AWS Directory Service とは? - AWS Directory Service

AWS Directory Service とは?

AWS Directory Service は、Microsoft Active Directory (AD) を AWS の他のサービスと併用するための方法をいくつか提供します。ディレクトリはユーザー、グループ、デバイスに関する情報を保存します。管理者は、これらのディレクトリによって、情報やリソースへのアクセスを管理します。AWS Directory Service は、既存の Microsoft AD や Lightweight Directory Access Protocol (LDAP) 対応のアプリケーションをクラウド上で使用するユーザー向けに、複数のディレクトリオプションを提供します。また、開発者がディレクトリによってユーザー、グループ、デバイス、およびアクセスを管理する場合にも、同じオプションを提供します。

オプションの選択

ニーズに最適な機能とスケーラビリティを提供するディレクトリサービスを選択できます。次の表を参考にして、お客様の組織に最適な AWS Directory Service ディレクトリオプションを選択してください。

目的 AWS Directory Service の推奨されるオプション
クラウド上のアプリケーションで、Active Directory または LDAP が必要

Active Directory 対応のワークロードや AWS のアプリケーションとサービス (Amazon WorkSpaces、Amazon QuickSight など) をサポートしている実際の Microsoft Active Directory が AWS クラウドで必要な場合、または Linux アプリケーション用に LDAP のサポートが必要な場合は、AWS Directory Service for Microsoft Active Directory (Standard Edition または Enterprise Edition) を選択します。

オンプレミスのユーザーが、Active Directory の認証情報で AWS アプリケーションやサービスにログインすることを許可するだけの場合は、AD Connector を使用します。AD Connector を使用して Amazon EC2 インスタンスを既存の Active Directory ドメインに結合することもできます。

Samba 4 互換アプリケーションをサポートする、基本的な Active Directory 互換性を持つ低スケール、低コストのディレクトリが必要な場合、または LDAP 対応アプリケーションに LDAP との互換性を持たせる必要がある場合は、Simple AD を使用します。

SaaS アプリケーションを開発する 高スケールの SaaS アプリケーションを開発する場合、サブスクライバーを管理および認証するために、ソーシャルメディア ID に対応しているスケーラブルなディレクトリが必要なときは、Amazon Cognito を使用します。

AWS Directory Service オプション

AWS Directory Service では、目的に応じて複数のディレクトリタイプを使い分けできます。詳細については、次のいずれかのタブを選択してください。

AWS Directory Service for Microsoft Active Directory

AWS Managed Microsoft AD としても知られる AWS Directory Service for Microsoft Active Directory は、AWS クラウドで AWS が管理する、実際の Microsoft Windows Server Active Directory (AD) によって稼働します。これを使用すると、さまざまな Active Directory 対応アプリケーションを AWS クラウドに移行できます。AWSManaged Microsoft AD は、Microsoft SharePoint、Microsoft SQL Server Always On 可用性グループ、そして多くの .NET アプリケーションと連携します。また、AWS の次のマネージドアプリケーションおよびサービスにも対応しています。Amazon WorkSpacesAmazon WorkDocsAmazon QuickSightAmazon ChimeAmazon ConnectAmazon Relational Database Service for Microsoft SQL Server (Amazon RDS for SQL Server、Amazon RDS for Oracle、Amazon RDS for PostgreSQL)。

AWS Managed Microsoft AD は、ディレクトリのコンプライアンスを有効にする場合、米国の医療保険の相互運用性と説明責任に関する法律 (HIPAA) や、PCI データセキュリティスタンダード (PCI DSS) に準拠する必要のある AWS クラウド内のアプリケーション用としても承認されています。

互換性のあるすべてのアプリケーションは、AWS Managed Microsoft AD に保存されたユーザー認証情報を使用して動作します。または、信頼された既存の AD インフラストラクチャに接続して、オンプレミスや EC2 Windows で実行される Active Directory からの認証情報を使用することもできます。EC2 インスタンスを AWS Managed Microsoft AD に結合すると、ユーザーはオンプレミスネットワークのワークロードにアクセスする場合と同じ Windows Single Sign-On (SSO) の使い方で、AWS クラウドの Windows ワークロードにアクセスできます。

AWS Managed Microsoft AD では、Active Directory の認証情報を使用してフェデレーションされたユースケースもサポートされています。AWS Managed Microsoft AD では、単独で AWS Management Console にサインインできます。また AWS IAM Identity Center (successor to AWS Single Sign-On) を使用して、AWS SDK および CLI で使用する短期間の認証情報を取得したり、事前設定済み SAML 統合を使用して多数のクラウドアプリケーションにサインインしたりすることもできます。Azure AD Connect、および必要に応じて Active Directory Federation Service (AD FS) を追加することで、AWS Managed Microsoft AD に保存されている認証情報を使用して、Microsoft Office 365 などのクラウドアプリケーションにサインインできます。

このサービスには、スキーマの拡張パスワードポリシーの管理、Secure Socket Layer (SSL)/Transport Layer Security (TLS) 経由の安全な LDAP 通信の有効化といった主要な機能が含まれています。また AWS Managed Microsoft AD の Multi-Factor·Authentication (MFA) を有効にして、ユーザーがインターネットから AWS アプリケーションにアクセスする際に、追加のセキュリティレイヤーを提供できます。Active Directory は LDAP ディレクトリであるため、Linux Secure Shell (SSH) 認証や他の LDAP 対応アプリケーションにも、AWS Managed Microsoft AD を使用できます。

AWS は、このサービスの一環として、モニタリング、日次スナップショット、および復旧を提供します。AWS Managed Microsoft AD にユーザーおよびグループを追加し、AWS Managed Microsoft AD ドメインに結合された Windows コンピュータで実行されている、使い慣れた Active Directory のツールを使用して、グループポリシーを管理できます。また、ドメインコントローラーを追加でデプロイしてディレクトリをスケールし、より多くのドメインコントローラー間でリクエストを分散させることで、アプリケーションのパフォーマンスを向上させることもできます。

AWS Managed Microsoft AD は、スタンダードとエンタープライズの 2 つのエディションで利用できます。

  • Standard Edition: AWS Managed Microsoft AD (Standard Edition) は、従業員数が 5,000 名までの、中小企業向けのプライマリディレクトリとして最適化されています。ユーザー、グループ、コンピュータなど、最大 30,000* のディレクトリオブジェクトをサポートするために十分なストレージ容量を提供します。

  • Enterprise Edition: AWS Managed Microsoft AD (Enterprise Edition) は、最大 500,000* のディレクトリオブジェクトをサポートする、エンタープライズ組織向けに設計されています。

* 上限数は概数です。ディレクトリでサポートできるディレクトリオブジェクトの数は、オブジェクトのサイズ、アプリケーションの動作やパフォーマンスニーズに応じて増減する場合があります。

どのようなときに使うか

AWS アプリケーションや Windows ワークロード (Amazon Relational Database Service for Microsoft SQL Server など) をサポートするために、実際の Active Directory の機能が必要な場合は、AWS Managed Microsoft AD が最適な選択肢です。また、AWS クラウドで Office 365 をサポートするスタンドアロンの AD が必要な場合や Linux アプリケーションをサポートする LDAP ディレクトリが必要な場合にも最適です。詳細については、「AWS Managed Microsoft AD」を参照してください。

AD Connector

AD Connector は、互換性のある AWS アプリケーション (Amazon WorkSpaces、Amazon QuickSight、Windows Server インスタンス用の Amazon EC2 など) を、オンプレミスの既存の Microsoft Active Directory に、簡単に接続する方法を提供するプロキシサービスです。AD Connector によって、1 つのサービスアカウントを Active Directory に簡単に追加できます。AD Connector を使用すると、ディレクトリを同期化する必要がなくなり、フェデレーションインフラストラクチャをホストするコストや複雑さからも解放されます。

Amazon QuickSight などの AWS アプリケーションにユーザーを追加すると、AD Connector は既存の Active Directory を読み取り、選択対象のユーザーやグループのリストを作成します。ユーザーが AWS アプリケーションにログインすると、AD Connector はサインインリクエストをオンプレミスの Active Directory ドメインコントローラーに転送して、認証を行います。AD Connector は、次のものを含む、多くの AWS のアプリケーションやサービスと連携します。Amazon WorkSpacesAmazon WorkDocsAmazon QuickSightAmazon ChimeAmazon ConnectAmazon WorkMailシームレスなドメイン結合により、AD Connector 経由で、オンプレミスの Active Directory ドメインに EC2 Windows インスタンスを結合させることもできます。また AD Connector により、ユーザーが既存の Active Directory の認証情報を使用してログインすることで AWS Management Console にアクセスしたり、AWS リソースを管理したりすることも許可できます。AD Connector は RDS SQL Server との互換性はありません。

AD Connector を使用して、既存の RADIUS ベースの MFA インフラストラクチャに接続することで、AWS アプリケーションのユーザーの Multi-Factor·Authentication (MFA) を有効にすることもできます。これにより、ユーザーが AWS アプリケーションにアクセスするときに、別のセキュリティレイヤーが追加されます。

AD Connector を使用すると、Active Directory を、引き続き現在と同じ方法で管理できます。例えば、新しいユーザーとグループの追加、パスワードの更新は、すべてオンプレミスで標準の Active Directory 管理ツールを使用して行います。これにより、ユーザーがアクセスするリソースがオンプレミスまたは AWS クラウドのいずれにある場合でも、パスワードの有効期限、パスワード履歴、アカウントのロックアウトなどのセキュリティポリシーを、一貫して適用できます。

どのようなときに使うか

AD Connector は、既存のオンプレミスディレクトリを、互換性のある AWS のサービスと併用する場合に最適です。詳細については、「Active Directory Connector」を参照してください。

Simple AD

Simple AD は、AWS Directory Service が提供する Microsoft Active Directory 互換のディレクトリであり、Samba 4 を使用します。Simple AD は、ユーザーアカウント、グループメンバーシップ、Linux ドメインまたは Windows ベースの EC2 インスタンスの結合、Kerberos ベースの SSO、グループポリシーなどの、基本的な Active Directory の機能をサポートしています。AWS は、サービスの一環としてモニタリング、日次スナップショット、復旧を提供します。

Simple AD はクラウド内のスタンドアロンなディレクトリです。ユーザー ID の作成や管理、アプリケーションへのアクセスの管理を行います。基本的な Active Directory の機能が必要な、多くの使い慣れた Active Directory 対応のアプリケーションやツールを使用できます。Simple AD は次の AWS アプリケーションと互換性があります。Amazon WorkSpacesAmazon WorkDocsAmazon QuickSightAmazon WorkMail。また、Simple AD のユーザーアカウントを使用して AWS Management Console にサインインし、AWS リソースを管理することもできます。

Simple AD は、Multi-Factor·Authentication (MFA)、信頼関係、DNS 動的更新、スキーマ拡張、LDAPS を介した通信、PowerShell AD コマンドレット、または FSMO ロールの転送は、サポートしていません。Simple AD は RDS SQL Server との互換性はありません。実際の Microsoft Active Directory の機能が必要な場合や、RDS SQL Server でのディレクトリの使用を計画している場合は、代わりに AWS Managed Microsoft AD を使用します。Simple AD を使用するときは、必要なアプリケーションが Samba 4 と完全な互換性があることを、事前に確認してください。詳細については、https://www.samba.org を参照してください。

どのようなときに使うか

クラウド内で Simple AD をスタンドアロンのディレクトリとして使用すると、基本的な AD の機能が必要な Windows ワークロード、互換性のある AWS アプリケーション、または LDAP サービスが必要な Linux ワークロードをサポートできます。詳細については、「Simple Active Directory」を参照してください。

Amazon Cognito

Amazon Cognito は、モバイルアプリケーションまたはウェブアプリケーションに対して、Amazon Cognito ユーザープールを使用してサインアップとサインインを追加するユーザーディレクトリです。

どのようなときに使うか

カスタム登録フィールドを作成し、そのメタデータをユーザーディレクトリに格納する必要があるときにも、Amazon Cognito を使用できます。このフルマネージド型のサービスは、何百万というユーザーをサポートするように拡張できます。詳細については、「Amazon Cognito デベロッパーガイド」の「Amazon Cognito user pools」を参照してください。

リージョンごとにサポートされているディレクトリタイプのリストについては、「AWS Directory Service が利用可能なリージョン」を参照してください。

Amazon EC2 の操作

AWS Directory Service を使用するときは、Amazon EC2 の基本を理解することが重要です。最初に次のトピックを読むことをお勧めします。