とは AWS Directory Service

AWS Directory Service には、複数の使用方法があります。Microsoft Active Directory (AD) と他の AWS のサービス。ディレクトリはユーザー、グループ、デバイスに関する情報を保存し、管理者はそれらを使用して情報とリソースへのアクセスを管理します。 は、既存の を使用する顧客に複数のディレクトリの選択肢 AWS Directory Service を提供します。Microsoft AD または Lightweight Directory Access Protocol (LDAP) - クラウド内のアプリケーション。また、ユーザー、グループ、デバイス、アクセスを管理するディレクトリーが必要な開発者に、その選択肢を提供します。

AWS Directory Service オプション

AWS Directory Service には、選択できる複数のディレクトリタイプが含まれています。詳細については、次のいずれかのタブを選択してください。

AWS Directory Service for Microsoft Active Directory

AWS Managed Microsoft AD とも呼ばれ、Microsoft Active Directory 用の AWS ディレクトリサービスは、実際の Microsoft Windows Server Active Directory (AD)、 クラウド AWS で によって管理されます AWS 。これにより、さまざまな を移行できます。Active Directory– AWS Cloud へのアプリケーションを認識します。 AWS マネージド Microsoft AD は と連携します Microsoft SharePoint, Microsoft SQL Server Always On アベイラビリティーグループ、および多くの .NET アプリケーション。また、 の Amazon WorkSpaces、Amazon WorkDocs、Amazon QuickSight、Amazon Chime 、Amazon Connect、Amazon Relational Database Service などのマネージドアプリケーションとサービスもサポート AWS します。Microsoft SQL Server (Amazon RDS for SQL Server、Amazon RDS for Oracle、および Amazon RDS for Postgre SQL）。

AWS Managed Microsoft AD は、ディレクトリ のコンプライアンスを有効にすると、米国健康保険の相互運用性と説明責任に関する法律 (HIPAA) または Payment Card Industry Data Security Standard (PCI DSS) のコンプライアンスの対象となる AWS クラウド内のアプリケーションに対して承認されます。 https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_compliance.html

互換性のあるすべてのアプリケーションは、 AWS Managed Microsoft AD に保存しているユーザー認証情報を使用するか、 からの認証情報を信頼して使用して既存の AD インフラストラクチャに接続できます。Active Directory オンプレミスまたは EC2 Windows で実行します。Managed AWS Microsoft AD にEC2インスタンスに参加すると、ユーザーはオンプレミスネットワーク内のワークロードにアクセスする場合と同じ Windows シングルサインオン (SSO) エクスペリエンスで AWS 、クラウド内の Windows ワークロードにアクセスできます。

AWS Managed Microsoft AD は、 を使用したフェデレーティッドユースケースもサポートしています。Active Directory 認証情報。単独で AWS 、Managed Microsoft AD を使用すると、 にサインインできますAWS Management Console。を使用するとAWS IAM Identity Center、 AWS SDKおよび で使用するための短期認証情報を取得したりCLI、事前設定されたSAML統合を使用して多くのクラウドアプリケーションにサインインしたりできます。追加する Microsoft Entra Connect （以前は と呼ばれていました。Azure Active Directory Connect）、およびオプションで Active Directory フェデレーションサービス (AD FS)、 にサインインできます Microsoft Office 365 AWS Managed Microsoft AD に保存された認証情報を持つ およびその他のクラウドアプリケーション。

このサービスには、スキーマ を拡張し、パスワードポリシー を管理し、Secure Socket Layer (SSL)/Transport Layer Security () を介した安全なLDAP通信を有効にするための主要な機能が含まれていますTLS。AWS Managed Microsoft AD の多要素認証 (MFA) を有効にして、ユーザーがインターネットから AWS アプリケーションにアクセスするときにセキュリティを強化することもできます。なぜなら Active Directory は LDAP ディレクトリであり、 AWS Managed Microsoft AD for Linux Secure Shell (SSH) 認証やその他の LDAP対応アプリケーションにも使用できます。

AWS は、サービスの一部としてモニタリング、毎日のスナップショット、リカバリを提供します。AWS Managed Microsoft AD にユーザーとグループを追加し、使い慣れた を使用してグループポリシーを管理します。Active Directory で実行されているツール Windows AWS Managed Microsoft AD ドメインに参加しているコンピュータ。また、ドメインコントローラーを追加でデプロイしてディレクトリをスケールし、より多くのドメインコントローラー間でリクエストを分散させることで、アプリケーションのパフォーマンスを向上させることもできます。

AWS Managed Microsoft AD は、Standard と Enterprise の 2 つのエディションで利用できます。

• Standard Edition: AWS Managed Microsoft AD (Standard Edition) は、従業員数が 5,000 名までの、中小企業向けのプライマリディレクトリとして最適化されています。ユーザー、グループ、コンピュータなど、最大 30,000* のディレクトリオブジェクトをサポートするために十分なストレージ容量を提供します。

• Enterprise Edition: AWS Managed Microsoft AD (Enterprise Edition) は、最大 500,000* のディレクトリオブジェクトをサポートする、エンタープライズ組織向けに設計されています。

* 上限数は概数です。ディレクトリでサポートできるディレクトリオブジェクトの数は、オブジェクトのサイズ、アプリケーションの動作やパフォーマンスニーズに応じて増減する場合があります。

どのようなときに使うか

AWS Managed Microsoft AD は、実際の Active Directory AWS アプリケーションまたは をサポートする機能 Windows の Amazon Relational Database Service を含むワークロード Microsoft SQL Server。 スタンドアロンの Active Directory Office 365 をサポートする AWS クラウド、または Linux アプリケーションをサポートするLDAPディレクトリが必要です。詳細については、「AWS マネージド Microsoft AD」を参照してください。

AD Connector

AD Connector は、Amazon 、Amazon 、 WorkSpacesAmazon for などの互換性のある AWS アプリケーションを簡単に接続できるプロキシサービス QuickSightEC2です。Windows Server インスタンスを既存のオンプレミスに Microsoft Active Directory。 AD Connector を使用すると、1 つのサービスアカウントを に追加できます。Active Directory。 AD Connector は、ディレクトリの同期やフェデレーションインフラストラクチャのホスティングにかかるコストと複雑さも排除します。

Amazon などの AWS アプリケーションにユーザーを追加すると QuickSight、AD Connector は既存の Active Directory から選択するユーザーとグループのリストを作成します。ユーザーが AWS アプリケーションにログインすると、AD Connector はサインインリクエストをオンプレミスに転送します。Active Directory 認証用のドメインコントローラー。AD Connector は、Amazon WorkSpaces、Amazon 、Amazon WorkDocs 、Amazon QuickSight Chime 、Amazon Connect、Amazon WorkMailなど、多くの AWS アプリケーションとサービスで動作します。また、 EC2Windows オンプレミスへのインスタンス Active Directory シームレスなドメイン結合 を使用した AD Connector 経由のドメイン。AD Connector を使用すると、ユーザーは既存の でログインして にアクセスし AWS Management Console 、 AWS リソースを管理できます。Active Directory 認証情報。AD Connector は RDS SQL Server と互換性がありません。

AD Connector を使用して、既存の RADIUSベースのMFAインフラストラクチャに接続することで、 AWS アプリケーションユーザーの多要素認証 () を有効にすることもできます。MFAこれにより、ユーザーが AWS アプリケーションにアクセスするときに、別のセキュリティレイヤーが追加されます。

AD Connector では、引き続き を管理します。Active Directory 今と同じように。例えば、新しいユーザーとグループを追加し、標準 を使用してパスワードを更新します。Active Directory オンプレミスの管理ツール Active Directory 。 これにより、ユーザーがオンプレミスまたは AWS クラウドのリソースにアクセスしているかどうかにかかわらず、パスワードの有効期限、パスワード履歴、アカウントのロックアウトなどのセキュリティポリシーを一貫して適用できます。

どのようなときに使うか

AD Connector は、互換性のある AWS サービスで既存のオンプレミスディレクトリを使用する場合に最適です。詳細については、「AD Connector」を参照してください。

Simple AD

Simple AD は Microsoft Active Directory– Samba AWS Directory Service 4 を搭載した からの互換性のあるディレクトリ。Simple AD は基本をサポート Active Directory ユーザーアカウント、グループメンバーシップ、Linux ドメインへの参加、または Windows ベースのEC2インスタンス、Kerberos ベースの SSO、および グループポリシー。 は、 サービスの一部としてモニタリング、毎日のスナップショット、およびリカバリ AWS を提供します。

Simple AD はクラウド内のスタンドアロンなディレクトリです。ユーザー ID の作成や管理、アプリケーションへのアクセスの管理を行います。多くの使い慣れた Active Directory– 基本的な を必要とするアプリケーションとツールを認識する Active Directory の機能。Simple AD は、Amazon 、Amazon WorkSpaces 、Amazon WorkDocs、および QuickSight Amazon WorkMailの AWS アプリケーションと互換性があります。Simple AD ユーザーアカウント AWS Management Console を使用して にサインインし、 AWS リソースを管理することもできます。

Simple AD は、多要素認証 (MFA）、信頼関係、DNS動的更新、スキーマ拡張、 を介した通信LDAPS、 PowerShell AD コマンドレット、FSMOロール転送をサポートしていません。Simple AD は RDS SQL Server と互換性がありません。実際の の機能を必要とするお客様 Microsoft Active Directory、または RDS SQL Server でディレクトリを使用することを想定しているユーザーは、代わりに AWS Managed Microsoft AD を使用する必要があります。Simple AD を使用するときは、必要なアプリケーションが Samba 4 と完全な互換性があることを、事前に確認してください。詳細については、https://www.samba.org を参照してください。

どのようなときに使うか

Simple AD は、 クラウドのスタンドアロンディレクトリとして使用して、Windows 基本的な を必要とするワークロード Active Directory LDAP サービスを必要とする Linux ワークロードをサポートする の機能、互換性のある AWS アプリケーション、または。詳細については、「Simple AD」を参照してください。

Amazon Cognito

Amazon Cognito は、モバイルアプリケーションまたはウェブアプリケーションに対して、Amazon Cognito ユーザープールを使用してサインアップとサインインを追加するユーザーディレクトリです。

どのようなときに使うか

カスタム登録フィールドを作成し、そのメタデータをユーザーディレクトリに格納する必要があるときにも、Amazon Cognito を使用できます。このフルマネージド型のサービスは、何百万というユーザーをサポートするように拡張できます。詳細については、「Amazon Cognito デベロッパーガイド」の「Amazon Cognito user pools」を参照してください。

リージョンごとにサポートされているディレクトリタイプのリストについては、「のリージョンの可用性 AWS Directory Service」を参照してください。

オプションの選択

ニーズに最適な機能とスケーラビリティを提供するディレクトリサービスを選択できます。次の表は、組織に最適な AWS Directory Service ディレクトリオプションを判断するのに役立ちます。

目的	推奨される AWS Directory Service オプション
必要なのは Active Directory クラウド内のアプリケーションLDAPの場合は、 または を使用します。	AWS 実際の Microsoft Active Directory がサポートする クラウドで AWS Active Directory– ワークロード、Amazon AWS WorkSpaces や Amazon などのアプリケーションやサービス、 QuickSightまたは Linux アプリケーションLDAPのサポートが必要です。 AD Connector は、オンプレミスユーザーが を使用して AWS アプリケーションやサービスにログインすることのみを許可する場合に使用します。Active Directory 認証情報。AD Connector を使用して、Amazon EC2インスタンスを既存の Active Directory ドメイン。 Simple AD は、 ベーシックで低コストの低スケールディレクトリが必要な場合に使用します。Active Directory Samba 4 互換アプリケーションをサポートする互換性、または LDAP対応アプリケーションとのLDAP互換性が必要です。
SaaS アプリケーションを開発する	高スケールの SaaS アプリケーションを開発する場合、サブスクライバーを管理および認証するために、ソーシャルメディア ID に対応しているスケーラブルなディレクトリが必要なときは、Amazon Cognito を使用します。

AWS Directory Service ディレクトリオプションの詳細については、「選択方法」を参照してください。Active Directory の ソリューション AWS。

Amazon の使用 EC2

Amazon の基本的な理解EC2は、 の使用に不可欠です AWS Directory Service。最初に次のトピックを読むことをお勧めします。

• Amazon ユーザーガイドの「Amazon EC2とは」。 EC2

• Amazon EC2 ユーザーガイド で Amazon EC2インスタンスを起動します。

• Amazon ユーザーガイド のEC2インスタンスの Amazon EC2 セキュリティグループ。 EC2

• Amazon ユーザーガイドの「Amazon VPCとは」。 VPC

• Amazon VPCユーザーガイド の を使用して、 VPCをリモートネットワークに接続します AWS Virtual Private Network。