ユースケース 1: AD の認証情報を使用して AWS アプリケーションおよびサービスにサインインする - AWS Directory Service

ユースケース 1: AD の認証情報を使用して AWS アプリケーションおよびサービスにサインインする

複数の AWS アプリケーションやサービス (AWS Client VPNAWS Management ConsoleAWS Single Sign-OnAmazon ChimeAmazon ConnectAmazon FSxAmazon QuickSightAmazon RDS for SQL ServerAmazon WorkDocsAmazon WorkMailWorkSpaces など) を有効にして、AWS Managed Microsoft AD ディレクトリを使用できます。ディレクトリで AWS アプリケーションまたはサービスを有効にすると、ユーザーは AD の認証情報でそのアプリケーションまたはサービスにアクセスできます。

例えば、ユーザーが AD の認証情報で AWS Management Console にサインインできるようにすることが可能です。そのためには、ディレクトリ内のアプリケーションとして AWS Management Console を有効にしてから、AD ユーザーとグループを IAM ロールに割り当てます。ユーザーが AWS Management Console にサインインすると、AWS リソースを管理するための IAM ロールが引き受けられます。これにより、SAML インフラストラクチャを個別に設定および管理することなく、ユーザーに AWS Management Console へのアクセスを簡単に許可できます。

エンドユーザーエクスペリエンスをさらに向上させるために、Amazon WorkDocs の シングルサインオン (SSO) 機能を有効にできます。これにより、ユーザーは認証情報を個別に入力することなく、ディレクトリに結合しているコンピュータから Amazon WorkDocs にアクセスできます。

ディレクトリまたはオンプレミス AD のユーザーアカウントへのアクセスを付与すると、ユーザーは既存の認証情報とアクセス許可を使用して AWS Management Console または AWS CLI にサインインできます。また、既存のユーザーアカウントに IAM ロールを直接割り当てて、AWS リソースを管理できます。

FSx for Windows File Server と AWS Managed Microsoft AD の統合

FSx for Windows File Server と AWS Managed Microsoft AD を統合することにより、フルマネージドかつネイティブで、Microsoft Windows ベースの Server Message Block (SMB) プロトコルファイルシステムを利用できます。これにより、Windows ベースのアプリケーションおよびクライアント (共有ファイルストレージを使用) を簡単に AWS に移動できます。FSx for Windows File Server は、セルフマネージドの Microsoft Active Directory と統合できますが、ここではそのシナリオについては説明しません。

Amazon FSx の一般的なユースケースとリソース

このセクションでは、AWS Managed Microsoft AD のユースケースと FSx for Windows File Server との一般的な統合に関するリソースへのリファレンスを提供します。このセクションの各ユースケースは、基本的な AWS Managed Microsoft AD および FSx for Windows File Server の設定から始まります。これらの設定を作成する方法の詳細については、次を参照してください。

Amazon Elastic Container Service (ECS) では、Amazon ECS 向けに最適化された Windows AMI で起動されるコンテナインスタンス上の Windows コンテナがサポートされています。Windows コンテナインスタンスでは、独自のバージョンの Amazon ECS コンテナエージェントを使用します。Amazon ECS 向けに最適化された Windows Server AMI では、Amazon ECS コンテナエージェントはホスト上のサービスとして実行されます。

Amazon ECS では、グループ管理サービスアカウント (gMSA) と呼ばれる特殊なサービスアカウントを使用して、Windows コンテナの Active Directory 認証をサポートしています。Windows コンテナはドメインに結合できないため、gMSA で実行するように Windows コンテナを設定する必要があります。

関連項目

Amazon AppStream 2.0 は、フルマネージドのアプリケーションストリーミングサービスです。このアプリケーションでは、データを保存し、そのデータにアクセスするためのさまざまなソリューションが提供されます。Amazon AppStream 2.0 で Amazon FSx を使用すると、Amazon FSx を使用したパーソナルな永続的ストレージドライブが提供されます。また、共通のファイルにアクセスするための共有フォルダを利用できるように設定できます。

関連項目

FSx for Windows File Server は、Microsoft SQL Server 2012 (2012 バージョン 11.x 以降)、新しいシステムデータベース (Master、Model、MSDB、TempDB など)、および Database Engine のユーザーデータベースにおけるストレージオプションとして使用できます。

関連項目

FSx for Windows File Server を使用すると、Active Directory ユーザーのホームフォルダおよび My Documents からデータを一元的な場所に保存できます。Roaming User Profiles のデータの保存に FSx for Windows File Server を使用することもできます。

関連項目

FSx for Windows File Server 上のネットワークファイル共有により、管理されたスケーラブルなファイル共有ソリューションが提供されます。ユースケースの 1 つとして、手動またはグループポリシーを使用して作成できるマッピングされたクライアントドライブがあります。

関連項目

[SYSVOL] フォルダのサイズとパフォーマンスには制限があるため、ベストプラクティスとして、ソフトウェアのインストールファイルなどのデータをそのフォルダに保存しないようにしてください。この問題を解決するために、グループポリシーを使用してインストールされたすべてのソフトウェアファイルを保存するよう FSx for Windows File Server を設定できます。

関連項目

UNC ファイル共有を使用して、FSx for Windows File Server を Windows Server Backup のターゲットドライブとして設定できます。この場合、アタッチされている EBS ボリュームではなく、FSx for Windows File Server への UNC パスを指定します。

関連項目

Amazon FSx では、AWS Managed Microsoft AD のディレクトリ共有もサポートされています。詳細については、次を参照してください。

AWS Managed Microsoft AD での Amazon RDS の統合

Amazon RDS では、Microsoft Active Directory での Kerberos を使用したデータベースユーザーの外部認証がサポートされています。Kerberos は、チケットと対称キー暗号化を使用したネットワーク認証プロトコルです。このプロトコルでは、ネットワーク経由でパスワードを送信する必要はありません。Amazon RDS での Kerberos および Active Directory のサポートにより、データベースユーザーの一元化認証およびシングルサインオンという利点が得られ、ユーザーの認証情報を Active Directory に保存できます。

このユースケースを開始するには、まず基本的な AWS Managed Microsoft AD および Amazon RDS 設定をセットアップする必要があります。

次に示すユースケースはすべて、AWS Microsoft AD と Amazon RDS の基本から始まり、Amazon RDS を AWS Managed Microsoft AD に統合する方法を説明します。

Amazon RDS では、AWS Managed Microsoft AD のディレクトリ共有もサポートされています。詳細については、次を参照してください。

グループ管理サービスアカウントで Amazon RDS for SQL Server を使用する .NET アプリケーション

Amazon RDS for SQL Server は、基本的な .NET アプリケーションおよびグループ管理サービスアカウント (gMSA) と統合できます。詳細については、「How AWS Managed Microsoft AD Helps to Simplify the Deployment and Improve the Security of Active Directory–Integrated .NET Applications」を参照してください。