクトリ結合権限を委任する」を参照してください。

  • グループポリシーを作成し、リンクする。

  • 削除されたオブジェクトを Active Directory のごみ箱から元に戻す。

  • Active Directory Web Service で Active Directory と DNS Windows PowerShell モジュールを実行する。

  • グループ管理サービスアカウントを作成して設定する。詳細については、「グループ管理サービスアカウント」を参照してください。

  • Kerberos の制約付き委任を設定する。詳細については、「Kerberos の制約付き委任」を参照してください。

管理者アカウントには、ドメイン全体に関係する次のアクティビティを実行する権限もあります。

  • DNS 設定 (レコード、ゾーン、フォワーダーの追加、削除、更新) を管理する

  • DNS イベントログを参照する

  • セキュリティイベントログを参照する

ここにリストされているアクションのみが、管理者アカウントに許可されます。また、管理者アカウントには、親 OU 上など、特定の OU 以外のディレクトリ関連のアクションに対するアクセス許可はありません。

重要

AWS ドメイン管理者には AWS でホストされているすべてのドメインへの完全な管理アクセス権限があります。AWS システムに保存しているディレクトリ情報を含む内容を、AWS が処理する方法の詳細については、AWS との契約および「AWS data protection FAQ」(AWS データ保護のよくある質問) を参照してください。

注記

このアカウントを削除したり、名前を変更したりしないでください。アカウントが不要になった場合は、長いパスワード (64 個以上のランダムな文字) を設定して、アカウントを無効にすることをお勧めします。

エンタープライズおよびドメイン管理者の特権のあるアカウント

AWS は、組み込み管理者パスワードを 90 日ごとにランダムなパスワードに自動的にローテーションします。ユーザーが使用するために組み込みの管理者パスワードがリクエストされると、AWS チケットが作成され、AWS Directory Service チームによってログに記録されます。アカウントの認証情報は暗号化され、安全なチャネルで処理されます。また、管理者アカウントの認証情報をリクエストできるのは、AWS Directory Service 管理チームだけです。

ディレクトリの運用管理を実行するために、AWS では、エンタープライズ管理者およびドメイン管理者の特権を持つアカウントを排他的に管理しています。この管理には、AD 管理者アカウントの排他的な制御が含まれます。AWS は、パスワードボールトを使用してパスワード管理を自動化することで、このアカウントを保護します。管理者パスワードの自動ローテーション中に、AWS は一時的なユーザーアカウントを作成し、そのアカウントにドメイン管理者の特権を付与します。この一時アカウントは、管理者アカウントでパスワードのローテーションが失敗した場合のバックアップとして使用されます。AWS が管理者パスワードのローテーションを正常に完了したら、AWS は管理者の一時アカウントを削除します。

通常、AWS はディレクトリ全体をオートメーションによって運用します。オートメーションプロセスで運用上の問題を解決できない場合、AWS のサポートエンジニアがドメインコントローラー (DC) にサインインして診断を実行する必要がある場合があります。このような特殊なケースの場合、AWS はリクエスト/通知システムを実装してアクセス権限を付与します。このプロセスでは、AWS オートメーションによって、ドメイン管理者のアクセス許可を持つ時間制限付きのユーザーアカウントがディレクトリに作成されます。AWS は、そのユーザーアカウントを、ディレクトリで作業するように割り当てられたエンジニアに関連付けます。AWS は、この関連付けをログシステムに記録し、使用する認証情報をエンジニアに付与します。エンジニアによるアクションはすべて、Windows のイベントログに記録されます。割り当てられた時間が経過すると、ユーザーアカウントはオートメーションによって削除されます。

管理者アカウントアクションをモニタリングするには、ディレクトリのログ転送機能を使用します。この機能では、モニタリングソリューションを実装できる CloudWatch システムに AD セキュリティイベントを転送することができます。詳細については、「ログ転送の有効化」を参照してください。

誰かが DC にインタラクティブにログオンすると、セキュリティイベント ID 4624、4672、および 4648 はすべてログに記録されます。イベントビューワー Microsoft 管理コンソール (MMC) を使用すると、ドメインに結合している Windows コンピュータから各 DC の Windows セキュリティイベントログを表示できます。また、ログ転送の有効化 を行って、すべてのセキュリティイベントログをアカウントの CloudWatch Logs に送信することもできます。

AWS で予約されている OU 内で作成および削除されたユーザーが表示される場合があります。AWS は、この OU 内のすべてのオブジェクト、およびアクセスおよび管理のアクセス許可を委任していないその他の OU またはコンテナ内のすべてのオブジェクトの管理とセキュリティの責任を負います。その OU 内の作成と削除が表示される場合があります。これは、AWS Directory Service がオートメーションを使用してドメイン管理者パスワードを定期的にローテーションするためです。パスワードがローテーションされると、ローテーションが失敗した場合にバックアップが作成されます。ローテーションが成功すると、バックアップアカウントは自動的に削除されます。また、稀なケースとして、トラブルシューティングの目的で DC にインタラクティブなアクセスが必要になる場合は、AWS Directory Service エンジニアが使用するための一時的なユーザーアカウントが作成されます。エンジニアが作業を完了すると、一時的なユーザーアカウントは削除されます。ディレクトリに対してインタラクティブな認証情報がリクエストされるたびに、AWS Directory Service 管理チームに通知されます。