ステップ 4: Windows Server 用の EC2 インスタンスとドメインとのシームレス結合をテストする - AWS Directory Service

ステップ 4: Windows Server 用の EC2 インスタンスとドメインとのシームレス結合をテストする

次の 2 つのメソッドのいずれかを使用して、シームレスなドメインの結合をテストできます。

方法 1: Amazon EC2 コンソールを使用してドメインの結合をテストする

この手順は、ディレクトリのコンシューマーアカウントで使用します。

  1. AWS Management Console にサインインし、Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. ナビゲーションバーのリージョンセレクタで、既存のディレクトリと同じリージョンを選択します。

  3. [Launch Instance] (インスタンスの起動) を選択します。

  4. [Step 1] (ステップ 1) ページで、適切な AMI の [Select] (選択) をクリックします。

  5. [Step 2] (ステップ 2) ページで、適切なインスタンスタイプを選択し、[Next: Configure Instance Details] (次へ: インスタンスの詳細を設定) を選択します。

  6. [Step 3] (ステップ 3) ページで以下の操作を行い、[Next: Add Storage] (次へ: ストレージを追加) を選択します。

    1. [Network] (ネットワーク) で、ディレクトリを作成した VPC を選択します。

    2. [Subnet] (サブネット) で、VPC 内のいずれかのパブリックサブネットを選択します。選択するサブネットで、すべての外部トラフィックがインターネットゲートウェイにルーティングされるように選択する必要があります。そうしないと、インスタンスにリモート接続することはできません。

    3. [Auto-assign Public IP] (パブリック IP の自動割当て) で、[Enable] (有効化) を選択します。

      パブリック IP アドレス指定とプライベート IP アドレス指定の詳細については、「Amazon EC2 Windows インスタンス用ユーザーガイド」の「Amazon EC2 インスタンスの IP アドレス指定」を参照してください。

    4. [Domain join directory] (ドメイン結合ディレクトリ) で、リストからドメインを選択します。

    5. [IAM role] (IAM ロール) で、次のいずれかを実行します。

      AWS 管理ポリシー AmazonSSMManagedInstanceCoreAmazonSSMDirectoryServiceAccess がアタッチされている IAM ロールを選択します。

      -または-

      [AmazonSSMManagedInstanceCore][AmazonSSMDirectoryServiceAccess] 管理ポリシーがアタッチされた IAM ロールを作成していない場合は、[Create new IAM role] (新しい IAM ロールの作成) リンクをクリックし、以下を実行します。

      1. [Create role] (ロールの作成) を選択します。

      2. [Select type of trusted entit]y (信頼されたエンティティの種類を選択) の下で、[AWS Service] (AWS のサービス) を選択します。

      3. [Choose the service that will use this role] (このロールを使用するサービスを選択) で、サービスの詳細なリストから [EC2] を選択します。

      4. [Select your use case] (ユースケースの選択) で、[EC2][Next: Permissions] (次へ: アクセス許可) の順にクリックします。

      5. ポリシーのリストで [AmazonSSMManagedInstanceCore][AmazonSSMDirectoryServiceAccess] ポリシーを選択します。(リストを絞り込むため、検索ボックスに SSM と入力します)。

        注記

        [AmazonSSMDirectoryServiceAccess] により、AWS Directory Service で管理されている Active Directory にインスタンスを結合するためのアクセス許可が付与されます。[AmazonSSMManagedInstanceCore] により、Systems Manager サービスを使用するために必要な最小限のアクセス許可が付与されます。これらのアクセス許可を使用してロールを作成する方法、および IAM ロールに割り当てることができるその他のアクセス許可とポリシーの詳細については、「AWS Systems Manager ユーザーガイド」の「Systems Manager の IAM インスタンスプロファイルを作成する」を参照してください。

      6. [Next: Tags] (次へ: タグ) を選択します。

      7. (オプション) 1 つまたは複数のタグキーと値のペアを追加して、このロールのアクセスを整理、追跡、または制御し、[Next: Review] (次へ: 確認) を選択します。

      8. [Role name] (ロール名) に、新しいロールの名前 (例えば EC2DomainJoin または適宜の別の名前) を入力します。

      9. (オプション) [Role description] (ロールの説明) に、説明を入力します。

      10. [Create role] (ロールの作成) を選択します。

      11. [Step 3] (ステップ 3) ページに戻ります。[IAM role] (IAM ロール) で、[IAM role] (IAM ロール) の横にある更新アイコンをクリックします。新しいロールがメニューに表示されるはずです。このロールを選択し、このページの残りの設定はデフォルト値のままにして、[Next: Add Storage] (次へ: ストレージの追加) を選択します。

  7. [Step 4] (ステップ 4) と [Step 5] (ステップ 5) ページは共に、デフォルト設定をそのまま使用するか必要であれば変更して、[Next] (次へ) ボタンをクリックします。

  8. [Step 6] (ステップ 6) ページで、ネットワークからインスタンスにリモートアクセスできるように設定されたインスタンスのセキュリティグループを選択し、[Review and Launch] (確認と起動) を選択します。

  9. [Step 7] (ステップ 7) ページで、[Launch] (起動) を選択し、キーペアを選択して、[Launch Instance] (インスタンスの起動) を選択します。

方法 2: AWS Systems Manager コンソールを使用してドメイン結合をテストする

この手順は、ディレクトリのコンシューマーアカウントで使用します。この手順を完了するには、ディレクトリ所有者のアカウントに関するいくつかの情報が必要となります。

注記

この手順のステップを開始する前に、管理ポリシーの AmazonSSMManagedInstanceCoreAmazonSSMDirectoryServiceAccess を、インスタンスの IAM ロールのアクセス許可に対し必ずアタッチしておきます。これらの管理ポリシー、および、Systems Manager の IAM インスタンスプロファイルにアタッチする他のポリシーの詳細については、「AWS Systems Manager ユーザーガイド」の「Systems Manager の IAM インスタンスプロファイルを作成する」を参照してください。管理ポリシーの詳細については、「IAM ユーザーガイド」の「AWS管理ポリシー」を参照してください。

  1. AWS Management Console にサインインし、https://console.aws.amazon.com/systems-manager/ で AWS Systems Manager コンソールを開きます。

  2. ナビゲーションペインで、[Run Command] (コマンドの実行) をクリックします。

  3. [Run command] (コマンドの実行) を選択します。

  4. [Run a command] (コマンドの実行) ページで、AWS-JoinDirectoryServiceDomain を検索します。検索結果に表示されたら、AWS-JoinDirectoryServiceDomain オプションを選択します。

  5. 下部にある [Command parameters] (コマンドのパラメータ) セクションまでスクロールします。以下のパラメーターを指定する必要があります。

    • [Directory Id] (ディレクトリ ID) に AWS Directory Service ディレクトリの名前を入力します。

      注記

      [Directory Id] (ディレクトリ ID) の値を見つけるには、AWS Directory Service コンソールに戻り、[Directories shared with me] (自分と共有されたディレクトリ) をクリックし、自分のディレクトリを選択した後、[Shared directory details] (共有ディレクトリの詳細) セクションで値を探します。

    • [Directory Name] (ディレクトリ名) にディレクトリの名前を入力します (ディレクトリ所有者アカウント用)。

    • [DNS IP Addresses] (DNS IP アドレス) にディレクトリの DNS サーバーの IP アドレスを入力します (ディレクトリ所有者アカウント用)。

    注記

    [Directory Name] (ディレクトリ名) および [Dns Ip Addresses] (DNS IP アドレス) の値を見つけるには、AWS Directory Service コンソールに戻り、[Directories shared with me] (自分と共有されたディレクトリ) をクリックし、自分のディレクトリを選択した後、[Owner directory details] (所有者ディレクトリの詳細) セクションに表示される属性を確認します。

  6. [Targets] (ターゲット) で、ドメインの結合先となるインスタンスを選択します。

  7. フォームの残りの設定はデフォルト値のままにしておき、ページを下方向にスクロールして [Run] (実行) をクリックします。

  8. ナビゲーションペインで [Managed Instances] (マネージドインスタンス) をクリックします。

  9. リストのインスタンスを表示して、インスタンスがドメインに正しく結合していることを確認します。[Association Status] (関連付けのステータス) に [Success] (成功) と表示されていれば、インスタンスは正しくドメインに結合しています。

前述の手順のいずれかを完了すると、EC2 インスタンスをドメインに結合できるようになります。この作業の完了後は、リモートデスクトッププロトコル (RDP) クライアントを使用して、AWS Managed Microsoft AD ユーザーアカウントの認証情報によりインスタンスにログインできるようになります。