AD ポリシーを設定する - AWS Private Certificate Authority

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AD ポリシーを設定する

Connector for AD は、お客様のグループポリシーオブジェクト (GPO) 設定を表示または管理できません。GPO は、お客様の AWS Private CA や他の認証サーバー、証明書交付サーバーへの AD リクエストのルーティングを制御します。GPO 設定が無効な場合、リクエストが正しくルーティングされない可能性があります。Connector for AD 設定を構成してテストするのはお客様次第です。

グループポリシーは 1 つのコネクタに関連付けられており、1 つの AD に対して複数のコネクタを作成することができます。グループポリシー設定が異なる場合、各コネクタへのアクセス制御を管理するのはユーザー次第です。

データプレーン呼び出しのセキュリティは、Kerberos および VPC 設定によって異なります。VPC にアクセスできる人なら誰でも、対応する AD に対して認証されている限り、データプレーン呼び出しを行うことができます。これは、 の境界外に存在し、承認と認証 AWSAuth の管理はお客様次第です。

Active Directory では、以下の手順に従って、コネクタを作成したときに生成された URI を指す GPO を作成します。このステップは、Connector for AD をコンソールまたはコマンドラインから使用するのに必要です。

GPO を設定する

  1. DC でサーバーマネージャーを開きます。

  2. [ツール] に移動し、コンソールの右上隅にある [グループポリシー管理] を選択します。

  3. [フォレスト] > [ドメイン] に移動します。ドメイン名を選択し、ドメインを右クリックします。「このドメインに GPO を作成してここにリンクする」を選択し、名前に PCA GPO を入力します。

  4. これで、新しく作成した GPO がドメイン名の下に表示されます。

  5. PCA GPO」を選択し、「編集」を選択します。ダイアログボックスが開き、「This is a link and that changes will be globally propagated (これはリンクであり、変更は全体に適用されます)」という警告メッセージが表示されたら、メッセージを了承して続行します。グループポリシー管理エディタが開きます。

  6. グループポリシー管理エディタ」で、[コンピュータの設定] > [ポリシー] > [Windows 設定] > [セキュリティ設定] > [パブリックキーポリシー] (フォルダを選択) に移動します。

  7. [オブジェクトタイプ] に移動し、[証明書サービスクライアント - 証明書登録ポリシー] を選択します。

  8. オプションで、[設定モデル][有効] に変更します。

  9. [Active Directory 登録ポリシー]オン で、[有効] になっていることを確認します。[追加] を選択します。

  10. 証明書登録ポリシーサーバー ウィンドウが開くはずです。

  11. コネクタを作成したときに生成された証明書登録ポリシーサーバーエンドポイントを [登録サーバーポリシー URI を入力] フィールドに入力します。

  12. [認証タイプ][Windows 統合] のままにします。

  13. [検証] を選択します。検証が成功したら、追加を選択します。ダイアログボックスが閉じます。

  14. [証明書サービスクライアント - 証明書登録ポリシー] に戻り、新しく作成したコネクタの横にあるチェックボックスをオンにして、コネクタをデフォルトの登録ポリシーにします。

  15. Active Directory 登録ポリシー」を選択し、「削除」を選択します。

  16. 確認ダイアログボックスで [はい] を選択して LDAP ベースの認証を削除します。

  17. [証明書サービスクライアント] > [証明書登録ポリシー] ウィンドウで [適用][OK] を選択し、閉じます。

  18. [パブリックキーポリシー] フォルダに移動し、[証明書サービスクライアント - 自動登録] を選択します。

  19. [設定モデル] オプションを [有効] に変更します。

  20. [期限切れの証明書を更新する][証明書を更新する] の両方がオンになっていることを確認します。他の設定はそのままにします。

  21. 適用を選択し、OK を選択し、ダイアログボックスを閉じます。

次に、ユーザー設定用のパブリックキーポリシーを設定します。[ユーザー設定] > [ポリシー] > [Windows 設定] > [セキュリティ設定] > [パブリックキーポリシー] に移動します。ステップ 6 からステップ 21 までの手順に従って、ユーザー設定用のパブリックキーポリシーを設定します。

GPO とパブリックキーポリシーの設定が完了すると、ドメイン内のオブジェクトは AWS Private CA Connector for AD に証明書を要求し、AWS Private CA によって発行された証明書を取得します。