シナリオ 5: 共有サービス Virtual Private Cloud (VPC) を使用する AWS Microsoft AD

次の図に示すこのシナリオでは、 AWS クラウドに AWS Managed AD をデプロイし、で既にホストされているワークロード、 AWS またはより広範な移行の一環として予定されているワークロードに認証サービスを提供します。ベストプラクティスとして、Amazon を専用 VPC WorkSpaces に配置することをお勧めします。また、 WorkSpaces コンピュータオブジェクトを整理するために、特定の AD OU を作成する必要があります。

Managed AD をホストする共有サービス VPC WorkSpaces を使用してデプロイするには、 Managed AD で作成された TAK サービスアカウントを使用して AD Connector (TAK) をデプロイします。サービスアカウントには、共有サービス Managed AD の WorkSpaces指定された OU にコンピュータオブジェクトを作成するためのアクセス許可が必要です。

Managed AD をホストする共有サービス VPC WorkSpaces を持つを示すサンプルアーキテクチャでは、AD Connector をデプロイします。

図 10: 共有サービス VPC を使用した AWS Microsoft AD

このアーキテクチャでは、次のコンポーネントまたはコンストラクトを使用します。

AWS

Amazon VPC — 2 つの AZs にまたがる少なくとも 2 つのプライベートサブネットを持つ Amazon VPC の作成 (AD Connector とでは 2 つ WorkSpaces）。
DHCP オプションセット — Amazon VPC DHCP オプションセットの作成。これにより、お客様は指定されたドメイン名と DNS (Microsoft AD) を定義できます。詳細については、「DHCP オプションセット」を参照してください。
オプション: Amazon Virtual Private Gateway — IPsec VPN トンネル (VPN) または AWS Direct Connect 接続を介した顧客所有のネットワークとの通信を有効にします。を使用して、オンプレミスのバックエンドシステムにアクセスします。
AWS Directory Service — VPC サブネットの専用ペア (AD DS Managed Service)、AD Connector にデプロイされた Microsoft AD
AWS トランジットゲートウェイ/VPC ピアリング — Workspaces VPC と共有サービス VPC 間の接続を有効にする
Amazon EC2 — MFA 用のオプションの RADIUS サーバー。
Amazon WorkSpaces — AD Connector と同じプライベートサブネットに WorkSpaces デプロイされます。詳細については、このドキュメントの「Active Directory: サイトとサービス」セクションを参照してください。

カスタマー

ネットワーク接続 — 企業 VPN または AWS Direct Connect エンドポイント。
エンドユーザーデバイス — Amazon WorkSpaces サービスへのアクセスに使用される企業デバイスまたは BYOL エンドユーザーデバイス (Windows、Mac、iPadsAndroid タブレット、ゼロクライアント、Chromebook など）。サポートされているデバイスおよびウェブブラウザのクライアントアプリケーションのリストを参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

シナリオ 4: AWS Microsoft AD とオンプレミスへの双方向の推移的信頼

シナリオ 6: AWS Microsoft AD、共有サービス VPC、オンプレミスへの一方向の信頼