AWS Managed Microsoft AD の前提条件 - AWS Directory Service

AWS Managed Microsoft AD の前提条件

AWS Managed Microsoft AD ディレクトリを作成するには、VPC に関する以下の条件があります。

  • 少なくとも 2 つのサブネット。各サブネットはそれぞれ異なるアベイラビリティーゾーンにある必要があります。

  • VPC にはデフォルトのハードウェアテナンシーが必要です。

  • 198.18.0.0/15 アドレス空間のアドレスを使用して、VPC 内に AWS Managed Microsoft AD を作成することはできません。

  • AWS Directory Service は、Active Directory を使用したネットワークアドレス変換 (NAT) の使用はサポートしていません。NAT を使用するとレプリケーションエラーが発生する可能性があります。

AWS Managed Microsoft AD ドメインを既存のオンプレミスの Active Directory ドメインと統合する必要がある場合は、オンプレミスドメインのフォレストおよびドメインの機能レベルを Windows Server 2003 以降に設定する必要があります。

AWS Directory Service uses a two VPC structure. The EC2 instances which make up your directory run outside of your AWS account, and are managed by AWS. They have two network adapters, ETH0 and ETH1. ETH0 is the management adapter, and exists outside of your account. ETH1 is created within your account.

ディレクトリの ETH0 ネットワークの管理 IP 範囲は 198.18.0.0/15 です。

AWS シングルサインオン の前提条件

AWS シングルサインオン (AWS SSO) を AWS Managed Microsoft AD で使用する場合は、次の条件が満たされていることを確認する必要があります。

  • AWS Managed Microsoft AD ディレクトリが AWS 組織のマスターアカウントに設定されている。

  • AWS SSO のインスタンスが AWS Managed Microsoft AD ディレクトリの設定先と同じリージョンにある。

詳細については、AWS シングルサインオン ユーザーガイドの「AWS SSO の前提条件」を参照してください。

多要素認証の前提条件

AWS Managed Microsoft AD ディレクトリで多要素認証 (MFA) をサポートするためには、AWS の AWS Managed Microsoft AD ディレクトリからリクエストを受け付けられるように、次の方法でオンプレミスまたはクラウドベースの Remote Authentication Dial-In User Service (RADIUS) サーバーを設定する必要があります。

  1. RADIUS サーバーで、AWS に両方の AWS Managed Microsoft AD ドメインコントローラー (DC) を表す 2 つの RADIUS クライアントを作成します。次の一般的なパラメータ (RADIUS サーバーによって異なる場合があります) を使用して両方のクライアントを設定する必要があります。

    • アドレス (DNS または IP): これは AWS Managed Microsoft AD DC の 1 つの DNS アドレスです。DNS アドレスはいずれも、MFA を使用する予定の AWS Managed Microsoft AD ディレクトリの [詳細] ページの AWS Directory Service Console にあります。表示される DNS アドレスには、AWS によって使用される両方の AWS Managed Microsoft AD DC の IP アドレスが表示されます。

      注記

      RADIUS サーバーが DNS アドレスをサポートしている場合は、RADIUS クライアント設定を 1 つだけ作成する必要があります。そうしないと、各 AWS Managed Microsoft AD DC に 1 つの RADIUS クライアント設定を作成する必要があります。

    • ポート番号: RADIUS サーバーが RADIUS クライアント接続を受け付けるポート番号を設定します。標準の RADIUS ポートは 1812 です。

    • 共有シークレット: RADIUS サーバーによって使用される共有シークレットを入力または生成して、RADIUS クライアントに接続します。

    • プロトコル: AWS Managed Microsoft AD DC と RADIUS サーバー間に認証プロトコルを設定する必要があります。サポートされているプロトコルは、PAP、CHAP MS-CHAPv1、および MS-CHAPv2 です。非常に強力な 3 つのオプションのセキュリティを用意している MS-CHAPv2 を推奨します。

    • アプリケーション名: これは一部の RADIUS サーバーではオプションであり、通常はメッセージまたはレポートのアプリケーションを識別します。

  2. 既存のネットワークを設定して、RADIUS クライアント (AWS Managed Microsoft AD DC DNS アドレス、ステップ 1 を参照してください) から RADIUS サーバーポートへのインバウンドトラフィックを許可します。

  3. RADIUS サーバーの DNS アドレスと以前に定義したポート番号からのインバウンドトラフィックを許可する AWS Managed Microsoft AD ドメインの Amazon EC2 セキュリティグループにルールを追加します。詳細については、EC2 ユーザーガイドの「セキュリティグループへのルールの追加」を参照してください。

MFA で AWS Managed Microsoft AD を使用する場合の詳細については、「AWS Managed Microsoft AD の多要素認証を有効にするには」を参照してください。