信頼関係の作成

AWS Directory Service for Microsoft Active Directory と自己管理型 (オンプレミス) のディレクトリの間、また、AWS クラウド内にある複数の AWS Managed Microsoft AD ディレクトリ間で、一方向と双方向の、外部の信頼関係およびフォレストの信頼関係を設定できます。AWSManaged Microsoft AD は、信頼関係の 3 つの方向性 (受信、送信、2 方向 (双方向)) をすべてサポートしています。

注記

信頼関係を設定する際は、自己管理型ディレクトリと AWS Directory Service との間に互換性があり、その互換性が維持されていることを確認する必要があります。お客様の責任の詳細については、「責任共有モデル」を参照してください。

AWS Managed Microsoft AD は、外部とフォレスト両方での信頼をサポートしています。フォレスト信頼の作成方法を示すシナリオの例については、「チュートリアル: AWS Managed Microsoft AD とセルフマネージド Active Directory ドメイン間で信頼関係を作成する」を参照してください。

Amazon Chime、Amazon Connect、Amazon QuickSight、AWS IAM Identity Center (successor to AWS Single Sign-On)、Amazon WorkDocs、Amazon WorkMail、Amazon WorkSpaces、AWS Management Console などの AWS エンタープライズアプリケーションでは、双方向の信頼が必要になります。AWSManaged Microsoft AD では、自己管理型 AD 内のユーザーとグループに対しクエリを実行できる必要があります。

Amazon EC2、Amazon RDS、および Amazon FSx は、一方向または双方向のいずれかの信頼で動作します。

前提条件

信頼の作成は数ステップのみで完了しますが、信頼を設定する前に、いくつかの前提条件の手順を完了しておく必要があります。

注記

AWS Managed Microsoft AD は、シングルラベルドメインによる信頼をサポートしていません。

VPC に接続する

自己管理型ディレクトリとの信頼関係を作成する際には、まず、自己管理型ネットワークを AWS Managed Microsoft AD を含む VPC に接続しておく必要があります。セルフマネージド型ネットワークやAWS Managed Microsoft AD ネットワークのファイアウォールでは、Windows Server 2008 以降のバージョンでリストされているネットワークポートが開いている必要があります。

これらは、ディレクトリに接続するために必要な最小限のポートです。固有の設定によっては、追加ポートが開かれていることが必要です。

VPC の設定

AWS Managed Microsoft AD を含む VPC には、アウトバウンドとインバウンド向けに、適切なルールが設定されている必要があります。

VPC のアウトバウンドルールを設定するには

1. AWS Directory Service コンソールの [Directory Details] (ディレクトリの詳細) ページで、AWS Managed Microsoft AD のディレクトリ ID を書き留めます。

2. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

3. [Security Groups] (セキュリティグループ) をクリックします。

4. AWS Managed Microsoft AD のディレクトリ ID を検索します。検索結果で、説明に [AWS created security group for directory ID directory controllers] (AWS がディレクトリ ID のディレクトリコントローラーのセキュリティグループを作成) と表示されている項目を選択します。

   注記

   選択したセキュリティグループは、最初にディレクトリを作成する際に自動的に作成されるセキュリティグループです。

5. そのセキュリティグループの [Outbound Rules] (アウトバウンドルール) タブを開きます。[Edit] (編集)、[Add another rule] (別のルールの追加) の順に選択します。新しいルールに、次の値を入力します。

   • [Type] (タイプ): All Traffic

   • [Protocol] (プロトコル): All

   • [Destination] (送信先) は、ドメインコントローラーから発信されるトラフィックと、(自己管理型ネットワーク内にある) そのトラフィックの送信先を指定します。単一の IP アドレスまたは IP アドレス範囲を CIDR 表記で指定します (例: 203.0.113.5/32)。同じリージョン内にある別のセキュリティグループの、名前または ID を指定することもできます。詳細については、「ディレクトリの AWS セキュリティグループの設定と使用について理解する」を参照してください。

6. [Save] (保存) をクリックします。

Kerberos 事前認証を有効にする

お客様のユーザーは、アカウント内で Kerberos 事前認証を有効にしておく必要があります。この設定の詳細については、Microsoft TechNet の「Microsoft」(事前認証) を参照してください。

自己管理型ドメインで DNS 条件付きフォワーダーを設定する

自己管理型ドメインでは、DNS 条件付きフォワーダーを設定する必要があります。条件付きフォワーダーの詳細については、Microsoft TechNet の「Assign a Conditional Forwarder for a Domain Name」(ドメイン名の条件フォワーダーの割り当て) を参照してください。

以下の手順を実行するには、以下の自己管理型ドメイン用 Windows Server ツールに対するアクセス権限が必要です。

• AD DS ツールと AD LDS ツール

• DNS

自己管理型ドメインで DNS の条件付きフォワーダーを設定するには

1. まず、AWS Managed Microsoft AD に関するいくつかの情報を取得する必要があります。AWS Management Console にサインインし、 AWS Directory Service コンソール (https://console.aws.amazon.com/directoryservicev2/) を開きます。

2. ナビゲーションペインで [Directories] (ディレクトリ) をクリックします。

3. AWS Managed Microsoft AD のディレクトリ ID を選択します。

4. 完全修飾ドメイン名 (FQDN) とディレクトリの DNS アドレスを書き留めます。

5. 次に、自己管理型ドメインコントローラーに戻ります。サーバーマネージャーを開きます。

6. [Tools] (ツール) メニューで、[DNS] を選択します。

7. 信頼関係を設定するドメインの DNS サーバーを、コンソールのツリーから展開します。

8. コンソールのツリー内で、[Conditional Forwarders] (条件付きフォワーダー) を選択します。

9. [Action] (アクション) メニューから、[New conditional forwarder] (新規の条件付きフォワーダー) を選択します。

10. [DNS domain] (DNS ドメイン) に、先に書き留めてある、AWS Managed Microsoft AD の完全修飾ドメイン名 (FQDN) を入力します。

11. [IP addresses of the master servers] (マスターサーバーの IP アドレス) をクリックした後、先に書き留めてある、AWS Managed Microsoft AD ディレクトリの DNS アドレスを入力します。

    DNS アドレスの入力後に、「timeout」または「unable」というエラーが表示される場合があります。通常、このエラーは無視できます。

12. [Store this conditional forwarder in Active Directory and replicate as follows: All DNS servers in this domain] (この条件付きフォワーダーを Active Directory 内に保存し次のようにレプリケートします: このドメインのすべての DNS サーバー) を選択します。[OK] を選択します。

信頼関係のパスワード

既存のドメインとの間の信頼関係を作成している場合は、Windows Server 管理ツールを使用して、そのドメインに対する信頼関係を設定します。その際に、使用する信頼のパスワードを書き留めます。AWS Managed Microsoft AD で信頼関係を設定する際に、この同じパスワードを使用する必要があります。詳細については、Microsoft TechNet の「Managing Trusts」(信頼の管理) を参照してください。

これで、AWS Managed Microsoft AD に信頼関係を作成する準備が整いました。

信頼関係を作成、検証、または削除する

注記

信頼関係は、AWS Managed Microsoft AD でグローバルに使用できる機能です。マルチリージョンレプリケーション を使用している場合、プライマリリージョン で次の手順を実行する必要があります。変更した内容は、レプリケートされたすべてのリージョンで自動的に適用されます。詳細については、「グローバル機能とリージョン機能」を参照してください。

AWS Managed Microsoft AD との信頼関係を作成するには

1. AWS Directory Service コンソールを開きます。

2. [Directories] (ディレクトリ) ページで、使用する AWS Managed Microsoft AD ID を選択します。

3. [Directory details] (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。

   • [Multi-Region replication] (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、プライマリリージョンを選択した上で、[Networking & security] (ネットワークとセキュリティ) タブを開きます。詳細については、「プライマリリージョンと追加のリージョン」を参照してください。

   • [Multi-Region replication] (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、[Networking & security] (ネットワークとセキュリティ) タブを選択します。

4. [Trust relationships] (信頼関係) セクションで、[Actions] (アクション)、[Add trust relationship] (信頼関係の追加) の順に選択します。

5. [Add a trust relationship] (信頼関係の追加) ページで、信頼タイプ、信頼されたドメインの完全修飾ドメイン名 (FQDN)、信頼パスワード、信頼の方向など、必要な情報を入力します。

6. (オプション) 認証されたユーザーのみに AWS Managed Microsoft AD ディレクトリ内のリソースへのアクセスを許可するには、オプションで [Selective authentication] (選択的な認証) チェックボックスをオンにします。選択的な認証に関する全般的な情報については、Microsoft TechNet の「Security Considerations for Trusts」(信頼のセキュリティ上の考慮事項) を参照してください。

7. [Conditional forwarder] (条件付きフォワーダー) に、自己管理型 DNS サーバーの IP アドレスを入力します。すでに条件付きフォワーダを作成済みな場合は、DNS IP アドレスではなく、自己管理型ドメインの FQDN を入力できます。

8. (オプション) [Add another IP address] (別の IP アドレスの追加) をクリックした後、追加する自己管理型 DNS サーバーの IP アドレスを入力します。このステップは、適用可能な DNS サーバーアドレスごとに、合計 4 つのアドレスまで繰り返すことができます。

9. [Add] (追加) を選択します。

10. 自己管理型ドメインの DNS サーバーまたはネットワークで、パブリックな (RFC 1918 を除く) IP アドレススペースを使用している場合は、[IP routing] (IP ルーティング) セクションで、[Actions] (アクション)、[Add route] (ルートの追加) の順に選択します。CIDR 形式 (例: 203.0.113.0/24) を使用して、DNS サーバーまたは自己管理型ネットワークの IP アドレスブロックを入力します。このステップは、DNS サーバーと自己管理型ネットワークの両方で、RFC 1918 IP アドレススペースを使用している場合は必要ありません。

    注記

    パブリック IP アドレススペースを使用している場合、AWS の IP アドレス範囲を指定しないようにしてください。これらの範囲は使用できません。

11. (オプション) [Add routes] (ルートの追加) ページを表示している際は、同時に [Add routes to the security group for this directory's VPC] (このディレクトリの VPC のセキュリティグループにルートを追加します) も選択することを推奨します。これにより、上記の「VPC を設定する」に記述したセキュリティグループが設定されます。これらのセキュリティルールは、パブリックに公開されていない内部ネットワークインターフェイスに影響します。このオプションを使用できない場合は、セキュリティグループをすでにカスタマイズしていることを示すメッセージが表示されます。

信頼関係は、双方のドメインで設定する必要があります。この関係は、補完的であることが必要です。例えば、片側のドメインで送信の信頼を作成した場合は、もう一方のドメインでは受信の信頼を作成します。

既存のドメインとの間の信頼関係を作成している場合は、Windows Server 管理ツールを使用して、そのドメインに対する信頼関係を設定します。

AWS Managed Microsoft AD とさまざまな Active Directory ドメイン間で、複数の信頼関係を作成できます。ただし、各ペアが一度に保持できる信頼関係は 1 つのみです。例えば、既に一方向の「受信の信頼」が存在し、その上で「送信方向」で別の信頼関係の設定が必要な場合は、まず既存の信頼関係を削除してから、新たに「双方向」の信頼を作成します。

送信の信頼関係を確認するには

1. AWS Directory Service コンソールを開きます。

2. [Directories] (ディレクトリ) ページで、使用する AWS Managed Microsoft AD ID を選択します。

3. [Directory details] (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。

   • [Multi-Region replication] (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、プライマリリージョンを選択した上で、[Networking & security] (ネットワークとセキュリティ) タブを開きます。詳細については、「プライマリリージョンと追加のリージョン」を参照してください。

   • [Multi-Region replication] (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、[Networking & security] (ネットワークとセキュリティ) タブを選択します。

4. [Trust relationships] (信頼関係) セクションで検証する信頼を選択した後、[Actions] (アクション)、[Verify trust relationship] (信頼関係の検証) の順に選択します。

このプロセスは、双方向の送信の信頼のみを検証します。AWS は受信向け信頼の検証をサポートしていません。自己管理型 Active Directory との間で信頼関係を確認する方法の詳細については、Microsoft TechNet の「Verify a Trust」(信頼を検証する) を参照してください。

既存の信頼関係を削除するには

1. AWS Directory Service コンソールを開きます。

2. [Directories] (ディレクトリ) ページで、使用する AWS Managed Microsoft AD ID を選択します。

3. [Directory details] (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。

   • [Multi-Region replication] (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、プライマリリージョンを選択した上で、[Networking & security] (ネットワークとセキュリティ) タブを開きます。詳細については、「プライマリリージョンと追加のリージョン」を参照してください。

   • [Multi-Region replication] (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、[Networking & security] (ネットワークとセキュリティ) タブを選択します。

4. [Trust relationships] (信頼関係) セクションで、削除する信頼を選択した上で、[Actions] (アクション)、[Delete trust relationship] (信頼関係の削除) の順に選択します。

5. [削除] を選択します。