管理者アカウント - AWS Directory Service

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

管理者アカウント

AWS Directory Service for Microsoft Active Directory ディレクトリを作成すると、AWS はすべての AWS 関連グループとアカウントを保存するための組織単位 (OU) を作成します。この OU の詳細については、「」を参照してください。作成されるもの. これには管理者アカウントも含まれます。管理者アカウントには、OU に対して次の一般的な管理アクティビティを実行するためのアクセス許可があります。

  • ユーザー、グループ、コンピュータを追加、更新、または削除します。詳細については、「」を参照してください。でユーザーとグループを管理するAWS Managed Microsoft AD.

  • ファイルやプリントサーバーなどのドメインにリソースを追加して、追加したリソースへのアクセス許可を OU のユーザーとグループに割り当てる.

  • 追加の OUs とコンテナを作成します。

  • 追加の OUs とコンテナの権限を委任する。詳細については、「」を参照してください。のディレクトリ結合権限を委任するAWS Managed Microsoft AD.

  • グループポリシーを作成し、リンクする.

  • 削除されたオブジェクトを Active Directory のごみ箱から元に戻す.

  • Active Directory Web Service で Active Directory と DNS Windows PowerShell モジュールを実行します。

  • グループマネージド型サービスアカウントを作成して設定する。詳細については、「」を参照してください。グループ管理サービスアカウント.

  • Kerberos の制約付き委任を設定する。詳細については、「」を参照してください。Kerberos の制約付き委任.

管理者アカウントには、ドメイン全体に関係するアクティビティを実行する権限もあります。

  • DNS 設定 (レコード、ゾーン、およびフォワーダーの追加、削除、更新) を管理する

  • DNS イベントログを参照する

  • セキュリティイベントログを参照する

ここにリストされているアクションのみが、管理者アカウントに許可されます。また、管理アカウントには、親 OU 上など、特定の OU 以外のディレクトリ関連のアクションに対する権限はありません。

重要

AWS ドメイン管理者には AWS でホストされているすべてのドメインへの完全な管理アクセス権があります。システムに保存している、ディレクトリ情報を含む、AWS のコンテンツの処理方法の詳細については、 との契約および AWS データ保護よくある質問 を参照してください。AWSAWS

注記

このアカウントを削除したり、名前を変更したりしないでください。アカウントが不要になった場合は、長いパスワード (128 個以上のランダムな文字) を設定して、アカウントを無効にすることをお勧めします。

エンタープライズ管理者およびドメイン管理者特権アカウント

ディレクトリの運用管理を実行するために、AWS では、エンタープライズ管理者およびドメイン管理者の特権を持つアカウントを排他的に管理しています。この管理には、AD 管理者アカウントの排他的な制御が含まれます。AWS は、パスワードのボールトを使用してパスワード管理を自動化することで、このアカウントを保護しています。管理者パスワードの自動ローテーション中に、AWS は一時的なユーザーアカウントを作成し、そのアカウントにドメイン管理者の権限を付与します。この一時アカウントは、管理者アカウントでパスワードのローテーションが失敗した場合のバックアップとして使用されます。管理者パスワードのローテーションが完了したら、管理者の一時アカウントは AWS によって削除されます。

通常、AWS は自動化によってディレクトリを全体的に操作します。自動化プロセスで運用上の問題を解決できない場合、AWS は、ドメインコントローラーにサインインして診断を実行するようサポートエンジニアに依頼する必要があります。そのような特殊な環境の場合、AWS はリクエスト/通知システムを実装してアクセスを付与します。このプロセスでは、AWS オートメーションによって、ドメイン管理者のアクセス許可を持つ時間制限付きのユーザーアカウントがディレクトリに作成されます。AWS は、そのユーザーアカウントを、お客様のディレクトリで作業するように割り当てられているエンジニアと関連付けます。AWS はこの関連付けを当社のログシステムに記録し、使用する認証情報をエンジニアに提供します。エンジニアによるアクションはすべて、Windows のイベントログに記録されます。割り当てられた時間が経過すると、ユーザーアカウントはオートメーションによって削除されます。

管理者アカウントアクションをモニタリングするには、ディレクトリのログ転送機能を使用します。この機能により、AD セキュリティイベントを CloudWatch システムに転送して、モニタリングソリューションを実装できます。詳細については、「」を参照してください。ログ転送の有効化.