翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Managed Microsoft AD
AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) は、Microsoft Windows Server Active Directory Domain Services (AD DS) に基づくマネージド Active Directory ソリューションを提供する AWS マネージドサービスです。各ドメインコントローラーは、お客様が選択するリージョンの異なるアベイラビリティーゾーンで実行されます。ホストのモニタリングと復旧、データレプリケーション、スナップショット、およびソフトウェアの更新は自動的に設定および管理されます。AWS クラウドの AWS Managed Microsoft AD と既存のオンプレミス Microsoft Active Directory との間に信頼関係を設定できます。これにより、IAM Identity Center を使用して、ユーザーとグループがいずれかのドメインのリソースにアクセスできるようになります。
厳密なアクセス制限については、AWS Managed Microsoft AD を含む Active Directory などの ID サービス用に、組織内に別の AWS アカウントまたは AWS 組織単位 (OU) を作成し、非常に限られた管理者グループにのみこのアカウントへのアクセスを許可できます。通常、AWS 上の Active Directory はオンプレミスの Active Directory と同じ方法で扱うことをお勧めします。物理データセンターへのアクセスを制限する方法と同様に、AWS アカウントへの管理アクセスを制限してください。Active Directory を含む AWS アカウントを所有するユーザーは、Active Directory を所有できます。詳細については、AWS での Active Directory ドメインサービスホワイトペーパーの「AWS Managed Microsoft AD の設計上の考慮事項」を参照してください。
AWS Organizations を使用して AWS Managed Microsoft AD 共有を使用する場合は、次の図に示すように、AWS Managed Microsoft AD を組織管理アカウントにデプロイする必要があります。
コンシューマーアカウントがディレクトリ共有リクエストを受け入れるハンドシェイク方式を使用して共有を使用する場合は、AWS Organizations の組織内外の任意のアカウントに AWS Managed Microsoft AD をデプロイできます。AWS SRA では、次の図に示すように、AWS Managed Microsoft AD が共有サービスアカウントにデプロイされます。この AWS Organizations 共有方法を使用すると、Active Directory コンシューマーアカウントを参照して検証できるため、組織内のディレクトリを簡単に共有できます。
すべての AWS のサービスには、責任共有モデル
AWS の責任:
-
ディレクトリの可用性
-
ディレクトリのパッチ適用とサービスの改善
-
ディレクトリインフラストラクチャのセキュリティ
-
グループポリシーオブジェクト (GPOs) およびその他の方法によるドメインコントローラーのセキュリティ体制
-
サーバーメッセージブロック (SMB) バージョン 1 の廃止など、必要に応じてセキュリティ体制を改善する
-
顧客の OU 外のオブジェクトの管理と作成
お客様の責任:
-
ユーザーのきめ細かなパスワードポリシーの設定
-
顧客の OU 内のオブジェクトのセキュリティ
-
ディレクトリ復元オペレーションの初期化
-
Active Directory の信頼の作成とセキュリティ
-
SSL 経由のサーバー側およびクライアント側の Lightweight Directory Access Protocol (LDAP) 実装
-
多要素認証 (MFA) の実装
-
レガシーネットワーク暗号とプロトコルの無効化
これらの責任に基づいて、ディレクトリのセキュリティに何らかの影響を与えます。AWS はマネージドサービスを提供しているため、お客様にフルコントロールを提供することはできません。このモデルでは、管理するセキュリティコントロールの範囲は、セルフマネージド Active Directory よりも小さくなります。
設計上の考慮事項
-
きめ細かなパスワードポリシーを使用して、高度なパスワードポリシーを設定します。AWS Managed Microsoft AD のデフォルトのパスワードポリシーは、このプラクティスと互換性がありますが、パスワードの長さが短いため、比較的弱いです。Active Directory がアカウントの LAN Manager (LM) ハッシュを保存しないように、15 文字以上のパスワードを使用することをお勧めします。詳細については、Microsoft のドキュメント
を参照してください。 -
AWS Managed Microsoft AD で未使用のネットワーク暗号とプロトコル暗号を無効にします。詳細については、AWS Directory Service Directory Service ドキュメントの「ディレクトリセキュリティ設定を構成する」を参照してください。
-
AWS Managed AD のセキュリティをさらに強化するために、AWS Managed Microsoft AD にアタッチされている AWS セキュリティグループのネットワークポートとソースを制限できます。詳細については、AWS Directory Service ドキュメントの「AWS Managed Microsoft AD ネットワークセキュリティ設定の強化」を参照してください。
-
AWS Managed Microsoft AD のログ転送を有効にします。これにより、AWS Managed Microsoft AD は、AWS Managed Microsoft AD ドメインコントローラーの生の Windows セキュリティイベントログをアカウントの Amazon CloudWatch ロググループに転送できます。
-
ドメインおよびエンタープライズ管理者のネットワークまたはドメインに参加しているコンピュータアカウントへのリモートアクセス権限を拒否するグループポリシーオブジェクト (GPO) を作成します。詳細については、セキュリティポリシー設定の Microsoft ドキュメント「ローカルでのログオンの拒否
」および「リモートデスクトップサービスによるログオンの拒否 」を参照してください。 -
パブリックキーインフラストラクチャ (PKI) を実装してドメインコントローラーに証明書を発行し、LDAP トラフィックを暗号化します。詳細については、AWS ブログ記事「AWS Managed Microsoft AD ディレクトリのサーバー側の LDAPS を有効にする方法
」を参照してください。 -
AWS Managed Microsoft AD と Active Directory の信頼関係を確立するには、フォレスト信頼を作成します。このタイプの信頼により、Kerberos との互換性を最大限に高めることができます。一部のユースケースでは双方向の信頼が必要ですが、可能な限り一方向の信頼を使用することをお勧めします。信頼セキュリティのもう 1 つのオプションは、信頼で選択的認証を有効にすることです。選択的認証を有効にする場合は、コンピュータオブジェクトへのアクセスに必要なその他のアクセス許可に加えて、信頼されたユーザーがアクセスする各コンピュータオブジェクトに対する認証許可を設定する必要があります。詳細については、AWS ブログ記事「AWS Managed Microsoft AD の信頼について知りたいこと
」を参照してください。 -
各 AWS Managed Microsoft AD デプロイには、ディレクトリを管理するためにプロビジョニングされた Active Directory アカウントがあります。このアカウントの名前は Admin です。ディレクトリをデプロイしたら、ディレクトリにアクセスする必要がある昇格したユーザーごとに、個別の Active Directory ユーザーアカウントを作成することをお勧めします。これらのアカウントを作成したら、管理者のアカウント認証情報をランダムなパスワードに設定し、ブレークグラスシナリオ用に保存することをお勧めします。管理者アカウントなどの共有アカウントや汎用アカウントを標準管理に使用しないでください。そうしないと、ディレクトリの監査が困難になります。
