Kerberos の制約付き委任 - AWS Directory Service

Kerberos の制約付き委任

Kerberos の制約付き委任は、Windows Server の機能です。この機能により、アプリケーションサービスがユーザーを代行する範囲を制限することで、サービス管理者がアプリケーションの信頼の境界を指定および適用できるようになります。これは、どのフロントエンドサービスアカウントがバックエンドサービスに委任できるかを設定するときに役立ちます。Kerberos の制約付き委任は、Active Directory ユーザーに代わって gMSA が接続するサービスを制限し、承認されていない開発者が不正使用する可能性をなくします。

たとえば、ユーザー jsmith が HR アプリケーションにログインするとします。SQL Server で jsmith のデータベース権限を適用します。ただし、デフォルトでは、SQL Server はデータベース接続を開くのに、jsmith の設定済みのアクセス権限の代わりに、サービスアカウントの認証情報を使用して hr-app-service のアクセス権限を適用します。HR 給与アプリケーションが、jsmith の認証情報を使用して SQL Server データベースにアクセスできるようにする必要があります。そのためには、AWS で AWS Managed Microsoft AD ディレクトリの hr-app-service サービスアカウントに対して Kerberos の制約付き委任を有効にします。jsmith がログオンすると、jsmith がネットワークの他のサービスにアクセスしようとしたときに Windows で自動的に使用する Kerberos チケットが Active Directory から提供されます。Kerberos の委任により、hr-app-service アカウントは jsmith の Kerberos チケットを再利用してデータベースにアクセスできるため、jsmith に固有のアクセス権限を適用してデータベース接続を開くことができます。

AWS Managed Microsoft AD のユーザーに Kerberos の制約付き委任を設定するアクセス許可を付与するには、ユーザーのアカウントを [AWS が委任した Kerberos 委任管理者] セキュリティグループのメンバーとして追加する必要があります。デフォルトでは、管理者アカウントはこのグループのメンバーです。Kerberos の制約付き委任の詳細については、Microsoft TechNet ウェブサイトの「Kerberos の制約付き委任の概要」を参照してください。

リソースベースの制約付き委任は、Windows Server 2012 で導入されました。これにより、バックエンドサービス管理者は、サービスの制約付き委任を設定できます。