翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
とは AWS Directory Service
AWS Directory Service には、他の AWS のサービスで Microsoft Active Directory (AD) を使用する複数の方法があります。ディレクトリは、ユーザー、グループ、デバイスに関する情報を保存し、管理者はそれらを使用して情報とリソースへのアクセスを管理します。 は、クラウド内の既存の Microsoft AD または Lightweight Directory Access Protocol (LDAP) 対応アプリケーションを使用するお客様に、複数のディレクトリの選択肢 AWS Directory Service を提供します。また、開発者がディレクトリによってユーザー、グループ、デバイス、およびアクセスを管理する場合にも、同じオプションを提供します。
オプションの選択
ニーズに最適な機能とスケーラビリティを提供するディレクトリサービスを選択できます。次の表は、組織に最適な AWS Directory Service ディレクトリオプションを決定するのに役立ちます。
目的 |
推奨 AWS Directory Service オプション |
クラウド上のアプリケーションで、Active Directory または LDAP が必要 |
AWS Directory Service for Microsoft Active Directory (Standard Edition または Enterprise Edition) は、 対応のワークロード、Amazon や Amazon Active Directoryなどの AWS アプリケーションやサービスをサポートする AWS クラウドMicrosoftActive Directoryで実際に が必要な場合 QuickSight、または Linux WorkSpaces アプリケーションの LDAP サポートが必要な場合に使用します。
AD Connector は、オンプレミスユーザーが Active Directory認証情報を使用してアプリケーションやサービスにログイン AWS することのみを許可する場合に使用します。AD Connector を使用して、Amazon EC2 インスタンスを既存のActive Directoryドメインに結合することもできます。
Samba 4 互換アプリケーションをサポートする基本的なActive Directory互換性を持つ、低コストの低スケールディレクトリが必要な場合、または LDAP 対応アプリケーションに LDAP 互換性が必要な場合は、Simple AD を使用します。
|
SaaS アプリケーションを開発する |
高スケールの SaaS アプリケーションを開発する場合、サブスクライバーを管理および認証するために、ソーシャルメディア ID に対応しているスケーラブルなディレクトリが必要なときは、Amazon Cognito を使用します。 |
AWS Directory Service ディレクトリオプションの詳細については、「 でActive Directoryソリューションを選択する方法 AWS」を参照してください。
AWS Directory Service オプション
AWS Directory Service には、選択できるディレクトリタイプがいくつか含まれています。詳細については、次のいずれかのタブを選択してください。
- AWS Directory Service for Microsoft Active Directory
-
AWS Managed Microsoft AD とも呼ばれる AWS Directory Service for Microsoft Active Directory は、 AWS クラウド AWS で によって管理される実際の Microsoft Windows Server Active Directory (AD) を利用しています。これにより、幅広い Active Directory 対応アプリケーションを AWS クラウドに移行できます。 AWS マネージド Microsoft AD は、Microsoft SharePoint、Microsoft SQL ServerAlways On 可用性グループ、および多くの .NET アプリケーションで動作します。また、Amazon WorkSpaces、Amazon 、Amazon WorkDocs、Amazon Chime 、Amazon Connect 、Amazon Relational Database Service for Microsoft SQL Server (Amazon RDS for 、Amazon RDS for SQL Server、Amazon RDS for PostgreSQL ) などの AWS マネージドアプリケーションOracleとサービスもサポートしています。 QuickSight
AWS Managed Microsoft AD は、ディレクトリ のコンプライアンスを有効にすると、米国の医療保険の相互運用性と説明責任に関する法律 (HIPAA) または Payment Card Industry Data Security Standard (PCI DSS) に準拠する AWS クラウド内のアプリケーションに対して承認されます。 https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_compliance.html
互換性のあるすべてのアプリケーションは、 AWS Managed Microsoft AD に保存したユーザー認証情報で動作します。または、信頼して既存の AD インフラストラクチャに接続し、オンプレミスまたは EC2 Windows でActive Directory実行されている の認証情報を使用できます。EC2 インスタンスを AWS Managed Microsoft AD に参加させると、ユーザーはオンプレミスネットワークのワークロードにアクセスする場合と同じ Windows シングルサインオン (SSO) エクスペリエンスで AWS クラウドの Windows ワークロードにアクセスできます。
AWS Managed Microsoft AD は、 Active Directory認証情報を使用したフェデレーションユースケースもサポートしています。Managed AWS Microsoft AD を使用すると、 にサインインできますAWS Management Console。ではAWS IAM Identity Center、 AWS SDK および CLI で使用するための短期認証情報を取得したり、事前設定された SAML 統合を使用して多くのクラウドアプリケーションにサインインしたりすることもできます。Microsoft Entra Connect (以前は と呼ばれていましたAzure Active Directory Connect) とオプションActive Directoryで Federation Service (AD FS) を追加することで、 AWS Managed Microsoft AD に保存されている認証情報を使用して Microsoft Office 365や他のクラウドアプリケーションにサインインできます。
このサービスには、スキーマの拡張やパスワードポリシーの管理、Secure Socket Layer (SSL)/Transport Layer Security (TLS) 経由の安全な LDAP 通信の有効化といった主要な機能が含まれています。Managed Microsoft AD の多要素認証 (MFA) AWS を有効にして、ユーザーがインターネットから AWS アプリケーションにアクセスするときにセキュリティを強化することもできます。Active Directory は LDAP ディレクトリであるため、Linux Secure Shell (SSH) 認証やその他の LDAP 対応アプリケーションに AWS Managed Microsoft AD を使用することもできます。
AWS は、モニタリング、日次スナップショット、リカバリをサービスの一部として提供します。ユーザーとグループを AWS Managed Microsoft AD に追加し、 Managed Microsoft AD AWS ドメインに参加しているWindowsコンピュータで実行されている使い慣れたActive Directoryツールを使用してグループポリシーを管理します。また、ドメインコントローラーを追加でデプロイしてディレクトリをスケールし、より多くのドメインコントローラー間でリクエストを分散させることで、アプリケーションのパフォーマンスを向上させることもできます。
AWS Managed Microsoft AD は、Standard と Enterprise の 2 つのエディションで利用できます。
-
Standard Edition: AWS Managed Microsoft AD (Standard Edition) は、従業員数が 5,000 名までの、中小企業向けのプライマリディレクトリとして最適化されています。ユーザー、グループ、コンピュータなど、最大 30,000* のディレクトリオブジェクトをサポートするために十分なストレージ容量を提供します。
-
Enterprise Edition: AWS Managed Microsoft AD (Enterprise Edition) は、最大 500,000* のディレクトリオブジェクトをサポートする、エンタープライズ組織向けに設計されています。
* 上限数は概数です。ディレクトリでサポートできるディレクトリオブジェクトの数は、オブジェクトのサイズ、アプリケーションの動作やパフォーマンスニーズに応じて増減する場合があります。
どのようなときに使うか
AWS Managed Microsoft AD は、Amazon Relational Database Service for など、 AWS アプリケーションやWindowsワークロードをサポートする実際のActive Directory機能が必要な場合に最適ですMicrosoft SQL Server。また、Office 365 をサポートするスタンドアロンActive Directoryの AWS クラウドが必要な場合や、Linux アプリケーションをサポートする LDAP ディレクトリが必要な場合にも最適です。詳細については、「AWS Managed Microsoft AD」を参照してください。
- AD Connector
-
AD Connector は、Windows Serverインスタンス用の Amazon 、Amazon WorkSpaces、 QuickSightAmazon EC2 などの互換性のある AWS アプリケーションを既存のオンプレミス Microsoft に簡単に接続できるプロキシサービスですActive Directory。AD Connector を使用すると、 に 1 つのサービスアカウントを追加するだけで済みますActive Directory。AD Connector を使用すると、ディレクトリを同期化する必要がなくなり、フェデレーションインフラストラクチャをホストするコストや複雑さからも解放されます。
Amazon などの AWS アプリケーションにユーザーを追加すると QuickSight、AD Connector は既存の を読み取りActive Directory、選択するユーザーとグループのリストを作成します。ユーザーが AWS アプリケーションにログインすると、AD Connector はサインインリクエストをオンプレミスのActive Directoryドメインコントローラーに転送して認証を行います。AD Connector は、Amazon WorkSpaces、Amazon 、Amazon WorkDocs、Amazon Chime QuickSight、Amazon Connect 、および Amazon を含む多くの AWS アプリケーションとサービスで動作します。 Amazon Connect WorkMail シームレスなActive Directoryドメイン結合 を使用して、AD Connector を介して EC2 Windowsインスタンスをオンプレミスドメインに参加させることもできます。 https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_launching_instance.htmlAD Connector では、ユーザーは既存のActive Directory認証情報でログインして にアクセスし AWS Management Console 、 AWS リソースを管理できます。AD Connector は RDS SQL Server との互換性はありません。
AD Connector を使用して、既存の RADIUS ベースの MFA インフラストラクチャに接続することで、アプリケーションユーザーの多要素認証 (MFA) を有効にすることもできます。 AWS これにより、ユーザーが AWS
アプリケーションにアクセスするときに、別のセキュリティレイヤーが追加されます。
AD Connector では、現在のActive Directoryように を管理し続けます。例えば、新しいユーザーとグループを追加し、オンプレミスの の標準Active Directory管理ツールを使用してパスワードを更新しますActive Directory。これにより、ユーザーがオンプレミスまたは AWS クラウドのリソースにアクセスしているかどうかにかかわらず、パスワードの有効期限、パスワード履歴、アカウントのロックアウトなどのセキュリティポリシーを一貫して適用できます。
どのようなときに使うか
AD Connector は、互換性のある AWS サービスで既存のオンプレミスディレクトリを使用する場合に最適です。詳細については、「AD Connector」を参照してください。
- Simple AD
-
Simple AD は、Samba Microsoft Active Directory4 を搭載した からの互換性のあるディレクトリ AWS Directory Service です。Simple AD は、ユーザーアカウント、グループメンバーシップ、Linux ドメインまたはWindowsベースの EC2 インスタンスへの参加、Kerberos ベースの SSO、グループポリシーなどの基本Active Directory機能をサポートしています。 AWS は、サービスの一部としてモニタリング、毎日のスナップショット、リカバリを提供します。
Simple AD はクラウド内のスタンドアロンなディレクトリです。ユーザー ID の作成や管理、アプリケーションへのアクセスの管理を行います。基本的なActive Directory機能を必要とする、使い慣れた Active Directory対応のアプリケーションやツールを多数使用できます。Simple AD は、Amazon 、Amazon WorkSpaces 、Amazon WorkDocs、および Amazon QuickSightの AWS アプリケーションと互換性があります。 WorkMailSimple AD ユーザーアカウント AWS Management Console を使用して にサインインし、 リソースを管理する AWS こともできます。
Simple AD は、多要素認証 (MFA)、信頼関係、DNS 動的更新、スキーマ拡張、LDAPS 経由の通信、 PowerShell AD コマンドレット、または FSMO ロール転送をサポートしていません。Simple AD は RDS SQL Server との互換性はありません。実際の の機能を必要とするお客様MicrosoftActive Directory、または RDS SQL Server でディレクトリを使用することを想定しているお客様は、代わりに AWS Managed Microsoft AD を使用する必要があります。Simple AD を使用するときは、必要なアプリケーションが Samba 4 と完全な互換性があることを、事前に確認してください。詳細については、https://www.samba.org を参照してください。
どのようなときに使うか
Simple AD をクラウドのスタンドアロンディレクトリとして使用して、基本Active Directory機能、互換性のある AWS アプリケーションを必要とするWindowsワークロードをサポートしたり、LDAP サービスを必要とする Linux ワークロードをサポートしたりできます。詳細については、「Simple AD」を参照してください。
- Amazon Cognito
-
Amazon Cognito は、モバイルアプリケーションまたはウェブアプリケーションに対して、Amazon Cognito ユーザープールを使用してサインアップとサインインを追加するユーザーディレクトリです。
どのようなときに使うか
カスタム登録フィールドを作成し、そのメタデータをユーザーディレクトリに格納する必要があるときにも、Amazon Cognito を使用できます。このフルマネージド型のサービスは、何百万というユーザーをサポートするように拡張できます。詳細については、「Amazon Cognito デベロッパーガイド」の「Amazon Cognito user pools」を参照してください。
リージョンごとにサポートされているディレクトリタイプのリストについては、「のリージョンの可用性 AWS Directory Service」を参照してください。
Amazon EC2 の操作
AWS Directory Serviceを使用するときは、Amazon EC2 の基本を理解することが重要です。最初に次のトピックを読むことをお勧めします。