AWS Directory Service とは - AWS Directory Service

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS Directory Service とは

AWS Directory Service は、Microsoft Active Directory (AD) を AWS の他のサービスと併用するための複数の方法を提供します。ディレクトリはユーザー、グループ、デバイスに関する情報を保存します。管理者は、これらのディレクトリを通じて情報やリソースへのアクセスを管理します。AWS Directory Service は、既存の Microsoft AD やライトウェイトディレクトリアクセスプロトコル (LDAP) –対応のアプリケーションをクラウド上で使用するユーザー向けに複数のディレクトリオプションを提供します。また、開発者がディレクトリを通じてユーザー、グループ、デバイス、およびアクセスを管理する場合にも、同じオプションを提供します。

オプションの選択

ニーズに合った最適な機能とスケーラビリティを提供するディレクトリサービスを選択できます。以下の表を参考にして、お客様の組織に最適な AWS Directory Service ディレクトリオプションを選択してください。

目的 AWS Directory Service の推奨されるオプション
クラウド内のアプリケーションに Active Directory または LDAP が必要である

AWS Directory Service for Microsoft Active Directory (スタンダードまたはエンタープライズエディション) を選択します。Active Directory– 対応のワークロードや AWS のアプリケーションとサービス (Amazon WorkSpaces、Amazon QuickSight など) をサポートする実際の Microsoft Active Directory が AWS クラウドで必要な場合、または Linux アプリケーション用に LDAP サポートが必要な場合にお勧めします。

オンプレミスのユーザーが Active Directory 認証情報で AWS アプリケーションやサービスにログインすることを許可するだけの場合は、AD Connector を使用します。AD Connector を使用して Amazon EC2 インスタンスを既存の Active Directory ドメインに結合することもできます。

Samba 4 互換アプリケーションをサポートする基本的な Active Directory 互換性を持つ低スケール、低コストのディレクトリが必要な場合、または LDAP 対応アプリケーションの LDAP 互換性が必要な場合は、Simple AD を使用します。–

アプリケーションを開発するSaaS 高スケールの Amazon Cognito アプリケーションを開発する場合、受信者を管理および認証するために、ソーシャルメディア ID に対応するスケーラブルなディレクトリが必要なときは、SaaS を使用します。

AWS Directory Service オプション

AWS Directory Service では、複数のディレクトリタイプを目的に応じて使い分けることができます。詳細については、次のタブのいずれかを選択してください。

AWS Directory Service for Microsoft Active Directory

AWS Directory Service for Microsoft Active Directory は、AWS Managed Microsoft AD とも呼ばれ、実際の Microsoft Windows Server Active Directory (AD) を搭載し、AWS クラウド上で AWS によって管理されます。これを使用すると、さまざまな Active Directory 対応アプリケーションを – クラウドに移行できます。AWS は、Microsoft AWS Managed Microsoft AD、Microsoft SQL Server Always On 可用性グループ、多くの .NET アプリケーションと連携します。SharePointまた、AWS が管理するアプリケーションやサービス (Amazon WorkSpacesAmazon WorkDocs、、Amazon QuickSightAmazon Chime、Amazon Connect、) もサポートされています (Microsoft SQL Server には がサポートされています (SQL Server には Amazon Relational Database Service、Oracle には 、Amazon RDS)。Amazon RDSAmazon RDSPostgreSQL

AWS Managed Microsoft AD は、AWSディレクトリのコンプライアンスを有効にする場合、米国の医療保険の相互運用性と説明責任に関する法律 (HIPAA) や PCI データセキュリティスタンダード (PCI DSS) に準拠する必要がある クラウド内のアプリケーション用としても承認されています。

互換性のあるすべてのアプリケーションは、AWS Managed Microsoft AD に保存されたユーザー認証情報を使用して動作します。または、信頼された既存の AD インフラストラクチャに接続して、オンプレミスや EC2 Windows で実行される Active Directory からの認証情報を使用することもできます。EC2 インスタンスを AWS Managed Microsoft AD に結合すると、ユーザーはオンプレミスネットワークのワークロードにアクセスする場合と同じ Windows シングルサインオン (single sign-on、SSO) の使い方で、AWS クラウドの Windows ワークロードにアクセスできます。

AWS Managed Microsoft AD では、Active Directory 認証情報を使用してフェデレーションされたユースケースもサポートされています。AWS Managed Microsoft AD は単独で AWS マネジメントコンソール にサインインできます。また、AWS シングルサインオン を使用して、AWS SDK および CLI で使用する短期間の認証情報を取得したり、事前設定済み SAML 統合を使用して多数のクラウドアプリケーションにサインインすることもできます。Azure AD Connect、および必要に応じて Active Directory Federation Service (AD FS) を追加することで、AWS Managed Microsoft AD に保存されている認証情報を使用して Microsoft Office 365 などのクラウドアプリケーションにサインインできます。

このサービスにはキー機能が含まれており、スキーマの拡張パスワードポリシーの管理、およびセキュアソケットレイヤー (Secure Socket Layer、SSL)/Transport Layer Security (TLS) 経由の安全な LDAP 通信の有効化を行うことができます。また、AWS Managed Microsoft AD の多要素認証 (multi-factor authentication、MFA) を有効にして、ユーザーがインターネットから AWS アプリケーションにアクセスする際に追加のセキュリティレイヤーを提供できます。Active Directory は LDAP ディレクトリであるため、AWS Managed Microsoft AD は Linux Secure Shell (SSH) 認証や他の LDAP 対応アプリケーションにも使用できます。

AWS は、このサービスの一環として、モニタリング、日次スナップショット、および復旧を提供します。AWS Managed Microsoft AD にユーザーおよびグループを追加し、AWS Managed Microsoft AD ドメインに結合された Windows コンピュータで実行されている使い慣れた Active Directory ツールを使用して、グループポリシーを管理できます。また、追加のドメインコントローラーをデプロイしてディレクトリをスケールし、より多くのドメインコントローラー間でリクエストを分散させることでアプリケーションのパフォーマンスを向上させることもできます。

は 2 つのエディションで利用できます。AWS Managed Microsoft ADStandard と Enterprise。

  • スタンダードエディション: AWS Managed Microsoft AD (スタンダードエディション) は、従業員数が 5,000 名までの中小企業向けのプライマリディレクトリとして最適化されています。ユーザー、グループ、コンピュータなど、最大 30,000* のディレクトリオブジェクトをサポートするために十分なストレージ容量を提供します。

  • エンタープライズエディション: AWS Managed Microsoft AD (Enterprise Edition) は、最大 500,000* のディレクトリオブジェクトをサポートするエンタープライズ組織向けに設計されています。

* 上限数は概数です。ディレクトリでサポートできるディレクトリオブジェクトの数は、オブジェクトのサイズ、アプリケーションの動作やパフォーマンスニーズに応じて増減する場合があります。

どのようなときに使うか

AWS アプリケーションや Windows ワークロード ( Amazon Relational Database Servicefor Microsoft SQL Server など) をサポートするために実際の Active Directory 機能が必要な場合は、AWS Managed Microsoft AD が最適な選択肢です。また、AWS クラウドで Office 365 をサポートするスタンドアロンの AD が必要な場合や Linux アプリケーションをサポートする LDAP ディレクトリが必要な場合にも最適です。詳細については、「AWS Managed Microsoft AD」を参照してください。

AD Connector

AD Connector は、互換性のある AWS アプリケーション (Amazon WorkSpaces、Amazon QuickSight、Amazon EC2 for Windows Server など) をオンプレミスの既存の Microsoft Active Directory に簡単に接続する方法を提供するプロキシサービスです。AD Connector では、Active Directory に簡単に 1 つのサービスアカウントを追加できます。AD Connector を使用すると、ディレクトリを同期化する必要がなくなり、フェデレーションインフラストラクチャをホストするコストや複雑さからも解放されます。

Amazon QuickSight などの AWS アプリケーションにユーザーを追加すると、AD Connector は既存の Active Directory を読み取り、選択対象のユーザーやグループのリストを作成します。ユーザーが AWS アプリケーションにログインすると、AD Connector はサインインリクエストをオンプレミスの Active Directory ドメインコントローラーに転送して認証を行います。AD Connector は、多くの AWS アプリケーションやサービス (Amazon WorkSpacesAmazon WorkDocsAmazon QuickSightAmazon ChimeAmazon ConnectAmazon WorkMail など) と連携します。シームレスなドメイン結合を使用し、 を介してオンプレミスの Active Directory ドメインに AD ConnectorEC2 Windows インスタンスを参加させることもできます。また、 では、ユーザーが既存の Active Directory 認証情報を使用して AD Connector にアクセスし、AWS マネジメントコンソール リソースを管理することもできます。AWS は、RDS SQL Server と互換性がありません。AD Connector

では、既存の RADIUS ベースの MFA インフラストラクチャに接続することで、AD Connector アプリケーションに対する多要素認証 (MFA) を有効化することもできます。AWSこれにより、ユーザーが AWS アプリケーションにアクセスするときに別のセキュリティレイヤーが追加されます。

AD Connector を使用すると、現在と同じ方法で引き続き Active Directory を管理できます。たとえば、新しいユーザーの追加、新しいグループの追加、パスワードの更新は、すべてオンプレミス Active Directory の標準の Active Directory 管理ツールを使用して実行されます。これにより、ユーザーがアクセスするリソースがオンプレミスまたは AWS クラウドのいずれにある場合でも、パスワード有効期限、パスワード履歴、アカウントロックアウトなどのセキュリティポリシーを一貫して適用できます。

どのようなときに使うか

AD Connector は、既存のオンプレミスディレクトリを互換性のある AWS のサービスと併用する場合に最適です。詳細については、「Active Directory Connector」を参照してください。

Simple AD

Simple AD は、Samba 4 を使用する の Microsoft Active Directory 互換AWS Directory Serviceディレクトリです。Simple AD は、ユーザーアカウント、グループメンバーシップ、Linux ドメインまたは Windows ベースの EC2 インスタンスの結合、Kerberos ベースの SSO、グループポリシーなどの基本的な Active Directory 機能をサポートしています。AWS では、このサービスの一環として、モニタリング、日次スナップショット、および回復を提供します。

Simple AD はクラウド内のスタンドアロンディレクトリであり、ユーザーアイデンティティの作成や管理、アプリケーションへのアクセスの管理を行います。基本的な Active Directory 機能を必要とする、多くの使い慣れた Active Directory 対応のアプリケーションやツールを使用できます。–Simple AD は、AWS アプリケーションの Amazon WorkSpacesAmazon WorkDocsAmazon QuickSight、および Amazon WorkMail と互換性があります。また、Simple AD のユーザーアカウントを使用して AWS マネジメントコンソール にサインインし、AWS リソースを管理することもできます。

Simple AD では、多要素認証 (MFA)、信頼関係、DNS 動的更新、スキーマ拡張、LDAPS を介した通信、PowerShell AD コマンドレット、または FSMO ロールの転送はサポートされていません。Simple AD は、RDS SQL Server と互換性がありません。実際の Microsoft Active Directory の機能が必要な場合や、RDS SQL Server でのディレクトリの使用を計画する場合は、代わりに AWS Managed Microsoft AD を使用する必要があります。Simple AD を使用する前に、必要なアプリケーションが Samba 4 と完全に互換することを確認してください。詳細については、https://www.samba.org を参照してください。

どのようなときに使うか

Simple AD をクラウド内でスタンドアロンのディレクトリとして使用すると、基本的な AD 機能を必要とする Windows ワークロード、互換性のある AWS アプリケーション、または LDAP サービスを必要とする Linux ワークロードをサポートできます。詳細については、「Simple Active Directory」を参照してください。

Amazon Cognito

Amazon Cognito は、Amazon Cognito ユーザープールを使用してモバイルアプリまたはウェブアプリケーションにサインアップとサインインを追加するユーザーディレクトリです。

どのようなときに使うか

カスタム登録フィールドを作成し、そのメタデータをユーザーディレクトリ内に格納する必要があるときにも Amazon Cognito を使用できます。このフルマネージド型のサービスは、拡張して何百万というユーザーをサポートします。詳細については、「ユーザープールの作成および管理」を参照してください。

リージョンごとにサポートされているディレクトリタイプのリストについては、「AWS Directory Service が利用可能なリージョン」を参照してください。

Amazon EC2 の使用

AWS Directory Service を使用して Amazon EC2 の基本を理解する必要があります。最初に以下のトピックを読むことをお勧めします。