AWS Directory Service とは - AWS Directory Service

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

AWS Directory Service とは

AWS Directory Service は、Microsoft Active Directory (AD) を AWS の他のサービスと併用するための複数の方法を提供します。ディレクトリはユーザー、グループ、デバイスに関する情報を保存します。管理者は、これらのディレクトリを通じて情報やリソースへのアクセスを管理します。AWS Directory Service は、既存の Microsoft AD やライトウェイトディレクトリアクセスプロトコル (LDAP) –対応のアプリケーションをクラウド上で使用するユーザー向けに複数のディレクトリオプションを提供します。また、開発者がディレクトリを通じてユーザー、グループ、デバイス、およびアクセスを管理する場合にも、同じオプションを提供します。

オプションの選択

ニーズに合った最適な機能とスケーラビリティを提供するディレクトリサービスを選択できます。以下の表を参考にして、お客様の組織に最適な AWS Directory Service ディレクトリオプションを選択してください。

目的 AWS Directory Service の推奨されるオプション
クラウド内のアプリケーションに Active Directory または LDAP が必要である

AWS Directory Service for Microsoft Active Directory (スタンダードまたはエンタープライズエディション) を選択します。Active Directory– 対応のワークロードや AWS のアプリケーションとサービス (Amazon WorkSpaces、Amazon QuickSight など) をサポートする実際の Microsoft Active Directory が AWS クラウドで必要な場合、または Linux アプリケーション用に LDAP サポートが必要な場合にお勧めします。

オンプレミスのユーザーが Active Directory 認証情報で AWS アプリケーションやサービスにログインすることを許可するだけの場合は、AD Connector を使用します。AD Connector を使用して Amazon EC2 インスタンスを既存の Active Directory ドメインに結合することもできます。

Samba 4 互換アプリケーションをサポートする基本的な Active Directory 互換性を持つ低スケール、低コストのディレクトリが必要な場合、または LDAP 対応アプリケーションの LDAP 互換性が必要な場合は、Simple AD を使用します。–

SaaS アプリケーションを開発する 高スケールの SaaS アプリケーションを開発する場合、受信者を管理および認証するために、ソーシャルメディア ID に対応するスケーラブルなディレクトリが必要なときは、Amazon Cognito を使用します。

AWS Directory Service オプション

AWS Directory Service では、複数のディレクトリタイプを目的に応じて使い分けることができます。詳細については、次のタブのいずれかを選択してください。

AWS Directory Service for Microsoft Active Directory

AWS Directory Service for Microsoft Active Directory は、AWS Managed Microsoft AD とも呼ばれ、実際の Microsoft Windows Server Active Directory (AD) を搭載し、AWS クラウド上で AWS によって管理されます。これを使用すると、さまざまな Active Directory 対応アプリケーションを AWS クラウドに移行できます。AWS Managed Microsoft AD は、Microsoft SharePoint、Microsoft SQL Server Always On 可用性グループ、多くの .NET アプリケーションと連携します。また、Amazon WorkSpacesAmazon WorkDocsAmazon QuickSightAmazon ChimeAmazon ConnectAmazon Relational Database Service for Microsoft SQL Server (Amazon RDS for SQL Server)、Amazon RDS for Oracle、Amazon RDS for PostgreSQL などの AWS マネージドアプリケーションおよびサービスもサポートしています。

AWS Managed Microsoft AD は、AWSディレクトリのコンプライアンスを有効にする場合、米国の医療保険の相互運用性と説明責任に関する法律 (HIPAA) や PCI データセキュリティスタンダード (PCI DSS) に準拠する必要がある クラウド内のアプリケーション用としても承認されています。

互換性のあるすべてのアプリケーションは、AWS Managed Microsoft AD に保存されたユーザー認証情報を使用して動作します。または、信頼された既存の AD インフラストラクチャに接続して、オンプレミスや EC2 Windows で実行される Active Directory からの認証情報を使用することもできます。EC2 インスタンスを AWS Managed Microsoft AD に結合すると、ユーザーはオンプレミスネットワークのワークロードにアクセスする場合と同じ Windows シングルサインオン (single sign-on、SSO) の使い方で、AWS クラウドの Windows ワークロードにアクセスできます。

AWS Managed Microsoft AD では、Active Directory 認証情報を使用してフェデレーションされたユースケースもサポートされています。AWS Managed Microsoft AD は単独で AWS マネジメントコンソール にサインインできます。また、AWS シングルサインオン を使用して、AWS SDK および CLI で使用する短期間の認証情報を取得したり、事前設定済み SAML 統合を使用して多数のクラウドアプリケーションにサインインすることもできます。Azure AD Connect、および必要に応じて Active Directory Federation Service (AD FS) を追加することで、AWS Managed Microsoft AD に保存されている認証情報を使用して Microsoft Office 365 などのクラウドアプリケーションにサインインできます。

このサービスにはキー機能が含まれており、スキーマの拡張パスワードポリシーの管理、およびセキュアソケットレイヤー (Secure Socket Layer、SSL)/Transport Layer Security (TLS) 経由の安全な LDAP 通信の有効化を行うことができます。また、AWS Managed Microsoft AD の多要素認証 (multi-factor authentication、MFA) を有効にして、ユーザーがインターネットから AWS アプリケーションにアクセスする際に追加のセキュリティレイヤーを提供できます。Active Directory は LDAP ディレクトリであるため、AWS Managed Microsoft AD は Linux Secure Shell (SSH) 認証や他の LDAP 対応アプリケーションにも使用できます。

AWS は、このサービスの一環として、モニタリング、日次スナップショット、および復旧を提供します。AWS Managed Microsoft AD にユーザーおよびグループを追加し、AWS Managed Microsoft AD ドメインに結合された Windows コンピュータで実行されている使い慣れた Active Directory ツールを使用して、グループポリシーを管理できます。また、追加のドメインコントローラーをデプロイしてディレクトリをスケールし、より多くのドメインコントローラー間でリクエストを分散させることでアプリケーションのパフォーマンスを向上させることもできます。

AWS Managed Microsoft AD は2つのエディションで利用可能です。標準およびエンタープライズ。

  • Standard Edition: AWS Managed Microsoft AD (Standard Edition)は、従業員5.000人までの中小企業のプライマリディレクトリとして最適化されています。ユーザー、グループ、コンピュータなど、最大 30,000* のディレクトリオブジェクトをサポートするために十分なストレージ容量を提供します。

  • Enterprise Edition: AWS Managed Microsoft AD (Enterprise Edition)は、最大500.000*のディレクトリ オブジェクトを持つエンタープライズ組織をサポートするように設計されています。

* 上限数は概数です。ディレクトリでサポートできるディレクトリオブジェクトの数は、オブジェクトのサイズ、アプリケーションの動作やパフォーマンスニーズに応じて増減する場合があります。

どのようなときに使うか

AWS アプリケーションや Windows ワークロード ( Amazon Relational Database Servicefor Microsoft SQL Server など) をサポートするために実際の Active Directory 機能が必要な場合は、AWS Managed Microsoft AD が最適な選択肢です。また、AWS クラウドで Office 365 をサポートするスタンドアロンの AD が必要な場合や Linux アプリケーションをサポートする LDAP ディレクトリが必要な場合にも最適です。詳細については、AWS Managed Microsoft AD を参照してください。

AD Connector

AD Connector は、互換性のある AWS アプリケーション (Amazon WorkSpaces、Amazon QuickSight、Amazon EC2 for Windows Server など) をオンプレミスの既存の Microsoft Active Directory に簡単に接続する方法を提供するプロキシサービスです。AD Connector では、Active Directory に簡単に 1 つのサービスアカウントを追加できます。AD Connector を使用すると、ディレクトリを同期化する必要がなくなり、フェデレーションインフラストラクチャをホストするコストや複雑さからも解放されます。

Amazon QuickSight などの AWS アプリケーションにユーザーを追加すると、AD Connector は既存の Active Directory を読み取り、選択対象のユーザーやグループのリストを作成します。ユーザーが AWS アプリケーションにログインすると、AD Connector はサインインリクエストをオンプレミスの Active Directory ドメインコントローラーに転送して認証を行います。AD Connector は、多くの AWS アプリケーションやサービス (Amazon WorkSpacesAmazon WorkDocsAmazon QuickSightAmazon ChimeAmazon ConnectAmazon WorkMail など) と連携します。また、 EC2 Windowsインスタンスに参加 オンプレミスのActive Directoryドメインに AD Connector 使用 シームレスなドメイン参加。 AD Connector また、ユーザーは AWS マネジメントコンソール 管理し AWS 既存の Active Directory 資格情報でログインすることによって、ユーザーを保護できます。 AD Connector は RDS SQL Server と互換性がありません。

AD Connector では、既存の RADIUS ベースの MFA インフラストラクチャに接続することで、AWS アプリケーションユーザーに対する多要素認証 (multi-factor authentication、MFA) を有効化することもできます。これにより、ユーザーが AWS アプリケーションにアクセスするときに別のセキュリティレイヤーが追加されます。

AD Connector を使用すると、現在と同じ方法で引き続き Active Directory を管理できます。たとえば、新しいユーザーの追加、新しいグループの追加、パスワードの更新は、すべてオンプレミス Active Directory の標準の Active Directory 管理ツールを使用して実行されます。これにより、ユーザーがアクセスするリソースがオンプレミスまたは AWS クラウドのいずれにある場合でも、パスワード有効期限、パスワード履歴、アカウントロックアウトなどのセキュリティポリシーを一貫して適用できます。

どのようなときに使うか

AD Connector は、既存のオンプレミスディレクトリを互換性のある AWS のサービスと併用する場合に最適です。詳細については、Active Directory Connector を参照してください。

Simple AD

Simple AD は、AWS Directory Service が提供する Microsoft Active Directory 互換のディレクトリであり、Samba 4 を使用します。Simple AD は、ユーザーアカウント、グループメンバーシップ、Linux ドメインまたは Windows ベースの EC2 インスタンスの結合、Kerberos ベースの SSO、グループポリシーなどの基本的な Active Directory 機能をサポートしています。AWS は、このサービスの一環として、モニタリング、日次スナップショット、および回復を提供します。

Simple AD はクラウド内のスタンドアロンディレクトリであり、ユーザーアイデンティティの作成や管理、アプリケーションへのアクセスの管理を行います。基本的な Active Directory 機能を必要とする、多くの使い慣れた Active Directory 対応のアプリケーションやツールを使用できます。–Simple AD は、AWS アプリケーションの Amazon WorkSpacesAmazon WorkDocsAmazon QuickSight、および Amazon WorkMail と互換性があります。また、Simple AD のユーザーアカウントを使用して AWS マネジメントコンソール にサインインし、AWS リソースを管理することもできます。

Simple AD では、多要素認証 (MFA)、信頼関係、DNS 動的更新、スキーマ拡張、LDAPS を介した通信、PowerShell AD コマンドレット、または FSMO ロールの転送はサポートされていません。Simple AD は、RDS SQL Server と互換性がありません。実際の Microsoft Active Directory の機能が必要な場合や、RDS SQL Server でのディレクトリの使用を計画する場合は、代わりに AWS Managed Microsoft AD を使用する必要があります。Simple AD を使用する前に、必要なアプリケーションが Samba 4 と完全に互換することを確認してください。詳細については、https://www.samba.org を参照してください。

どのようなときに使うか

Simple AD をクラウド内でスタンドアロンのディレクトリとして使用すると、基本的な AD 機能を必要とする Windows ワークロード、互換性のある AWS アプリケーション、または LDAP サービスを必要とする Linux ワークロードをサポートできます。詳細については、Simple Active Directory を参照してください。

Amazon Cognito

Amazon Cognito は、Amazon Cognito ユーザープールを使用してモバイルアプリまたはウェブアプリケーションにサインアップとサインインを追加するユーザーディレクトリです。

どのようなときに使うか

カスタム登録フィールドを作成し、そのメタデータをユーザーディレクトリ内に格納する必要があるときにも Amazon Cognito を使用できます。このフルマネージド型のサービスは、拡張して何百万というユーザーをサポートします。詳細については、「ユーザープールの作成および管理」を参照してください。

リージョンごとにサポートされているディレクトリタイプのリストについては、「AWS Directory Service が利用可能なリージョン」を参照してください。

Amazon EC2 の使用

AWS Directory Service を使用して Amazon EC2 の基本を理解する必要があります。最初に以下のトピックを読むことをお勧めします。