前提条件 - AWS License Manager

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

前提条件

ユーザーベースのサブスクリプションを作成する前に、以下の前提条件をご使用の環境に実装する必要があります。

  • AWS アカウント をユーザーベースのサブスクリプションにオンボードするため、License Manager がサービスにリンクされたロールを作成できるようにする必要があります。License Manager コンソールの [ユーザーベースのサブスクリプション] セクションに、必要なサービスにリンクされたロールを作成する権限を License Manager に付与することに同意することを求めるプロンプトが一度表示されます。License Manager に権限を付与したら、[作成] を選択して、サービスにリンクされたロールを作成できます。詳細については、「AWS License Manager のサービスにリンクされたロールの使用」を参照してください。

  • ディレクトリを作成しておく必要があります。 AWS Managed Microsoft AD AWS Managed Microsoft AD 共有されているディレクトリはサポートされていません。 AWS Managed Microsoft AD ディレクトリの作成について詳しくは、『ユーザーガイド』の「AWS Managed Microsoft AD 前提条件」と「 AWS Managed Microsoft AD ディレクトリの作成」を参照してください。AWS Directory Service

  • ユーザーベースのサブスクリプションを利用するには、 AWS Managed Microsoft AD ユーザーを自分のディレクトリ、または自己管理の Active Directory に関連付ける必要があります。

    • ユーザーをに関連付けるには AWS Managed Microsoft AD、ディレクトリ内のユーザーをプロビジョニングする必要があります。 AWS Managed Microsoft AD 詳細については、「AWS Directory Service 管理ガイド」の「AWS Managed Microsoft ADのユーザーとグループの管理」を参照してください。

    • セルフマネージドディレクトリのユーザーを関連付けるには、セルフマネージドディレクトリと AWS Managed Microsoft AD ディレクトリの間に双方向のフォレストトラストを確立する必要があります。詳細については、『管理ガイド』の「チュートリアル: AWS Managed Microsoft AD 自分と自己管理の Active Directory ドメイン間の信頼関係の作成」AWS Directory Service を参照してください。

    • ディレクトリに設定されているサブネットは、すべて同じ VPC からのものである必要があります。 AWS アカウント

  • ユーザーベースのサブスクリプションを提供するインスタンス、または VPC エンドポイントからのアウトバウンドインターネットアクセスは、インスタンスが AWS Systems Managerと通信できるように設定する必要があります。詳細については、「AWS Systems Manager ユーザーガイド」の「Systems Manager の EC2 インスタンスのセットアップ」を参照してください。

  • License Manager AWS Managed Microsoft AD は、プロビジョニングされている VPC のデフォルトのセキュリティグループを使用する 2 つのネットワークインターフェースを作成します。これらのインターフェイスは、ディレクトリに必要なサービス機能に使用されます。デフォルトのセキュリティグループが、各ドメインコントローラーのネットワークインターフェイス IPv4 アドレス、またはドメインコントローラーが使用するセキュリティグループへのアウトバウンドトラフィックを許可していることを確認してください。詳細については、「AWS Directory Service 管理ガイド」の「ステップ 1: AWS Directory Service for Microsoft Active Directory および仮想プライベートクラウド (VPC) を設定する」および「作成される対象」を参照してください。

    プロビジョニングプロセスが完了すると、License Manager によって作成されたインターフェイスに別のセキュリティグループを関連付けることができます。また、選択するセキュリティグループでは、各ドメインコントローラーのネットワークインターフェイスの IPv4 アドレスまたはセキュリティグループに必要なトラフィックを許可する必要があります。詳細については、「Amazon Virtual Private Cloud ユーザーガイド」の「セキュリティグループの操作」を参照してください。

  • AWS Managed Microsoft AD ユーザーベースのサブスクリプションに登録した追加の VPC には DNS 転送を設定する必要があります。DNS 転送には、Amazon Route 53 または別の DNS サービスを使用できます。詳細については、ブログ記事「Integrating your Directory Service’s DNS resolution with Amazon Route 53 Resolvers」を参照してください。

  • ユーザーベースのサブスクリプションで Microsoft Office に登録する場合は、次のことを行う必要があります。

    • VPC で [DNS 解決][DNS ホスト名] を有効にします。詳細については、「VPC の DNS 属性の表示と更新」を参照してください。

    • Microsoft Office でユーザーベースのサブスクリプションを提供するために起動されたインスタンスに、VPC エンドポイントがプロビジョニングされているサブネットへのルートがあることを確認します。

    • インバウンド TCP ポート 1688 接続を許可する VPC エンドポイントのセキュリティグループを特定または作成します。このセキュリティグループは、仮想プライベートクラウドの設定時に指定されます。詳細については、「セキュリティグループの操作」を参照してください。License Manager は、VPC の設定時にユーザーに代わって作成した VPC エンドポイントにこのセキュリティグループを関連付けます。VPC エンドポイントの詳細については、「AWS PrivateLink ガイド」の「インターフェイス VPC エンドポイントを使用して AWS のサービスにアクセスする」を参照してください。

    • 承認された接続元からのインバウンド TCP ポート 3389 接続を許可する、ユーザーベースのサブスクリプションを提供するために起動されたインスタンス用のセキュリティグループを特定または作成します。このセキュリティグループでは、VPC エンドポイントに到達するためのアウトバウンド TCP ポート 1688 接続も許可する必要があります。詳細については、「セキュリティグループの操作」を参照してください。

      ユーザーベースのサブスクリプションを初めて使用するための準備を行っている場合、前提条件をすべて実行してから、「ユーザーベースのサブスクリプションの開始方法」を参照してください。既にユーザーベースのサブスクリプションを設定していて、これらの製品を AWS Managed Microsoft AD に追加して Microsoft Office 製品用に VPC を設定したい場合は、前提条件をすべて実行してから、「ユーザーベースのサブスクリプションのディレクトリ設定を変更する」を参照してください。

  • ユーザーベースのサブスクリプション製品を提供するインスタンスには、インスタンスプロファイルロールをアタッチする必要があり、これによって AWS Systems Managerによるリソースの管理が可能になります。詳細については、「AWS Systems Manager ユーザーガイド」の「Systems Manager の IAM インスタンスプロファイルを作成する」を参照してください。

    警告

    ユーザーベースのサブスクリプションを提供するインスタンスが正常な状態になるには、 AWS Systems Manager で管理する必要があります。さらに、インスタンスはユーザーベースのサブスクリプションライセンスを有効化でき、ライセンスアクティベーション後もコンプライアンスを維持できる必要があります。License Manager は異常のあるインスタンスの復旧を試みますが、正常な状態に戻すことができないインスタンスは終了されます。Systems Manager によるインスタンスの継続的な管理とインスタンスのコンプライアンスに関するトラブルシューティング情報については、このガイドの「ユーザーベースのサブスクリプションのトラブルシューティング」セクションを参照してください。

  • ユーザーベースのサブスクリプションを作成するには、ユーザーまたはロールに次のアクセス許可が必要です。

    • ec2:CreateNetworkInterface

    • ec2:DeleteNetworkInterface

    • ec2:DescribeNetworkInterfaces

    • ec2:CreateNetworkInterfacePermission

    • ec2:DescribeSubnets

    • ds:DescribeDirectories

    • ds:AuthorizeApplication

    • ds:UnauthorizeApplication

    • ds:GetAuthorizedApplicationDetails

    • ds:DescribeDomainControllers

  • Microsoft Office 製品のユーザーベースのサブスクリプションを作成するには、ユーザーまたはロールに次の追加のアクセス許可も必要です。

    • ec2:CreateVpcEndpoint

    • ec2:DeleteVpcEndpoints

    • ec2:DescribeVpcEndpoints

    • ec2:ModifyVpcEndpoint

    • ec2:DescribeSecurityGroups