AWS Directory Service とは - AWS Directory Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Directory Service とは

AWS Directory Service は、Microsoft Active Directory (AD) を AWS の他のサービスと併用するための複数の方法を提供します。ディレクトリはユーザー、グループ、デバイスに関する情報を保存します。管理者は、これらのディレクトリを通じて情報やリソースへのアクセスを管理します。AWS Directory Serviceは、既存の Microsoft AD や Lightweight Directory Access Protocol (LDAP) 対応のアプリケーションをクラウド上で使用するユーザー向けに複数のディレクトリオプションを提供します。また、開発者がディレクトリを通じてユーザー、グループ、デバイス、およびアクセスを管理する場合にも、同じオプションを提供します。

オプションを選択する

ニーズに合った最適な機能とスケーラビリティを提供するディレクトリサービスを選択できます。以下の表を参考にして、お客様の組織に最適な AWS Directory Service ディレクトリオプションを選択してください。

目的 AWS Directory Service の推奨されるオプション
クラウド内のアプリケーションに Active Directory または LDAP が必要である

SelectAWSMicrosoft Active Directory Service for Microsoft Active Directory(スタンダードエディションまたはエンタープライズエディション) で実際の Microsoft Active Directory が必要な場合は、AWSActive Directory 対応のワークロードをサポートするクラウド、またはAWSアプリケーションおよびサービス(Amazon WorkSpaces や Amazon QuickSight など)、または Linux アプリケーション用の LDAP サポートが必要です。

オンプレミスのユーザーが Active Directory 認証情報で AWS アプリケーションやサービスにログインすることを許可するだけの場合は、AD Connector を使用します。AD Connector を使用して Amazon EC2 インスタンスを既存の Active Directory ドメインに結合することもできます。

を使用するSimple ADSamba 4 互換アプリケーションをサポートする基本的な Active Directory 互換性を持つ低スケール、低コストのディレクトリが必要な場合、または LDAP 対応アプリケーションの LDAP 互換性が必要な場合は、

SaaS アプリケーションを開発する 高スケールの SaaS アプリケーションを開発する場合、受信者を管理および認証するために、ソーシャルメディア ID に対応するスケーラブルなディレクトリが必要なときは、Amazon Cognito を使用します。

AWS Directory Serviceoptions

AWS Directory Service では、複数のディレクトリタイプを目的に応じて使い分けることができます。詳細については、次のタブのいずれかを選択してください。

AWS Directory Service for Microsoft Active Directory

別名です。AWSManaged Microsoft ADAWSMicrosoft Active Directory 用のディレクトリサービスは、実際の Microsoft Windows Server Active Directory (AD) を搭載し、AWS()AWSクラウドです。これを使用すると、さまざまな Active Directory 対応アプリケーションをAWSクラウドです。AWSマネージ Microsoft AD は、Microsoft SharePoint、Microsoft SQL Server Always On 可用性グループ、多くの .NET アプリケーションと連携します。また、AWS管理対象アプリケーションおよびサービスAmazon WorkSpaces,Amazon WorkDocs,Amazon QuickSight,Amazon Chime,Amazon Connect, およびAmazon Relational Database Service for Microsoft SQL Server(Amazon RDS for SQL Server、Amazon RDS for Oracle、Amazon RDS for PostgreSQL)。

AWS管理対象 Microsoft AD は、AWSの対象となるクラウド米国Health 保険の相互運用性と説明責任に関する法令(HIPAA) またはPayment Card Industry データセキュリティ標準(PCI DSS)コンプライアンスは、ディレクトリのコンプライアンスを有効にする

すべての互換性のあるアプリケーションは、ユーザー資格情報を使用して動作します。AWS管理対象 Microsoft AD、または既存の AD インフラストラクチャに接続信頼と併用し、オンプレミスや EC2 Windows で実行される Active Directory からの認証情報を使用します。場合EC2 インスタンスをAWSManaged Microsoft ADを使用すると、ユーザーはAWSオンプレミスネットワークのワークロードにアクセスするときと同じ Windows シングルサインオン (SSO) の使い方を持つクラウドです。

AWSManaged Microsoft AD では、Active Directory 認証情報を使用したフェデレーションされたユースケースもサポートされています。一人で、AWSManaged Microsoft AD を使用すると、AWS Management Console。また、AWS Single Sign-On を使用して、AWS SDK および CLI で使用する短期間の認証情報を取得したり、事前設定済み SAML 統合を使用して多数のクラウドアプリケーションにサインインすることもできます。Azure AD Connect、および必要に応じて Active Directory Federation Service (AD FS) を追加することで、AWSManaged Microsoft AD。

このサービスにはキー機能が含まれており、スキーマの拡張パスワードポリシーの管理、およびセキュアソケットレイヤー (Secure Socket Layer、SSL)/Transport Layer Security (TLS) 経由の安全な LDAP 通信の有効化を行うことができます。他のインスタンスで多要素認証 (MFA) の有効化AWSManaged Microsoft ADにアクセスするときに別のセキュリティレイヤーを追加します。AWSインターネットからのアプリケーション。Active Directory は LDAP ディレクトリであるため、AWSLinux Secure Shell (SSH) 認証や他の LDAP 対応アプリケーションの管理対象 Microsoft AD。

AWSは、このサービスの一環として、モニタリング、日次スナップショット、および回復を提供します。ユーザーとグループの追加AWSManaged Microsoft ADを使用して Active Directory ツールを使用して、グループポリシーを管理するには、AWSManaged Microsoft AD ドメイン。また、追加のドメインコントローラーをデプロイしてディレクトリをスケールし、より多くのドメインコントローラー間でリクエストを分散させることでアプリケーションのパフォーマンスを向上させることもできます。

AWSManaged Microsoft AD は、次の 2 つのエディションで利用できます。Standard と Enterprise です。

  • Standard EditionAWS マネージドMicrosoft AD (Standard Edition) は、従業員数が 5,000 名までの中小企業向けのプライマリディレクトリとして最適化されています。ユーザー、グループ、コンピュータなど、最大 30,000* のディレクトリオブジェクトをサポートするために十分なストレージ容量を提供します。

  • Enterprise Edition:AWS Managed Microsoft AD (Enterprise Edition) は、最大 500,000* のディレクトリオブジェクトをサポートするエンタープライズ組織向けに設計されています。

* 上限数は概数です。ディレクトリでサポートできるディレクトリオブジェクトの数は、オブジェクトのサイズ、アプリケーションの動作やパフォーマンスニーズに応じて増減する場合があります。

どのようなときに使うか

AWSManaged Microsoft AD は、実際の Active Directory 機能が必要な場合は、が最適な選択肢です。AWSアプリケーションや Windows ワークロード (for Microsoft SQL Server の Amazon Relational Database Service 含む) を使用します。また、AWS クラウドで Office 365 をサポートするスタンドアロンの AD が必要な場合や Linux アプリケーションをサポートする LDAP ディレクトリが必要な場合にも最適です。詳細については、「AWS Managed Microsoft AD」を参照してください。

AD Connector

AD Connector は、互換性のある接続するための簡単な方法を提供するプロキシサービスです。AWSアプリケーション(Amazon WorkSpaces、Amazon QuickSight、Amazon EC2for Windows Server インスタンスに、既存のオンプレミスの Microsoft Active Directory を追加します。AD Connector を使用すると、サービスアカウントを 1 つ追加するActive Directory にコピーします。AD Connector を使用すると、ディレクトリを同期化する必要がなくなり、フェデレーションインフラストラクチャをホストするコストや複雑さからも解放されます。

ユーザをAWSアプリケーションの Active Directory AD Connector 取り、選択対象のユーザーやグループのリストを作成します。ユーザーがAWSアプリケーションを使用すると、AD Connector はサインインリクエストをオンプレミスの Active Directory ドメインコントローラーに転送して認証を行います。AD Connector は、多くのAWSアプリケーションおよびサービスAmazon WorkSpaces,Amazon WorkDocs,Amazon QuickSight,Amazon Chime,Amazon Connect, およびAmazon WorkMail。他のインスタンスでEC2 Windows インスタンスへの参加AD Connector を使用して、オンプレミスの Active Directory ドメインにシームレスなドメイン参加。また、AD Connector を使用すると、ユーザーはAWS Management Consoleを管理するAWSリソースには、既存の Active Directory 認証情報を使用してログインします。AD Connector は RDS SQL Server と互換性がありません。

また、AD Connector を使用して、多要素認証を有効にする(MFA) のAWSアプリケーションユーザーを既存の RADIUS ベースの MFA インフラストラクチャに接続します。これにより、ユーザーが AWS アプリケーションにアクセスするときに別のセキュリティレイヤーが追加されます。

AD Connector を使用すると、現在と同じ方法で引き続き Active Directory を管理できます。たとえば、新しいユーザーの追加、新しいグループの追加、パスワードの更新は、すべてオンプレミス Active Directory の標準の Active Directory 管理ツールを使用して実行されます。これにより、ユーザーがアクセスするリソースがオンプレミスまたは AWS クラウドのいずれにある場合でも、パスワード有効期限、パスワード履歴、アカウントロックアウトなどのセキュリティポリシーを一貫して適用できます。

どのようなときに使うか

AD Connector は、既存のオンプレミスディレクトリをAWSのサービス。詳細については、「Active Directory Connector」を参照してください。

Simple AD

Simple AD は Microsoft Active DirectorycompatibleディレクトリからAWS Directory ServiceSamba 4 を搭載しています。Simple AD は、ユーザーアカウント、グループメンバーシップ、Linux ドメインまたは Windows ベースの EC2 インスタンスの結合、Kerberos ベースの SSO、グループポリシーなどの基本的な Active Directory 機能をサポートしています。AWSは、このサービスの一環として、モニタリング、日次スナップショット、および回復を提供します。

Simple AD はクラウド内のスタンドアロンディレクトリであり、ユーザーアイデンティティの作成や管理、アプリケーションへのアクセスの管理を行います。基本的な Active Directory 機能を必要とする、多くの使い慣れた Active Directory 対応のアプリケーションやツールを使用できます。Simple ADは、以下のものと互換性があります。AWSアプリケーション: Amazon WorkSpaces,Amazon WorkDocs,Amazon QuickSight, およびAmazon WorkMail。また、AWS Management ConsoleをSimple AD ユーザーアカウントで使用し、AWSリソースの使用料金を見積もることができます。

Simple AD では、多要素認証 (MFA)、信頼関係、DNS 動的更新、スキーマ拡張、LDAPS を介した通信、PowerShell AD コマンドレット、または FSMO ロールの転送はサポートされていません。Simple AD は RDS SQL Server と互換性がありません。実際の Microsoft Active Directory の機能が必要な場合や、RDS SQL Server でのディレクトリの使用を予定する場合は、AWS代わりに Microsoft AD を管理します。Simple AD を使用する前に、必要なアプリケーションが Samba 4 と完全に互換することを確認してください。詳細については、https://www.samba.org を参照してください。

どのようなときに使うか

Simple AD をクラウド内でスタンドアロンのディレクトリとして使用すると、基本的な AD 機能を必要とする Windows ワークロードをサポートし、互換性のある ADAWSアプリケーションを使用したり、LDAP サービスを必要とする Linux ワークロードをサポートしたりできます。詳細については、「Simple Active Directory」を参照してください。

Amazon Cognito

Amazon Cognito は、Amazon Cognito ユーザープールを使用してモバイルアプリまたはウェブアプリケーションにサインアップとサインインを追加するユーザーディレクトリです。

どのようなときに使うか

カスタム登録フィールドを作成し、そのメタデータをユーザーディレクトリ内に格納する必要があるときにも Amazon Cognito を使用できます。このフルマネージド型のサービスは、拡張して何百万というユーザーをサポートします。詳細については、「ユーザープールの作成および管理」を参照してください。

「」を参照してください。が利用可能なリージョンAWS Directory Serviceリージョンごとにサポートされているディレクトリタイプのリストについては、「」を参照してください。

Amazon EC2 での作業

Amazon EC2 の基本を理解する必要があります。AWS Directory Service。最初に以下のトピックを読むことをお勧めします。