とは何ですか AWS Directory Service? - AWS Directory Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

とは何ですか AWS Directory Service?

AWS Directory Service AWS 他のサービスと併用する Microsoft Active Directory (AD) 方法が複数用意されています。ディレクトリにはユーザー、グループ、デバイスに関する情報が保存され、管理者はそれらを使用して情報やリソースへのアクセスを管理します。 AWS Directory Service 既存の Microsoft AD またはライトウェイトディレクトリアクセスプロトコル (LDAP) 対応アプリケーションをクラウドで使用したいお客様向けに、複数のディレクトリの選択肢を提供します。また、開発者がディレクトリによってユーザー、グループ、デバイス、およびアクセスを管理する場合にも、同じオプションを提供します。

オプションの選択

ニーズに最適な機能とスケーラビリティを提供するディレクトリサービスを選択できます。次の表を参考にして、 AWS Directory Service どのディレクトリオプションが組織に最適かを判断してください。

目的 AWS Directory Service 推奨オプション
クラウド上のアプリケーションで、Active Directory または LDAP が必要

Microsoft Active AWS Directory 用Directory Service (スタンダードエディションまたはエンタープライズエディション) は、Amazon や Amazon Microsoft Active Directory AWS Active Directory AWS WorkSpaces などのアプリケーションやサービスをサポートする実際のクラウドサービスが必要な場合 QuickSight、または Linux アプリケーションの LDAP サポートが必要な場合に使用します。

AWS Active Directoryオンプレミスユーザーが認証情報を使用してアプリケーションやサービスにログインすることのみを許可する必要がある場合は、AD Connector を使用してください。AD Connector を使用して Amazon EC2 Active Directory インスタンスを既存のドメインに結合することもできます。

Samba 4 Active Directory 互換アプリケーションをサポートする基本的な互換性を備えた低スケールで低コストのディレクトリが必要な場合や、LDAP 対応アプリケーションに LDAP との互換性が必要な場合は、Simple AD を使用してください。

SaaS アプリケーションを開発する 高スケールの SaaS アプリケーションを開発する場合、サブスクライバーを管理および認証するために、ソーシャルメディア ID に対応しているスケーラブルなディレクトリが必要なときは、Amazon Cognito を使用します。

AWS Directory Service ディレクトリオプションについて詳しくは、「ソリューションを選択する方法」を参照してください。Active DirectoryAWS

AWS Directory Service オプション

AWS Directory Service には複数のディレクトリタイプから選択できます。詳細については、次のいずれかのタブを選択してください。

AWS Directory Service for Microsoft Active Directory

AWS マネージド Microsoft AD とも呼ばれる Microsoft Active AWS Directory 用Directory Service、 AWS AWS クラウドで管理される実際の Microsoft Windows Server Active Directory (AD) によって運営されています。これにより、Active Directory 対応のさまざまなアプリケーションをクラウドに移行できます。 AWS AWS マネージド Microsoft AD はMicrosoft SharePoint、Microsoft SQL Server Always On 可用性グループ、および多数の .NET アプリケーションと連携します。また、Amazon、Amazon、Amazon、Amazon Chime WorkSpaces、Amazon Connect WorkDocs QuickSight、アマゾンリレーショナルデータベースサービス Microsoft SQL Server(Amazon RDS for PostgreSQL、Amazon RDS for Amazon RDS for SQL Server PostgreSQL) AWS などのマネージドアプリケーションとサービスもサポートしています。Oracle

AWS ディレクトリのコンプライアンスを有効にすると、米国Health 保険の相互運用性と説明責任に関する法律 (HIPAA) またはペイメントカード業界データセキュリティ標準 (PCI DSS) AWS の準拠の対象となるクラウド内のアプリケーションについて、Managed Microsoft AD が承認されます。

互換性のあるアプリケーションはすべて、 AWS Managed Microsoft AD に保存されているユーザー認証情報で動作します。または、信頼を利用して既存の AD インフラストラクチャに接続し、Active Directory実行中のオンプレミスまたは EC2 Windows の認証情報を使用できます。EC2 AWS インスタンスをマネージド Microsoft AD に参加させると、ユーザーはオンプレミスネットワークのワークロードにアクセスするときと同じ Windows シングルサインオン (SSO) AWS エクスペリエンスでクラウドの Windows ワークロードにアクセスできます。

AWS マネージド Microsoft AD は、Active Directory認証情報を使用するフェデレーションユースケースもサポートします。 AWS マネージド Microsoft AD だけで、AWS Management Consoleにサインインできます。AWS IAM Identity Centerでは、 AWS SDK や CLI で使用する短期認証情報を取得したり、事前設定された SAML 統合を使用して多くのクラウドアプリケーションにサインインしたりすることもできます。Microsoft Entra Connect(旧称Azure Active Directory Connect) を追加し、Active Directoryオプションでフェデレーションサービス (AD FS) を追加することで、 AWS Managed Microsoft AD に保存されている認証情報を使用して、Microsoft Office 365およびその他のクラウドアプリケーションにサインインできます。

このサービスには、スキーマの拡張パスワードポリシーの管理、Secure Socket Layer (SSL)/Transport Layer Security (TLS) 経由の安全な LDAP 通信の有効化といった主要な機能が含まれています。AWS Managed Microsoft AD の多要素認証 (MFA) を有効にして、 AWS ユーザーがインターネットからアプリケーションにアクセスするときのセキュリティを強化することもできます。Active Directoryは LDAP ディレクトリであるため、Linux セキュアシェル (SSH) 認証やその他の LDAP AWS 対応アプリケーションにもマネージド Microsoft AD を使用できます。

AWS サービスの一環として、監視、日次スナップショット、リカバリを提供します。管理対象の Microsoft AD Active Directory Windows ドメインに参加しているコンピューター上で実行されている使い慣れたツールを使用して、AWS 管理対象の Microsoft AD にユーザーとグループを追加し、グループポリシーを管理します AWS 。また、ドメインコントローラーを追加でデプロイしてディレクトリをスケールし、より多くのドメインコントローラー間でリクエストを分散させることで、アプリケーションのパフォーマンスを向上させることもできます。

AWS マネージド Microsoft AD には、スタンダードとエンタープライズの 2 つのエディションがあります。

  • Standard Edition: AWS Managed Microsoft AD (Standard Edition) は、従業員数が 5,000 名までの、中小企業向けのプライマリディレクトリとして最適化されています。ユーザー、グループ、コンピュータなど、最大 30,000* のディレクトリオブジェクトをサポートするために十分なストレージ容量を提供します。

  • Enterprise Edition: AWS Managed Microsoft AD (Enterprise Edition) は、最大 500,000* のディレクトリオブジェクトをサポートする、エンタープライズ組織向けに設計されています。

* 上限数は概数です。ディレクトリでサポートできるディレクトリオブジェクトの数は、オブジェクトのサイズ、アプリケーションの動作やパフォーマンスニーズに応じて増減する場合があります。

どのようなときに使うか

AWS Active Directory AWS Windowsアプリケーションやワークロードをサポートする実際の機能 (Amazon Relational Database Service など) が必要な場合は、マネージド Microsoft AD が最適です。Microsoft SQL ServerOffice 365 Active Directory AWS をサポートするクラウド内のスタンドアロンが必要な場合や、Linux アプリケーションをサポートする LDAP ディレクトリが必要な場合にも最適です。詳細については、「AWS Managed Microsoft AD」を参照してください。

AD Connector

AD Connectorは、Amazon、Amazon、Windows Serverインスタンス用の Amazon WorkSpaces EC2 AWS Microsoft Active Directory などの互換性のあるアプリケーションを既存のオンプレミスに簡単に接続できるプロキシサービスです。 QuickSightAD Connector を使用すると、サービスアカウントを 1 つだけ追加できますActive Directory。AD Connector を使用すると、ディレクトリを同期化する必要がなくなり、フェデレーションインフラストラクチャをホストするコストや複雑さからも解放されます。

Amazon AWS などのアプリケーションにユーザーを追加すると QuickSight、AD Connector Active Directory は既存のユーザーを読み取り、選択できるユーザーとグループのリストを作成します。 AWS ユーザーがアプリケーションにログインすると、AD Connector Active Directory は認証のためのサインイン要求をオンプレミスのドメインコントローラーに転送します。AD Connector は WorkSpaces、Amazon、Amazon、Amazon、AmazonChime WorkDocs QuickSight、AmazonConnect、アマゾンなど、 AWS 多くのアプリケーションやサービスと連携します。 WorkMailシームレスドメイン結合を使用して、AD Connector を通じて EC2 WindowsActive Directory インスタンスをオンプレミスドメインに参加させることもできます。AD Connectorでは、Active Directoryユーザーが既存の認証情報を使用してログインすることで、 AWS Management Console AWS リソースにアクセスして管理することもできます。AD Connector は RDS SQL Server との互換性はありません。

また、AD Connector を既存の RADIUS ベースの MFA インフラストラクチャに接続することで、AWS アプリケーションユーザーの多要素認証 (MFA) を有効にすることもできます。これにより、ユーザーが AWS アプリケーションにアクセスするときに、別のセキュリティレイヤーが追加されます。

AD Connectorを使用すると、Active Directory現在と同じように管理を継続できます。たとえば、Active DirectoryActive Directoryオンプレミスの標準管理ツールを使用して、新しいユーザーやグループを追加したり、パスワードを更新したりします。これにより、ユーザーがオンプレミスまたはクラウドのリソースにアクセスしているかどうかにかかわらず、パスワードの有効期限、パスワード履歴、アカウントロックアウトなどのセキュリティポリシーを一貫して適用できます。 AWS

どのようなときに使うか

AD Connectorは、 AWS 既存のオンプレミスディレクトリを互換性のあるサービスで使用する場合に最適です。詳細については、「AD Connector」を参照してください。

Simple AD

Simple AD は Microsoft Active Directory — AWS Directory Service 互換のディレクトリーで、Samba 4 を搭載しています。Simple AD は、ユーザーアカウント、グループメンバーシップ、Linux Windows ドメインまたはベースの EC2 インスタンスへの参加、Kerberos ベースの SSO、Active Directoryグループポリシーなどの基本機能をサポートします。 AWS サービスの一環として、監視、日次スナップショット、復旧を行います。

Simple AD はクラウド内のスタンドアロンなディレクトリです。ユーザー ID の作成や管理、アプリケーションへのアクセスの管理を行います。基本的な機能を必要とする、Active Directory使い慣れたアプリケーションやツールを多数使用できます。Active DirectorySimple AD は WorkSpaces、Amazon、Amazon、Amazon WorkDocs QuickSight、 AWS WorkMailアマゾンの各アプリケーションと互換性がありますSimple AD AWS Management Console ユーザアカウントを使用してにサインインし、 AWS リソースを管理することもできます。

Simple AD は、多要素認証 (MFA)、信頼関係、DNS 動的更新、スキーマ拡張、LDAPS 経由の通信、 PowerShell AD コマンドレット、または FSMO ロール転送をサポートしていません。Simple AD は RDS SQL Server との互換性はありません。実際の機能を必要とするお客様MicrosoftActive Directory、またはディレクトリを RDS SQL Server で使用することを想定しているお客様は、代わりに AWS Managed Microsoft AD を使用してください。Simple AD を使用するときは、必要なアプリケーションが Samba 4 と完全な互換性があることを、事前に確認してください。詳細については、https://www.samba.org を参照してください。

どのようなときに使うか

Simple AD をクラウド内のスタンドアロンディレクトリとして使用して、WindowsActive Directory AWS 基本機能や互換性のあるアプリケーションを必要とするワークロードをサポートしたり、LDAP サービスを必要とする Linux ワークロードをサポートしたりできます。詳細については、「Simple AD」を参照してください。

Amazon Cognito

Amazon Cognito は、モバイルアプリケーションまたはウェブアプリケーションに対して、Amazon Cognito ユーザープールを使用してサインアップとサインインを追加するユーザーディレクトリです。

どのようなときに使うか

カスタム登録フィールドを作成し、そのメタデータをユーザーディレクトリに格納する必要があるときにも、Amazon Cognito を使用できます。このフルマネージド型のサービスは、何百万というユーザーをサポートするように拡張できます。詳細については、「Amazon Cognito デベロッパーガイド」の「Amazon Cognito user pools」を参照してください。

リージョンごとにサポートされているディレクトリタイプのリストについては、「の利用可能なリージョン AWS Directory Service」を参照してください。

Amazon EC2 の操作

AWS Directory Serviceを使用するときは、Amazon EC2 の基本を理解することが重要です。最初に次のトピックを読むことをお勧めします。