AWS Managed Microsoft AD を使用したクライアント側の LDAPS の有効化

AWS Managed Microsoft AD でのクライアント側の Lightweight Directory Access Protocol Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS) サポートは、セルフマネージド (オンプレミス) Microsoft Active Directory (AD) と AWS アプリケーション間の通信を暗号化します。このようなアプリケーションの例には、WorkSpaces、 AWS IAM Identity Center Amazon QuickSight、Amazon Chime などがあります。この暗号化により、組織の ID データの保護を強化し、セキュリティ要件を満たすことができます。

前提条件

クライアント側 LDAPS を有効にする前に、次の要件を満たす必要があります。

AWS Managed Microsoft AD とセルフマネージド の間に信頼関係を作成する Microsoft Active Directory

まず、 AWS Managed Microsoft AD とセルフマネージド との間に信頼関係を確立MicrosoftActive Directoryして、クライアント側の LDAPS を有効にする必要があります。詳細については、「AWS Managed Microsoft AD とセルフマネージド AD の間に信頼関係を作成する」を参照してください。

Active Directory にサーバー証明書をデプロイする

クライアント側の LDAPS を有効にするには、Active Directory 内のドメインコントローラーごとに、サーバー証明書を取得しインストールする必要があります。これらの証明書は、LDAP サービスが LDAP クライアントからの SSL 接続をリッスンして自動的に承認するために使用されます。SSL 証明書は、社内の Active Directory 証明書サービス (ADCS) のデプロイから発行されたもの、または商用発行者から購入したものを使用できます。Active Directory サーバー証明書の要件の詳細については、Microsoft のウェブサイト「LDAP over SSL (LDAPS) Certificate」(LDAP over SSL (LDAPS) 証明書) を参照してください。

認証機関の証明書要件

クライアント側 LDAPS のオペレーションには、サーバー証明書の発行元を表す認証機関 (CA) 証明書が必要です。LDAP 通信を暗号化するために、CA 証明書は、Active Directory のドメインコントローラーから提示されるサーバー証明書と照合されます。次の CA 証明書の要件に注意してください。

• クライアント側 LDAPS を有効にするには、エンタープライズ認証機関 (CA) が必要です。Active Directory Certificate Service、サードパーティーの商用認証機関、または AWS Certificate Manager を使用できます。Microsoft Enterprise Certificate Authority の詳細については、「Microsoft ドキュメント」をご参照ください。

• 証明書を登録するには、有効期限までに 90 日超の期間があることが必要です。

• 証明書は、プライバシー強化メール (PEM) 形式である必要がありす。Active Directory 内から CA 証明書をエクスポートする場合は、そのファイル形式として Base64 でエンコードされた X.509 (.CER) を選択します。

• AWS Managed Microsoft AD ディレクトリごとに最大 5 つの (5) CA 証明書を保存できます。

• RSASSA-PSS 署名アルゴリズムを使用する証明書はサポートされていません。

• 信頼される各ドメイン内の、すべてのサーバー証明書にチェーンされる CA 証明書は、登録を済ませておく必要があります。

ネットワーク要件

AWS アプリケーション LDAP トラフィックは TCP ポート 636 でのみ実行され、LDAP ポート 389 へのフォールバックはありません。ただし、レプリケーション、信頼などをサポートする Windows LDAP 通信は、Windows ネイティブセキュリティを備えた LDAP ポート 389 を引き続き使用します。 AWS Managed Microsoft AD (アウトバウンド) とセルフマネージド Active Directory (インバウンド) のポート 636 で TCP 通信を許可するように、 AWS セキュリティグループとネットワークファイアウォールを設定します。 AWS Managed Microsoft AD と自己管理型 Active Directory の間で LDAP ポート 389 を、開いたままに維持します。

クライアント側 LDAPS を有効にする

クライアント側の LDAPS を使用するには、認証期間 (CA) 証明書を AWS Managed Microsoft AD にインポートした上で、ディレクトリの LDAPS を有効にします。この有効化により、 AWS アプリケーションと自己管理型 Active Directory 間のすべての LDAP トラフィックには、Secure Sockets Layer (SSL) チャネルの暗号化が使用されます。

2 つの異なる方法を使用して、ディレクトリのクライアント側 LDAPS を有効にできます。 AWS Management Console メソッドまたは AWS CLI メソッドを使用できます。

注記

クライアント側 LDAPS は AWS Managed Microsoft AD のリージョン機能です。「マルチリージョンレプリケーション」を使用している場合、次の手順を各リージョンで個別に適用する必要があります。詳細については、「グローバル機能とリージョン機能」を参照してください。

トピック

• ステップ 1: に証明書を登録する AWS Directory Service

• ステップ 2: 登録ステータスを確認する

• ステップ 3: クライアント側 LDAPS を有効にする

• ステップ 4: LDAPS ステータスを確認する

ステップ 1: に証明書を登録する AWS Directory Service

次のいずれかの方法を使用して、証明書を登録します AWS Directory Service。

方法 1: 証明書を AWS Directory Service （AWS Management Console) に登録するには

1. AWS Directory Service コンソールのナビゲーションペインで、[Directories] (ディレクトリ) をクリックします。

2. ディレクトリのディレクトリ ID リンクを選択します。

3. [Directory details] (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。

   • [Multi-Region replication] (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合には、証明書を登録するリージョンを選択した上で、[Networking & security] (ネットワークとセキュリティ) タブを開きます。詳細については、「プライマリリージョンと追加のリージョン」を参照してください。

   • [Multi-Region replication] (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、[Networking & security] (ネットワークとセキュリティ) タブを選択します。

4. [Client-side LDAPS] (クライアント側 LDAPS) セクションで、[Actions] (アクション) メニューを選択してから、[Register certificate] (証明書の登録) を選択します。

5. [Register a CA certificate] (CA 証明書を登録する) ダイアログボックスで [Browse] (参照) をクリックしてから、証明書を選択し、[Open] (開く) をクリックします。

6. [Register certificate] (証明書の登録) を選択します。

方法 2: 証明書を AWS Directory Service （AWS CLI) に登録するには

• 次のコマンドを実行します。証明書データについては、CA 証明書ファイルの場所を指定します。証明書 ID がレスポンスとして提供されます。

  aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path

ステップ 2: 登録ステータスを確認する

証明書登録のステータスまたは登録済み証明書のリストを表示するには、次のいずれかの方法を使用します。

方法 1: ( AWS Directory ServiceAWS Management Console) で証明書の登録ステータスを確認するには

1. [Directory details] (ディレクトリの詳細) ページの [Client-side LDAPS] (クライアント側 LDAPS) セクションに移動します。

2. [Registration status] (登録ステータス) 列に表示される現在の証明書登録状態を確認します。登録ステータスの値が [Registered] (登録済み) に変わると、証明書は正常に登録されています。

方法 2: ( AWS Directory ServiceAWS CLI) で証明書の登録ステータスを確認するには

• 以下のコマンドを実行してください。ステータス値として Registered が返される場合、証明書は正常に登録されています。

  aws ds list-certificates --directory-id your_directory_id

ステップ 3: クライアント側 LDAPS を有効にする

でクライアント側の LDAPS を有効にするには、次のいずれかの方法を使用します AWS Directory Service。

注記

クライアント側 LDAPS を有効にするには、1 つ以上の証明書が正常に登録されている必要があります。

方法 1: AWS Directory Service （AWS Management Console) でクライアント側の LDAPS を有効にするには

1. [Directory details] (ディレクトリの詳細) ページの [Client-side LDAPS] (クライアント側 LDAPS) セクションに移動します。

2. [Enable] (有効化) を選択します。このオプションを使用できない場合は、有効な証明書が正常に登録されていることを確認してから、もう一度やり直してください。

3. [Enable client-side LDAPS] (クライアント側 LDAPS を有効にする) ダイアログボックスで、[Enable] (有効化) を選択します。

方法 2: AWS Directory Service （AWS CLI) でクライアント側の LDAPS を有効にするには

• 以下のコマンドを実行してください。

  aws ds enable-ldaps --directory-id your_directory_id --type Client

ステップ 4: LDAPS ステータスを確認する

LDAPS ステータスを確認するには、次のいずれかの方法を使用します AWS Directory Service。

方法 1: AWS Directory Service （AWS Management Console) で LDAPS ステータスを確認するには

1. [Directory details] (ディレクトリの詳細) ページの [Client-side LDAPS] (クライアント側 LDAPS) セクションに移動します。

2. ステータス値が [Enabled] (有効) と表示されている場合、LDAPS は正常に設定されています。

方法 2: AWS Directory Service （AWS CLI) で LDAPS ステータスを確認するには

• 以下のコマンドを実行してください。ステータス値として Enabled が返される場合、LDAPS は正常に設定されています。

  aws ds describe-ldaps-settings –-directory-id your_directory_id

クライアント側 LDAPS を管理する

LDAPS 設定を管理するには、以下のコマンドを使用します。

2 つの異なる方法を使用して、クライアント側 LDAPS 設定を管理できます。 AWS Management Console メソッドまたは AWS CLI メソッドを使用できます。

証明書の詳細を表示する

以下のいずれかの方法を使用して、証明書の有効期限を確認します。

方法 1: ( AWS Directory ServiceAWS Management Console) で証明書の詳細を表示するには

1. AWS Directory Service コンソールのナビゲーションペインで、[Directories] (ディレクトリ) をクリックします。

2. ディレクトリのディレクトリ ID リンクを選択します。

3. [Directory details] (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。

   • [Multi-Region replication] (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、証明書を表示するリージョンを選択した上で、[Networking & security] (ネットワークとセキュリティ) タブを開きます。詳細については、「プライマリリージョンと追加のリージョン」を参照してください。

   • [Multi-Region replication] (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、[Networking & security] (ネットワークとセキュリティ) タブを選択します。

4. [Client-side LDAPS] (クライアント側 LDAPS) セクションの [CA certificates] (CA 証明書) に、証明書に関する情報が表示されます。

方法 2: ( AWS Directory ServiceAWS CLI) で証明書の詳細を表示するには

• 以下のコマンドを実行してください。証明書 ID として、register-certificate または list-certificates から返される識別子を使用します。

  aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id

証明書の登録解除

以下のいずれかの方法を使用して、証明書を登録解除します。

注記

登録されている証明書が 1 つのみの場合は、証明書を登録解除する前に、まず LDAPS を無効にする必要があります。

方法 1: ( AWS Directory ServiceAWS Management Console) で証明書の登録を解除するには

1. AWS Directory Service コンソールのナビゲーションペインで、[Directories] (ディレクトリ) をクリックします。

2. ディレクトリのディレクトリ ID リンクを選択します。

3. [Directory details] (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。

   • [Multi-Region replication] (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、証明書の登録を解除するリージョンを選択した上で、[Networking & security] (ネットワークとセキュリティ) タブを開きます。詳細については、「プライマリリージョンと追加のリージョン」を参照してください。

   • [Multi-Region replication] (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、[Networking & security] (ネットワークとセキュリティ) タブを選択します。

4. [Client-side LDAPS] (クライアント側 LDAPS) セクションで、[Actions] (アクション) を選択してから、[Deregister certificate] (証明書の登録解除) を選択します。

5. [Deregister a CA certificate] (CA 証明書を登録解除する) ダイアログボックスで、[Deregister] (登録解除) をクリックします。

方法 2: ( AWS Directory ServiceAWS CLI) で証明書の登録を解除するには

• 以下のコマンドを実行してください。証明書 ID として、register-certificate または list-certificates から返される識別子を使用します。

  aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id

クライアント側 LDAPS の無効化

以下のいずれかの方法を使用して、クライアント側 LDAPS を無効にします。

方法 1: AWS Directory Service （AWS Management Console) でクライアント側の LDAPS を無効にするには

1. AWS Directory Service コンソールのナビゲーションペインで、[Directories] (ディレクトリ) をクリックします。

2. ディレクトリのディレクトリ ID リンクを選択します。

3. [Directory details] (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。

   • [Multi-Region replication] (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、クライアント側の LDAPS を無効にするリージョンを選択した上で、[Networking & security] (ネットワークとセキュリティ) タブを開きます。詳細については、「プライマリリージョンと追加のリージョン」を参照してください。

   • [Multi-Region replication] (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、[Networking & security] (ネットワークとセキュリティ) タブを選択します。

4. [Client-side LDAPS] (クライアント側 LDAPS) セクションで、[Disable] (無効化) を選択します。

5. [Disable client-side LDAPS] (クライアント側 LDAPS を無効にする) ダイアログボックスで、[Disable] (無効化) をクリックします。

方法 2: AWS Directory Service （AWS CLI) でクライアント側の LDAPS を無効にするには

• 以下のコマンドを実行してください。

  aws ds disable-ldaps --directory-id your_directory_id --type Client

証明書登録に関する問題

AWS Managed Microsoft AD ドメインコントローラーを CA 証明書に登録するプロセスには、最大 30 分かかる場合があります。証明書の登録で問題が発生し、 AWS Managed Microsoft AD ドメインコントローラーを再起動する場合は、 にお問い合わせください Support。サポートケースの作成については、「サポートケースの作成とケース管理」を参照してください。