AWS Managed Microsoft AD - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Managed Microsoft AD

AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) は、Microsoft Windows Server Active Directory ドメインサービス (AD DS) に基づくマネージド Active Directory ソリューションを提供するAWSマネージドサービスです。各ドメインコントローラーは、お客様が選択するリージョンの異なるアベイラビリティーゾーンで実行されます。ホストのモニタリングと復旧、データレプリケーション、スナップショット、およびソフトウェアの更新は自動的に設定および管理されます。AWS Cloud の AWS Managed Microsoft AD と既存のオンプレミス Microsoft Active Directory との間の信頼関係を設定できます。これにより、IAMIdentity Center を使用して、ユーザーとグループがいずれかのドメインのリソースにアクセスできるようになります。

アクセス制限を厳格化するために、 AWS Managed Microsoft AD などの Active Directory などの ID サービス用に組織内に別のAWSアカウントまたはAWS組織単位 (OU) を作成し、このアカウントへのアクセスを非常に限られた管理者グループのみに許可できます。通常、 AWSで Active Directory をオンプレミスの Active Directory と同じ方法で扱うことをお勧めします。物理データセンターへのアクセスを制限する方法と同様に、 AWSアカウントへの管理アクセスを制限してください。Active Directory を含むAWSアカウントを所有するユーザーは、Active Directory を所有できます。詳細については、ホワイトペーパーの Active Directory ドメインサービスAWS AWS Managed Microsoft AD の設計上の考慮事項を参照してください。

AWS Organizations を使用して AWS Managed Microsoft AD 共有を使用する場合は、次の図に示すようにAWS、 Managed Microsoft AD を組織管理アカウントにデプロイする必要があります。

AWS 組織管理アカウントのマネージド Microsoft AD

ハンドシェイク方式を使用して共有を使用する場合、コンシューマーアカウントがディレクトリ共有リクエストを受け入れる場合、AWS組織内の任意のアカウントに AWS Managed Microsoft AD をデプロイできます。ではAWSSRA、次の図に示すように、 AWS Managed Microsoft AD が共有サービスアカウントにデプロイされます。この AWS Organizations 共有方法を使用すると、Active Directory コンシューマーアカウントを参照して検証できるため、組織内でディレクトリを簡単に共有できます。

AWS 共有サービスアカウントのマネージド Microsoft AD

すべてのAWSサービスで責任共有モデル が遵守されます。このモデルでは、AWSマネージド Microsoft AD の責任が AWS と の顧客に分かれています。

AWS 責任:

  • ディレクトリの可用性

  • ディレクトリのパッチ適用とサービスの改善

  • ディレクトリインフラストラクチャのセキュリティ

  • グループポリシーオブジェクト (GPOs) およびその他の方法によるドメインコントローラーのセキュリティ体制

  • 必要に応じてセキュリティ体制を改善します。例えば、サーバーメッセージブロック (SMB) バージョン 1 の償却などです。

  • 顧客の OU 外のオブジェクトの管理と作成

お客様の責任: 

  • ユーザーのきめ細かなパスワードポリシーの設定

  • 顧客の OU 内のオブジェクトのセキュリティ

  • ディレクトリ復元オペレーションの初期化

  • Active Directory の信頼の作成とセキュリティ

  • SSL 実装時のサーバー側およびクライアント側の Lightweight Directory Access Protocol (LDAP)

  • 多要素認証の実装 (MFA)

  • レガシーネットワーク暗号とプロトコルの無効化

これらの責任に基づいて、ディレクトリのセキュリティにある程度の影響があります。AWS はマネージドサービスを提供しているため、お客様に完全な制御は提供しません。このモデルでは、管理するセキュリティコントロールの範囲は、セルフマネージド Active Directory よりも小さくなります。

設計上の考慮事項
  • きめ細かなパスワードポリシーを使用して、高度なパスワードポリシーを設定します。AWS Managed Microsoft AD のデフォルトのパスワードポリシーは、このプラクティスと互換性がありますが、パスワードの長さが短いため、比較的弱いです。Active Directory がアカウントの LAN Manager (LM) ハッシュを保存しないように、15 文字以上のパスワードを使用することをお勧めします。詳細については、Microsoft ドキュメント を参照してください。

  • AWS Managed Microsoft AD で未使用のネットワーク暗号とプロトコル暗号を無効にします。詳細については、「 Directory Service ドキュメント」の「ディレクトリセキュリティ設定の構成」を参照してください。 AWS

  • Managed AD のセキュリティをさらに強化するために、AWSManAWSaged Microsoft AD にアタッチされているAWSセキュリティグループのネットワークポートとソースを制限できます。詳細については、AWSディレクトリサービスドキュメントのAWS「マネージド Microsoft AD ネットワークセキュリティ設定の強化」を参照してください。 

  • AWS Managed Microsoft AD のログ転送を有効にします。これにより、 AWS Managed Microsoft AD は AWS Managed Microsoft AD ドメインコントローラーの未加工の Windows セキュリティイベントログをアカウントの Amazon CloudWatch ロググループに転送できます。

  • ドメインおよびエンタープライズ管理者のネットワークまたはドメインに参加しているコンピュータアカウントへのリモートアクセス権限を拒否するグループポリシーオブジェクト (GPO) を作成します。詳細については、セキュリティポリシー設定の Microsoft ドキュメント「ローカルでのログオンを拒否する」および「リモートデスクトップサービスによるログオンを拒否する」を参照してください。

  • パブリックキーインフラストラクチャ (PKI) を実装して、ドメインコントローラーに証明書を発行し、LDAPトラフィックを暗号化します。詳細については、AWSブログ記事AWS「 Managed Microsoft AD ディレクトリ LDAPS のサーバー側を有効にする方法」を参照してください。

  • AWS Managed Microsoft AD と Active Directory の信頼関係を確立するには、フォレスト信頼を作成します。このタイプの信頼により、Kerberos との互換性を最大化できます。一部のユースケースでは双方向の信頼が必要ですが、可能な限り一方向の信頼を使用することをお勧めします。信頼セキュリティのもう 1 つのオプションは、信頼で選択的認証を有効にすることです。選択認証を有効にするときは、コンピュータオブジェクトへのアクセスに必要な他のアクセス許可に加えて、信頼されたユーザーがアクセスする各コンピュータオブジェクトに対して認証許可を設定する必要があります。詳細については、AWSブログ記事AWS「Managed Microsoft AD との信頼について知りたいこと」を参照してください。

  • 各 AWS Managed Microsoft AD デプロイには、ディレクトリを管理するようにプロビジョニングされた Active Directory アカウントがあります。このアカウントの名前は Admin です。ディレクトリをデプロイしたら、ディレクトリにアクセスする必要がある昇格したユーザーごとに個別の Active Directory ユーザーアカウントを作成することをお勧めします。これらのアカウントを作成したら、管理者のアカウント認証情報をランダムなパスワードに設定し、ブレークグラスシナリオ用に保存することをお勧めします。標準管理に 管理アカウントなどの共有アカウントや汎用アカウントを使用しないでください。そうしないと、ディレクトリの監査が困難になります。