セキュア LDAP (LDAPS) を有効化する
LDAP (Lightweight Directory Access Protocol) は、Active Directory に対するデータの読み書きに使用される標準の通信プロトコルです。一部のアプリケーションでは、LDAP を使用して Active Directory のユーザーやグループの追加、削除、または検索を行なったり、そのユーザーを認証するための認証情報を転送したりします。すべての LDAP 通信には、クライアント (アプリケーションなど) とサーバー (Active Directory など) が含まれています。
デフォルトでは、LDAP を介した通信は暗号化されません。そのため、悪意のあるユーザーがネットワークモニタリング用のソフトウェアを使用して、送信されるデータパケットを傍受する可能性があります。この傍受を防止するために、通常、多くの企業のセキュリティポリシーでは、すべての LDAP 通信を暗号化することを組織に義務付けています。
AWS Managed Microsoft AD には、この種のデータ漏えいを最小限に抑えるためのオプションが用意されています。ユーザーは、Secure Sockets Layer (SSL)/Transport Layer Security (TLS) を介した LDAP (別名 LDAPS) を有効化することができます。LDAPS を使用するユーザーは、ネットワーク全体のセキュリティを向上させることができます。また、LDAP 対応アプリケーションと AWS Managed Microsoft AD 間のすべての通信を暗号化することで、コンプライアンス要件にも対応できます。
AWS Managed Microsoft AD では、以下の 2 つのデプロイシナリオで LDAPS を利用できます。
サーバー側 LDAPS は、商用または自社製の (LDAP クライアントとして動作する) LDAP 対応アプリケーションと、(LDAP サーバーとして動作する) AWS Managed Microsoft AD との間で、LDAP 通信を暗号化します。詳細については、「AWS Managed Microsoft AD を使用してサーバー側の LDAPS を有効にする」を参照してください。
クライアント側の LDAPS は、WorkSpaces などの (LDAP クライアントとして動作する) AWS アプリケーションと、(LDAP サーバーとして動作する) セルフマネージド Active Directory 間で、LDAP 通信を暗号化します。詳細については、「AWS Managed Microsoft AD を使用してクライアント側の LDAPS を有効にする」を参照してください。