とは AWS Directory Service

AWS Directory Service には、他の AWS サービスで Microsoft Active Directory (AD) を使用する複数の方法が用意されています。ディレクトリには、ユーザー、グループ、デバイスに関する情報が保存され、管理者はそれらを使用して情報とリソースへのアクセスを管理します。 は、クラウド内の既存の Microsoft AD または Lightweight Directory Access Protocol (LDAP) 対応アプリケーションを使用するお客様に、複数のディレクトリの選択肢 AWS Directory Service を提供します。また、ユーザー、グループ、デバイス、アクセスを管理するディレクトリーが必要な開発者に、その選択肢を提供します。

AWS Directory Service オプション

AWS Directory Service には、選択できる複数のディレクトリタイプが含まれています。詳細については、次のいずれかのタブを選択してください。

AWS Directory Service for Microsoft Active Directory

AWS Managed Microsoft AD とも呼ばれる AWS Directory Service for Microsoft Active Directory は、 クラウド AWS で によって管理される実際の Microsoft Windows Server Active Directory (AD) AWS を使用します。これにより、さまざまな Active Directory対応アプリケーションを AWS クラウドに移行できます。 AWS マネージド Microsoft AD はMicrosoft SharePoint、、Microsoft SQL ServerAlways On 可用性グループ、および多くの .NET アプリケーションで動作します。また、「Amazon WorkSpaces」、「Amazon WorkDocs」、「Amazon QuickSight」、「Amazon Chime」、「Amazon Connect」、「Amazon Relational Database Service for Microsoft SQL Server」（Amazon RDS for SQL Server、Amazon RDS for Oracle、および Amazon RDS for PostgreSQL）などの AWS 管理アプリケーションおよびサービスもサポートしています。

AWS Managed Microsoft AD は、ディレクトリのコンプライアンスを有効にするときに、米国の医療保険の相互運用性と説明責任に関する法律 (HIPAA) または Payment Card Industry Data Security Standard (PCI DSS) に準拠する、 AWS クラウド内のアプリケーションに対して承認されています。 https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_compliance.html

互換性のあるすべてのアプリケーションは、 AWS Managed Microsoft AD に保存されたユーザー認証情報を使用して動作します。または、信頼された「既存の AD インフラストラクチャに接続して」、オンプレミスや EC2 Windows で実行される Active Directory からの認証情報を使用することもできます。EC2 インスタンスを AWS Managed Microsoft AD に参加させると、ユーザーはオンプレミスネットワークのワークロードにアクセスする場合と同じ Windows シングルサインオン (SSO) エクスペリエンスで AWS クラウドの Windows ワークロードにアクセスできます。

AWS Managed Microsoft AD は、 Active Directory認証情報を使用したフェデレーティッドユースケースもサポートしています。Managed AWS Microsoft AD を使用すると、 にサインインできますAWS Management Console。ではAWS IAM Identity Center、 AWS SDK および CLI で使用するための短期的な認証情報を取得し、事前設定された SAML 統合を使用して多くのクラウドアプリケーションにサインインすることもできます。Microsoft Entra Connect (以前は と呼ばれていましたAzure Active Directory Connect) と、オプションで Active Directory Federation Service (AD FS) を追加することで、 AWS Managed Microsoft AD に保存されている認証情報を使用して Microsoft Office 365や他のクラウドアプリケーションにサインインできます。

このサービスには、スキーマの拡張やパスワードポリシーの管理、Secure Socket Layer (SSL)/Transport Layer Security (TLS) 経由の安全な LDAP 通信の有効化といった主要な機能が含まれています。AWS Managed Microsoft AD の多要素認証 (MFA) を有効にして、ユーザーがインターネットから AWS アプリケーションにアクセスするときにセキュリティレイヤーを追加することもできます。Active Directory は LDAP ディレクトリであるため、Linux Secure Shell (SSH) 認証や他の LDAP 対応アプリケーションにも、 AWS Managed Microsoft AD を使用できます。

AWS は、サービスの一部としてモニタリング、日次スナップショット、リカバリを提供します。 Managed Microsoft AD にユーザーとグループを追加し、 AWS Managed Microsoft AD AWS ドメインに参加しているWindowsコンピュータで実行されている使い慣れたActive Directoryツールを使用してグループポリシーを管理します。また、ドメインコントローラーを追加でデプロイしてディレクトリをスケールし、より多くのドメインコントローラー間でリクエストを分散させることで、アプリケーションのパフォーマンスを向上させることもできます。

AWS Managed Microsoft AD は、Standard と Enterprise の 2 つのエディションで利用できます。

• Standard Edition: AWS Managed Microsoft AD (Standard Edition) は、従業員数が 5,000 名までの、中小企業向けのプライマリディレクトリとして最適化されています。ユーザー、グループ、コンピュータなど、最大 30,000* のディレクトリオブジェクトをサポートするために十分なストレージ容量を提供します。

• Enterprise Edition: AWS Managed Microsoft AD (Enterprise Edition) は、最大 500,000* のディレクトリオブジェクトをサポートする、エンタープライズ組織向けに設計されています。

* 上限数は概数です。ディレクトリでサポートできるディレクトリオブジェクトの数は、オブジェクトのサイズ、アプリケーションの動作やパフォーマンスニーズに応じて増減する場合があります。

どのようなときに使うか

AWS Managed Microsoft AD は、Amazon Relational Database Service for など、 AWS アプリケーションやWindowsワークロードをサポートするために実際のActive Directory機能が必要な場合に最適ですMicrosoft SQL Server。また、 クラウドActive Directoryで Office 365 をサポートするスタンドアロン AWS が必要な場合や、Linux アプリケーションをサポートする LDAP ディレクトリが必要な場合にも最適です。詳細については、「AWS Managed Microsoft AD」を参照してください。

AD Connector

AD Connector は、Amazon WorkSpaces、Amazon QuickSight、Windows Serverインスタンス用の Amazon EC2 などの互換性のある AWS アプリケーションを既存のオンプレミス Microsoft に簡単に接続できるプロキシサービスですActive Directory。AD Connector によって、Active Directory に簡単に1 つのサービスアカウントを追加できます。AD Connector を使用すると、ディレクトリを同期化する必要がなくなり、フェデレーションインフラストラクチャをホストするコストや複雑さからも解放されます。

Amazon QuickSight などの AWS アプリケーションにユーザーを追加すると、AD Connector は既存の を読み取りActive Directory、選択するユーザーとグループのリストを作成します。ユーザーが AWS アプリケーションにログインすると、AD Connector はサインインリクエストをオンプレミスのActive Directoryドメインコントローラーに転送して認証を行います。AD Connector は、Amazon WorkSpaces、Amazon WorkDocs、Amazon Amazon QuickSight Chime、Amazon Connect、Amazon WorkMail など、多くの AWS アプリケーションやサービスと連携します。「シームレスなドメイン結合」により、AD Connector 経由で、オンプレミスの Active Directory ドメインに「EC2 Windows インスタンスを結合させる」こともできます。AD Connector では、ユーザーは既存のActive Directory認証情報でログインして にアクセスし AWS Management Console 、 AWS リソースを管理できます。AD Connector は RDS SQL Server との互換性はありません。

AD Connector を使用して、既存の RADIUS ベースの MFA インフラストラクチャに接続することで、 AWS アプリケーションユーザーの多要素認証 (MFA) を有効にすることもできます。これにより、ユーザーが AWS アプリケーションにアクセスするときに、別のセキュリティレイヤーが追加されます。

AD Connector を使用すると、Active Directory を、引き続き現在と同じ方法で管理できます。例えば、新しいユーザーとグループの追加、パスワードの更新は、すべてのオンプレミス Active Directory で標準の Active Directory 管理ツールを使用して行います。これにより、ユーザーがオンプレミスまたは AWS クラウドのリソースにアクセスしているかどうかにかかわらず、パスワードの有効期限、パスワード履歴、アカウントロックアウトなどのセキュリティポリシーを一貫して適用できます。

どのようなときに使うか

AD Connector は、互換性のある AWS サービスで既存のオンプレミスディレクトリを使用する場合に最適です。詳細については、「AD Connector」を参照してください。

Simple AD

Simple AD は、Samba 4 にサポートされた AWS Directory Service からの、Microsoft Active Directory との互換性があるディレクトリです。Simple AD は、ユーザーアカウント、グループメンバーシップ、Linux ドメインまたはWindowsベースの EC2 インスタンスの結合、Kerberos ベースの SSO、グループポリシーなどの基本的なActive Directory機能をサポートしています。 は、サービスの一部としてモニタリング、毎日のスナップショット、リカバリ AWS を提供します。

Simple AD はクラウド内のスタンドアロンなディレクトリです。ユーザー ID の作成や管理、アプリケーションへのアクセスの管理を行います。基本的な Active Directory の機能が必要な、多くの使い慣れた Active Directory 対応のアプリケーションやツールを使用できます。Simple AD は、Amazon WorkSpaces、Amazon WorkDocs、Amazon QuickSight、Amazon WorkMail の各 AWS アプリケーションと互換性があります。Simple AD ユーザーアカウントと AWS Management Console を使用して にサインインし、 AWS リソースを管理することもできます。

Simple AD は、Multi-Factor·Authentication (MFA)、信頼関係、DNS 動的更新、スキーマ拡張、LDAPS を介した通信、PowerShell AD コマンドレット、または FSMO ロールの転送は、サポートしていません。Simple AD は RDS SQL Server との互換性はありません。実際の の機能を必要とするお客様MicrosoftActive Directory、または RDS SQL Server でディレクトリを使用することを想定しているお客様は、代わりに AWS Managed Microsoft AD を使用する必要があります。Simple AD を使用するときは、必要なアプリケーションが Samba 4 と完全な互換性があることを、事前に確認してください。詳細については、https://www.samba.org を参照してください。

どのようなときに使うか

Simple AD をクラウドのスタンドアロンディレクトリとして使用して、基本Active Directory機能、互換性のある AWS アプリケーションを必要とするWindowsワークロードをサポートしたり、LDAP サービスを必要とする Linux ワークロードをサポートしたりできます。詳細については、「Simple AD」を参照してください。

リージョンごとにサポートされているディレクトリタイプのリストについては、「のリージョンの可用性 AWS Directory Service」を参照してください。

オプションの選択

ニーズに最適な機能とスケーラビリティを提供するディレクトリサービスを選択できます。次の表は、組織に最適な AWS Directory Service ディレクトリオプションを決定するのに役立ちます。

目的	推奨 AWS Directory Service オプション
クラウドでのアプリケーションで、Active Directory または LDAP が必要	Active Directory 対応のワークロード、または Amazon WorkSpaces や Amazon QuickSight などの AWS アプリケーションおよびサービスをサポートする AWS クラウド内の実際の Microsoft Active Directory が必要、または、Linux アプリケーション向けの LDAP サポートが必要な場合、[AWS Directory Service for Microsoft Active Directory] (Standard Edition または Enterprise Edition) を使用してください。 オンプレミスユーザーがActive Directory認証情報を使用して AWS アプリケーションやサービスにログインすることのみを許可する場合は、AD Connector を使用します。AD Connector を使用して Amazon EC2 インスタンスを既存の Active Directory ドメインに結合することもできます。 Samba 4 互換アプリケーションをサポートする、基本的な Active Directory 互換性を持つ低スケール、低コストのディレクトリが必要な場合、または LDAP 対応アプリケーションに LDAP との互換性を対応する必要がある場合は、[Simple AD] を使用します。
SaaS アプリケーションを開発する	高スケールの SaaS アプリケーションを開発する場合、サブスクライバーを管理および認証するために、ソーシャルメディア ID に対応しているスケーラブルなディレクトリが必要なときは、Amazon Cognito を使用します。

AWS Directory Service ディレクトリオプションの詳細については、「ソリューションの選択方法Active DirectoryAWS」を参照してください。

Amazon EC2 の操作

AWS Directory Serviceを使用するときは、Amazon EC2 の基本を理解することが重要です。最初に次のトピックを読むことをお勧めします。

• 「Amazon VPC ユーザーガイド」の「Amazon EC2 とは」。

• 「Amazon EC2 ユーザーガイド」の「Amazon EC2 インスタンスの起動」

• 「Amazon EC2 ユーザーガイド」の「EC2 インスタンスの Amazon EC2 セキュリティグループ」

• 「Amazon VPC ユーザーガイド」の「Amazon VPC とは?」。

• 「Amazon VPC ユーザーガイド」の「AWS Virtual Private Networkを使用して VPC をリモートネットワークに接続する」。