翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
シナリオ 4: AWS Microsoft AD とオンプレミスへの双方向の推移的信頼
このシナリオは、次の図に示すように、 AWS マネージド AD が AWS クラウドにデプロイされています。このクラウドは、オンプレミス AD に対して双方向の推移的な信頼を持っています。ユーザー と WorkSpaces は Managed AD に作成され、AD の信頼により、オンプレミス環境でリソースにアクセスできるようになります。
図 9: AWS Microsoft AD とオンプレミスへの双方向の推移的信頼
シナリオ 3 と同様に、AD DS (Microsoft AD) は 2 つの AZs にまたがる専用サブネットにデプロイされるため、AD DS は AWS クラウドで高可用性を実現できます。
このシナリオは、 AWS クラウドのデプロイ、パッチ適用、高可用性、モニタリングなど、フルマネージド型の AWS Directory Service を希望するお客様に適しています。このシナリオでは、 WorkSpaces ユーザーは既存のネットワーク上の AD 結合リソースにアクセスすることもできます。このシナリオでは、ドメインの信頼を確立する必要があります。セキュリティグループとファイアウォールルールは、2 つのアクティブディレクトリ間の通信を許可する必要があります。
AWS Directory Service の配置に加えて、前の図は、ユーザーからワークスペースへのトラフィックの流れと、ワークスペースが AD サーバーおよび MFA サーバーとどのようにやり取りするかをまとめたものです。
このアーキテクチャでは、次のコンポーネントまたはコンストラクトを使用します。
AWS
-
Amazon VPC — 2 つの AZs にまたがる少なくとも 4 つのプライベートサブネットを持つ Amazon VPC の作成。2 つは AD DS Microsoft AD 用、2 つは AD Connector または 用です WorkSpaces。
-
DHCP オプションセット — Amazon VPC DHCP オプションセットの作成。これにより、お客様は指定されたドメイン名と DNS (Microsoft AD) を定義できます。詳細については、「DHCP オプションセット」を参照してください。
-
オプション: Amazon Virtual Private Gateway — IPsec VPN トンネル (VPN) または AWS Direct Connect 接続を介した顧客所有のネットワークとの通信を有効にします。を使用して、オンプレミスのバックエンドシステムにアクセスします。
-
AWS Directory Service — VPC サブネットの専用ペア (AD DS Managed Service) にデプロイされた Microsoft AD。
-
Amazon EC2 — MFA 用のオプションの RADIUS サーバー。
-
Amazon WorkSpaces — AD Connector と同じプライベートサブネットに WorkSpaces デプロイされます。詳細については、このドキュメントの「Active Directory: サイトとサービス」セクションを参照してください。
カスタマー
-
ネットワーク接続 — 企業 VPN または AWS Direct Connect エンドポイント。
-
エンドユーザーデバイス — Amazon WorkSpaces サービスへのアクセスに使用される企業デバイスまたは BYOL エンドユーザーデバイス (Windows、Mac、iPadsAndroid タブレット、ゼロクライアント、Chromebook など)。サポートされているデバイスおよびウェブブラウザのクライアントアプリケーションのリストを参照してください。
このソリューションでは、信頼プロセスの運用を可能にするために、お客様のオンプレミスデータセンターへの接続が必要です。 WorkSpaces ユーザーがオンプレミスネットワーク上のリソースを使用している場合は、レイテンシーとアウトバウンドのデータ転送コストを考慮する必要があります。
