Embed Size (px)
Citation preview
AWS Directory Service管理ガイドVersion 1.0
AWS Directory Service 管理ガイド
AWS Directory Service: 管理ガイドCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.
AWS Directory Service 管理ガイド
Table of ContentsAWS Directory Service とは ................................................................................................................. 1
オプションの選択 ....................................................................................................................... 1AWS Directory Service オプション ................................................................................................ 1Amazon EC2 の操作 ................................................................................................................... 4
AWS Directory Service のセットアップ ................................................................................................. 6AWS アカウントにサインアップする ............................................................................................. 6IAM ユーザーを作成する .............................................................................................................. 6
AWS Managed Microsoft AD ................................................................................................................ 9開始方法 .................................................................................................................................. 10
前提条件 .......................................................................................................................... 10ディレクトリを作成する .................................................................................................... 11作成されるファイル .......................................................................................................... 13管理者アカウント .............................................................................................................. 15
主要なコンセプト ...................................................................................................................... 16Active Directory スキーマ ................................................................................................... 17パッチ適用とメンテナンス ................................................................................................. 18グループ管理サービスアカウント ........................................................................................ 18Kerberos の制約付き委任 ................................................................................................... 18
ユースケース ............................................................................................................................ 19ユースケース 1: AD 認証情報で AWS アプリケーションとサービスにサインインする .................. 21ユースケース 2: Amazon EC2 インスタンスを管理する .......................................................... 21ユースケース 3: AD 対応ワークロードにディレクトリサービスを提供する ................................ 21ユースケース 4: Office 365 およびその他のクラウドアプリケーションに SSO する ..................... 21ユースケース 5: オンプレミス AD を AWS クラウドに拡張する ............................................... 22ユースケース 6: ディレクトリを共有して、AWS アカウント間でシームレスに Amazon EC2 インスタンスをドメインに結合する ........................................................................................ 22
方法... ..................................................................................................................................... 22ディレクトリをセキュリティで保護する ............................................................................... 23ディレクトリをモニタリングする ........................................................................................ 36ディレクトリの共有 .......................................................................................................... 42EC2 インスタンスをディレクトリに参加させる ..................................................................... 51ユーザーとグループを管理する ........................................................................................... 64既存の AD インフラストラクチャに接続する ........................................................................ 68スキーマを拡張する .......................................................................................................... 87ディレクトリをメンテナンスする ........................................................................................ 92AWS リソースに対するアクセス権限の付与 .......................................................................... 95AWS のアプリケーションとサービスへのアクセスを有効にする .............................................. 99AWS マネジメントコンソール へのアクセスを有効にする ..................................................... 107追加ドメインコントローラーのデプロイ ............................................................................. 109AD から AWS Managed Microsoft AD へのユーザーの移行 .................................................... 111
ベストプラクティス ................................................................................................................. 111セットアップ: 前提条件 .................................................................................................... 111セットアップ: ディレクトリの作成 .................................................................................... 113ディレクトリの使用 ......................................................................................................... 113ディレクトリの管理 ......................................................................................................... 114アプリケーションのプログラミング ................................................................................... 115
制限 ...................................................................................................................................... 116Increase Your Limit ......................................................................................................... 116
アプリケーションの互換性 ........................................................................................................ 116互換性に関するガイドライン ............................................................................................. 117互換性のない既知のアプリケーション ................................................................................ 118
AWS Managed Microsoft AD テストラボのチュートリアル ............................................................ 118チュートリアル: AWS Managed Microsoft AD の基本的なテストラボをセットアップする ........... 118
Version 1.0iii
AWS Directory Service 管理ガイド
チュートリアル: EC2 にインストールされたセルフマネージド型 AD に対する AWS ManagedMicrosoft AD からの信頼を作成する ................................................................................... 127
トラブルシューティング ........................................................................................................... 133パスワードの回復 ............................................................................................................ 133DNS のトラブルシューティング ........................................................................................ 133Linux ドメイン結合エラー ................................................................................................ 134スキーマ拡張エラー ......................................................................................................... 135信頼作成ステータスの理由 ................................................................................................ 136
Active Directory Connector ............................................................................................................... 138開始方法 ................................................................................................................................ 138
AD Connector の前提条件 ................................................................................................ 138AD Connector の作成 ...................................................................................................... 148作成されるファイル ......................................................................................................... 149
方法... .................................................................................................................................... 149ディレクトリをセキュリティで保護する ............................................................................. 149ディレクトリをモニタリングする ...................................................................................... 156EC2 インスタンスをディレクトリに参加させる ................................................................... 158ディレクトリをメンテナンスする ...................................................................................... 160AD Connector の DNS を更新する ..................................................................................... 161
ベストプラクティス ................................................................................................................. 162セットアップ: 前提条件 .................................................................................................... 162アプリケーションのプログラミング ................................................................................... 164ディレクトリの使用 ......................................................................................................... 164
制限 ...................................................................................................................................... 164Increase Your Limit ......................................................................................................... 116
アプリケーションの互換性 ........................................................................................................ 165トラブルシューティング ........................................................................................................... 165
EC2 インスタンスのシームレスなドメイン結合が動作しない ................................................. 166AWS アプリケーションを使用してユーザーまたはグループを検索すると「認証できません」エラーが表示される ............................................................................................................ 166AD Connector を通してドメインのユーザーおよびグループをクエリすると、「Authenticationfailed (認証失敗)」が返される ........................................................................................... 166オンプレミスディレクトリに接続しようとすると、「DNS unavailable」というエラーが表示される .............................................................................................................................. 166オンプレミスディレクトリに接続しようとすると、「Connectivity issues detected」というエラーが表示される ............................................................................................................ 167オンプレミスディレクトリに接続しようとすると、「SRV record」というエラーが表示される ... 167ディレクトリが「リクエスト済み」の状態から変化しない ..................................................... 167ディレクトリを作成すると、「AZ 制約」エラーが表示される ................................................ 167一部のユーザーがディレクトリで認証されない .................................................................... 168AD Connector で使用されるサービスアカウントで認証を試みると、「無効な認証情報」エラーが表示される .................................................................................................................. 168
Simple Active Directory .................................................................................................................... 169開始方法 ................................................................................................................................ 170
Simple AD の前提条件 ..................................................................................................... 170Simple AD ディレクトリを作成する ................................................................................... 171作成されるファイル ......................................................................................................... 172DNS を設定する ............................................................................................................. 172
方法... .................................................................................................................................... 173ユーザーとグループを管理する ......................................................................................... 173ディレクトリをモニタリングする ...................................................................................... 178EC2 インスタンスをディレクトリに参加させる ................................................................... 180ディレクトリをメンテナンスする ...................................................................................... 194AWS のアプリケーションとサービスへのアクセスを有効にする ............................................. 197AWS マネジメントコンソール へのアクセスを有効にする ..................................................... 204
チュートリアル: Simple AD ディレクトリの作成 .......................................................................... 206前提条件 ........................................................................................................................ 206
Version 1.0iv
AWS Directory Service 管理ガイド
ステップ 1: VPC の作成と設定 ......................................................................................... 206ステップ 2: Simple AD ディレクトリを作成する .................................................................. 208
ベストプラクティス ................................................................................................................. 209セットアップ: 前提条件 .................................................................................................... 209セットアップ: ディレクトリの作成 .................................................................................... 210アプリケーションのプログラミング ................................................................................... 211
制限 ...................................................................................................................................... 212Increase Your Limit ......................................................................................................... 116
アプリケーションの互換性 ........................................................................................................ 212トラブルシューティング ........................................................................................................... 213
パスワードの回復 ............................................................................................................ 213Simple AD にユーザーを追加するときに「KDC can't fulfill requested option (KDC ではリクエストされたオプションを達成できません)」というエラーが返される .......................................... 213ドメインに結合したインスタンスの DNS 名または IP アドレスを更新できない (DNS の動的更新) ................................................................................................................................ 214SQL Server アカウントを使用して SQL Server にログインできない ....................................... 214ディレクトリが「リクエスト済み」の状態から変化しない ..................................................... 214ディレクトリを作成すると、「AZ 制約」エラーが表示される ................................................ 214一部のユーザーがディレクトリで認証されない .................................................................... 214ディレクトリステータスの原因 ......................................................................................... 214
セキュリティ .................................................................................................................................. 218Identity and Access Management .............................................................................................. 219
認証 .............................................................................................................................. 219アクセスコントロール ...................................................................................................... 220アクセス管理の概要 ......................................................................................................... 221アイデンティティベースのポリシー (IAM ポリシー) を使用する ............................................. 224AWS Directory Service API アクセス許可リファレンス ......................................................... 230
ログ記録とモニタリング ........................................................................................................... 230コンプライアンス検証 .............................................................................................................. 231弾力 ...................................................................................................................................... 231インフラストラクチャセキュリティ ........................................................................................... 232
サービスレベルアグリーメント (SLA) ................................................................................................ 233利用可能なリージョン ...................................................................................................................... 234ブラウザの互換性 ............................................................................................................................ 237
TLS とは何ですか ? ................................................................................................................. 238AWS SSO ではどの TLS バージョンがサポートされているか ........................................................ 238サポートされている TLS バージョンを使用するブラウザで有効にする方法 ...................................... 238
ドキュメント履歴 ............................................................................................................................ 239
Version 1.0v
AWS Directory Service 管理ガイドオプションの選択
AWS Directory Service とはAWS Directory Service では、Amazon Cloud Directory および Microsoft Active Directory (AD) を他の AWSサービスと併用するための複数の方法を提供します。ディレクトリはユーザー、グループ、デバイスに関する情報を保存します。管理者は、これらのディレクトリを通じて情報やリソースへのアクセスを管理します。AWS Directory Service は、既存の Microsoft AD やライトウェイトディレクトリアクセスプロトコル (LDAP) –対応のアプリケーションをクラウド上で使用するユーザー向けに複数のディレクトリオプションを提供します。また、開発者がディレクトリを通じてユーザー、グループ、デバイス、およびアクセスを管理する場合にも、同じオプションを提供します。
オプションの選択ニーズに合った最適な機能とスケーラビリティを提供するディレクトリサービスを選択できます。以下の表を参考にして、お客様の組織に最適な AWS Directory Service ディレクトリオプションを選択してください。
目的 AWS Directory Service の推奨されるオプション
クラウド内のアプリケーションにActive Directory または LDAP が必要である
AWS Directory Service for Microsoft Active Directory (スタンダードまたはエンタープライズエディション) を選択します。Active Directory– 対応のワークロードや AWS のアプリケーションとサービス (Amazon WorkSpaces、AmazonQuickSight など) をサポートする実際の Microsoft ActiveDirectory が AWS クラウドで必要な場合、または Linux アプリケーション用に LDAP サポートが必要な場合にお勧めします。
オンプレミスのユーザーが Active Directory 認証情報で AWSアプリケーションやサービスにログインすることを許可するだけの場合は、AD Connector を使用します。AD Connector を使用して Amazon EC2 インスタンスを既存の Active Directoryドメインに結合することもできます。
Samba 4 互換アプリケーションをサポートする基本的なActive Directory 互換性を持つ低スケール、低コストのディレクトリが必要な場合、または LDAP 対応アプリケーションのLDAP 互換性が必要な場合は、Simple AD を使用します。–
複雑な関係を持つ階層データを管理するクラウドアプリケーションを開発する
アプリケーション間での階層データの共有やアクセス管理にクラウドスケールのディレクトリが必要な場合は、AmazonCloud Directory を使用します。
SaaS アプリケーションを開発する 高スケールの SaaS アプリケーションを開発する場合、受信者を管理および認証するために、ソーシャルメディア ID に対応するスケーラブルなディレクトリが必要なときは、AmazonCognito を使用します。
AWS Directory Service オプションAWS Directory Service では、複数のディレクトリタイプを目的に応じて使い分けることができます。詳細については、次のタブのいずれかを選択してください。
Version 1.01
AWS Directory Service 管理ガイドAWS Directory Service オプション
AWS Directory Service for Microsoft Active Directory
AWS Directory Service for Microsoft Active Directory は、AWS Managed Microsoft AD とも呼ばれ、実際の Microsoft Windows Server Active Directory (AD) を搭載し、AWS クラウド上で AWS によって管理されます。これを使用すると、さまざまな Active Directory 対応アプリケーションを AWSクラウドに移行できます。AWS Managed Microsoft AD は、Microsoft SharePoint、Microsoft SQLServer Always On 可用性グループ、多くの .NET アプリケーションと連携します。–また、AmazonWorkSpaces、Amazon WorkDocs、Amazon QuickSight、Amazon Chime、Amazon Connect、およびAmazon Relational Database Service for Microsoft SQL Server (RDS for SQL Server) などの AWS が管理するアプリケーションやサービスをサポートしています。
AWS クラウド内のアプリケーション用AWS Managed Microsoft AD の承認対象となる 米国医療保険の相互運用性と説明責任に関する法律 (Health Insurance Portability and Accountability Act、HIPAA) やPCI データセキュリティスタンダード (Payment Card Industry Data Security Standard、PCI DSS) に準拠する必要がある AWS クラウド内のアプリケーション用としても承認されています (ディレクトリのコンプライアンスを有効にする場合)。
互換性のあるすべてのアプリケーションは、AWS Managed Microsoft AD に保存されたユーザー認証情報を使用して動作します。または、信頼された既存の AD インフラストラクチャに接続して、オンプレミスや EC2 Windows で実行される Active Directory からの認証情報を使用することもできます。EC2 インスタンスを AWS Managed Microsoft AD に結合すると、ユーザーはオンプレミスネットワークのワークロードにアクセスする場合と同じ Windows シングルサインオン (single sign-on、SSO) の使い方で、AWS クラウドの Windows ワークロードにアクセスできます。
AWS Managed Microsoft AD では、Active Directory 認証情報を使用してフェデレーションされたユースケースもサポートされています。AWS Managed Microsoft AD は単独で AWS マネジメントコンソール にサインインできます。また、AWS シングルサインオン を使用して、AWS SDK および CLIで使用する短期間の認証情報を取得したり、事前設定済み SAML 統合を使用して多数のクラウドアプリケーションにサインインすることもできます。Azure AD Connect、および必要に応じて ActiveDirectory Federation Service (AD FS) を追加することで、AWS Managed Microsoft AD に保存されている認証情報を使用して Microsoft Office 365 などのクラウドアプリケーションにサインインできます。
このサービスにはキー機能が含まれており、スキーマの拡張、パスワードポリシーの管理、およびセキュアソケットレイヤー (Secure Socket Layer、SSL)/Transport Layer Security (TLS) 経由の安全なLDAP 通信の有効化を行うことができます。また、AWS Managed Microsoft AD の多要素認証 (multi-factor authentication、MFA) を有効にして、ユーザーがインターネットから AWS アプリケーションにアクセスする際に追加のセキュリティレイヤーを提供できます。Active Directory は LDAP ディレクトリであるため、AWS Managed Microsoft AD は Linux Secure Shell (SSH) 認証や他の LDAP 対応アプリケーションにも使用できます。
AWS は、このサービスの一環として、モニタリング、日次スナップショット、および復旧を提供します。AWS Managed Microsoft AD にユーザーおよびグループを追加し、AWS Managed Microsoft ADドメインに結合された Windows コンピュータで実行されている使い慣れた Active Directory ツールを使用して、グループポリシーを管理できます。また、追加のドメインコントローラーをデプロイしてディレクトリをスケールし、より多くのドメインコントローラー間でリクエストを分散させることでアプリケーションのパフォーマンスを向上させることもできます。
AWS Managed Microsoft AD は、スタンダードとエンタープライズの 2 つのエディションで利用できます。
• スタンダードエディション: AWS Managed Microsoft AD (スタンダードエディション) は、従業員数が 5,000 名までの中小企業向けのプライマリディレクトリとして最適化されています。ユーザー、グループ、コンピュータなど、最大 30,000* のディレクトリオブジェクトをサポートするために十分なストレージ容量を提供します。
• エンタープライズエディション: AWS Managed Microsoft AD (エンタープライズエディション) は、最大 500,000* のディレクトリオブジェクトをサポートするエンタープライズ組織向けに設計されています。
Version 1.02
AWS Directory Service 管理ガイドAWS Directory Service オプション
* 上限数は概数です。ディレクトリでサポートできるディレクトリオブジェクトの数は、オブジェクトのサイズ、アプリケーションの動作やパフォーマンスニーズに応じて増減する場合があります。
どのようなときに使うか
AWS アプリケーションや Windows ワークロード ( Amazon Relational Database Servicefor MicrosoftSQL Server など) をサポートするために実際の Active Directory 機能が必要な場合は、AWS ManagedMicrosoft AD が最適な選択肢です。また、AWS クラウドで Office 365 をサポートするスタンドアロンの AD が必要な場合や Linux アプリケーションをサポートする LDAP ディレクトリが必要な場合にも最適です。詳細については、「AWS Managed Microsoft AD (p. 9)」を参照してください。
AD Connector
AD Connector は、互換性のある AWS アプリケーション (Amazon WorkSpaces、AmazonQuickSight、Amazon EC2 for Windows Server など) をオンプレミスの既存の Microsoft ActiveDirectory に簡単に接続する方法を提供するプロキシサービスです。AD Connector では、ActiveDirectory に簡単に 1 つのサービスアカウントを追加できます。AD Connector を使用すると、ディレクトリを同期化する必要がなくなり、フェデレーションインフラストラクチャをホストするコストや複雑さからも解放されます。
Amazon QuickSight などの AWS アプリケーションにユーザーを追加すると、AD Connector は既存の Active Directory を読み取り、選択対象のユーザーやグループのリストを作成します。ユーザーが AWS アプリケーションにログインすると、AD Connector はサインインリクエストをオンプレミスの Active Directory ドメインコントローラーに転送して認証を行います。AD Connector は、多くの AWS アプリケーションやサービス (Amazon WorkSpaces、Amazon WorkDocs、AmazonQuickSight、Amazon Chime、Amazon Connect、Amazon WorkMail など) と連携します。シームレスなドメイン結合を使用し、AD Connector を介してオンプレミスの Active Directory ドメインにEC2 Windows インスタンスを結合することもできます。また、AD Connector は、ユーザーが既存の Active Directory 認証情報を使用して AWS マネジメントコンソール にアクセスし、AWS リソースを管理することを許可することもできます。AD Connector は RDS SQL Server と互換性がありません。
AD Connector では、既存の RADIUS ベースの MFA インフラストラクチャに接続することで、AWSアプリケーションユーザーに対する多要素認証 (multi-factor authentication、MFA) を有効化することもできます。これにより、ユーザーが AWS アプリケーションにアクセスするときに別のセキュリティレイヤーが追加されます。
AD Connector を使用すると、現在と同じ方法で引き続き Active Directory を管理できます。たとえば、新しいユーザーの追加、新しいグループの追加、パスワードの更新は、すべてオンプレミスActive Directory の標準の Active Directory 管理ツールを使用して実行されます。これにより、ユーザーがアクセスするリソースがオンプレミスまたは AWS クラウドのいずれにある場合でも、パスワード有効期限、パスワード履歴、アカウントロックアウトなどのセキュリティポリシーを一貫して適用できます。
どのようなときに使うか
AD Connector は、既存のオンプレミスディレクトリを互換性のある AWS のサービスと併用する場合に最適です。詳細については、「Active Directory Connector (p. 138)」を参照してください。
Simple AD
Simple AD は、AWS Directory Service が提供する Microsoft Active Directory 互換のディレクトリであり、Samba 4 を使用します。Simple AD は、ユーザーアカウント、グループメンバーシップ、Linuxドメインまたは Windows ベースの EC2 インスタンスの結合、Kerberos ベースの SSO、グループポリシーなどの基本的な Active Directory 機能をサポートしています。AWS は、このサービスの一環として、モニタリング、日次スナップショット、および回復を提供します。
Simple AD はクラウド内のスタンドアロンディレクトリであり、ユーザーアイデンティティの作成や管理、アプリケーションへのアクセスの管理を行います。基本的な Active Directory 機能を必要とす
Version 1.03
AWS Directory Service 管理ガイドAmazon EC2 の操作
る、多くの使い慣れた Active Directory 対応のアプリケーションやツールを使用できます。–SimpleAD は、AWS アプリケーションの Amazon WorkSpaces、Amazon WorkDocs、Amazon QuickSight、および Amazon WorkMail と互換性があります。また、Simple AD のユーザーアカウントを使用してAWS マネジメントコンソール にサインインし、AWS リソースを管理することもできます。
Simple AD では、多要素認証 (MFA)、信頼関係、DNS 動的更新、スキーマ拡張、LDAPS を介した通信、PowerShell AD コマンドレット、または FSMO ロールの転送はサポートされていません。SimpleAD は、RDS SQL Server と互換性がありません。実際の Microsoft Active Directory の機能が必要な場合や、RDS SQL Server でのディレクトリの使用を計画する場合は、代わりに AWS ManagedMicrosoft AD を使用する必要があります。Simple AD を使用する前に、必要なアプリケーションがSamba 4 と完全に互換することを確認してください。詳細については、https://www.samba.org を参照してください。
どのようなときに使うか
Simple AD をクラウド内でスタンドアロンのディレクトリとして使用すると、基本的な AD 機能を必要とする Windows ワークロード、互換性のある AWS アプリケーション、または LDAP サービスを必要とする Linux ワークロードをサポートできます。詳細については、「Simple ActiveDirectory (p. 169)」を参照してください。
Amazon Cloud Directory
Amazon Cloud Directory はクラウドネイティブのディレクトリで、何百万というアプリケーション固有のオブジェクトを複数の関係およびスキーマとともに保存します。アプリケーションの階層データ用にスケーラビリティの高いディレクトリストアが必要な場合は、Amazon Cloud Directory を使用します。
どのようなときに使うか
Amazon Cloud Directory は、デバイスレジストリ、カタログ、ソーシャルネットワーク、組織構造、ネットワークトポロジなどのアプリケーションディレクトリを構築する必要がある場合に最適です。詳細については、Amazon Cloud Directory 開発者ガイドの「Amazon Cloud Directory とは」を参照してください。
Amazon Cognito
Amazon Cognito は、Amazon Cognito ユーザープールを使用してモバイルアプリまたはウェブアプリケーションにサインアップとサインインを追加するユーザーディレクトリです。
どのようなときに使うか
カスタム登録フィールドを作成し、そのメタデータをユーザーディレクトリ内に格納する必要があるときにも Amazon Cognito を使用できます。このフルマネージド型のサービスは、拡張して何百万というユーザーをサポートします。詳細については、「ユーザープールの作成および管理」を参照してください。
リージョンごとにサポートされているディレクトリタイプのリストについては、「AWS Directory Serviceが利用可能なリージョン (p. 234)」を参照してください。
Amazon EC2 の操作AWS Directory Service を使用して Amazon EC2 の基本を理解する必要があります。最初に以下のトピックを読むことをお勧めします。
• Windows インスタンスの Amazon EC2 ユーザーガイドの「Amazon EC2 とは」• Windows インスタンスの Amazon EC2 ユーザーガイドの「EC2 インスタンスの起動」
Version 1.04
AWS Directory Service 管理ガイドAmazon EC2 の操作
• Windows インスタンスの Amazon EC2 ユーザーガイドの「セキュリティグループ」• Amazon VPC ユーザーガイドの「Amazon VPC とは」• Amazon VPC ユーザーガイドの「VPC へのハードウェア仮想プライベートゲートウェイの追加」
Version 1.05
AWS Directory Service 管理ガイドAWS アカウントにサインアップする
AWS Directory Service のセットアップ
AWS Directory Service を使用するには、AWS Directory Service for Microsoft Active Directory、ADConnector、Simple AD のいずれかの前提条件を満たす必要があります。詳細については「AWS ManagedMicrosoft AD の前提条件 (p. 10)」、「AD Connector の前提条件 (p. 138)」または「Simple AD の前提条件 (p. 170)」を参照してください。
まだの場合は、あわせて AWS アカウントを作成し、AWS Identity and Access Management サービスを使用してアクセスを制御する必要があります。
トピック• AWS アカウントにサインアップする (p. 6)• IAM ユーザーを作成する (p. 6)
AWS アカウントにサインアップするAWS アカウントからすべてのサービスにアクセスできますが、料金は使用したリソースに対してのみ発生します。
AWS アカウントをお持ちでない場合は、次に説明する手順に従ってアカウントを作成してください。
AWS にサインアップするには
1. https://aws.amazon.com/ を開き、[AWS アカウントの作成] を選択します。2. オンラインの手順に従います。
ルートアカウント認証情報により、AWS のサービスに対してお客様の身分が証明され、WorkSpacesなどの AWS リソースの無制限の使用が許可されます。セキュリティ認証情報を共有することなく他のユーザーに AWS Directory Service リソースの管理を許可するには、AWS Identity and AccessManagement(IAM)を使用します。アカウント所有者も含め、だれもが IAM ユーザーとして作業することをお勧めします。自分用に IAM ユーザーを作成し、その IAM ユーザーに管理者特権を与えて、それをすべての作業に使用します。
IAM ユーザーを作成するAWS マネジメントコンソール ではユーザー名とパスワードが要求されます。これでリソースへのアクセス許可があるかどうかをサービスが判断できます。ただし、ルート AWS アカウントの認証情報を使用して AWS にアクセスしないことをお勧めします。その代わりに、AWS Identity and Access Management(IAM) を使用して IAM ユーザーを作成し、その IAM ユーザーを管理者のアクセス許可を持つ IAM グループに追加することをお勧めします。これで、IAM ユーザーに管理権限が付与されます。その結果、AWS マネジメントコンソール に IAM ユーザーの認証情報を使用してアクセスすることになります。
AWS にサインアップしても、ご自分の IAM ユーザーをまだ作成していない場合は、IAM コンソールを使用して作成できます。
Version 1.06
AWS Directory Service 管理ガイドIAM ユーザーを作成する
自分用の管理者ユーザーを作成し、そのユーザーを管理者グループに追加するには (コンソール)
1. AWS アカウント E メールアドレスとパスワードを使用して https://console.aws.amazon.com/iam/ でAWS アカウントのルートユーザー として IAM コンソールにサインインします。
Note
以下のAdministratorIAMユーザーの使用に関するベストプラクティスに従い、ルートユーザー認証情報を安全な場所に保管しておくことを強くお勧めします。ルートユーザーとしてサインインして、少数のアカウントおよびサービス管理タスクのみを実行します。
2. ナビゲーションペインで [Users]、[Add user] の順に選択します。3. [ユーザー名] に「Administrator」と入力します。4. [AWS マネジメントコンソール access (アクセス)] の横にあるチェックボックスをオンにします。
[Custom password (カスタムパスワード)] を選択し、その後テキストボックスに新しいパスワードを入力します。
5. (オプション) AWS では、デフォルトで、新しいユーザーに対して初回のサインイン時に新しいパスワードを作成することが必要です。必要に応じて [User must create a new password at next sign-in(ユーザーは次回のサインイン時に新しいパスワードを作成する必要がある)] のチェックボックスをオフにして、新しいユーザーがサインインしてからパスワードをリセットできるようにできます。
6. [Next: Permissions (次へ: アクセス許可)] を選択します。7. [Set permissions (アクセス許可の設定)] で、[Add user to group (ユーザーをグループに追加)] を選択し
ます。8. [Create group] を選択します。9. [グループの作成] ダイアログボックスで、[グループ名] に「Administrators」と入力します。10. [Filter policies (フィルタポリシー)] を選択し、その後 [AWS managed -job function (AWS 管理ジョブ
の機能] を選択してテーブルのコンテンツをフィルタリングします。11. ポリシーリストで、[AdministratorAccess] のチェックボックスをオンにします。次に、[Create group]
を選択します。Note
AdministratorAccess アクセス許可を使用して、AWS Billing and Cost Management コンソールを使用する前に、IAM ユーザーおよびロールの請求へのアクセスをアクティブ化する必要があります。これを行うには、請求コンソールへのアクセスの委任に関するチュートリアルのステップ 1 の手順に従ってください。
12. グループのリストに戻り、新しいグループのチェックボックスをオンにします。必要に応じて[Refresh] を選択し、リスト内のグループを表示します。
13. [次へ: タグ] を選択します。14. (オプション) タグをキー - 値のペアとしてアタッチして、メタデータをユーザーに追加します。IAM
でのタグの使用の詳細については、『IAM ユーザーガイド』の「IAM エンティティのタグ付け」を参照してください。
15. [Next: Review] を選択して、新しいユーザーに追加するグループメンバーシップのリストを表示します。続行する準備ができたら、[Create user] を選択します。
この同じプロセスを繰り返して新しいグループとユーザーを作成し、AWS アカウントのリソースへのアクセス権をユーザーに付与できます。ポリシーを使用して特定の AWS リソースに対するユーザーのアクセス許可を制限する方法については、「アクセス管理」と「ポリシーの例」を参照してください。
新規の IAM ユーザーとしてサインインするには、 AWS マネジメントコンソールからサインアウトし、次の URL を使用します。このとき、your_aws_account_id はハイフンを除いた AWS アカウント番号です(たとえば AWS アカウント番号が 1234-5678-9012 であれば、AWS アカウント ID は 123456789012です)。
https://your_aws_account_id.signin.aws.amazon.com/console/
Version 1.07
AWS Directory Service 管理ガイドIAM ユーザーを作成する
作成した IAM ユーザー名とパスワードを入力します。サインインすると、ナビゲーションバーに「your_user_name @ your_aws_account_id」が表示されます。
サインページの URL に AWS アカウント ID を含めない場合は、アカウントのエイリアスを作成します。IAM ダッシュボードから [Customize] をクリックし、エイリアス(会社名など)を入力します。アカウントエイリアスを作成した後、サインインするには、次の URL を使用します。
https://your_account_alias.signin.aws.amazon.com/console/
IAM リソースへのアクセス制御に AWS Directory Service ポリシーを使用する方法については、「AWSDirectory Service でアイデンティティベースのポリシー (IAM ポリシー) を使用する (p. 224)」を参照してください。
Version 1.08
AWS Directory Service 管理ガイド
AWS Managed Microsoft ADAWS Directory Service によって、Microsoft Active Directory(AD) をマネージドサービスとして実行することができます。 AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD とも呼ばれます) は Windows Server 2012 R2 を使用しています。このディレクトリタイプを選択して起動すると、Virtual Private Cloud (VPC) に接続されたドメインコントローラーの可用性が高いペアとして作成されます。各ドメインコントローラーは、お客様が選択するリージョンの異なるアベイラビリティーゾーンで実行されます。ホストのモニタリングと復旧、データレプリケーション、スナップショット、およびソフトウェアの更新は自動的に設定、管理されます。
AWS Managed Microsoft AD では、Microsoft SharePoint、カスタム .NET、および SQL Server ベースのアプリケーションを含むディレクトリ対応ワークロードを、AWS クラウド上で実行できます。また、AWSManaged Microsoft AD クラウド上の AWS と既存のオンプレミス Microsoft Active Directory の間で信頼関係を設定し、シングルサインオン (SSO) を使っていずれかのドメインのリソースへのアクセス権を、ユーザーとグループに提供することもできます。
AWS Directory Service では、AWS クラウドで簡単にディレクトリをセットアップして実行したり、AWSリソースを既存のオンプレミス Microsoft Active Directory に接続したりできます。ディレクトリを作成すると、次のようなさまざまなタスクに使用できます。
• ユーザーとグループを管理する• アプリケーションとサービスにシングルサインオンを提供する• グループポリシーを作成し適用する• Amazon EC2 Linux および Windows インスタンスに安全に接続する• クラウドベースの Linux および Microsoft Windows ワークロードのデプロイメントと管理を簡素化する• AWS Managed Microsoft AD を使用すると、既存の RADIUS ベースの MFA インフラストラクチャと
統合し、多要素認証を有効にして、ユーザーが AWS アプリケーションにアクセスするときに追加のセキュリティレイヤーを提供できます。
このセクションのトピックをお読みになると、AWS Managed Microsoft AD ディレクトリの作成、AWSManaged Microsoft AD とオンプレミスディレクトリ間の信頼関係の作成、AWS Managed Microsoft AD スキーマの拡張ができます。
トピック• AWS Managed Microsoft AD の使用開始 (p. 10)• AWS Managed Microsoft AD の主要なコンセプト (p. 16)• AWS Managed Microsoft AD のユースケース (p. 19)• AWS Managed Microsoft AD を管理する方法 (p. 22)• AWS Managed Microsoft AD のベストプラクティス (p. 111)• AWS Managed Microsoft AD の制限 (p. 116)• AWS Managed Microsoft AD のアプリケーションの互換性ポリシー (p. 116)• AWS Managed Microsoft AD テストラボのチュートリアル (p. 118)• AWS Managed Microsoft AD のトラブルシューティング (p. 133)
関連する AWS セキュリティブログの記事
• オンプレミス Active Directory ユーザーに AWS Managed Microsoft AD ディレクトリの管理を委任する方法
• AWS Directory Service 用の AWS Managed Microsoft AD を使用し、より強力なパスワードポリシーを設定してセキュリティ標準を満たす方法
Version 1.09
AWS Directory Service 管理ガイド開始方法
• ドメインコントローラーを追加して、AWS Managed Microsoft AD 用の AWS Directory Service の冗長性とパフォーマンスを高める方法
• AWS Managed Microsoft AD に Microsoft リモートデスクトップライセンスマネージャーをデプロイし、リモートデスクトップの使用を有効化する方法
• AWS マネジメントコンソール とオンプレミス認証情報を使用して AWS Managed Microsoft AD にアクセスする方法
• AWS およびオンプレミス認証情報を使用して AWS Managed Microsoft AD のサービスで多要素認証を有効化する方法
• オンプレミスの Active Directory を使用し、AWS のサービスに簡単にログオンする方法
AWS Managed Microsoft AD の使用開始AWS Managed Microsoft AD は、完全マネージド型の Microsoft Active Directory を AWS クラウド内に作成し、Windows Server 2012 R2 を使用して 2012 R2 の機能レベルで動作します。AWS ManagedMicrosoft AD でディレクトリを作成すると、ユーザーに代わって AWS Directory Service が 2 つのドメインコントローラーを作成し、DNS サービスを追加します。ドメインコントローラーは、1 つの VPC の異なるサブネットに作成されます。この冗長性により、障害が発生してもディレクトリに確実にアクセスできます。さらに追加のドメインコントローラーが必要になれば、後で追加できます。詳細については、「追加ドメインコントローラーのデプロイ (p. 109)」を参照してください。
トピック• AWS Managed Microsoft AD の前提条件 (p. 10)• AWS Managed Microsoft AD ディレクトリを作成する (p. 11)• 作成されるファイル (p. 13)• 管理者アカウント (p. 15)
AWS Managed Microsoft AD の前提条件AWS Managed Microsoft AD ディレクトリを作成するには、VPC に関する以下の条件があります。
• 少なくとも 2 つのサブネット。各サブネットはそれぞれ異なるアベイラビリティーゾーンにある必要があります。
• VPC にはデフォルトのハードウェアテナンシーが必要です。• 198.18.0.0/15 アドレス空間のアドレスを使用して、VPC 内に AWS Managed Microsoft AD を作成する
ことはできません。• AWS Directory Service は、Active Directory を使用したネットワークアドレス変換 (NAT) の使用はサ
ポートしていません。NAT を使用するとレプリケーションエラーが発生する可能性があります。
AWS Managed Microsoft AD ドメインを既存のオンプレミスの Active Directory ドメインに統合する必要がある場合は、オンプレミスドメインの機能レベルを Windows Server 2003 以降に設定する必要があります。
AWS Directory Service uses a two VPC structure. The EC2 instances which make up your directory runoutside of your AWS account, and are managed by AWS. They have two network adapters, ETH0 andETH1. ETH0 is the management adapter, and exists outside of your account. ETH1 is created within youraccount.
The management IP range of your directory's ETH0 network is chosen programmatically to ensure it doesnot conflict with the VPC where your directory is deployed. This IP range can be in either of the followingpairs (as Directories run in two subnets):
• 10.0.1.0/24 & 10.0.2.0/24
Version 1.010
AWS Directory Service 管理ガイドディレクトリを作成する
• 192.168.1.0/24 & 192.168.2.0/24
We avoid conflicts by checking the first octet of the ETH1 CIDR. If it starts with a 10, then we choose a192.168.0.0/16 VPC with 192.168.1.0/24 and 192.168.2.0/24 subnets. If the first octet is anything else otherthan a 10 we choose a 10.0.0.0/16 VPC with 10.0.1.0/24 and 10.0.2.0/24 subnets.
The selection algorithm does not include routes on your VPC. It is therefore possible to have an IP routingconflict result from this scenario.
多要素認証の前提条件AWS Managed Microsoft AD ディレクトリで多要素認証 (MFA) をサポートするためには、AWS の AWSManaged Microsoft AD ディレクトリからリクエストを受け付けられるように、次の方法でオンプレミスまたはクラウドベースの Remote Authentication Dial-In User Service (RADIUS) サーバーを設定する必要があります。
1. RADIUS サーバーで、AWS に両方の AWS Managed Microsoft AD ドメインコントローラー (DC) を表す 2 つの RADIUS クライアントを作成します。次の一般的なパラメータ (RADIUS サーバーによって異なる場合があります) を使用して両方のクライアントを設定する必要があります。• アドレス (DNS または IP): これは AWS Managed Microsoft AD DC の 1 つの DNS アドレスで
す。DNS アドレスはいずれも、MFA を使用する予定の AWS Managed Microsoft AD ディレクトリの[詳細] ページの AWS Directory Service Console にあります。表示される DNS アドレスには、AWSによって使用される両方の AWS Managed Microsoft AD DC の IP アドレスが表示されます。
Note
RADIUS サーバーが DNS アドレスをサポートしている場合は、RADIUS クライアント設定を 1 つだけ作成する必要があります。そうしないと、各 AWS Managed Microsoft AD DC に1 つの RADIUS クライアント設定を作成する必要があります。
• ポート番号: RADIUS サーバーが RADIUS クライアント接続を受け付けるポート番号を設定します。標準の RADIUS ポートは 1812 です。
• 共有シークレット: RADIUS サーバーによって使用される共有シークレットを入力または生成して、RADIUS クライアントに接続します。
• プロトコル: AWS Managed Microsoft AD DC と RADIUS サーバー間に認証プロトコルを設定する必要があります。サポートされているプロトコルは、PAP、CHAP MS-CHAPv1、および MS-CHAPv2です。非常に強力な 3 つのオプションのセキュリティを用意している MS-CHAPv2 を推奨します。
• アプリケーション名: これは一部の RADIUS サーバーではオプションであり、通常はメッセージまたはレポートのアプリケーションを識別します。
2. 既存のネットワークを設定して、RADIUS クライアント (AWS Managed Microsoft AD DC DNS アドレス、ステップ 1 を参照してください) から RADIUS サーバーポートへのインバウンドトラフィックを許可します。
3. RADIUS サーバーの DNS アドレスと以前に定義したポート番号からのインバウンドトラフィックを許可する AWS Managed Microsoft AD ドメインの Amazon EC2 セキュリティグループにルールを追加します。詳細については、EC2 ユーザーガイドの「セキュリティグループへのルールの追加」を参照してください。
MFA で AWS Managed Microsoft AD を使用する場合の詳細については、「AWS Managed Microsoft ADの多要素認証を有効にするには (p. 26)」を参照してください。
AWS Managed Microsoft AD ディレクトリを作成する新しいディレクトリを作成するには、以下のステップを実行します。この手順を開始する前に、「AWSManaged Microsoft AD の前提条件 (p. 10)」で定義されている前提条件を満たしていることを確認します。
Version 1.011
AWS Directory Service 管理ガイドディレクトリを作成する
AWS Managed Microsoft AD ディレクトリを作成するには
1. AWS Directory Service console ナビゲーションペインで、[ディレクトリ]、[Set up Directory (ディレクトリの設定)] の順に選択します。
2. [ディレクトリタイプの選択] ページで [AWS Managed Microsoft AD]、[次へ] の順に選択します。3. [ディレクトリ情報の入力] ページで、以下の情報を指定します。
エディション
AWS Managed Microsoft AD のエディションとして [スタンダード] または [エンタープライズ]を選択します。エディションの詳細については、「AWS Directory Service for Microsoft ActiveDirectory」を参照してください。
ディレクトリの DNS 名
ディレクトリの完全修飾名。例: corp.example.com。ディレクトリの NetBIOS 名
ディレクトリの短縮名。例: CORP。ディレクトリの説明
必要に応じて、ディレクトリの説明。Admin パスワード
ディレクトリ管理者のパスワードです。ディレクトリの作成プロセスでは、ユーザー名 Admin とこのパスワードを使用して管理者アカウントが作成されます。
パスワードには、「admin」という単語を含めることはできません。
ディレクトリ管理者のパスワードは大文字と小文字が区別され、8~64 文字の長さにする必要があります。また、以下の 4 つのカテゴリうち 3 つから少なくとも 1 文字を含める必要があります。• 小文字 (a〜z)• 大文字 (A〜Z)• 数値 (0〜9)• アルファベット以外の文字(~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
[Confirm Password]
管理者のパスワードをもう一度入力します。4. [VPC とサブネットの選択] ページで、以下の情報を指定して [次へ] を選択します。
VPC
ディレクトリ用の VPC。Subnets
ドメインコントローラーのサブネットを選択します。2 つのサブネットは、異なるアベイラビリティーゾーンに存在している必要があります。
5. [確認と作成] ページでディレクトリ情報を確認し、必要に応じて変更を加えます。情報が正しい場合は、[Create directory (ディレクトリの作成)] を選択します。ディレクトリの作成所要時間は 20〜40分です。作成が完了すると、[Status] 値が [Active] に変わります。
Version 1.012
AWS Directory Service 管理ガイド作成されるファイル
作成されるファイルAWS Managed Microsoft AD を使用してディレクトリを作成すると、お客様に代わって、AWS DirectoryService によって次のタスクが自動的に実行されます。
• Automatically associates an elastic network interface with each of your domain controllers. Each ofthese network interfaces are essential to preserve connectivity between EC2 and AWS DirectoryService and should never be deleted. You can identify all network interfaces reserved for use with AWSDirectory Service by the description: "AWS created network interface for directory directory-id". For moreinformation, see Elastic Network Interfaces in the Amazon EC2 User Guide.
• Active Directory を 2 つのドメインコントローラーで実行されている VPC 内でセットアップし、耐障害性と高可用性を確保します。さらに追加のドメインコントローラーが必要になれば、後で追加できます。詳細については、「追加ドメインコントローラーのデプロイ (p. 109)」を参照してください。
• ドメインコントローラーとの間のトラフィックのネットワークフィルターを確立する AWS セキュリティグループを作成します。任意の宛先へのすべてのトラフィックを許可するデフォルトのアウトバウンドフィルター。デフォルトのインバウンドフィルターでは、任意のソースから Active Directory で必要になるポートを通じたトラフィックのみが許可されます。VPC を直接インターネットに接続してはならないため、ドメインコントローラーへのトラフィックは、VPC の他のコンピュータ、または他の VPCからのトラフィックや、VPC ピア接続、AWS Direct Connect、または仮想プライベートネットワーク接続を使用して接続したオンプレミスネットワークからのトラフィックに制限されます。これらを変更を試みるときには、ドメインコントローラーと通信できなくなる可能性があるため、特に注意が必要です。ポートの要件の詳細については、「AWS Managed Microsoft AD の前提条件 (p. 10)」を参照してください。
• 「Admin」のユーザー名と指定されたパスワードを使用して、ディレクトリ管理者アカウントを作成します。このアカウントは、ユーザー OU (たとえば、Corp > Users) の下にあります。このアカウントを使用して AWS クラウドのディレクトリを管理します。詳細については、「管理者アカウント (p. 15)」を参照してください。
Important
このパスワードは必ず保管してください。AWS Directory Service にはこのパスワードは保存されず、取得できません。ただし、AWS Directory Service コンソールから、またはResetUserPassword API を使用して、パスワードをリセットできます。
• ドメインのルートに次の 3 つの組織単位 (OU) を作成します。
OU 名 説明
AWS 委任グループ ユーザーに AWS の特定のアクセス権限を委任するために使用できるすべてのグループを保存します。
AWS リザーブド すべての AWS マネジメント専用アカウントを保存します。
<yourdomainname> この OU の名前は、ディレクトリの作成時に入力した NetBIOS 名に基づきます。NetBIOS 名を指定しなかった場合、デフォルトでは、DirectoryDNS 名の最初の部分が使用されます (たとえば、corp.example.com の場合、NetBIOS 名はcorp となります)。この OU は AWS が所有し、ユーザーに完全制御の権限が付与されているすべての AWS 関連ディレクトリオブジェクトが含まれます。デフォルトでは、この OU の下に 2 つの子 OU ([Computers] および [Users]) が存在します。例:• Corp
Version 1.013
AWS Directory Service 管理ガイド作成されるファイル
OU 名 説明• Computers• ユーザー
• [AWS Delegated Groups (委任グループ)] OU で次のグループを作成します。
グループ名 説明
AWS が委任したアカウントのオペレータ このセキュリティグループのメンバーには、パスワードのリセット、ロック解除など限定されたアカウント管理機能があります
AWS Active Directory ベースのアクティベーションの委任管理者
このセキュリティグループのメンバーは、ActiveDirectory ボリュームライセンスアクティベーションオブジェクトを作成できます。これにより、企業はドメインへの接続を介してコンピュータをアクティベートできます。
AWS が委任したドメインユーザーへのワークステーションの追加
このセキュリティグループのメンバーは、10 台のコンピュータをドメインに参加させることができます
AWS 委任管理者 このセキュリティグループのメンバーは、AWSManaged Microsoft AD の管理、OU 内のすべてのオブジェクトの完全なコントロール、およびAWS 委任グループ OU に含まれるグループの管理を行うことができます
AWS 削除済みオブジェクトの有効期間の委任管理者
このセキュリティグループのメンバーは、削除されたオブジェクトを AD ごみ箱から復旧できる期間を定義する msDS-DeletedObjectLifetime オブジェクトを変更できます。
AWS が委任した分散ファイルシステム管理者 このセキュリティグループのメンバーは、FRS、DFS-R、および DFS 名前空間の追加と削除ができます
AWS が委任したドメインネームシステム管理者 このセキュリティグループのメンバーは、ActiveDirectory に統合された DNS を管理できます
AWS が委任した動的ホスト設定プロトコル管理者
このセキュリティグループのメンバーは、エンタープライズの Windows DHCP サーバーを承認できます
AWS が委任した Enterprise Certificate Authority管理者
このセキュリティグループのメンバーは、Microsoft Enterprise Certificate Authority インフラストラクチャのデプロイと管理ができます
AWS が委任したきめ細かいパスワードポリシーの管理者
このセキュリティグループのメンバーは、きめ細かいパスワードポリシーを変更できます
AWS が委任したグループポリシー管理者 このセキュリティグループのメンバーは、ポリシー管理タスク (作成、編集、削除、リンク) を実行できます
AWS が委任した Kerberos 委任管理者 このセキュリティグループのメンバーは、コンピュータおよびユーザーアカウントオブジェクトで委任を有効にできます
Version 1.014
AWS Directory Service 管理ガイド管理者アカウント
グループ名 説明
AWS が委任したマネージド型サービスアカウントの管理者
このセキュリティグループのメンバーは、マネージド型サービスアカウントの作成と削除ができます。
AWS が委任したリモートアクセスサービスアカウントの管理者
このセキュリティグループのメンバーは、RASおよび IAS サーバーグループに対する RAS サーバーの追加と削除ができます
AWS が委任したレプリケートディレクトリ変更の管理者
このセキュリティグループのメンバーは、ActiveDirectory のプロファイル情報を SharePointServer と同期できます
AWS 委任サーバー管理者 このセキュリティグループのメンバーは、すべてのドメイン結合コンピュータでローカル管理者グループに含まれます
AWS が委任したサイトとサービスの管理者 このセキュリティグループのメンバーは、ActiveDirectory サイトとサービスで Default-First-Site-Name オブジェクトの名前を変更できます
AWS が委任したシステム管理者 このセキュリティグループのメンバーは、システム管理コンテナ内のオブジェクトを作成および管理できます。
AWS が委任したターミナルサーバーライセンス管理者
このセキュリティグループのメンバーは、ターミナルサーバーライセンスサーバーグループに対してターミナルサーバーライセンスサーバーの追加と削除ができます
AWS が委任したユーザープリンシパル名のサフィックスの管理者
このセキュリティグループのメンバーは、ユーザープリンシパル名のサフィックスの追加と削除ができます
管理者アカウントAWS Directory Service for Microsoft Active Directory ディレクトリを作成すると、AWS はすべての AWS関連グループとアカウントを保存するための組織単位 (OU) を作成します。この OU の詳細については、「作成されるファイル (p. 13)」を参照してください。これには管理者アカウントも含まれます。管理者アカウントには、OU に対して次の一般的な管理アクティビティを実行するためのアクセス許可があります。
• ユーザー、グループ、コンピュータを追加、更新、または削除します。詳細については、「AWSManaged Microsoft AD のユーザーとグループを管理する (p. 64)」を参照してください。
• ファイルやプリントサーバーなどのドメインにリソースを追加して、追加したリソースへのアクセス許可を OU のユーザーとグループに割り当てる.
• 追加の OU やコンテナを作成する.• 追加の OU とコンテナの権限を委任する。詳細については、「AWS Managed Microsoft AD のディレク
トリ結合特権を委任する (p. 61)」を参照してください。• グループポリシーを作成し、リンクする.• 削除されたオブジェクトを Active Directory のごみ箱から元に戻す.• Active Directory Web Service で Active Directory と DNS Windows PowerShell モジュールを実行する。• グループマネージド型サービスアカウントを作成して設定する。詳細については、「グループ管理サー
ビスアカウント (p. 18)」を参照してください。
Version 1.015
AWS Directory Service 管理ガイド主要なコンセプト
• Kerberos の制約付き委任を設定する。詳細については、「Kerberos の制約付き委任 (p. 18)」を参照してください。
管理者アカウントには、ドメイン全体に関係するアクティビティを実行する権限もあります。
• DNS 設定 (レコード、ゾーン、およびフォワーダーの追加、削除、更新) を管理する• DNS イベントログを参照する• セキュリティイベントログを参照する
ここにリストされているアクションのみが、管理者アカウントに許可されます。また、管理アカウントには、親 OU 上など、特定の OU 以外のディレクトリ関連のアクションに対する権限はありません。
Important
AWS ドメイン管理者には AWS でホストされているすべてのドメインへの完全な管理アクセス権があります。AWS に保存されているディレクトリ情報などの AWS でのコンテンツ処理の詳細については AWS との契約、AWS データ保護に関するよくある質問を参照してください。
エンタープライズおよびドメイン管理者の特権のあるアカウントディレクトリの運用管理を実行するために、AWS では、エンタープライズ管理者およびドメイン管理者の特権を持つアカウントを排他的に管理しています。この管理には、AD 管理者アカウントの排他的な制御が含まれます。AWS は、パスワードのボールトを使用してパスワード管理を自動化することで、このアカウントを保護しています。管理者パスワードの自動ローテーション中に、AWS は一時的なユーザーアカウントを作成し、そのアカウントにドメイン管理者の権限を付与します。この一時アカウントは、管理者アカウントでパスワードのローテーションが失敗した場合のバックアップとして使用されます。管理者パスワードのローテーションが完了したら、管理者の一時アカウントは AWS によって削除されます。
通常、AWS は自動化によってディレクトリを全体的に操作します。自動化プロセスで運用上の問題を解決できない場合、AWS は、ドメインコントローラーにサインインして診断を実行するようサポートエンジニアに依頼する必要があります。そのような特殊な環境の場合、AWS はリクエスト/通知システムを実装してアクセスを付与します。このプロセスでは、AWS オートメーションによって、ドメイン管理者のアクセス許可を持つ時間制限付きのユーザーアカウントがディレクトリに作成されます。AWS は、そのユーザーアカウントを、お客様のディレクトリで作業するように割り当てられているエンジニアと関連付けます。AWS はこの関連付けを当社のログシステムに記録し、使用する認証情報をエンジニアに提供します。エンジニアによるアクションはすべて、Windows のイベントログに記録されます。割り当てられた時間が経過すると、ユーザーアカウントはオートメーションによって削除されます。
管理者アカウントアクションをモニタリングするには、ディレクトリのログ転送機能を使用します。この機能では、モニタリングソリューションを実装できる CloudWatch システムに AD セキュリティイベントを転送することができます。詳細については、「ログ転送の有効化 (p. 40)」を参照してください。
AWS Managed Microsoft AD の主要なコンセプト以下の主要なコンセプトを理解できれば、さらに AWS Managed Microsoft AD を活用できます。
トピック• Active Directory スキーマ (p. 17)• AWS Managed Microsoft AD のパッチ適用とメンテナンス (p. 18)• グループ管理サービスアカウント (p. 18)• Kerberos の制約付き委任 (p. 18)
Version 1.016
AWS Directory Service 管理ガイドActive Directory スキーマ
Active Directory スキーマスキーマは、分散ディレクトリの一部となっている属性とクラスの定義で、データベースのフィールドとテーブルに似ています。スキーマには、データバースに追加または含めることができるデータのタイプと形式を決定する一連のルールが含まれています。User クラスは、データベースに保存されている クラスの一例です。User クラスの一部の例には、ユーザーの姓、名、電話番号などを含めることができます。
スキーマの要素属性、クラス、オブジェクトは、スキーマのオブジェクト定義を設定するために使用される基本要素です。AWS Managed Microsoft AD スキーマの拡張プロセスを開始する上で知っておく必要があるスキーマ要素に関する詳細を以下に示します。
属性
データベースのフィールドに似た各スキーマ属性には、属性の特性を定義するプロパティがいくつかあります。たとえば、属性を読み書きするために LDAP クライアントで使用されるプロパティは、LDAPDisplayName です。LDAPDisplayName プロパティは、すべての属性とクラスの間で一意である必要があります。属性の特性に関する詳細な一覧については、MSDN ウェブサイトの「属性の特性」を参照してください。新しい属性の作成方法に関する詳細なガイダンスについては、MSDNウェブサイトの「新しい属性の定義」を参照してください。
クラス
クラスは、データベースにおけるテーブルに相当し、複数のプロパティを定義することもできます。たとえば、objectClassCategory は、クラスのカテゴリを定義します。クラスの特性の詳細なリストについては、MSDN ウェブサイトの「オブジェクトクラスの特性」を参照してください。新しいクラスの作成方法に関する詳細については、MSDN ウェブサイトの「新しいクラスの定義」を参照してください。
オブジェクト識別子 (OID)
各クラスおよび属性には、すべてのオブジェクトで一意である OID を含める必要があります。ソフトウェアベンダーは、独自の OID を取得して、一意性を確保する必要があります。一意性を確保することで、同一の属性が複数のアプリケーションでさまざまな目的で使用された場合に競合を回避することができます。一意性を確保するには、ISO Name Registration Authority (ISO 名前登録機関) からルート OID を取得します。または、Microsoft から基本 OID を取得します。OID および OID の取得方法に関する詳細については、MSDN ウェブサイトの「オブジェクト識別子」を参照してください。
スキーマとリンクした属性
一部の属性は、前後のリンクを含む 2 つのクラス間でリンクされています。最も適切な例としてグループを挙げます。グループを見ると、グループのメンバーが表示されます。ユーザーの場合は、所属するグループが表示されます。ユーザーをグループに追加すると、Active Directory によってグループへの転送リンクが作成されます。次に、Active Directory は、グループからユーザーへのバックリンクを追加します。リンクされる属性が作成される際、生成するリンク ID は一意である必要があります。詳細については、MSDN ウェブサイトの「リンク属性」を参照してください。
関連トピック
• AWS Managed Microsoft AD スキーマを拡張するタイミング (p. 87)• チュートリアル: AWS Managed Microsoft AD スキーマの拡張 (p. 87)
Version 1.017
AWS Directory Service 管理ガイドパッチ適用とメンテナンス
AWS Managed Microsoft AD のパッチ適用とメンテナンスAWS Directory Service for Microsoft Active Directory は AWS DS for AWS Managed Microsoft AD としても知られており、実際にはマネージドサービスとして提供される Microsoft Active Directory ドメインサービス(AD DS) です。システムはドメインコントローラー (DC) 用に Microsoft Windows Server 2012 R2 を使用し、サービス管理の目的で AWS は DC にソフトウェアを追加します。AWS は DC を更新 (パッチ適用) して、新しい機能を追加し、Microsoft Windows Server ソフトウェアを最新の状態に保ちます。パッチ適用プロセス中、ディレクトリは引き続き使用できる状態になります。
可用性の確保デフォルトでは、各ディレクトリは 2 つの DC で構成され、それぞれ異なるアベイラビリティーゾーンにインストールされています。お客様の選択により、DC を追加して可用性をさらに高めることができます。AWS は DC にパッチを順番に適用します。その間に AWS がアクティブにパッチを適用している DCは利用できません。1 つ以上の DC が一時的に使用停止状態になった場合、AWS はディレクトリに少なくとも 2 つの運用 DC があるまでパッチを延期します。これにより、パッチ処理中に他の動作中の DC を使用することができます。通常、DC あたり 30 〜 45 分かかることがありますが、今回は変わる可能性があります。パッチを含む何らかの理由で 1 つ以上の DC が利用できない場合に、アプリケーションが動作中の DC に到達できるようにするには、アプリケーションで Windows DC ロケーターサービスを使用し、静的 DC アドレスを使用しないでください。
パッチ適用スケジュールを理解するお使いの DC の Microsoft Windows Server ソフトウェアを最新の状態に保つために、AWS はMicrosoftアップデートを利用しています。Microsoft が Windows Server 用の月次ロールアップパッチを利用できるようにしたため、AWS は 3 週間以内にすべての顧客 DC にロールアップをテストして適用するよう最善の努力をします。さらに、AWS は DC と緊急性への適用性に基づいて、Microsoft が毎月のロールアップ外でリリースする更新をレビューします。Microsoft がクリティカルまたは重要と評価し、DC に関連するセキュリティパッチについて、AWS は 5 日間以内にパッチをテストし、展開するために万全を期しています。
グループ管理サービスアカウントMicrosoft が Windows Server 2012 で導入した新しいメソッドを使用すると、管理者はグループ管理サービスアカウント (gMSA) と呼ばれるサービスアカウントを管理できます。gMSA の導入により、サービス管理者はサービスインスタンス間のパスワード同期を手動で管理する必要がなくなりました。代わりに、管理者は Active Directory で 1 つの gMSA を作成するだけで、この gMSA を複数のサービスインスタンスで使用するように設定できます。
AWS Managed Microsoft AD のユーザーに gMSA を作成するアクセス許可を付与するには、ユーザーのアカウントを [AWS が委任した管理サービスアカウント管理者] セキュリティグループのメンバーとして追加する必要があります。デフォルトでは、管理者アカウントはこのグループのメンバーです。gMSA の詳細については、Microsoft TechNet ウェブサイトの「グループ管理サービスアカウントの概要」を参照してください。
AWS セキュリティブログの関連記事
• AWS Managed Microsoft AD によってデプロイを簡素化し、Active Directory と統合した .NET アプリケーションのセキュリティを強化する方法
Kerberos の制約付き委任Kerberos の制約付き委任は、Windows Server の機能です。この機能により、アプリケーションサービスがユーザーを代行する範囲を制限することで、サービス管理者がアプリケーションの信頼の境界を指定お
Version 1.018
AWS Directory Service 管理ガイドユースケース
よび適用できるようになります。これは、どのフロントエンドサービスアカウントがバックエンドサービスに委任できるかを設定するときに役立ちます。Kerberos の制約付き委任は、Active Directory ユーザーに代わって gMSA が接続するサービスを制限し、承認されていない開発者が不正使用する可能性をなくします。
たとえば、ユーザー jsmith が HR アプリケーションにログインするとします。SQL Server で jsmithのデータベース権限を適用します。ただし、デフォルトでは、SQL Server はデータベース接続を開くのに、jsmith の設定済みのアクセス権限の代わりに、サービスアカウントの認証情報を使用して hr-app-service のアクセス権限を適用します。HR 給与アプリケーションが、jsmith の認証情報を使用してSQL Server データベースにアクセスできるようにする必要があります。そのためには、AWS で AWSManaged Microsoft AD ディレクトリの hr-app-service サービスアカウントに対して Kerberos の制約付き委任を有効にします。jsmith がログオンすると、jsmith がネットワークの他のサービスにアクセスしようとしたときに Windows で自動的に使用する Kerberos チケットが Active Directory から提供されます。Kerberos の委任により、hr-app-service アカウントは jsmith の Kerberos チケットを再利用してデータベースにアクセスできるため、jsmith に固有のアクセス権限を適用してデータベース接続を開くことができます。
AWS Managed Microsoft AD のユーザーに Kerberos の制約付き委任を設定するアクセス許可を付与するには、ユーザーのアカウントを [AWS が委任した Kerberos 委任管理者] セキュリティグループのメンバーとして追加する必要があります。デフォルトでは、管理者アカウントはこのグループのメンバーです。Kerberos の制約付き委任の詳細については、Microsoft TechNet ウェブサイトの「Kerberos の制約付き委任の概要」を参照してください。
AWS Managed Microsoft AD のユースケースAWS Managed Microsoft AD では、複数のユースケースで 1 つのディレクトリを共有できます。たとえば、.NET アプリケーション (Windows 認証を有効にした Amazon RDS for SQL Server と、メッセージングおよびビデオ会議用の Amazon Chime) へのアクセスのための認証と権限付与に、1 つのディレクトリを共有できます。
次の図は、AWS Managed Microsoft AD ディレクトリのユースケースをいくつか示しています。これには、外部クラウドアプリケーションへのアクセス権をユーザーに付与し、オンプレミスの AD ユーザーがAWS クラウドのリソースにアクセスして管理することを許可する機能が含まれます。
Version 1.019
AWS Directory Service 管理ガイドユースケース
以下のビジネスユースケースのいずれかに AWS Managed Microsoft AD を使用します。
トピック• ユースケース 1: AD 認証情報で AWS アプリケーションとサービスにサインインする (p. 21)• ユースケース 2: Amazon EC2 インスタンスを管理する (p. 21)• ユースケース 3: AD 対応ワークロードにディレクトリサービスを提供する (p. 21)• ユースケース 4: Office 365 およびその他のクラウドアプリケーションに SSO する (p. 21)• ユースケース 5: オンプレミス AD を AWS クラウドに拡張する (p. 22)
Version 1.020
AWS Directory Service 管理ガイドユースケース 1: AD 認証情報で AWS アプリケーションとサービスにサインインする
• ユースケース 6: ディレクトリを共有して、AWS アカウント間でシームレスに Amazon EC2 インスタンスをドメインに結合する (p. 22)
ユースケース 1: AD 認証情報で AWS アプリケーションとサービスにサインインするAWS の多数のアプリケーションとサービス (AWS マネジメントコンソール、AmazonWorkSpaces、Amazon RDS for SQL Server など) で AWS Managed Microsoft AD ディレクトリを使用できます。ディレクトリで AWS アプリケーションまたはサービスを有効にすると、ユーザーはそのアプリケーションまたはサービスに AD 認証情報でアクセスできます。
たとえば、ユーザーが AWS マネジメントコンソール に AD 認証情報でサインインできるようにすることが可能です。そのためには、ディレクトリ内のアプリケーションとして AWS マネジメントコンソール を有効にしてから、AD ユーザーとグループを IAM ロールに割り当てます。ユーザーが AWS マネジメントコンソール にサインインすると、AWS リソースを管理するための IAM ロールが割り当てられます。これにより、個別の SAML インフラストラクチャを設定および管理することなく、ユーザーに AWS マネジメントコンソール へのアクセスを簡単に許可できます。
ユースケース 2: Amazon EC2 インスタンスを管理する使い慣れた AD 管理ツールを使用し、インスタンスを AWS Managed Microsoft AD ドメインに結合して、AD グループポリシーオブジェクト (group policy objects、GPO) を適用して Amazon EC2 forWindows または Linux インスタンスを一元管理できます。
また、ユーザーはインスタンスに AD 認証情報でサインインできます。これにより、個別のインスタンス認証情報を使用したり、プライベートキー (PEM) ファイルを配布したりする必要がなくなります。その結果、使い慣れた AD ユーザー管理ツールで、ユーザーに対してアクセスをすばやく許可または取り消すことができます。
ユースケース 3: AD 対応ワークロードにディレクトリサービスを提供するAWS Managed Microsoft AD は、従来の AD 対応ワークロード (リモートデスクトップライセンスマネージャや Microsoft SharePoint and Microsoft SQL Server Always On など) を AWS クラウド上で使用できるようにする現行の Microsoft AD です。また、AWS Managed Microsoft AD は グループマネージド型サービスアカウント (gMSA) と Kerberos の制約付き委任 (KCD) を使用することで、AD が統合された .NET アプリケーションのセキュリティを簡素化して向上するために役立ちます。
ユースケース 4: Office 365 およびその他のクラウドアプリケーションに SSO するAWS Managed Microsoft AD を使用して、クラウドアプリケーションへの SSO を有効にすることができます。Azure AD Connect を使用してユーザーを Azure AD に同期させた後、Active Directory フェデレーションサービス (AD FS) を使用して、Microsoft Office 365 およびその他の SAML 2.0 クラウドアプリケーションにユーザーが AD 認証情報でアクセスできるようにすることが可能です。
Version 1.021
AWS Directory Service 管理ガイドユースケース 5: オンプレミス
AD を AWS クラウドに拡張する
ユースケース 5: オンプレミス AD を AWS クラウドに拡張する既存の AD インフラストラクチャを使用して AD 対応ワークロードを AWS クラウドに移行する場合は、AWS Managed Microsoft AD が適任です。AD の信用を使用して AWS Managed Microsoft AD を既存の AD に接続できます。つまり、AD 対応アプリケーションと AWS アプリケーションにユーザーはオンプレミス AD 認証情報でアクセスでき、そのためのユーザー、グループ、またはパスワードの同期は不要です。
たとえば、ユーザーは既存の AD ユーザー名とパスワードを使用して、AWS マネジメントコンソール とAmazon WorkSpaces にサインインできます。また、AWS Managed Microsoft AD で SharePoint などのAD 対応アプリケーションを使用すると、ログインした Windows ユーザーは認証情報を再入力せずにこれらのアプリケーションにアクセスできます。
ユースケース 6: ディレクトリを共有して、AWS アカウント間でシームレスに Amazon EC2 インスタンスをドメインに結合する複数の AWS アカウント間でディレクトリを共有すると、各アカウントや各 VPC で直接作業する必要なく、Amazon EC2 などの AWS サービスを管理することができます。1 つの AWS リージョン内の任意のAWS アカウントおよび任意の Amazon VPC からディレクトリを使用することができます。この機能によって、複数のアカウントと VPC 間で単一のディレクトリのディレクトリ対応型ワークロードを簡単で優れたコスト効果で管理することができます。たとえば、EC2 インスタンスにデプロイした Windows ワークロードを単一の AWS Managed Microsoft AD ディレクトリを使用して複数のアカウントと VPC 間で簡単に管理することができるようになります。
別の AWS アカウントと AWS Managed Microsoft AD ディレクトリを共有すると、Amazon EC2 コンソールや AWS Systems Manager を使用して、アカウントおよび AWS リージョン内の任意の Amazon VPC からシームレスにインスタンスを結合することができます。手動でインスタンスをドメインに結合したり各アカウントと VPC にディレクトリをデプロイする必要がなくなるため、迅速にディレクトリ対応型ワークロードを EC2 インスタンスにデプロイできます。詳細については、ディレクトリの共有 (p. 42) を参照してください。
AWS Managed Microsoft AD を管理する方法このセクションでは、AWS Managed Microsoft AD 環境を運用およびメンテナンスするすべての手順を示します。
トピック• AWS Managed Microsoft AD ディレクトリをセキュリティで保護する (p. 23)• AWS Managed Microsoft AD のモニタリング (p. 36)• ディレクトリの共有 (p. 42)• EC2 インスタンスを AWS Managed Microsoft AD ディレクトリに結合する (p. 51)• AWS Managed Microsoft AD のユーザーとグループを管理する (p. 64)• 既存の AD インフラストラクチャに接続する (p. 68)• スキーマを拡張する (p. 87)• AWS Managed Microsoft AD ディレクトリの管理 (p. 92)• AWS リソースへのユーザーおよびグループに対するアクセス権限の付与 (p. 95)• AWS のアプリケーションとサービスへのアクセスを有効にする (p. 99)
Version 1.022
AWS Directory Service 管理ガイドディレクトリをセキュリティで保護する
• AD 認証情報による AWS マネジメントコンソール へのアクセスを有効にする (p. 107)• 追加ドメインコントローラーのデプロイ (p. 109)• Active Directory から AWS Managed Microsoft AD へのユーザーの移行 (p. 111)
AWS Managed Microsoft AD ディレクトリをセキュリティで保護するこのセクションでは、AWS Managed Microsoft AD 環境をセキュリティで保護する際の考慮事項について説明します。
トピック• AWS Managed Microsoft AD のパスワードポリシーを管理する (p. 23)• AWS Managed Microsoft AD の多要素認証を有効にするには (p. 26)• セキュア LDAP (LDAPS) の有効化 (p. 28)• AWS Managed Microsoft AD のコンプライアンスを管理する (p. 35)
AWS Managed Microsoft AD のパスワードポリシーを管理するAWS Managed Microsoft AD では、AWS Managed Microsoft AD ドメインで管理するユーザーのグループ別に異なるきめ細かいパスワードおよびアカウントロックアウトのポリシー (「きめ細かいパスワードポリシー」とも呼ばれる) を定義して割り当てることができます。AWS Microsoft AD ディレクトリを作成すると、デフォルトのドメインポリシーが作成され、ディレクトリに適用されます。このポリシーには、以下の設定が含まれます。
ポリシー 設定
パスワードの履歴を記録する 24 個のパスワードを記憶
最大のパスワード有効期間 42 日間 *
最小のパスワード有効期間 1 日
パスワードの最小長 7 文字
パスワードは複雑さの要件を満たす必要がある 有効
元に戻せる暗号化を使用してパスワードを保存 Disabled
* 注意: 42 日間の最大パスワード有効期間は管理者パスワードにも適用されます。
たとえば、低機密情報にのみアクセスする従業員には、厳格度の低いポリシー設定を割り当てることができます。機密情報に定期的にアクセスする上級管理者には、より厳格な設定を適用できます。
AWS では、AWS Managed Microsoft AD できめ細かいパスワードポリシーを設定し、グループ別に割り当てることができます。ポリシーを設定するには、標準の Microsoft ポリシーツール (Active Directory 管理センター (ADAC) など) を使用できます。Microsoft ポリシーツールの使用を開始するには、「ActiveDirectory 管理ツールのインストール (p. 64)」を参照してください。
トピック• サポートされているポリシー設定 (p. 24)• パスワードポリシーの管理権限を委任する (p. 25)• パスワードポリシーをユーザーに割り当てる (p. 25)
Version 1.023
AWS Directory Service 管理ガイドディレクトリをセキュリティで保護する
AWS セキュリティブログの関連記事
• AWS Directory Service 用の AWS Managed Microsoft AD を使用し、より強力なパスワードポリシーを設定してセキュリティ標準を満たす方法
サポートされているポリシー設定AWS Managed Microsoft AD には、編集できない優先順位値が設定された 5 つのきめ細かいポリシーが含まれています。ポリシーのプロパティを設定することで、パスワードの強度を適用したり、ログインが失敗した場合のアカウントロックアウトアクションを強制したりできます。ポリシーは、ゼロ個以上のActive Directory グループに割り当てることができます。エンドユーザーが複数のグループのメンバーであり、複数のパスワードポリシーを受け取る場合、Active Directory は優先順位値が最も低いポリシーを適用します。
AWS の定義済みパスワードポリシー
以下の表に示しているのは、AWS Managed Microsoft AD ディレクトリに含まれている 5 つのポリシーおよび対応する優先順位値です。詳細については、「優先順位 (p. 25)」を参照してください。
ポリシー名 優先順位
CustomerPSO-01 10
CustomerPSO-02 20
CustomerPSO-03 30
CustomerPSO-04 40
CustomerPSO-05 50
パスワードポリシーのプロパティ
パスワードポリシーの以下のプロパティを編集することで、ビジネスニーズに応じたコンプライアンス標準に準拠できます。
• ポリシー名• パスワードの履歴を記録する• パスワードの最小長• 最小のパスワード有効期間• 最大のパスワード有効期間• 元に戻せる暗号化を使用してパスワードを保存• パスワードは複雑さの要件を満たす必要がある
これらのポリシーの優先順位値を変更することはできません。これらの設定がパスワードの適用に及ぼす影響については、Microsoft TechNet ウェブサイトの「AD DS: きめ細かいパスワードポリシー」を参照してください。これらのポリシーの一般的な情報については、Microsoft TechNet ウェブサイトの「パスワードポリシー」を参照してください。
アカウントロックアウトのポリシー
パスワードポリシーの以下のプロパティを変更することで、Active Directory でログイン失敗後のアカウントをロックアウトするかどうかと、ロックアウトの方法を指定することもできます。
• 失敗したログオン試行の許容数
Version 1.024
AWS Directory Service 管理ガイドディレクトリをセキュリティで保護する
• アカウントのロックアウト期間• 失敗したログオン試行を特定期間後にリセット
これらのポリシーの一般的な情報については、Microsoft TechNet ウェブサイトの「アカウントロックアウトのポリシー」を参照してください。
優先順位
優先順位値が低いポリシーほど優先順位が高くなります。パスワードポリシーは、Active Directory セキュリティグループに割り当てます。セキュリティグループ別に適用するポリシーは 1 つに限られますが、単一のユーザーが複数のパスワードポリシーを受け取る場合があります。たとえば、jsmith は HR グループのメンバーであり、さらに MANAGERS グループのメンバーでもあるとします。CustomerPSO-05 (優先順位値は 50) を HR グループに割り当て、CustomerPSO-04 (優先順位値は 40) を MANAGERS に割り当てると、CustomerPSO-04 の優先順位が高いため、Active Directory ではこのポリシーを jsmith に適用します。
ユーザーまたはグループに複数のポリシーを割り当てると、Active Directory で適用されるポリシーは次のように決定されます。
1. ユーザーオブジェクトに直接割り当てたポリシーが適用されます。2. ユーザーオブジェクトに直接割り当てられたポリシーがない場合、グループのメンバーとしてユーザー
が受け取ったすべてのポリシーの中で優先順位値が最も低いポリシーが適用されます。
詳細については、Microsoft TechNet ウェブサイトの「AD DS: きめ細かいパスワードポリシー」を参照してください。
パスワードポリシーの管理権限を委任する
AWS Managed Microsoft AD で作成した特定のユーザーアカウントを [AWS が委任した、きめ細かいパスワードポリシーの管理者] セキュリティグループに追加することで、このアカウントにパスワードポリシーを管理するアクセス許可を委任できます。このグループのメンバーになったアカウントには、以前に (p. 24)示したパスワードポリシーのどれでも編集および設定する権限が与えられます。
パスワードポリシーの管理権限を委任するには
1. AWS Managed Microsoft AD ドメインに結合したマネージド型 EC2 インスタンスから ActiveDirectory 管理センター (ADAC) を起動します。
2. ツリービューに切り替え、[AWS Delegated Groups (AWS 委任グループ)] OU に移動します。この OUの詳細については、「作成されるファイル (p. 13)」を参照してください。
3. [AWS Delegated Fine Grained Password Policy Administrators (AWS が委任した、きめ細かいパスワードポリシーの管理者)] ユーザーグループを見つけます。このグループに、ドメインからユーザーまたはグループを追加します。
パスワードポリシーをユーザーに割り当てる
[AWS Delegated Fine Grained Password Policy Administrators (AWS が委任した、きめ細かいパスワードポリシーの管理者)] セキュリティグループのメンバーであるユーザーアカウントは、次の手順に従ってユーザーとセキュリティグループにポリシーを割り当てることができます。
パスワードポリシーをユーザーに割り当てるには
1. AWS Managed Microsoft AD ドメインに結合したマネージド型 EC2 インスタンスから ActiveDirectory 管理センター (ADAC) を起動します。
2. ツリー表示に切り替え、[System\Password Settings Container] に移動します。
Version 1.025
AWS Directory Service 管理ガイドディレクトリをセキュリティで保護する
3. 編集対象のきめ細かいポリシーをダブルクリックします。[Add] をクリックして、ポリシーのプロパティを編集し、ユーザーまたはセキュリティグループをポリシーに追加します。AWS ManagedMicrosoft AD のデフォルトのきめ細かいポリシーの詳細については、「AWS の定義済みパスワードポリシー (p. 24)」を参照してください。
AWS Managed Microsoft AD ディレクトリで 5 つのパスワードポリシーのいずれも設定しなかった場合、Active Directory ではデフォルトのドメイングループポリシーが使用されます。パスワード設定コンテナーの使用の詳細については、こちらの Microsoft ブログ記事を参照してください。
AWS Managed Microsoft AD の多要素認証を有効にするにはAWS Managed Microsoft AD ディレクトリに対して多要素認証 (MFA) を有効にすると、ユーザーが サポートされている Amazon Enterprise Applications (p. 27) にアクセスするための AD 認証情報を指定するときのセキュリティが強化されます。MFA を有効にすると、ユーザーはいつものようにユーザー名とパスワード (第 1 要素) を入力した後、仮想 MFA ソリューションまたはハードウェア MFA ソリューションから取得する認証コード (第 2 要素) も入力する必要があります。これらの要素によって、ユーザーが有効なユーザー認証情報と MFA コードを提供しない限り Amazon エンタープライズアプリケーションにアクセスできないというセキュリティが追加されます。
MFA を有効にするには、Remote Authentication Dial-In User Service (RADIUS) サーバーである MFA ソリューションが必要か、またはオンプレミスインフラストラクチャで実装済みの RADIUS サーバーへのMFA プラグインが必要です。MFA ソリューションでは、ユーザーがハードウェアデバイスから取得するか、または携帯電話などのデバイスで実行されるソフトウェアから取得する、ワンタイムパスコード(OTP) を実装する必要があります。
RADIUS は、業界標準のクライアント/サーバープロトコルであり、ユーザーをネットワークサービスに接続するための認証、認可、アカウント管理を行うことができます。AWS Managed Microsoft AD には、MFA ソリューションを実装した RADIUS サーバーに接続する RADIUS クライアントが付属しています。RADIUS サーバーはユーザー名と OTP コードを検証します。RADIUS サーバーがユーザーの検証に成功すると、AWS Managed Microsoft AD は AD に対してユーザーを認証します。AD に対する認証に成功すると、ユーザーは AWS アプリケーションにアクセスできます。AWS Managed Microsoft AD RADIUSクライアントと RADIUS サーバーとの間の通信では、ポート 1812 を介した通信を有効にした AWS セキュリティグループを設定する必要があります。
以下の手順を実行して、AWS Managed Microsoft AD ディレクトリの多要素認証を有効にすることができます。AWS Directory Service および MFA を操作して、RADIUS サーバーを設定する方法の詳細については、「多要素認証の前提条件 (p. 11)」を参照してください。
Note
多要素認証は、Simple AD では使用できません。ただし、MFA は AD Connector ディレクトリでは有効にすることができます。詳細については、「AD Connector の多要素認証を有効にするには (p. 150)」を参照してください。
AWS Managed Microsoft AD の多要素認証を有効にするには
1. RADIUS MFA サーバーと AWS Managed Microsoft AD ディレクトリの IP アドレスを特定します。2. Virtual Private Cloud (VPC) セキュリティグループを編集して、AWS Managed Microsoft AD IP エンド
ポイントと RADIUS MFA サーバーとの間でポート 1812 を介した通信を有効にします。3. AWS Directory Service console ナビゲーションペインで [ディレクトリ] を選択します。4. AWS Managed Microsoft AD ディレクトリのディレクトリ ID リンクを選択します。5. On the Directory details page, in the Multi-factor authentication section, choose Actions, and then
choose Enable.6. On the Enable multi-factor authentication (MFA) page, provide the following values:
Display label
Provide a label name.
Version 1.026
AWS Directory Service 管理ガイドディレクトリをセキュリティで保護する
RADIUS server DNS name or IP addresses
The IP addresses of your RADIUS server endpoints, or the IP address of your RADIUS serverload balancer. You can enter multiple IP addresses by separating them with a comma (e.g.,192.0.0.0,192.0.0.12).
Note
RADIUS MFA is applicable only to authenticate access to the AWS マネジメントコンソール, or to Amazon Enterprise applications and services such as Amazon WorkSpaces,Amazon QuickSight, or Amazon Chime. It does not provide MFA to Windows workloadsrunning on EC2 instances, or for signing into an EC2 instance. AWS Directory Servicedoes not support RADIUS Challenge/Response authentication.Users must have their MFA code at the time they enter their username and password.Alternatively, you must use a solution that performs MFA out-of-band such as SMS textverification for the user. In out-of-band MFA solutions, you must make sure you set theRADIUS time-out value appropriately for your solution. When using an out-of-band MFAsolution, the sign-in page will prompt the user for an MFA code. In this case, the bestpractice is for users to enter their password in both the password field and the MFA field.
Port
The port that your RADIUS server is using for communications. Your on-premises network mustallow inbound traffic over the default RADIUS server port (UDP:1812) from the AWS DirectoryService servers.
Shared secret code
The shared secret code that was specified when your RADIUS endpoints were created.Confirm shared secret code
Confirm the shared secret code for your RADIUS endpoints.Protocol
Select the protocol that was specified when your RADIUS endpoints were created.Server timeout (in seconds)
The amount of time, in seconds, to wait for the RADIUS server to respond. This must be a valuebetween 1 and 50.
Max RADIUS request retries
The number of times that communication with the RADIUS server is attempted. This must be avalue between 0 and 10.
Multi-factor authentication is available when the RADIUS Status changes to Enabled.7. Choose Enable.
サポートされている Amazon Enterprise Applications
AWS Managed Microsoft ADと AD Connector を MFA で使用する場合、Amazon WorkSpaces、AmazonWorkDocs、 Amazon WorkMail、Amazon QuickSight、AWS シングルサインオン、AWS マネジメントコンソールへのアクセス を含むすべての Amazon Enterprise IT アプリケーションがサポートされます。
AWS Directory Serviceを使用して、Amazon エンタープライズアプリケーション、 AWS シングルサインオン、AWS マネジメントコンソール への基本的なユーザーアクセスを設定する方法については、「AWSのアプリケーションとサービスへのアクセスを有効にする (p. 99)」および「AD 認証情報による AWSマネジメントコンソール へのアクセスを有効にする (p. 107)」を参照してください。Version 1.0
27
AWS Directory Service 管理ガイドディレクトリをセキュリティで保護する
AWS セキュリティブログの関連記事
• AWS およびオンプレミス認証情報を使用して AWS Managed Microsoft AD のサービスで多要素認証を有効化する方法
セキュア LDAP (LDAPS) の有効化LDAP (Lightweight Directory Access Protocol) は、Active Directory とのデータの読み書きに使用される標準の通信プロトコルです。一部のアプリケーションでは、LDAP を使用して Active Directory のユーザーやグループの追加、削除、または検索を行なったり、Active Directory のユーザーを認証するための認証情報を転送したりします。すべての LDAP 通信には、クライアント (アプリケーションなど) とサーバー(Active Directory など) が含まれます。
デフォルトでは、LDAP を介した通信は暗号化されません。そのため、悪意のあるユーザーがネットワーク監視ソフトウェアを使用して、送信されるデータパケットを傍受する可能性があります。この傍受を防止するために、通常、多くの企業のセキュリティポリシーでは、すべての LDAP 通信を暗号化することを義務付けています。
この種のデータ漏えいを最小限に抑えるために、AWS Managed Microsoft AD には、LDAP over SecureSockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS とも呼ばれます) を有効するオプションが用意されています。LDAPS を使用すると、ネットワーク全体のセキュリティを向上させることができます。また、LDAP 対応アプリケーションと AWS Managed Microsoft AD 間のすべての通信を暗号化することで、コンプライアンス要件を満たすこともできます。
AWS Managed Microsoft AD は、次の両方のデプロイシナリオで LDAPS のサポートを提供します。
• サーバー側 LDAPS は、商用または自社製の LDAP 対応アプリケーション (LDAP クライアントとして動作) と AWS Managed Microsoft AD (LDAP サーバーとして動作) 間の LDAP 通信を暗号化します。詳細については、「AWS Managed Microsoft AD を使用したサーバー側 LDAPS の有効化 (p. 28)」を参照してください。
• クライアント側 LDAPS は、Amazon WorkSpaces などの AWS アプリケーション (LDAP クライアントとして動作) とセルフマネージド Active Directory (LDAP サーバーとして動作) 間の LDAP 通信を暗号化します。詳細については、「AWS Managed Microsoft AD を使用したクライアント側 LDAPS の有効化 (p. 31)」を参照してください。
トピック• AWS Managed Microsoft AD を使用したサーバー側 LDAPS の有効化 (p. 28)• AWS Managed Microsoft AD を使用したクライアント側 LDAPS の有効化 (p. 31)
AWS Managed Microsoft AD を使用したサーバー側 LDAPS の有効化サーバー側 LDAPS サポートは、商用または自社製の LDAP 対応アプリケーションと AWS ManagedMicrosoft AD ディレクトリ間の LDAP 通信を暗号化します。これにより、Secure Sockets Layer (SSL) 暗号化プロトコルを使用してネットワーク全体のセキュリティを強化し、コンプライアンス要件を満たすことができます。
サーバー側 LDAPS の有効化
ほとんどの設定は、AWS Managed Microsoft AD ドメインコントローラーを管理するために使用しているAmazon EC2 インスタンスから行う必要があります。以下のステップを通じて、AWS クラウド上でドメインの LDAPS を有効化します。
トピック• ステップ 1: LDAPS を有効化する権限を委任する (p. 29)• ステップ 2: 認証機関をセットアップする (p. 29)
Version 1.028
AWS Directory Service 管理ガイドディレクトリをセキュリティで保護する
• ステップ 3: 証明書テンプレートを作成する (p. 29)• ステップ 4: セキュリティグループのルールを追加する (p. 30)
ステップ 1: LDAPS を有効化する権限を委任する
サーバー側 LDAPS を有効にするには、AWS Managed Microsoft AD ディレクトリで Admins グループまたは AWS 委任の Enterprise Certificate Authority 管理者グループのメンバーである必要があります。または、デフォルトの管理ユーザー (管理者アカウント) となることもできます。必要に応じて、管理者アカウント設定 LDAPS 以外のユーザーを持つことができます。その場合は、そのユーザーを AWS ManagedMicrosoft AD ディレクトリの Admins グループまたは AWS 委任の Enterprise Certificate Authority 管理者グループに追加します。
ステップ 2: 認証機関をセットアップする
サーバー側 LDAPS を有効にする前に、証明書を作成する必要があります。この証明書は、AWS ManagedMicrosoft AD ドメインに参加している Microsoft エンタープライズ証明機関 (CA) サーバーによって発行される必要があります。作成した証明書は、ドメインの各ドメインコントローラーにインストールします。この証明書により、ドメインコントローラーの LDAP サービスは LDAP クライアントからの SSL 接続をリッスンし、自動的に承認できます。
Note
AWS Managed Microsoft AD のサーバー側 LDAPS は、スタンドアロン CA から発行される証明書をサポートしていません。また、サードパーティーの認証期間によって発行された証明書もサポートしていません。
ドメインの CA のセットアップまたは接続には、ビジネスのニーズに応じて以下のオプションを使い分けることができます。
• Microsoft エンタープライズの下位 CA を作成する – (推奨) このオプションを使用すると、Microsoft エンタープライズの下位 CA サーバーを AWS クラウドにデプロイできます。サーバーは、Amazon EC2 を使用することで、Microsoft の既存のルート CA と連携できます。Microsoft エンタープライズの下位 CAをセットアップする詳しい方法については、Microsoft TechNet ウェブサイトの「下位証明機関をインストールする」を参照してください。
• Microsoft エンタープライズのルート CA を作成する – このオプションでは、Amazon EC2 を使用してMicrosoft エンタープライズのルート CA を AWS クラウドに作成し、それを AWS Managed MicrosoftAD ドメインに結合できます。このルート CA からドメインコントローラーに証明書を発行できます。新しいルート CA をセットアップする詳しい方法については、Microsoft TechNet ウェブサイトの「ルート証明機関をインストールする」を参照してください。
EC2 インスタンスをドメインに結合する方法の詳細については、「EC2 インスタンスを AWS ManagedMicrosoft AD ディレクトリに結合する (p. 51)」を参照してください。
ステップ 3: 証明書テンプレートを作成する
エンタープライズ CA をセットアップすると、Active Directory でカスタム LDAPS 証明書テンプレートを作成できます。証明書テンプレートの作成では、サーバー認証と自動登録を有効にする必要があります。詳細については、Microsoft TechNet ウェブサイトの「証明書テンプレートを新規に作成する」を参照してください。
証明書テンプレートを作成するには
1. 管理者の認証情報を使用して CA にログインします。2. Server Manager を起動し、Tools、Certification Authority の順に選択します。3. [Certificate Authority] ウィンドウで、左側のペインの CA ツリーを展開します。[Certificate Templates]
を右クリックし、[ Manage] を選択します。4. [Certificate Templates Console] ウィンドウで、[Domain Controller]、[Duplicate Template] の順に選択
します。
Version 1.029
AWS Directory Service 管理ガイドディレクトリをセキュリティで保護する
5. [Properties of New Template] ウィンドウで、[General] タブに切り替え、[Template display name] を「ServerAuthentication」に変更します。
6. [Security] タブに切り替え、[Group or user names] の [Domain Controllers] を選択します。[Permissions for Domain Controllers (ドメインコントローラのアクセス許可)] セクションの [Autoenroll(自動登録)] チェックボックスをオンにします。
7. [Extensions] タブに切り替え、[Extensions included in this template] セクションの [ApplicationPolicies] を選択して、[Edit] を選択します。
8. [Edit Application Policies Extension] ウィンドウで、[Client Authentication]、[Remove] の順に選択します。[OK] をクリックして ServerAuthentication 証明書テンプレートを作成し、[CertificateTemplates Console] ウィンドウを閉じます。
9. [Certificate Authority] ウィンドウで、[Certificate Templates] を右クリックし、[New]、[CertificateTemplate to Issue] の順に選択します。
10. [Enable Certificate Templates] ウィンドウで、[ServerAuthentication] を選択し、[OK] をクリックします。
ステップ 4: セキュリティグループのルールを追加する
最後のステップでは、Amazon EC2 コンソールを開き、セキュリティグループルールを追加する必要があります。これらのルールにより、ドメインコントローラはエンタープライズ CA に接続して証明書をリクエストできます。これを行うには、インバウンドのルールを追加して、ドメインコントローラーからの着信トラフィックをエンタープライズ CA で承認できるようにします。次に、アウトバウンドのルールを追加して、ドメインコントローラーからエンタープライズ CA へのトラフィックを許可します。
両方のルールを設定すると、ドメインコントローラーからエンタープライズ CA へと自動的に証明書がリクエストされ、ディレクトリの LDAPS が有効になります。これでドメインコントローラーの LDAP サービスで LDAPS 接続を受け入れる準備が整いました。
セキュリティグループのルールを設定するには
1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2) に移動し、管理者の認証情報を使用してサインインします。
2. 左側のペインで、[Network & Security] の [Security Groups] を選択します。3. メインペインで、CA の AWS セキュリティグループを選択します。4. [Inbound ] タブを選択してから、[Edit] を選択します。5. [Edit inbound rules] ダイアログボックスで、次の操作を行います。
• [Add Rule] を選択します。• [Type] として [All traffic] を選択し、[Source] として [Custom] を選択します。• [Source (ソース)] の横にあるボックスに、ディレクトリの AWS セキュリティグループ (例:
sg-123456789) を入力します。• [Save] を選択します。
6. 次に、AWS Managed Microsoft AD ディレクトリの AWS セキュリティグループを選択します。[Outbound]、[Edit] の順に選択します。
7. [Edit outbound rules] ダイアログボックスで、次の操作を行います。
• [Add Rule] を選択します。• [Type] として [All traffic] を選択し、[Destination] として [Custom] を選択します。• [Destination] の横にあるボックスに、CA の AWS セキュリティグループを入力します。• [Save] を選択します。
AWS Managed Microsoft AD ディレクトリへの LDAPS 接続をテストするには、LDP ツールを使用します。LDP ツールは、Active Directory 管理ツールに付属しています。詳細については、「Active Directory管理ツールのインストール (p. 64)」を参照してください。
Version 1.030
AWS Directory Service 管理ガイドディレクトリをセキュリティで保護する
Note
LDAPS 接続をテストする前に、下位 CA からドメインコントローラーに証明書が発行されるまで最大 180 分待つ必要があります。
サーバー側 LDAPS に関する詳細および設定方法のユースケース例については、AWS セキュリティブログの「AWS Managed Microsoft AD ディレクトリの LDAPS を有効にする方法」を参照してください。
AWS Managed Microsoft AD を使用したクライアント側 LDAPS の有効化AWS Managed Microsoft AD のクライアント側 LDAPS サポートにより、Microsoft Active Directory (AD)と AWS アプリケーション間の通信が暗号化されます。このようなアプリケーションの例として AmazonWorkSpaces、AWS SSO、Amazon QuickSight、Amazon Chime などがあります。この暗号化により、組織の ID データの保護を強化し、セキュリティ要件を満たすことができます。
前提条件
クライアント側 LDAPS を有効にする前に、次の要件を満たす必要があります。
トピック• Active Directory にサーバー証明書をデプロイする (p. 31)• CA 証明書の要件 (p. 31)• ネットワーク要件 (p. 31)
Active Directory にサーバー証明書をデプロイする
クライアント側 LDAPS を有効にするには、Active Directory 内のドメインコントローラーごとにサーバー証明書を取得してインストールする必要があります。これらの証明書は、LDAP サービスが LDAP クライアントからの SSL 接続をリッスンして自動的に承認するために使用されます。SSL 証明書は、社内のActive Directory 証明書サービス (ADCS) のデプロイから発行されたもの、または商用発行者から購入したものを使用できます。Active Directory サーバー証明書の要件の詳細については、Microsoft の Web サイト「LDAP over SSL (LDAPS) 証明書」を参照してください。
CA 証明書の要件
クライアント側 LDAPS のオペレーションには、サーバー証明書の発行元を表す証明機関 (CA) 証明書が必要です。CA 証明書は、LDAP 通信を暗号化するために Active Directory ドメインコントローラーから提示されるサーバー証明書と照合されます。次の CA 証明書の要件に注意してください。
• 証明書を登録するには、有効期限までに 90 日以上の期間があることが必要です。• 証明書は、プライバシー強化メール (PEM) 形式であることが必要です。Active Directory 内から CA 証
明書をエクスポートする場合は、エクスポートファイル形式として base64 でエンコードされた X.509(.CER) を選択します。
• AWS Managed Microsoft AD ディレクトリごとに最大 5 つの CA 証明書を保存できます。• RSASSA-PSS 署名アルゴリズムを使用する証明書はサポートされていません。• 信頼される側の各ドメイン内のすべてのサーバー証明書にチェーンされる CA 証明書を登録する必要が
あります。
ネットワーク要件
AWS アプリケーションの LDAP トラフィックは TCP ポート 636 で排他的に実行され、LDAP ポート 389へのフォールバックはありません。ただし、レプリケーション、信頼などをサポートする Windows LDAP通信は、Windows ネイティブセキュリティを備えた LDAP ポート 389 を引き続き使用します。AWS セキュリティグループとネットワークファイアウォールを設定し、ポート 636 での AWS Managed MicrosoftAD (アウトバウンド) およびセルフマネージド Active Directory (インバウンド) の TCP 通信を許可します。AWS Managed Microsoft AD とセルフマネージド Active Directory の間で LDAP ポート 389 を開いたままにします。
Version 1.031
AWS Directory Service 管理ガイドディレクトリをセキュリティで保護する
クライアント側 LDAPS の有効化
クライアント側 LDAPS を有効にするには、認証期間 (CA) 証明書を AWS Managed Microsoft AD にインポートし、ディレクトリで LDAPS を有効にします。有効にすると、AWS アプリケーションとセルフマネージド Active Directory 間のすべての LDAP トラフィックには、Secure Sockets Layer (SSL) チャネル暗号化が使用されます。
2 つの異なる方法を使用して、ディレクトリのクライアント側 LDAPS を有効にできます。AWS マネジメントコンソールまたは AWS CLI のいずれかの方法を使用できます。
トピック• ステップ 1: AWS Directory Service で証明書を登録する (p. 32)• ステップ 2: 登録ステータスを確認する (p. 32)• ステップ 3: クライアント側 LDAPS を有効にする (p. 33)• ステップ 4: LDAPS ステータスを確認する (p. 33)
ステップ 1: AWS Directory Service で証明書を登録する
以下のいずれかの方法を使用して、AWS Directory Service で証明書を登録します。
方法 1: AWS Directory Service で証明書を登録するには (AWS マネジメントコンソール)
1. AWS Directory Service console ナビゲーションペインで [ディレクトリ] を選択します。2. ディレクトリのディレクトリ ID リンクを選択します。3. [ディレクトリの詳細] ページで、[Networking & security (ネットワークとセキュリティ)] タブを選択し
ます。4. [Client-side LDAPS (クライアント側 LDAPS)] セクションで、[Actions (アクション)] メニューを選択
してから、[証明書の登録] を選択します。5. [CA 証明書を登録する] ダイアログボックスで [参照] を選択し、証明書を選択してから、[Open (開く)]
を選択します。6. [証明書の登録] を選択します。
方法 2: AWS Directory Service で証明書を登録するには (AWS CLI)
• 次のコマンドを実行します。証明書データについては、CA 証明書ファイルの場所をポイントします。証明書 ID がレスポンスで提供されます。
aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
ステップ 2: 登録ステータスを確認する
証明書登録のステータスまたは登録済み証明書のリストを表示するには、以下のいずれかの方法を使用します。
方法 1: AWS Directory Service で証明書登録ステータスを確認するには (AWS マネジメントコンソール)
1. [ディレクトリの詳細] ページの [Client-side LDAPS (クライアント側 LDAPS)] セクションに移動します。
2. [登録ステータス] 列に表示される現在の証明書登録ステータスを確認します。登録ステータスの値が[登録済み] に変わると、証明書は正常に登録されています。
Version 1.032
AWS Directory Service 管理ガイドディレクトリをセキュリティで保護する
方法 2: AWS Directory Service で証明書登録ステータスを確認するには (AWS CLI)
• 次のコマンドを実行します。ステータス値として Registered が返される場合、証明書は正常に登録されています。
aws ds list-certificates --directory-id your_directory_id
ステップ 3: クライアント側 LDAPS を有効にする
以下のいずれかの方法を使用して、AWS Directory Service でクライアント側 LDAPS を有効にします。Note
クライアント側 LDAPS を有効にするには、1 つ以上の証明書が正常に登録されている必要があります。
方法 1: AWS Directory Service でクライアント側 LDAPS を有効にするには (AWS マネジメントコンソール)
1. [ディレクトリの詳細] ページの [Client-side LDAPS (クライアント側 LDAPS)] セクションに移動します。
2. [Enable] を選択します。このオプションを使用できない場合は、有効な証明書が正常に登録されていることを確認してから、もう一度やり直してください。
3. [Enable client-side LDAPS (クライアント側 LDAPS を有効にする)] ダイアログボックスで、[Enable(有効化)] を選択します。
方法 2: AWS Directory Service でクライアント側 LDAPS を有効にするには (AWS CLI)
• 次のコマンドを実行します。
aws ds enable-ldaps --directory-id your_directory_id --type Client
ステップ 4: LDAPS ステータスを確認する
以下のいずれかの方法を使用して、AWS Directory Service の LDAPS ステータスを確認します。
方法 1: AWS Directory Service で LDAPS ステータスを確認するには (AWS マネジメントコンソール)
1. [ディレクトリの詳細] ページの [Client-side LDAPS (クライアント側 LDAPS)] セクションに移動します。
2. ステータス値が [Enabled (有効)] と表示されている場合、LDAPS は正常に設定されています。
方法 2: AWS Directory Service で LDAPS ステータスを確認するには (AWS CLI)
• 次のコマンドを実行します。ステータス値として Enabled が返される場合、LDAPS は正常に設定されています。
aws ds describe-ldaps-settings –directory-id your_directory_id
クライアント側 LDAPS の管理
LDAPS 設定を管理するには、以下のコマンドを使用します。
Version 1.033
AWS Directory Service 管理ガイドディレクトリをセキュリティで保護する
2 つの異なる方法を使用して、クライアント側 LDAPS 設定を管理できます。AWS マネジメントコンソールまたは AWS CLI のいずれかの方法を使用できます。
証明書の詳細を表示する
以下のいずれかの方法を使用して、証明書の有効期限がいつ切れるかを確認します。
方法 1: AWS Directory Service で証明書の詳細を表示するには (AWS マネジメントコンソール)
1. AWS Directory Service console ナビゲーションペインで [ディレクトリ] を選択します。2. ディレクトリのディレクトリ ID リンクを選択します。3. [ディレクトリの詳細] ページで、[Networking & security (ネットワークとセキュリティ)] タブを選択し
ます。4. [Client-side LDAPS (クライアント側 LDAPS)] セクションの [CA certificates (CA 証明書)] に、証明書
に関する情報が表示されます。
方法 2: AWS Directory Service で証明書の詳細を表示するには (AWS CLI)
• 次のコマンドを実行します。証明書 ID として、register-certificate または list-certificates から返される ID を使用します。
aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
証明書の登録解除
以下のいずれかの方法を使用して、証明書を登録解除します。
Note
登録されている証明書が 1 つのみの場合は、証明書を登録解除する前に、まず LDAPS を無効にする必要があります。
方法 1: AWS Directory Service で証明書を登録解除するには (AWS マネジメントコンソール)
1. AWS Directory Service console ナビゲーションペインで [ディレクトリ] を選択します。2. ディレクトリのディレクトリ ID リンクを選択します。3. [ディレクトリの詳細] ページで、[Networking & security (ネットワークとセキュリティ)] タブを選択し
ます。4. [Client-side LDAPS (クライアント側 LDAPS)] セクションで、[Actions (アクション)] を選択してか
ら、[Deregister certificate (証明書の登録解除)] を選択します。5. [Deregister a CA certificate (CA 証明書を登録解除する)] ダイアログボックスで、[登録解除] を選択し
ます。
方法 2: AWS Directory Service で証明書を登録解除するには (AWS CLI)
• 次のコマンドを実行します。証明書 ID として、register-certificate または list-certificates から返される ID を使用します。
aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
Version 1.034
AWS Directory Service 管理ガイドディレクトリをセキュリティで保護する
クライアント側 LDAPS の無効化
以下のいずれかの方法を使用して、クライアント側 LDAPS を無効にします。
方法 1: AWS Directory Service でクライアント側 LDAPS を無効にするには (AWS マネジメントコンソール)
1. AWS Directory Service console ナビゲーションペインで [ディレクトリ] を選択します。2. ディレクトリのディレクトリ ID リンクを選択します。3. [ディレクトリの詳細] ページで、[Networking & security (ネットワークとセキュリティ)] タブを選択し
ます。4. [Client-side LDAPS (クライアント側 LDAPS)] セクションで、[Disable (無効化)] を選択します。5. [Disable client-side LDAPS (クライアント側 LDAPS を無効にする)] ダイアログボックスで、[Disable
(無効化)] を選択します。
方法 2: AWS Directory Service でクライアント側 LDAPS を無効にするには (AWS CLI)
• 次のコマンドを実行します。
aws ds disable-ldaps --directory-id your_directory_id --type Client
AWS Managed Microsoft AD のコンプライアンスを管理するAWS Managed Microsoft AD を使用して、以下のコンプライアンス要件が適用される Active Directory 対応アプリケーションを AWS クラウドでサポートできます。ただし、Simple AD または AD Connector を使用する場合、アプリケーションはコンプライアンス要件に拘束されません。
サポートされるコンプライアンス標準
AWS Managed Microsoft AD は、以下の標準について監査済みであり、コンプライアンスの認定を取得する必要があるソリューションの一部として使用できます。
AWS Managed Microsoft AD は、Federal Risk andAuthorization Management Program (FedRAMP) のセキュリティ要件を満たしており、FedRAMP Joint Authorization Board(JAB) Provisional Authority to Operate (P-ATO) の FedRAMPModerate ベースラインで認定されています。FedRAMP の詳細については、「FedRAMP コンプライアンス」を参照してください。
Version 1.035
AWS Directory Service 管理ガイドディレクトリをモニタリングする
AWS Managed Microsoft AD は、クレジットカード業界 (PCI)のデータセキュリティ標準 (DSS) バージョン 3.2、サービスプロバイダーレベル 1 で準拠証明書を取得しています。AWS の製品やサービスを使用してカード所有者のデータを保存、処理、転送するユーザーは、各自の PCI DSS 準拠認定の管理にAWS Managed Microsoft AD を使用できます。
PCI DSS の詳細 (AWS PCI Compliance Package のコピーをリクエストする方法など) については、「PCI DSS レベル 1」を参照してください。重要な点は、PCI DSS バージョン 3.2の標準に準拠するように、AWS Managed Microsoft AD できめ細かいパスワードポリシーを設定することです。適用するポリシーの詳細については、以下の「AWS Managed Microsoft ADディレクトリの PCI コンプライアンスを管理する」セクションを参照してください。
AWS は、医療保険の相互運用性と説明責任に関する法令(HIPAA) コンプライアンスプログラムを拡張し、HIPAA 対応サービスとして AWS Managed Microsoft AD を含めています。AWS と事業提携契約 (BAA) を締結している場合は、AWSManaged Microsoft AD を使用して HIPAA 準拠アプリケーションを構築できます。
AWS では、医療情報の処理や保存に AWS の活用をお考えのお客様向けに、HIPAA 関連のホワイトペーパーも用意しています。詳細については、HIPAA への準拠を参照してください。
共有責任セキュリティ (FedRAMP、HIPAA、PCI へのコンプライアンスを含む) は共有責任です。AWS ManagedMicrosoft AD のコンプライアンス状況は AWS クラウド内で実行するアプリケーションに自動的には適用されない点を理解することが重要です。AWS サービスの使用が標準に準拠していることを確認する必要があります。
AWS Managed Microsoft AD によってサポートされるすべての AWS コンプライアンスプログラムのリストについては、「コンプライアンスプログラム対象範囲内の AWS のサービス」を参照してください。
AWS Managed Microsoft AD ディレクトリの PCI コンプライアンスを管理するAWS Managed Microsoft AD ディレクトリに対して PCI への準拠を有効にするには、PCI DSS 準拠証明書(AOC) と AWS Artifact 提供の Responsibility Summary ドキュメントに指定されているとおりに、きめ細かいパスワードポリシーを設定する必要があります。
きめ細かいパスワードポリシーの使用の詳細については、「AWS Managed Microsoft AD のパスワードポリシーを管理する (p. 23)」を参照してください。
AWS Managed Microsoft AD のモニタリングAWS Managed Microsoft AD ディレクトリは、次の方法でモニタリングできます。
トピック• ディレクトリのステータスを把握する (p. 37)
Version 1.036
AWS Directory Service 管理ガイドディレクトリをモニタリングする
• ディレクトリステータス通知を設定する (p. 38)• AWS Managed Microsoft AD ディレクトリのログを確認する (p. 39)• ログ転送の有効化 (p. 40)
ディレクトリのステータスを把握するThe following are the various statuses for a directory.
Active
The directory is operating normally. No issues have been detected by the AWS Directory Service foryour directory.
Creating
The directory is currently being created. Directory creation typically takes between 5 to 30 minutes butmay vary depending on the system load.
Deleted
The directory has been deleted. All resources for the directory have been released. Once a directoryenters this state, it cannot be recovered.
Deleting
The directory is currently being deleted. The directory will remain in this state until it has beencompletely deleted. Once a directory enters this state, the delete operation cannot be cancelled, andthe directory cannot be recovered.
Failed
The directory could not be created. Please delete this directory. If this problem persists, please contactthe AWS Support Center.
Impaired
The directory is running in a degraded state. One or more issues have been detected, and not alldirectory operations may be working at full operational capacity. There are many potential reasonsfor the directory being in this state. These include normal operational maintenance activity such aspatching or EC2 instance rotation, temporary hot spotting by an application on one of your domaincontrollers, or changes you made to your network that inadvertently disrupt directory communications.For more information, see either AWS Managed Microsoft AD のトラブルシューティング (p. 133),AD Connector のトラブルシューティング (p. 165), Simple AD のトラブルシューティング (p. 213).For normal maintenance related issues, AWS resolves these issues within 40 minutes. If afterreviewing the troubleshooting topic, your directory is in an Impaired state longer than 40 minutes, werecommend that you contact the AWS Support Center.
Important
Do not restore a snapshot while a directory is in an Impaired state. It is rare that snapshotrestore is necessary to resolve impairments. For more information, see ディレクトリのスナップショットまたは復元 (p. 94).
Inoperable
The directory is not functional. All directory endpoints have reported issues.Requested
A request to create your directory is currently pending.RestoreFailed
Restoring the directory from a snapshot failed. Please retry the restore operation. If this continues, try adifferent snapshot, or contact the AWS Support Center.
Version 1.037
AWS Directory Service 管理ガイドディレクトリをモニタリングする
Restoring
The directory is currently being restored from an automatic or manual snapshot. Restoring from asnapshot typically takes several minutes, depending on the size of the directory data in the snapshot.
For more information, see Simple AD ディレクトリステータスの原因 (p. 214).
ディレクトリステータス通知を設定するUsing Amazon Simple Notification Service (Amazon SNS), you can receive email or text (SMS) messageswhen the status of your directory changes. You get notified if your directory goes from an Active status toan Impaired or Inoperable status. You also receive a notification when the directory returns to an Activestatus.
How It Works
Amazon SNS uses “topics” to collect and distribute messages. Each topic has one or more subscriberswho receive the messages that have been published to that topic. Using the steps below you can add AWSDirectory Service as publisher to an Amazon SNS topic. When AWS Directory Service detects a change inyour directory’s status, it publishes a message to that topic, which is then sent to the topic's subscribers.
You can associate multiple directories as publishers to a single topic. You can also add directory statusmessages to topics that you’ve previously created in Amazon SNS. You have detailed control over whocan publish to and subscribe to a topic. For complete information about Amazon SNS, see What is AmazonSNS?.
To enable SNS messaging for your directory
1. Sign in to the AWS マネジメントコンソール and open the AWS Directory Service console at https://console.aws.amazon.com/directoryservicev2/.
2. On the Directories page, choose your directory ID.3. Select the Maintenance tab.4. In the Directory monitoring section, choose Actions, and then select Create notification.5. On the Create notification page, select Choose a notification type, and then choose Create a new
notification. Alternatively, if you already have an existing SNS topic, you can choose Associate existingSNS topic to send status messages from this directory to that topic.
Note
If you choose Create a new notification but then use the same topic name for an SNStopic that already exists, Amazon SNS does not create a new topic, but just adds the newsubscription information to the existing topic.If you choose Associate existing SNS topic, you will only be able to choose an SNS topic thatis in the same region as the directory.
6. Choose the Recipient type and enter the Recipient contact information. If you enter a phone number forSMS, use numbers only. Do not include dashes, spaces, or parentheses.
7. (Optional) Provide a name for your topic and an SNS display name. The display name is a short nameup to 10 characters that is included in all SMS messages from this topic. When using the SMS option,the display name is required.
Note
If you are logged in using an IAM user or role that has only the DirectoryServiceFullAccessmanaged policy, your topic name must start with “DirectoryMonitoring”. If you’d like to furthercustomize your topic name you’ll need additional privileges for SNS.
Version 1.038
AWS Directory Service 管理ガイドディレクトリをモニタリングする
8. Choose Create.
If you want to designate additional SNS subscribers, such as an additional email address,Amazon SQS queues or AWS Lambda, you can do this from the Amazon SNS console at https://console.aws.amazon.com/sns/v3/home.
To remove directory status messages from a topic
1. Sign in to the AWS マネジメントコンソール and open the AWS Directory Service console at https://console.aws.amazon.com/directoryservicev2/.
2. On the Directories page, choose your directory ID.3. Select the Maintenance tab.4. In the Directory monitoring section, select an SNS topic name in the list, choose Actions, and then
select Remove.5. Choose Remove.
This removes your directory as a publisher to the selected SNS topic. If you want to delete the entire topic,you can do this from the Amazon SNS console at https://console.aws.amazon.com/sns/v3/home.
Note
Before deleting an Amazon SNS topic using the SNS console, you should ensure that a directoryis not sending status messages to that topic.If you delete an Amazon SNS topic using the SNS console, this change will not immediately bereflected within the Directory Services console. You would only be notified the next time a directorypublishes a notification to the deleted topic, in which case you would see an updated status on thedirectory’s Monitoring tab indicating the topic could not be found.Therefore, to avoid missing important directory status messages, before deleting any topic thatreceives messages from AWS Directory Service, associate your directory with a different AmazonSNS topic.
AWS Managed Microsoft AD ディレクトリのログを確認するAWS Managed Microsoft AD ドメインコントローラーインスタンスのセキュリティログは 1 年間、アーカイブされます。また、AWS Managed Microsoft AD ディレクトリを設定して、ドメインコントローラーログをほぼリアルタイムで Amazon CloudWatch Logs に転送することもできます。詳細については、「ログ転送の有効化 (p. 40)」を参照してください。
AWS は、コンプライアンスに関する以下のイベントをログに記録します。
モニタリングカテゴリ ポリシー設定 監査の状態
アカウントログオン 認証情報検証の監査 成功、失敗
アカウント管理 コンピュータアカウント管理の監査
成功、失敗
その他のアカウント管理イベントの監査
成功、失敗
セキュリティグループ管理の監査
成功、失敗
ユーザーアカウント管理の監査 成功、失敗
詳細な追跡 プロセス作成の監査 成功
Version 1.039
AWS Directory Service 管理ガイドディレクトリをモニタリングする
モニタリングカテゴリ ポリシー設定 監査の状態
DS アクセス ディレクトリサービスアクセスの監査
成功、失敗
ディレクトリサービス変更の監査
成功、失敗
ログオン/ログオフ アカウントロックアウト成功の監査
成功、失敗
ログオフの監査 成功
ログオンの監査 成功、失敗
特殊なログオンの監査 成功
オブジェクトアクセス リムーバブルストレージの監査 成功、失敗
集約型アクセスポリシーステージングの監査
成功、失敗
ポリシー変更 ポリシー変更の監査 成功、失敗
認証ポリシー変更の監査 成功
許可ポリシー変更の監査 成功、失敗
特権使用 機密性の高い特権使用の監査 成功、失敗
システム IPsec ドライバーの監査 成功、失敗
その他のシステムイベントの監査
成功、失敗
セキュリティ状態変更の監査 成功、失敗
セキュリティシステム拡張の監査
成功、失敗
システム整合性の監査 成功、失敗
ログ転送の有効化AWS Directory Service コンソールあるいは API を使用して、ドメインコントローラーセキュリティイベントログを Amazon CloudWatch Logs に転送できます。これにより、ディレクトリのセキュリティイベントに透明性が提供され、セキュリティモニタリング、監査、およびログの保持ポリシー要件を満たすために役立ちます。
また、CloudWatch Logs では、これらのイベントを他の AWS アカウント、AWS のサービス、またはサードパーティーのアプリケーションに転送することもできます。これにより、一元的なアラートのモニタリングおよび設定、ほぼリアルタイムでの異常なアクティビティへの事前の対応が簡単に行えるようになります。
有効化されたら、CloudWatch Logs コンソールを使用して、このサービスを有効化したときに指定したロググループからデータを取得できます。このロググループには、ドメインコントローラーのセキュリティログが含まれます。
ロググループおよびそのデータを読み取る方法についての詳細は、Amazon CloudWatch Logs ユーザーガイドの「ロググループとログストリームを操作する」を参照してください。
Version 1.040
AWS Directory Service 管理ガイドディレクトリをモニタリングする
ログ転送を有効化するには
1. AWS Directory Service コンソールのナビゲーションペインで、ディレクトリを選択します。2. 共有する AWS Managed Microsoft AD ディレクトリのディレクトリ ID を選択します。3. ディレクトリの詳細ページで、ネットワークとセキュリティタブを選択します。4. ログの転送セクションで、有効化を選択します。5. [CloudWatch ダイアログへのログの転送を有効化する] ダイアログで、次のいずれかのオプションを選
択します。
a. [ロググループ名] で [新しい CloudWatch ロググループの作成] を選択し、CloudWatch Logs で参照できる名前を指定します。
b. 既存の CloudWatch ロググループを選択するを選び、既存の CloudWatch ロググループでメニューからロググループを選択します。
6. 料金の情報とリンクを確認したら、有効化を選択します。
ログ転送を無効化するには
1. AWS Directory Service コンソール のナビゲーションペインで、ディレクトリを選択します。2. 共有する AWS Managed Microsoft AD ディレクトリのディレクトリ ID を選択します。3. ディレクトリの詳細ページで、ネットワークとセキュリティタブを選択します。4. ログの転送セクションで、無効化を選択します。5. ログ転送の無効化ダイアログの情報を確認したら、[無効化] を選択します。
CLI を使用したログ転送の有効化ds create-log-subscription コマンドを使用するには、最初に Amazon CloudWatch ロググループを作成し、そのグループに必要なアクセス許可を付与する IAM リソースポリシーを作成する必要があります。CLI を使用してログ転送を有効にするには、以下のすべてのステップを完了します。
ステップ 1: CloudWatch Logs でロググループを作成する
ドメインコントローラーからセキュリティログを受信するために使用されるロググループを作成します。名前の先頭には /aws/directoryservice/ を付けることをお勧めしますが、必須ではありません。例:
CLI コマンドの例
aws logs create-log-group --log-group-name '/aws/directoryservice/d-9876543210'
POWERSHELL コマンドの例
New-CWLLogGroup -LogGroupName '/aws/directoryservice/d-9876543210'
CloudWatch Logs グループを作成する手順については、Amazon CloudWatch Logs ユーザーガイドの「CloudWatch Logs にロググループを作成する」を参照してください。
ステップ 2: IAM で CloudWatch Logs リソースポリシーを作成する
AWS Directory Service の権限を付与する CloudWatch Logs リソースポリシーを作成し、ステップ 1 で作成した新しいロググループにログを追加します。ロググループに厳密な ARN を指定して、他のロググループへの Directory Service のアクセスを制限したり、ワイルドカードを使用してすべてのロググループを含めたりできます。次のサンプルポリシーでは、ワイルドカードを使用して、ディレクトリが存在するAWS アカウントに対して /aws/directoryservice/ で始まるすべてのロググループが含まれることを確認します。
{
Version 1.041
AWS Directory Service 管理ガイドディレクトリの共有
"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ds.amazonaws.com" }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:YOUR_REGION:YOUR_ACCOUNT_NUMBER:log-group:/aws/directoryservice/*" } ]}
CLI から実行する必要があるため、このポリシーをローカルワークステーションのテキストファイル (たとえば、DSPolicy.json) に保存する必要があります。例:
CLI コマンドの例
aws logs put-resource-policy --policy-name DSLogSubscription --policy-documentfile://DSPolicy.json
POWERSHELL コマンドの例
$PolicyDocument = Get-Content .\DSPolicy.json –Raw
Write-CWLResourcePolicy -PolicyName DSLogSubscription -PolicyDocument$PolicyDocument
ステップ 3: AWS Directory Service ログのサブスクリプションを作成する
この最後のステップでは、ログのサブスクリプションを作成して、ログ転送を有効にできます。例:
CLI コマンドの例
aws ds create-log-subscription --directory-id 'd-9876543210' --log-group-name'/aws/directoryservice/d-9876543210'
POWERSHELL コマンドの例
New-DSLogSubscription -DirectoryId 'd-9876543210' -LogGroupName '/aws/directoryservice/d-9876543210'
ディレクトリの共有AWS Managed Microsoft AD は、複数の AWS アカウント間でシームレスなディレクトリの共有ができるように、AWS Organizations と緊密に統合されています。同じ組織内で他の信頼される AWS アカウントと単一のディレクトリを共有したり、組織外の他の AWS アカウントとディレクトリを共有できます。また、使用する AWS アカウントが現在組織に属していない場合にも、ディレクトリを共有することができます。
Note
AWS ではディレクトリの共有に追加料金が課されます。詳細については、AWS DirectoryService ウェブサイトの「料金表」ページを参照してください。
ディレクトリの共有によって、AWS Managed Microsoft AD は複数のアカウントおよび VPC で AmazonEC2 と統合できるよりコスト効果の高い方法となります。ディレクトリの共有は、AWS マネージドMicrosoft AD が提供されているすべての AWS リージョンで利用できます。
Version 1.042
AWS Directory Service 管理ガイドディレクトリの共有
Note
AWS 中国 (寧夏) リージョンでは、AWS Systems Manager (SSM) を使用している場合にのみ、この機能を使用して Amazon EC2 インスタンスにシームレスに参加することができます。
ディレクトリの共有に関する詳細と AWS アカウント間で AWS Managed Microsoft AD ディレクトリが届く範囲を拡大する方法については、以下のトピックを参照してください。
トピック• 主要なディレクトリ共有の概念 (p. 43)• チュートリアル: AWS Managed Microsoft AD ディレクトリを共有して、シームレスに EC2 ドメイン
を結合する (p. 44)• ディレクトリの共有解除 (p. 50)
主要なディレクトリ共有の概念以下の主要なコンセプトを理解すると、ディレクトリ共有機能をさらに活用できます。
ディレクトリ所有者アカウントディレクトリの所有者とは、共有ディレクトリ関係において、元のディレクトリを所有している AWS アカウントの持ち主です。このアカウントの管理者は、どの AWS アカウントとディレクトリを共有するかを指定して、ディレクトリ共有のワークフローを開始します。ディレクトリの所有者は、AWS DirectoryService コンソールでディレクトリの [スケール & 共有] タブを使用してこのディレクトリを誰と共有しているかを見ることができます。
ディレクトリコンシューマーアカウント共有したディレクトリ関係では、ディレクトリコンシューマーはディレクトリ所有者がディレクトリを共有する AWS アカウントを表します。使用する共有メソッドによって、このアカウントの管理者は、共有ディレクトリの使用を開始する前に、ディレクトリ所有者が送信する招待を受理する必要がある場合もあります。
ディレクトリ共有〉プロセスは、ディレクトリコンシューマーアカウント内に共有ディレクトリを作成します。この共有ディレクトリには、EC2 インスタンスがシームレスにドメインを結合できるメタデータが含まれています。これは、ディレクトリ所有者アカウントの元のディレクトリにあります。ディレクトリコンシューマーアカウントの各共有ディレクトリには、一意の識別子 (共有ディレクトリ ID) があります。
Version 1.043
AWS Directory Service 管理ガイドディレクトリの共有
共有メソッド
AWS Managed Microsoft AD は次の 2 つのディレクトリ共有メソッドを用意しています。
• AWS Organizations – このメソッドでは、ディレクトリコンシューマーアカウントを参照して検証できるため、組織内でのディレクトリの共有が容易になります。このオプションを組織で使用するには、[すべての機能] が有効であり、また、ユーザーのディレクトリが組織のマスターアカウントにある必要があります。この共有メソッドではディレクトリコンシューマーアカウントがディレクトリの共有リクエストを受理する必要がないため、セットアップが簡素化されます。コンソールでは、このメソッドは [組織内でこのディレクトリを AWS アカウントと共有する] と示されます。
• ハンドシェイク – このメソッドは、AWS Organizations を使用していない場合に、ディレクトリの共有を有効にします。ハンドシェイクメソッドでは、ディレクトリコンシューマーアカウントがディレクトリの共有リクエストを受理することが必要となります。コンソールでは、このメソッドは [このディレクトリを他の AWS アカウントと共有する] と示されます。
VPC ピアリング接続
VPC ピア接続では、2 つの VPC 間のネットワーク接続を介してトラフィックをルーティングすることができます。これは、AWS アカウント間でディレクトリの共有関係を設定するための前提条件です。詳細については、「VPC ピア機能とは」を参照してください。
開始するには、チュートリアル: AWS Managed Microsoft AD ディレクトリを共有して、シームレスにEC2 ドメインを結合する (p. 44) を参照してください。
チュートリアル: AWS Managed Microsoft AD ディレクトリを共有して、シームレスに EC2 ドメインを結合するこのチュートリアルでは、AWS Managed Microsoft AD ディレクトリ (ディレクトリの所有者アカウント)を別の AWS アカウント (ディレクトリのコンシューマーアカウント) と共有する方法を説明します。ネットワークの前提条件が整うと、2 つの AWS アカウント間でディレクトリを共有できます。次に、ディレクトリのコンシューマーアカウントで EC2 インスタンスをドメインにシームレスに結合する方法を説明します。
このチュートリアルを開始する前にまず、ディレクトリ共有における主要な概念およびユースケースの内容を確認することをお勧めします。詳細については、「主要なディレクトリ共有の概念 (p. 43)」を参照してください。
ディレクトリを共有するプロセスは、同じ AWS 組織で別の AWS アカウントとディレクトリを共有するか、または AWS 組織外部のアカウントと共有するかに応じて異なります。共有の仕組みについては、「共有メソッド (p. 44)」を参照してください。
このワークフローには 4 つの基本ステップがあります。
Version 1.044
AWS Directory Service 管理ガイドディレクトリの共有
ステップ 1: ネットワーク環境をセットアップする (p. 45)
ディレクトリの所有者アカウントで、ディレクトリの共有プロセスに必要なネットワークの前提条件のすべてを設定します。
ステップ 2: ディレクトリの共有 (p. 46)
ディレクトリ所有者の管理者認証情報でサインインしたら、AWS Directory Service コンソールを開き、ディレクトリのコンシューマーアカウントに招待を送信してディレクトリ共有のワークフローを開始します。
ステップ 3: 共有ディレクトリの招待を受理する (オプション) (p. 47)
ディレクトリのコンシューマーの管理者認証情報でサインインしたら、AWS Directory Service コンソールを開きディレクトリ共有の招待を受理します。
ステップ 4: Windows Server 用の EC2 インスタンスをドメインにシームレスに結合するテスト (p. 48)
最後に、ディレクトリのコンシューマーの管理者として、EC2 インスタンスをドメインに結合し、これが動作することを確認します。
その他のリソース
• ユースケース: ディレクトリを共有して、AWS アカウント間でシームレスに Amazon EC2 インスタンスをドメインに結合する
• AWS セキュリティブログ記事: 複数のアカウントと VPC から Amazon EC2 インスタンスを単一のAWS マネージド Microsoft AD ディレクトリに結合させる方法
ステップ 1: ネットワーク環境をセットアップするこのチュートリアルの手順を開始する前に、まず次を完了してください。
• テスト目的で、同じリージョンに 2 つの新規の AWS アカウントを作成します。AWS アカウントを作成すると、各アカウントに専用仮想プライベートクラウド (VPC) が自動的に作成されます。各アカウントの VPC ID をメモしておきます。この情報は後で必要になります。
• このステップの手順を使用して、各アカウントでこの 2 つの VPC 間に VPC ピア接続を作成します。
ディレクトリの所有者アカウントとディレクトリのコンシューマーアカウント間の VPC ピア接続を設定する
作成する VPC ピア接続は、ディレクトリのコンシューマーの VPC とディレクトリの所有者の VPC 間です。このステップに従い、ディレクトリのコンシューマーアカウントと接続するための VPC ピア接続を設定します。この接続では、プライベート IP アドレスを使用して両方の VPC 間でトラフィックをルーティングできます。
ディレクトリの所有者アカウントとディレクトリのコンシューマーアカウント間の VPC ピア接続を作成するには
1. Amazon VPC コンソール(https://console.aws.amazon.com/vpc/)を開きます。ディレクトリの所有者アカウントで管理者の認証情報を備えるユーザーとしてサインインしていることを確認します。
2. ナビゲーションペインで [Peering Connections] を選択します。次に、ピア接続の作成を選択します。3. 以下の情報を設定します。
• ピア接続ネームタグ: ディレクトリのコンシューマーアカウントの VPC への接続を明確に識別する名前を提供します。
• VPC (リクエスタ): ディレクトリの所有者アカウントの VPC ID を選択します。• ピア接続するもうひとつの VPC を選択で、自分のアカウントおよび [このリージョン] が選択され
ていることを確認します。
Version 1.045
AWS Directory Service 管理ガイドディレクトリの共有
• VPC (アクセプタ): ディレクトリのコンシューマーアカウントの VPC ID を選択します。4. ピア接続の作成を選択します。確認のダイアログボックスで [OK] を選択します。
両方の VPC は同じリージョンにあるため、VPC ピアリクエストを送信したディレクトリの所有者アカウントの管理者は、ディレクトリのコンシューマーアカウントに代わってピア接続リクエストを承諾することもできます。
ディレクトリのコンシューマーアカウントに代わってピア接続リクエストを承諾するには
1. Amazon VPC コンソール(https://console.aws.amazon.com/vpc/)を開きます。2. ナビゲーションペインで [Peering Connections] を選択します。3. 保留中の VPC ピア接続を選択します。(ステータスは承諾の保留中となっています)。 [アクション]、
[リクエストの承諾] を選択します。4. 確認のダイアログボックスで、[Yes, Accept] を選択します。次の確認ボックスで [ルートテーブルを
今すぐ変更] を選択して、ルートテーブルページに直接移動します。
これで VPC ピアリング接続がアクティブ化されたので、ディレクトリの所有者アカウントで VPC のルートテーブルにエントリを追加する必要があります。これにより、トラフィックをディレクトリのコンシューマーアカウントの VPC に誘導することができます。
ディレクトリの所有者アカウントで VPC のルートテーブルにエントリを追加するには
1. Amazon VPC コンソールの [ルートテーブル] セクションで、ディレクトリの所有者 VPC のルートテーブルを選択します。
2. [ルート] タブ、[編集]、[別のルートを追加] の順に選択します。3. [送信先] 列で、ディレクトリのコンシューマー VPC の CIDR ブロックを入力します。4. [ターゲット] 列で、ディレクトリの所有者アカウントで前に作成したピア接続用 VPC ピア接続 ID
(pcx-123456789abcde000 など) を入力します。5. [Save] を選択します。
ディレクトリのコンシューマーアカウントで VPC のルートテーブルにエントリを追加するには
1. Amazon VPC コンソールの [ルートテーブル] セクションで、ディレクトリのコンシューマー VPC のルートテーブルを選択します。
2. [ルート] タブ、[編集]、[別のルートを追加] の順に選択します。3. [送信先] 列で、ディレクトリの所有者 VPC の CIDR ブロックを入力します。4. [ターゲット] 列で、ディレクトリのコンシューマーアカウントで前に作成したピア接続用 VPC ピア接
続 ID (pcx-123456789abcde001 など) を入力します。5. [Save] を選択します。
ディレクトリのコンシューマー VPC のセキュリティグループの設定でアウトバウンドルートテーブルにActive Directory プロトコールおよびポートを追加して、アウトバウンドトラフィックを有効にします。詳細については、「VPC のセキュリティグループ」および「AWS Managed Microsoft AD の前提条件」を参照してください。
次のステップ
ステップ 2: ディレクトリの共有 (p. 46)
ステップ 2: ディレクトリの共有次の手順を使用して、ディレクトリの所有者アカウント内からディレクトリ共有のワークフローを開始します。
Version 1.046
AWS Directory Service 管理ガイドディレクトリの共有
ディレクトリの所有者アカウントからディレクトリを共有するには
1. ディレクトリの所有者アカウントで管理者の認証情報を使用して AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/directoryservicev2/ で AWS Directory Service consoleを開きます。
2. ナビゲーションペインで [Directories] を選択します。3. 共有する AWS Managed Microsoft AD ディレクトリのディレクトリ ID を選択します。4. [ディレクトリの詳細] ページで、[スケール & 共有] タブを選択します。5. [共有ディレクトリ] セクションで、[アクション]、[新しい共有ディレクトリの作成] の順に選択しま
す。6. [共有する AWS アカウントを選択します] ページで、ビジネスニーズに応じて以下の共有メソッドの 1
つを選択します。
a. [このディレクトリを組織内の AWS アカウントと共有] – このオプションでは、AWS 組織内のすべての AWS アカウントが表示されるリストから、共有する AWS アカウントを選択できます。ディレクトリを共有する前に、AWS Directory Service で信頼されたアクセスを有効にする必要があります。詳細については、「信頼されたアクセスを有効または無効にする方法」を参照してください。
i. [組織の AWS アカウント] でディレクトリを共有する AWS アカウントを選択し、[追加] をクリックします。
ii. 料金の詳細を確認し、[Share (共有)] を選択します。iii. このガイドのステップ 4 (p. 48) に進みます。すべての AWS アカウントは同じ組織内にあ
るため、ステップ 3 を実行する必要はありません。b. [Share this directory with other AWS accounts (このディレクトリを他の AWS アカウントと共有)]
- このオプションでは、AWS 組織内あるいは組織外にあるアカウントとディレクトリを共有できます。また、使用するディレクトリが AWS 組織のメンバーではない場合に、別の AWS アカウントと共有するときにも、このオプションを使用できます。
i. [AWS アカウント ID] でディレクトリを共有するすべての AWS アカウント ID を入力し、[追加] をクリックします。
ii. [メモの送信] で、別の AWS アカウントの管理者にメッセージを入力します。iii. 料金の詳細を確認し、[Share (共有)] を選択します。iv. ステップ 3 に進みます。
次のステップ
ステップ 3: 共有ディレクトリの招待を受理する (オプション) (p. 47)
ステップ 3: 共有ディレクトリの招待を受理する (オプション)
前の手順で [このディレクトリを他の AWS アカウントと共有] (ハンドシェイクメソッド) オプションを選択した場合、この手順を使用して共有ディレクトリのワークフローを完了する必要があります。[Sharethis directory with AWS accounts inside your organization (このディレクトリを組織内の AWS アカウントと共有)] オプションを選択した場合、このステップをスキップして、ステップ 4 に進んでください。
共有ディレクトリの招待を受理するには
1. ディレクトリのコンシューマーアカウントで管理者の認証情報を使用して AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/directoryservicev2/ で AWS DirectoryService console を開きます。
2. ナビゲーションペインで、[Directories shared with me (自分と共有するディレクトリ)] を選択します。3. [共有ディレクトリ ID] 列で、[承諾の保留中] 状態にあるディレクトリ ID を選択します。
Version 1.047
AWS Directory Service 管理ガイドディレクトリの共有
4. [共有ディレクトリの詳細] ページで、[Review (レビュー)] を選択します。5. [ダイアログ保留中の共有ディレクトリの招待] ダイアログで、メモ、ディレクトリの所有者の詳細と
料金に関する情報を見直します。同意する場合には、[Accept (承諾)] を選択してディレクトリの使用を開始します。
次のステップ
ステップ 4: Windows Server 用の EC2 インスタンスをドメインにシームレスに結合するテスト (p. 48)
ステップ 4: Windows Server 用の EC2 インスタンスをドメインにシームレスに結合するテスト
次の 2 つのメソッドのいずれかを使用して、シームレスなドメインの結合をテストできます。
メソッド 1: Amazon EC2 コンソールを使用してドメインの結合をテストする
ディレクトリのコンシューマーアカウントでこの手順を使用します。
1. AWS マネジメントコンソールにサインインをしたあと、https://console.aws.amazon.com/ec2/ にあるAmazon EC2 コンソールを開きます。
2. From the region selector in the navigation bar, choose the same region as the existing directory.3. Choose Launch Instance.4. On the Step 1 page, choose Select for the appropriate AMI.5. On the Step 2 page, select the appropriate instance type, and then choose Next: Configure Instance
Details.6. On the Step 3 page, do the following, and then choose Next: Add Storage:
1. For Network, choose the VPC that your directory was created in.2. For Subnet, choose one of the public subnets in your VPC. The subnet that you choose must have
all external traffic routed to an internet gateway. If this is not the case, you won't be able to connectto the instance remotely.
3. For Auto-assign Public IP, choose Enable.
For more information about public and private IP addressing, see Amazon EC2 Instance IPAddressing in the Windows インスタンスの Amazon EC2 ユーザーガイド.
4. For Domain join directory, choose your domain from the list.
Note
This option is only available for Windows instances. Linux instances must be manuallyjoined to the directory as explained in Linux インスタンスを手動で結合する (p. 54).
5. For IAM role, do one of the following:
Select an IAM role that has the AWS managed policies AmazonSSMManagedInstanceCore andAmazonSSMDirectoryServiceAccess attached to it.
-or-
If you haven't created an IAM role that has the AmazonSSMManagedInstanceCore andAmazonSSMDirectoryServiceAccess managed policies attached to it, choose the Create new IAMrole link, and then do the following:a. Choose Create role.b. Under Select type of trusted entity, choose AWS service.c. Under Choose the service that this role will use, in the full list of services, choose EC2 .Version 1.0
48
AWS Directory Service 管理ガイドディレクトリの共有
d. Under Select your use case, choose EC2, and the choose Next: Permissions.e. In the list of policies, select the AmazonSSMManagedInstanceCore and
AmazonSSMDirectoryServiceAccess policies. (To filter the list, type SSM in the search box.)
Note
AmazonSSMDirectoryServiceAccess provides the permissions to joininstances to an Active Directory managed by AWS Directory Service.AmazonSSMManagedInstanceCore provides the minimum permissions necessary touse the Systems Manager service. For more information about creating a role with thesepermissions, and for information about other permissions and policies you can assignto your IAM role, see Create an IAM Instance Profile for Systems Manager in the AWSSystems Manager ユーザーガイド.
f. Choose Next: Tags.g. (Optional) Add one or more tag key-value pairs to organize, track, or control access for this role,
and then choose Next: Review.h. For Role name, enter a name for your new role, such as EC2DomainJoin or another name that
you prefer.i. (Optional) For Role description, enter a description.j. Choose Create role.k. Go back to the Step 3 page. For IAM role, choose the refresh icon next to IAM role. Your new role
should be visible in the menu. Choose it and leave the rest of the settings on this page with theirdefault values, and then choose Next: Add Storage.
7. On both the Step 4 and Step 5 pages, leave the default settings or make changes as needed, and thenchoose the Next buttons.
8. On the Step 6 page, select a security group for the instance that has been configured to allow remoteaccess to the instance from your network, and then choose Review and Launch.
9. On the Step 7 page, choose Launch, select a key pair, and then choose Launch Instance.
メソッド 2: AWS Systems Manager コンソールを使用してドメイン結合をテストする
ディレクトリのコンシューマーアカウントでこの手順を使用します。この手順を完了するには、ディレクトリ所有者のアカウントに関するいくつかの情報が必要となります。
Note
この手順のステップを開始する前に、[AmazonSSMManagedInstanceCore] および[AmazonSSMDirectoryServiceAccess] 管理ポリシーを必ずインスタンスの IAM ロールのアクセス権限にアタッチしてください。これらの管理ポリシーおよび Systems Manager の IAM インスタンスプロファイルにアタッチできるおよびその他のポリシーについては、AWS Systems Managerユーザーガイド にある Systems Manager の IAM インスタンスプロファイルの作成を参照してください。管理ポリシーについては、IAM ユーザーガイドの AWS 管理ポリシーを参照してください。
1. AWS マネジメントコンソール にサインインして、https://console.aws.amazon.com/systems-manager/ で AWS Systems Manager コンソールを開きます。
2. ナビゲーションペインで、[Run Command] を選択します。3. [Run command] を選択します。4. [Run command] ページで [AWS-JoinDirectoryServiceDomain] を検索します。検索結果に表示された
ら、[AWS-JoinDirectoryServiceDomain] オプションを選択します。5. [コマンドのパラメータ] セクションまで下にスクロールします。以下のパラメーターを提供する必要
があります。
• [Directory Id (ディレクトリ ID)] に AWS Directory Service ディレクトリの名前を入力します。
Version 1.049
AWS Directory Service 管理ガイドディレクトリの共有
Note
[Directory Id (ディレクトリ ID)] を見つけるには、AWS Directory Service コンソールに戻り、[自分と共有されたディレクトリ] を選択して使用するディレクトリを選び、[共有ディレクトリの詳細] セクションの値を探します。
• [Directory Name (ディレクトリ名)] にディレクトリの名前を入力します (ディレクトリ所有者アカウント用)。
• [DNS IP Addresses (DNS IP アドレス)] にディレクトリの DNS サーバーの IP アドレスを入力します (ディレクトリ所有者アカウント用)。
Note
[Directory Name (ディレクトリ名)] と [Dns Ip Addresses (DNS IP アドレス)] の値を見つけるには、AWS Directory Service コンソールに戻り、[自分と共有されたディレクトリ] を選択して使用するディレクトリを選び、[所有者ディレクトリの詳細] セクションに表示される属性を取得します。
6. [Targets (ターゲット)] で、ドメイン結合を実行するインスタンスを選択します。7. フォームの残りの設定はデフォルト値のままにしておき、ページを下方向にスクロールして [実行] を
選択します。8. ナビゲーションペインで [マネージドインスタンス] を選択します。9. リストのインスタンスを確認して、インスタンスがドメインに正しく結合していることを検証しま
す。[関連付けのステータス] に [成功] と表示される場合には、インスタンスは正しくドメインに結合しています。
前述のステップのいずれかを完了すると、EC2 インスタンスをドメインに結合できるようになります。これを行うと、リモートデスクトッププロトコル (RDP) クライアントを使用して、AWS Managed MicrosoftAD ユーザーアカウントの認証情報でインスタンスにログインすることができます。
ディレクトリの共有解除以下の手順に従って、AWS Managed Microsoft AD ディレクトリの共有を解除します。
ディレクトリの共有を解除するには
1. AWS Directory Service console ナビゲーションペインの [Active Directory] で、[ディレクトリ] を選択します。
2. 共有する AWS Managed Microsoft AD ディレクトリのディレクトリ ID を選択します。3. [ディレクトリの詳細] ページで、[スケール & 共有] タブを選択します。4. [共有ディレクトリ] セクションで、共有を解除する共有ディレクトリを選択し、[アクション] を選択
後、[共有解除] を選択します。5. [ディレクトリの共有解除] ダイアログボックスで、[共有解除] を選択します。
その他のリソース
• ユースケース: ディレクトリを共有して、AWS アカウント間でシームレスに Amazon EC2 インスタンスをドメインに結合する
• AWS セキュリティブログ記事: 複数のアカウントと VPC から Amazon EC2 インスタンスを単一のAWS マネージド Microsoft AD ディレクトリに結合させる方法
Version 1.050
AWS Directory Service 管理ガイドEC2 インスタンスをディレクトリに参加させる
EC2 インスタンスを AWS Managed Microsoft ADディレクトリに結合するYou can seamlessly join an EC2 instance to your directory domain when the instance is launched usingAWS Systems Manager. For more information, see Seamlessly Joining a Windows Instance to an AWSDirectory Service Domain in the Windows インスタンスの Amazon EC2 ユーザーガイド.
If you need to manually join an EC2 instance to your domain, you must launch the instance in the properregion and security group or subnet, then join the instance to the domain.
To be able to connect remotely to these instances, you must have IP connectivity to the instances from thenetwork you are connecting from. In most cases, this requires that an internet gateway be attached to yourVPC and that the instance has a public IP address.
トピック• Windows EC2 インスタンスをシームレスに結合する (p. 51)• Windows インスタンスを手動で参加させる (p. 52)• Linux インスタンスを手動で結合する (p. 54)• AWS Managed Microsoft AD のディレクトリ結合特権を委任する (p. 61)• DHCP オプションセットの作成 (p. 63)
Windows EC2 インスタンスをシームレスに結合するこの手順は、Windows EC2 インスタンスを AWS Managed Microsoft AD ディレクトリにシームレスに結合します。複数の AWS アカウント間でシームレスにドメインの結合を実行する必要がある場合には、オプションで「ディレクトリの共有」の有効化を選択できます。詳細については、「チュートリアル: AWSManaged Microsoft AD ディレクトリを共有して、シームレスに EC2 ドメインを結合する (p. 44)」を参照してください。
Windows EC2 インスタンスをシームレスに統合するには
1. AWS マネジメントコンソールにサインインをしたあと、https://console.aws.amazon.com/ec2/ にあるAmazon EC2 コンソールを開きます。
2. From the region selector in the navigation bar, choose the same region as the existing directory.3. Choose Launch Instance.4. On the Step 1 page, choose Select for the appropriate AMI.5. On the Step 2 page, select the appropriate instance type, and then choose Next: Configure Instance
Details.6. On the Step 3 page, do the following, and then choose Next: Add Storage:
1. For Network, choose the VPC that your directory was created in.2. For Subnet, choose one of the public subnets in your VPC. The subnet that you choose must have
all external traffic routed to an internet gateway. If this is not the case, you won't be able to connectto the instance remotely.
3. For Auto-assign Public IP, choose Enable.
For more information about public and private IP addressing, see Amazon EC2 Instance IPAddressing in the Windows インスタンスの Amazon EC2 ユーザーガイド.
4. For Domain join directory, choose your domain from the list.
Version 1.051
AWS Directory Service 管理ガイドEC2 インスタンスをディレクトリに参加させる
Note
This option is only available for Windows instances. Linux instances must be manuallyjoined to the directory as explained in Linux インスタンスを手動で結合する (p. 54).
5. For IAM role, do one of the following:
Select an IAM role that has the AWS managed policies AmazonSSMManagedInstanceCore andAmazonSSMDirectoryServiceAccess attached to it.
-or-
If you haven't created an IAM role that has the AmazonSSMManagedInstanceCore andAmazonSSMDirectoryServiceAccess managed policies attached to it, choose the Create new IAMrole link, and then do the following:a. Choose Create role.b. Under Select type of trusted entity, choose AWS service.c. Under Choose the service that this role will use, in the full list of services, choose EC2 .d. Under Select your use case, choose EC2, and the choose Next: Permissions.e. In the list of policies, select the AmazonSSMManagedInstanceCore and
AmazonSSMDirectoryServiceAccess policies. (To filter the list, type SSM in the search box.)
Note
AmazonSSMDirectoryServiceAccess provides the permissions to joininstances to an Active Directory managed by AWS Directory Service.AmazonSSMManagedInstanceCore provides the minimum permissions necessary touse the Systems Manager service. For more information about creating a role with thesepermissions, and for information about other permissions and policies you can assignto your IAM role, see Create an IAM Instance Profile for Systems Manager in the AWSSystems Manager ユーザーガイド.
f. Choose Next: Tags.g. (Optional) Add one or more tag key-value pairs to organize, track, or control access for this role,
and then choose Next: Review.h. For Role name, enter a name for your new role, such as EC2DomainJoin or another name that
you prefer.i. (Optional) For Role description, enter a description.j. Choose Create role.k. Go back to the Step 3 page. For IAM role, choose the refresh icon next to IAM role. Your new role
should be visible in the menu. Choose it and leave the rest of the settings on this page with theirdefault values, and then choose Next: Add Storage.
7. On both the Step 4 and Step 5 pages, leave the default settings or make changes as needed, and thenchoose the Next buttons.
8. On the Step 6 page, select a security group for the instance that has been configured to allow remoteaccess to the instance from your network, and then choose Review and Launch.
9. On the Step 7 page, choose Launch, select a key pair, and then choose Launch Instance.
Windows インスタンスを手動で参加させるTo manually join an existing Amazon EC2 Windows instance to a Simple AD or AWS Directory Service forMicrosoft Active Directory directory, the instance must be launched as specified in Windows EC2 インスタンスをシームレスに結合する (p. 51).
Version 1.052
AWS Directory Service 管理ガイドEC2 インスタンスをディレクトリに参加させる
To join a Windows instance to a Simple AD or AWS Managed Microsoft AD directory
1. Connect to the instance using any Remote Desktop Protocol client.2. Open the TCP/IPv4 properties dialog box on the instance.
a. Open Network Connections.
Tip
You can open Network Connections directly by running the following from a commandprompt on the instance.
%SystemRoot%\system32\control.exe ncpa.cpl
b. Open the context menu (right-click) for any enabled network connection and then chooseProperties.
c. In the connection properties dialog box, open (double-click) Internet Protocol Version 4.3. Select Use the following DNS server addresses, change the Preferred DNS server and Alternate DNS
server addresses to the IP addresses of the AWS Directory Service-provided DNS servers, and chooseOK.
4. Open the System Properties dialog box for the instance, select the Computer Name tab, and chooseChange.
Tip
You can open the System Properties dialog box directly by running the following from acommand prompt on the instance.
%SystemRoot%\system32\control.exe sysdm.cpl
5. In the Member of field, select Domain, enter the fully-qualified name of your AWS Directory Servicedirectory, and choose OK.
Version 1.053
AWS Directory Service 管理ガイドEC2 インスタンスをディレクトリに参加させる
6. When prompted for the name and password for the domain administrator, enter the username andpassword of an account that has domain join privileges. For more information about delegating theseprivileges, see AWS Managed Microsoft AD のディレクトリ結合特権を委任する (p. 61).
Note
You can enter either the fully-qualified name of your domain or the NetBios name, followedby a backslash (\), and then the user name, in this case, administrator. For example,corp.example.com\administrator or corp\administrator.
7. After you receive the message welcoming you to the domain, restart the instance to have the changestake effect.
Now that your instance has been joined to the domain, you can log into that instance remotely and installutilities to manage the directory, such as adding users and groups.
Linux インスタンスを手動で結合するAmazon EC2 Windows インスタンスに加えて、特定の Amazon EC2 Linux インスタンスを AWS DirectoryService for Microsoft Active Directory ディレクトリに結合することもできます。以下の Linux インスタンスのディストリビューションおよびバージョンがサポートされています。
• Amazon Linux AMI 2015.03• Red Hat Enterprise Linux 7.2• Ubuntu Server 14.04 LTS• CentOS 7
Note
Other Linux distributions and versions may work but have not been tested.
ディレクトリへのインスタンスの結合
Before you can join either an Amazon Linux, CentOS, Red Hat, or Ubuntu instance to your directory,the instance must first be launched as specified in Windows EC2 インスタンスをシームレスに結合する (p. 51).
Important
Some of the following procedures, if not performed correctly, can render your instanceunreachable or unusable. Therefore, we strongly suggest you make a backup or take a snapshotof your instance before performing these procedures.
Linux インスタンスをディレクトリに結合するには
次のいずれかのタブを使用して特定の Linux インスタンスのステップに従います。
Amazon Linux
1. Connect to the instance using any SSH client.2. Configure the Linux instance to use the DNS server IP addresses of the AWS Directory Service-
provided DNS servers. You can do this either by setting it up in the DHCP Options set attached tothe VPC or by setting it manually on the instance. If you want to set it manually, see How do I assigna static DNS server to a private Amazon EC2 instance in the AWS Knowledge Center for guidanceon setting the persistent DNS server for your particular Linux distribution and version.
3. Make sure your Amazon Linux - 64bit instance is up to date.
Version 1.054
AWS Directory Service 管理ガイドEC2 インスタンスをディレクトリに参加させる
sudo yum -y update
4. Install the required Amazon Linux packages on your Linux instance.
Note
Some of these packages may already be installed.As you install the packages, you might be presented with several pop-up configurationscreens. You can generally leave the fields in these screens blank.
Amazon Linux 1
sudo yum -y install sssd realmd krb5-workstation
Amazon Linux 2
sudo yum -y install sssd realmd krb5-workstation samba-common-tools
Note
For help with determining the Amazon Linux version you are using, see Identifying AmazonLinux Images in the Amazon EC2 User Guide for Linux Instances.
5. Join the instance to the directory with the following command.
sudo realm join -U [email protected] example.com --verbose
An account in the example.com domain that has domain join privileges. Enter the password forthe account when prompted. For more information about delegating these privileges, see AWSManaged Microsoft AD のディレクトリ結合特権を委任する (p. 61).
example.com
The fully-qualified DNS name of your directory.
... * Successfully enrolled machine in realm
6. Set the SSH service to allow password authentication.a. Open the /etc/ssh/sshd_config file in a text editor.
sudo vi /etc/ssh/sshd_config
b. Set the PasswordAuthentication setting to yes.
PasswordAuthentication yes
c. Restart the SSH service.
sudo systemctl restart sshd.service
Alternatively:
sudo service sshd restart Version 1.055
AWS Directory Service 管理ガイドEC2 インスタンスをディレクトリに参加させる
7. After the instance has restarted, connect to it with any SSH client and add the AWS DelegatedAdministrators group to the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
## Add the "AWS Delegated Administrators" group from the example.com domain.%AWS\ Delegated\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
CentOS
1. Connect to the instance using any SSH client.2. Configure the Linux instance to use the DNS server IP addresses of the AWS Directory Service-
provided DNS servers. You can do this either by setting it up in the DHCP Options set attached tothe VPC or by setting it manually on the instance. If you want to set it manually, see How do I assigna static DNS server to a private Amazon EC2 instance in the AWS Knowledge Center for guidanceon setting the persistent DNS server for your particular Linux distribution and version.
3. Make sure your CentOS 7 instance is up to date.
sudo yum -y update
4. Install the required CentOS 7 packages on your Linux instance.
Note
Some of these packages may already be installed.As you install the packages, you might be presented with several pop-up configurationscreens. You can generally leave the fields in these screens blank.
sudo yum -y install sssd realmd krb5-workstation samba-common-tools
5. Join the instance to the directory with the following command.
sudo realm join -U [email protected] example.com --verbose
An account in the example.com domain that has domain join privileges. Enter the password forthe account when prompted. For more information about delegating these privileges, see AWSManaged Microsoft AD のディレクトリ結合特権を委任する (p. 61).
example.com
The fully-qualified DNS name of your directory.
... * Successfully enrolled machine in realm
6. Set the SSH service to allow password authentication.Version 1.056
AWS Directory Service 管理ガイドEC2 インスタンスをディレクトリに参加させる
a. Open the /etc/ssh/sshd_config file in a text editor.
sudo vi /etc/ssh/sshd_config
b. Set the PasswordAuthentication setting to yes.
PasswordAuthentication yes
c. Restart the SSH service.
sudo systemctl restart sshd.service
Alternatively:
sudo service sshd restart
7. After the instance has restarted, connect to it with any SSH client and add the AWS DelegatedAdministrators group to the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
## Add the "AWS Delegated Administrators" group from the example.com domain.%AWS\ Delegated\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
Red Hat
1. Connect to the instance using any SSH client.2. Configure the Linux instance to use the DNS server IP addresses of the AWS Directory Service-
provided DNS servers. You can do this either by setting it up in the DHCP Options set attached tothe VPC or by setting it manually on the instance. If you want to set it manually, see How do I assigna static DNS server to a private Amazon EC2 instance in the AWS Knowledge Center for guidanceon setting the persistent DNS server for your particular Linux distribution and version.
3. Make sure the Red Hat - 64bit instance is up to date.
sudo yum -y update
4. Install the required Red Hat packages on your Linux instance.
Note
Some of these packages may already be installed.As you install the packages, you might be presented with several pop-up configurationscreens. You can generally leave the fields in these screens blank.
sudo yum -y install sssd realmd krb5-workstation samba-common-tools
5. Join the instance to the directory with the following command.Version 1.0
57
AWS Directory Service 管理ガイドEC2 インスタンスをディレクトリに参加させる
sudo realm join -v -U join_account example.com --install=/
join_account
An account in the example.com domain that has domain join privileges. Enter the password forthe account when prompted. For more information about delegating these privileges, see AWSManaged Microsoft AD のディレクトリ結合特権を委任する (p. 61).
example.com
The fully-qualified DNS name of your directory.
... * Successfully enrolled machine in realm
6. Set the SSH service to allow password authentication.a. Open the /etc/ssh/sshd_config file in a text editor.
sudo vi /etc/ssh/sshd_config
b. Set the PasswordAuthentication setting to yes.
PasswordAuthentication yes
c. Restart the SSH service.
sudo systemctl restart sshd.service
Alternatively:
sudo service sshd restart
7. After the instance has restarted, connect to it with any SSH client and add the AWS DelegatedAdministrators group to the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
## Add the "AWS Delegated Administrators" group from the example.com domain.%AWS\ Delegated\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
Ubuntu
1. Connect to the instance using any SSH client.2. Configure the Linux instance to use the DNS server IP addresses of the AWS Directory Service-
provided DNS servers. You can do this either by setting it up in the DHCP Options set attached tothe VPC or by setting it manually on the instance. If you want to set it manually, see How do I assign
Version 1.058
AWS Directory Service 管理ガイドEC2 インスタンスをディレクトリに参加させる
a static DNS server to a private Amazon EC2 instance in the AWS Knowledge Center for guidanceon setting the persistent DNS server for your particular Linux distribution and version.
3. Make sure your Ubuntu - 64bit instance is up to date.
sudo apt-get updatesudo apt-get -y upgrade
4. Install the required Ubuntu packages on your Linux instance.
Note
Some of these packages may already be installed.As you install the packages, you might be presented with several pop-up configurationscreens. You can generally leave the fields in these screens blank.
sudo apt-get -y install sssd realmd krb5-user samba-common packagekit adcli
5. Disable Reverse DNS resolution. Ubuntu Instances must be reverse-resolvable in DNS before therealm will work. Otherwise, you have to disable reverse DNS in /etc/krb5.conf as follows:
[libdefaults] default_realm = EXAMPLE.COM rdns = false
6. Join the instance to the directory with the following command.
sudo realm join -U [email protected] example.com --verbose
Note
If you are using Ubuntu 16.04, you must enter the domain name portion of the usernamewith all capital letters. For example, [email protected] example.com --verbose.
An account in the example.com domain that has domain join privileges. Enter the password forthe account when prompted. For more information about delegating these privileges, see AWSManaged Microsoft AD のディレクトリ結合特権を委任する (p. 61).
example.com
The fully-qualified DNS name of your directory.
... * Successfully enrolled machine in realm
7. Set the SSH service to allow password authentication.a. Open the /etc/ssh/sshd_config file in a text editor.
sudo vi /etc/ssh/sshd_config
b. Set the PasswordAuthentication setting to yes.
PasswordAuthentication yes
c. Restart the SSH service. Version 1.059
AWS Directory Service 管理ガイドEC2 インスタンスをディレクトリに参加させる
sudo systemctl restart sshd.service
Alternatively:
sudo service sshd restart
8. After the instance has restarted, connect to it with any SSH client and add the AWS DelegatedAdministrators group to the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
## Add the "AWS Delegated Administrators" group from the example.com domain.%AWS\ Delegated\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
アカウントのログインアクセスの制限
Since all accounts are defined in Active Directory, by default, all the users in the directory can log in to theinstance. You can allow only specific users to log in to the instance with ad_access_filter in sssd.conf. Forexample:
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
memberOf
Indicates that users should only be allowed access to the instance if they are a member of a specificgroup.
cn
The canonical name of the group that should have access. In this example, the group name is admins.ou
This is the organizational unit in which the above group is located. In this example, the OU is Testou.dc
This is the domain component of your domain. In this example, example.dc
This is an additional domain component. In this example, com.
You must manually add ad_access_filter to your /etc/sssd/sssd.conf. After you do this, your sssd.conf mightlook like this:
[sssd]domains = example.comconfig_file_version = 2 services = nss, pam
Version 1.060
AWS Directory Service 管理ガイドEC2 インスタンスをディレクトリに参加させる
[domain/example.com] ad_domain = example.com krb5_realm = EXAMPLE.COM realmd_tags = manages-system joined-with-samba cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True use_fully_qualified_names = True fallback_homedir = /home/%u@%d access_provider = ad ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
In order for the configuration to take affect you need to restart the sssd service:
sudo systemctl restart sssd.service
Alternatively, you could use:
sudo service sssd start
インスタンスに接続する
When a user connects to the instance using an SSH client, they are prompted for their username. Theuser can enter the username in either the [email protected] or EXAMPLE\username format. Theresponse will appear similar to the following:
login as: [email protected]@example.com's password:Last login: Thu Jun 25 16:26:28 2015 from XX.XX.XX.XX
AWS Managed Microsoft AD のディレクトリ結合特権を委任するコンピュータをディレクトリに結合するには、コンピュータをディレクトリに結合する権限を持つアカウントが必要です。
管理者グループと AWS が委任したサーバー管理者グループの AWS Directory Service for Microsoft ActiveDirectory メンバーには、これらの特権があります。
ただし、ベストプラクティスとして、必要な最小限の権限のみを持つアカウントを使用する必要があります。以下の手順は、Joiners という新しいグループを作成し、結合するコンピュータをディレクトリに接続するために必要な権限をこのグループに委任する方法について説明しています。
この手順は、ディレクトリに結合されていて、[Active Directory User and Computers] MMC スナップインがインストールされているマシンで実行する必要があります。ドメイン管理者としてログインする必要があります。
AWS Managed Microsoft AD の結合権限を委任するには
1. [Active Directory User and Computers] を開き、ナビゲーションペインに NetBIOS 名が表示されている組織単位 (OU) を選択し、[Users] OU を選択します。
Important
AWS Directory Service for Microsoft Active Directory を起動すると、AWS はすべてのディレクトリのオブジェクトが含まれている組織単位 (OU) を作成します。この OU はドメイン
Version 1.061
AWS Directory Service 管理ガイドEC2 インスタンスをディレクトリに参加させる
ルートにあります。OU にはディレクトリを作成する際に入力した NetBIOS 名があります。ドメインルートは AWS が所有し、管理します。ドメインルート自体に変更を加えることはできません。したがって、NetBIOS 名がある OU 内に Joiners グループを作成する必要があります。
2. [Users] のコンテキスト (右クリック) メニューを開き、[New]、[Group] の順に選択します。3. [New Object - Group] ボックスで、以下の内容を入力し、[OK] を選択します。
• [Group name (グループ名)] に「Joiners」と入力します。• [Group scope] で、[Global] を選択します。• [Group type] で、[Security] を選択します。
4. ナビゲーションツリーで、NetBIOS 名の下の [Computers] コンテナを選択します。[Action] メニューで、[Delegate Control] を選択します。
5. [Delegation of Control Wizard] ページで、[Next]、[Add] の順に選択します。6. [Select Users, Computers, or Groups] ボックスで「Joiners」と入力し、[OK] を選択します。複数の
オブジェクトがある場合は、上記で作成した Joiners グループを選択します。[次へ] を選択します。7. [Tasks to Delegate] ページで、[Create a custom task to delegate]、[Next] の順に選択します。8. [Only the following objects in the folder] を選択し、[Computer objects] を選択します。9. [Create selected objects in this folder] を選択し、[Delete selected objects in this folder] を選択しま
す。続いて、[Next] を選択します。
10. [Read] と [Write] を選択し、[Next] を選択します。
11. [Completing the Delegation of Control Wizard] ページで情報を確認し、[Finish] を選択します。
Version 1.062
AWS Directory Service 管理ガイドEC2 インスタンスをディレクトリに参加させる
12. 強力なパスワードでユーザーを作成し、そのユーザーを Joiners グループに追加します。このユーザーは、NetBIOS 名の下の [Users] コンテナにある必要があります。このユーザーには、ディレクトリにインスタンスを接続するための十分な権限が与えられます。
DHCP オプションセットの作成AWS recommends that you create a DHCP options set for your AWS Directory Service directory and assignthe DHCP options set to the VPC that your directory is in. This allows any instances in that VPC to point tothe specified domain and DNS servers to resolve their domain names.
For more information about DHCP options sets, see DHCP Options Sets in the Amazon VPC ユーザーガイド.
To create a DHCP options set for your directory
1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。2. In the navigation pane, choose DHCP Options Sets, and then choose Create DHCP options set.3. On the Create DHCP options set page, enter the following values for your directory:
Name
An optional tag for the options set.Domain name
The fully-qualified name of your directory, such as corp.example.com.Domain name servers
The IP addresses of your AWS-provided directory's DNS servers.
Note
You can find these addresses by going to the AWS Directory Service console navigationpane, selecting Directories and then choosing the correct directory ID.
NTP servers
Leave this field blank.NetBIOS name servers
Leave this field blank.NetBIOS node type
Leave this field blank.4. Choose Create DHCP options set. The new set of DHCP options appears in your list of DHCP options.5. Make a note of the ID of the new set of DHCP options (dopt-xxxxxxxx). You use it to associate the
new options set with your VPC.
To change the DHCP options set associated with a VPC
After you create a set of DHCP options, you can't modify them. If you want your VPC to use a different setof DHCP options, you must create a new set and associate them with your VPC. You can also set up yourVPC to use no DHCP options at all.
1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。2. In the navigation pane, choose Your VPCsVersion 1.0
63
AWS Directory Service 管理ガイドユーザーとグループを管理する
3. Select the VPC, and then choose Actions, Edit DHCP options set.4. For DHCP options set, select an options set or choose No DHCP options set, and then choose Save.
AWS Managed Microsoft AD のユーザーとグループを管理するUsers represent individual people or entities that have access to your directory. Groups are very usefulfor giving or denying privileges to groups of users, rather than having to apply those privileges to eachindividual user. If a user moves to a different organization, you move that user to a different group and theyautomatically receive the privileges needed for the new organization.
To create users and groups in an AWS Directory Service directory, you must use any instance (from eitheron-premises or EC2) that has been joined to your AWS Directory Service directory, and be logged in asa user that has privileges to create users and groups. You will also need to install the Active DirectoryTools on your EC2 instance so you can add your users and groups with the Active Directory Usersand Computers snap-in. For more information about how to set up an EC2 instance and install thenecessary tools, see ステップ 3: EC2 インスタンスをデプロイして AWS Managed Microsoft AD を管理する (p. 123).
Note
Your user accounts must have Kerberos preauthentication enabled. This is the default setting fornew user accounts, but it should not be modified. For more information about this setting, go toPreauthentication on Microsoft TechNet.
The following topics include instructions on how to create and manage users and groups.
トピック• Active Directory 管理ツールのインストール (p. 64)• ユーザーの作成 (p. 66)• ユーザーパスワードのリセット (p. 66)• グループの作成 (p. 67)• ユーザーをグループに追加する (p. 68)
Active Directory 管理ツールのインストールTo manage your directory from an EC2 Windows instance, you need to install the Active Directory DomainServices and Active Directory Lightweight Directory Services Tools on the instance.
トピック• Install the Active Directory Administration Tools on Windows Server 2008 (p. 65)• Install the Active Directory Administration Tools on Windows Server 2012 (p. 65)• Install the Active Directory Administration Tools on Windows Server 2016 (p. 65)• Install the Active Directory Administration Tools on Windows Server 2019 (p. 65)
You can optionally choose to install the Active Directory administration tools using Windows PowerShell.For example, you can install the Active Directory remote administration tools from a PowerShell promptusing Install-WindowsFeature RSAT-ADDS. For more information, see Install-WindowsFeature on theMicrosoft Website.
Version 1.064
AWS Directory Service 管理ガイドユーザーとグループを管理する
Install the Active Directory Administration Tools on Windows Server 2008
To install the Active Directory administration tools on Windows Server 2008
1. Open Server Manager by choosing Start, Administrative Tools, Server Manager.2. In the Server Manager tree pane, select Features, and choose Add Features,3. In the Add Features Wizard, open Remote Server Administration Tools, Role Administration Tools,
select AD DS and AD LDS Tools, scroll down and select DNS, then choose Next.4. Review the information and choose Install. The feature installation requires that the instance be
restarted. When the instance has restarted, the Active Directory Domain Services and ActiveDirectory Lightweight Directory Services Tools are available on the Start menu, under All Programs >Administrative Tools.
Install the Active Directory Administration Tools on Windows Server 2012
To install the Active Directory administration tools on Windows Server 2012
1. Open Server Manager from the Start screen by choosing Server Manager.2. In the Server Manager Dashboard, choose Add roles and features,3. In the Add Roles and Features Wizard choose Installation Type, select Role-based or feature-based
installation, and choose Next.4. Under Server Selection, make sure the local server is selected, and choose Features in the left
navigation pane.5. In the Features tree, open Remote Server Administration Tools, Role Administration Tools, select AD
DS and AD LDS Tools, scroll down and select DNS Server Tools, and then choose Next.6. Review the information and choose Install. When the feature installation is finished, the Active
Directory Domain Services and Active Directory Lightweight Directory Services Tools are available onthe Start screen in the Administrative Tools folder.
Install the Active Directory Administration Tools on Windows Server 2016
To install the Active Directory administration tools on Windows Server 2016
1. Open Server Manager from the Start screen by choosing Server Manager.2. In the Server Manager Dashboard, choose Add roles and features,3. In the Add Roles and Features Wizard choose Installation Type, select Role-based or feature-based
installation, and choose Next.4. Under Server Selection, make sure the local server is selected, and choose Features in the left
navigation pane.5. In the Features tree, open Remote Server Administration Tools, Role Administration Tools, select AD
DS and AD LDS Tools, scroll down and select DNS Server Tools, and then choose Next.6. Review the information and choose Install. When the feature installation is finished, the Active
Directory tools are available on the Start screen in the Administrative Tools folder.
Install the Active Directory Administration Tools on Windows Server 2019
To install the Active Directory administration tools on Windows Server 2019
1. Open Server Manager from the Start screen by choosing Server Manager.2. In the Server Manager Dashboard, choose Add roles and features,
Version 1.065
AWS Directory Service 管理ガイドユーザーとグループを管理する
3. In the Add Roles and Features Wizard choose Installation Type, select Role-based or feature-basedinstallation, and choose Next.
4. Under Server Selection, make sure the local server is selected, and choose Features in the leftnavigation pane.
5. In the Features tree, open Remote Server Administration Tools, Role Administration Tools, select ADDS and AD LDS Tools, scroll down and select DNS Server Tools, and then choose Next.
6. Review the information and choose Install. When the feature installation is finished, the ActiveDirectory tools are available on the Start screen in the Administrative Tools folder.
ユーザーの作成AWS Managed Microsoft AD ディレクトリに結合された EC2 インスタンスを持つユーザーを作成するには、次の手順を使用します。
To create a user
1. Open the Active Directory Users and Computers tool. There is a shortcut to this tool in theAdministrative Tools folder.
Tip
You can run the following from a command prompt on the instance to open the ActiveDirectory Users and Computers tool box directly.
%SystemRoot%\system32\dsa.msc
2. In the directory tree, select an OU under your directory's NetBIOS name OU where you want to storeyour user (for example, Corp\Users). For more information about the OU structure used by directoriesin AWS, see 作成されるファイル (p. 13).
3. On the Action menu, click New, and then click User to open the new user wizard.4. On the first page of the wizard, enter the values for the following fields, and then click Next.
• First name• Last name• User logon name
5. On the second page of the wizard, type a temporary password in Password and Confirm Password.Make sure the User must change password at next logon option is selected. None of the other optionsshould be selected. Click Next.
6. On the third page of the wizard, verify that the new user information is correct and click Finish. The newuser will appear in the Users folder.
ユーザーパスワードのリセットUsers must adhere to password policies as defined in the directory. Sometimes this can get the best ofusers, including the directory admin, and they forget their password. When this happens, you can quicklyreset the user's password using AWS Directory Service if the user resides in either a Simple AD or AWSManaged Microsoft AD directory.
You can reset the password for any user in your directory with the following exceptions:
• For Simple AD, you cannot reset the password for any user that is a member of either the DomainAdmins or Enterprise Admins group except for the Administrator user.
• For AWS Managed Microsoft AD, you cannot reset the password for any user that is in an OU other thanthe OU that is based off of the NetBIOS name you typed when you created your directory. For example,
Version 1.066
AWS Directory Service 管理ガイドユーザーとグループを管理する
you cannot reset the password for a user in the AWS Reserved OU. For more information about the OUstructure for an AWS Managed Microsoft AD directory, see 作成されるファイル (p. 13).
You can use any of the following methods to reset a user's password.
Method 1: To reset a user password (AWS マネジメントコンソール)
1. In the AWS Directory Service console navigation pane, under Active Directory, choose Directories, andthen select the directory in the list where you want to reset a user's password.
2. Choose Actions, and then choose Reset user password.3. In the Reset user password dialog, in Username type the username of the user whose password needs
to change.4. Type a password in New password and Confirm Password, and then choose Reset password.
Method 2: To reset a user password (Windows PowerShell)
1. Open Windows PowerShell.2. Type the following command and replace the username "joebob" and password "P@ssw0rd" with your
desired credentials. See Reset-DSUserPassword Cmdlet for more information.
Reset-DSUserPassword -UserName joebob -DirectoryId d-1234567890 -NewPasswordP@ssw0rd
Method 3: To reset a user password (AWS CLI)
1. Open the AWS CLI.2. Type the following command and replace the username "joebob" and password "P@ssw0rd" with
your desired credentials. See reset-user-password in the AWS CLI Command Reference for moreinformation.
aws ds reset-user-password --directory-id d-1234567890 --user-name joebob --new-password P@ssw0rd
グループの作成AWS Managed Microsoft AD ディレクトリに結合された EC2 インスタンスを持つセキュリティグループを作成するには、次の手順を使用します。
To create a group
1. Open the Active Directory Users and Computers tool. There is a shortcut to this tool in theAdministrative Tools folder.
Tip
You can run the following from a command prompt on the instance to open the ActiveDirectory Users and Computers tool box directly.
%SystemRoot%\system32\dsa.msc
2. In the directory tree, select an OU under your directory's NetBIOS name OU where you want to storeyour group (for example, Corp\Users). For more information about the OU structure used by directoriesin AWS, see 作成されるファイル (p. 13).
3. On the Action menu, click New, and then click Group to open the new group wizard.
Version 1.067
AWS Directory Service 管理ガイド既存の AD インフラストラクチャに接続する
4. Type a name for the group in Group name, select a Group scope, and select Security for the Grouptype.
5. Click OK. The new security group will appear in the Users folder.
ユーザーをグループに追加するAWS Managed Microsoft AD ディレクトリに結合された EC2 インスタンスを持つセキュリティグループにユーザーを追加するには、次の手順を使用します。
To add a user to a group
1. Open the Active Directory Users and Computers tool. There is a shortcut to this tool in theAdministrative Tools folder.
Tip
You can run the following from a command prompt on the instance to open the ActiveDirectory Users and Computers tool box directly.
%SystemRoot%\system32\dsa.msc
2. In the directory tree, select the OU under your directory's NetBIOS name OU where you stored yourgroup, and select the group that you want to add a user as a member.
3. On the Action menu, click Properties to open the properties dialog box for the group.4. Select the Members tab and click Add.5. For Enter the object names to select, type the username you want to add and click OK. The name will
be displayed in the Members list. Click OK again to update the group membership.6. Verify that the user is now a member of the group by selecting the user in the Users folder and clicking
Properties in the Action menu to open the properties dialog box. Select the Member Of tab. You shouldsee the name of the group in the list of groups that the user belongs to.
既存の AD インフラストラクチャに接続するこのセクションでは、AWS Managed Microsoft AD と既存の AD インフラストラクチャとの間の信頼関係を設定する方法について説明します。
トピック• 信頼関係を作成する場合 (p. 68)• チュートリアル: AWS Managed Microsoft AD とオンプレミスドメインの間の信頼関係を作成す
る (p. 76)
信頼関係を作成する場合AWS Directory Service for Microsoft Active Directory クラウド内の複数の AWS Managed Microsoft ADディレクトリの間だけでなく、AWS ディレクトリとオンプレミスディレクトリ間の一方向と二方向の外部とフォレストの信頼関係を構成できます。AWS Managed Microsoft AD は、受信、送信、二方向 (双方向)である 3 つの信頼関係の方向性をすべてサポートしています。
Note
信頼関係を設定する際には、オンプレミスディレクトリが AWS Directory Service と互換性があることを確認する必要があります。お客様の責任の詳細については、「 共有責任モデル 」を参照してください。
Version 1.068
AWS Directory Service 管理ガイド既存の AD インフラストラクチャに接続する
AWS Managed Microsoft AD では、外部およびフォレストの両方の信頼をサポートしています。フォレスト信頼の作成方法を示すシナリオの例を見るには、「チュートリアル: AWS Managed Microsoft AD とオンプレミスドメインの間の信頼関係を作成する (p. 76)」を参照してください。
前提条件
信頼性を作成するにはほんの数ステップが必要ですが、まず信頼性を設定する前にいくつかの前提条件のステップを完了する必要があります。
VPC に接続
オンプレミスディレクトリと信頼関係を確立する場合は、まずオンプレミスネットワークを AWSManaged Microsoft AD などの VPC に接続する必要があります。オンプレミスネットワークのファイアウォールでは、VPC 内の両方のサブネットの CIDR に対して次のポートが開いている必要があります。
• TCP/UDP 53 - DNS• TCP/UDP 88 - Kerberos 認証• TCP/UDP 389 - LDAP• TCP 445 - SMB
Note
2020 年 5 月 30 日以降、SMB v1 はサポートされなくなります。
これらは、ディレクトリに接続するために必要な最小限のポートです。固有の設定によっては、追加ポートが開かれていることが必要です。
VPC の設定
AWS Managed Microsoft AD を含む VPC には、適切な送信および受信のルールが設定されている必要があります。
VPC のアウトバウンドルールを設定するには
1. AWS Directory Service console の [Directory Details] ページで、AWS Managed Microsoft AD のディレクトリ ID を書き留めます。
2. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。3. [Security Groups] を選択します。4. AWS Managed Microsoft AD のディレクトリ ID を検索します。検索結果で、ディレクトリ ID ディレ
クトリコントローラーの AWS で作成したセキュリティグループの説明を持つ項目を選択します。
Note
選択したセキュリティグループは、最初にディレクトリを作成するときに自動的に作成されるセキュリティグループです。
5. そのセキュリティグループの [Outbound Rules] タブに移動します。[Edit]、[Add another rule] の順に選択します。新しいルールに対して、次の値を入力します。
• [Type]: All Traffic• [Protocol]: All• [Destination] は、ドメインコントローラーから発信されるトラフィックの送信先としてオンプレミ
スネットワーク内の場所を指定します。単一の IP アドレスまたは IP アドレス範囲を CIDR 表記で指定します (例: 203.0.113.5/32)。同じリージョン内の別のセキュリティグループの名前または IDを指定することもできます。詳細については、「ディレクトリの AWS セキュリティグループの設定と使用について理解する (p. 112)」を参照してください。
6. [Save] を選択します。
Version 1.069
AWS Directory Service 管理ガイド既存の AD インフラストラクチャに接続する
VPC のインバウンドルールを設定するには
1. AWS Directory Service console の [Directory Details] ページで、AWS Managed Microsoft AD のディレクトリ ID を書き留めます。
2. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。3. [Security Groups] を選択します。4. AWS Managed Microsoft AD のディレクトリ ID を検索します。検索結果で、ディレクトリ ID ディレ
クトリコントローラーの AWS で作成したセキュリティグループの説明を持つ項目を選択します。
Note
選択したセキュリティグループは、最初にディレクトリを作成するときに自動的に作成されるセキュリティグループです。
5. そのセキュリティグループの [Inbound Rules] タブに移動します。[Edit]、[Add another rule] の順に選択します。新しいルールに対して、次の値を入力します。
• [Type]: Custom UDP Rule• [Protocol]: UDP• [Port Range]: 445• [Source] として、単一の IP アドレスまたは IP アドレス範囲を CIDR 表記で指定します (例:
203.0.113.5/32)。同じリージョン内の別のセキュリティグループの名前または ID を指定することもできます。この設定は、オンプレミスネットワークからドメインコントローラーに到達できるトラフィックを指定します。詳細については、「ディレクトリの AWS セキュリティグループの設定と使用について理解する (p. 112)」を参照してください。
6. [Save] を選択します。7. これらのステップを繰り返し、次の各ルールを追加します。
タイプ プロトコル ポート範囲 送信元
カスタム UDP ルール UDP 88 前のステップで使用した [Source]のトラフィックを指定します。
カスタム UDP ルール UDP 123 前のステップで使用した [Source]のトラフィックを指定します。
カスタム UDP ルール UDP 138 前のステップで使用した [Source]のトラフィックを指定します。
カスタム UDP ルール UDP 389 前のステップで使用した [Source]
Version 1.070
AWS Directory Service 管理ガイド既存の AD インフラストラクチャに接続する
タイプ プロトコル ポート範囲 送信元のトラフィックを指定します。
カスタム UDP ルール UDP 464 前のステップで使用した [Source]のトラフィックを指定します。
カスタム TCP ルール TCP 88 前のステップで使用した [Source]のトラフィックを指定します。
カスタム TCP ルール TCP 135 前のステップで使用した [Source]のトラフィックを指定します。
カスタム TCP ルール TCP 445 前のステップで使用した [Source]のトラフィックを指定します。
カスタム TCP ルール TCP 464 前のステップで使用した [Source]のトラフィックを指定します。
カスタム TCP ルール TCP 636 前のステップで使用した [Source]のトラフィックを指定します。
Version 1.071
AWS Directory Service 管理ガイド既存の AD インフラストラクチャに接続する
タイプ プロトコル ポート範囲 送信元
カスタム TCP ルール TCP 1024-65535 前のステップで使用した [Source]のトラフィックを指定します。
カスタム TCP ルール TCP 3268 - 3269 前のステップで使用した [Source]のトラフィックを指定します。
DNS (UDP) UDP 53 前のステップで使用した [Source]のトラフィックを指定します。
DNS (TCP) TCP 53 前のステップで使用した [Source]のトラフィックを指定します。
LDAP TCP 389 前のステップで使用した [Source]のトラフィックを指定します。
すべての ICMP すべて 該当なし 前のステップで使用した [Source]のトラフィックを指定します。
すべてのトラフィック すべて すべて 現在のセキュリティグループ(ディレクトリのセキュリティグループ).
Version 1.072
AWS Directory Service 管理ガイド既存の AD インフラストラクチャに接続する
これらのセキュリティルールは、パブリックに公開されていない内部ネットワークインターフェイスに影響を及ぼします。
Kerberos 事前認証を有効にする
ユーザーアカウントの Kerberos 事前認証を有効にしておく必要があります。この設定の詳細については、Microsoft TechNet の「事前認証」を参照してください。
オンプレミスドメインでの DNS 条件付きフォワーダーの構成
オンプレミスドメインに DNS 条件付きフォワーダーを設定する必要があります。条件付きフォワーダーの詳細については、Microsoft TechNet の「ドメイン名の条件フォワーダーの割り当て」を参照してください。
以下のステップを実行するには、オンプレミスドメインで以下の Windows Server ツールにアクセスする必要があります。
• AD DS および AD LDS ツール• DNS
条件付きフォワーダーをオンプレミスのドメインに設定するには
1. まず、AWS Managed Microsoft AD に関するいくつかの情報を取得する必要があります。AWS マネジメントコンソール にサインインして AWS Directory Service console (https://console.aws.amazon.com/directoryservicev2/) を開きます。
2. ナビゲーションペインで [Directories] を選択します。3. AWS Managed Microsoft AD のディレクトリ ID を選択します。4. 完全修飾ドメイン名 (FQDN) とディレクトリの DNS アドレスを書き留めます。5. オンプレミスのドメインコントローラーに戻ります。Server Manager を開きます。6. [Tools] メニューで、[DNS] を選択します。7. コンソールツリーで、信頼関係をセットアップするドメインの DNS サーバーを拡張します。8. コンソールツリーで、[Conditional Forwarders] を選択します。9. [Action] メニューで、[New conditional forwarder] を選択します。10. [DNS domain] で、前に書き留めた AWS Managed Microsoft AD の完全修飾ドメイン名 (FQDN) を入
力します。11. [IP addresses of the master servers] を選択し、前に書き留めた AWS Managed Microsoft AD ディレク
トリの DNS アドレスを入力します。
DNS アドレスを入力すると、「タイムアウト」または「解決できません」というエラーが表示される場合があります。通常、このエラーは無視できます。
12. [Store this conditional forwarder in Active Directory and replicate as follows: All DNS servers in thisdomain] を選択します。[OK] を選択します。
信頼関係パスワード
既存のドメインと信頼関係を確立する場合は、Windows Server 管理ツールを使用してそのドメインの信頼関係を設定します。その際に、使用する信頼パスワードを書き留めます。AWS Managed Microsoft AD で信頼関係を設定するときは、この同じパスワードを使用する必要があります。詳細については、MicrosoftTechNet の「信頼の管理」を参照してください。
これで、AWS Managed Microsoft AD で信頼関係を作成する準備が整いました。
Version 1.073
AWS Directory Service 管理ガイド既存の AD インフラストラクチャに接続する
信頼関係の作成、検証、または削除
AWS Managed Microsoft AD との信頼関係を作成するには
1. AWS Directory Service console を開きます。2. [ディレクトリ] ページで、AWS Managed Microsoft AD ID を選択します。3. [ディレクトリの詳細] ページで、[ネットワークとセキュリティ] タブを選択します。4. [信頼関係] タブを選択したら、[アクション]、[信頼関係の追加] の順に選択します。5. [信頼関係の追加] ページで、信頼されたドメインの信頼タイプ、完全修飾ドメイン名 (FQDN)、信頼パ
スワード、信頼の方向など、必要な情報を入力します。6. (オプション) 許可されたユーザーのみに AWS Managed Microsoft AD ディレクトリ内のリソースへの
アクセスを許可するには、オプションで [選択的な認証] チェックボックスをオンにできます。選択的な認証に関する全般的な情報については、Microsoft TechNet の「信頼のセキュリティ上の考慮事項」を参照してください。
7. [Conditional forwarder] に、オンプレミス DNS サーバーの IP アドレスを入力します。以前に条件付きフォワーダを作成している場合は、DNS IP アドレスではなく、オンプレミスドメインの FQDN を入力できます。
8. (オプション) [別の IP アドレスの追加] を選択し、追加のオンプレミス DNS サーバーの IP アドレスを入力します。このステップは、適用可能な DNS サーバーアドレスごとに、合計 4 つのアドレスに対して繰り返すことができます。
9. [Add] を選択します。10. オンプレミスドメインの DNS サーバーまたはネットワークでパブリック (RFC 1918 ではない) IP ア
ドレススペースを使用している場合は、[IP ルーティング] タブで、[アクション]、[ルートの追加] の順に選択します。CIDR 形式 (例: 203.0.113.0/24) を使用して、DNS サーバーまたはオンプレミスネットワークの IP アドレスブロックを入力します。このステップは、DNS サーバーとオンプレミスネットワークの両方が RFC 1918 IP アドレススペースを使用している場合は必要ありません。
Note
パブリック IP アドレススペースを使用している場合、AWS の IP アドレス範囲を使用しないようにしてください。これらの範囲は使用できません。
11. (オプション) [ルートの追加] ページを表示している間に、[このディレクトリの VPC のセキュリティグループにルートを追加します] も選択することをお勧めします。これにより、上記の「VPC の設定」のセキュリティグループが設定されます。 これらのセキュリティルールは、パブリックに公開されていない内部ネットワークインターフェイスに影響を及ぼします。このオプションを使用できない場合は、セキュリティグループをすでにカスタマイズしていることを示すメッセージが表示されます。
両方のドメインで信頼関係を設定する必要があります。この関係は補完的でなければなりません。たとえば、1 つのドメインで送信の信頼を作成する場合は、別のドメインで受信の信頼を作成する必要があります。
既存のドメインと信頼関係を確立する場合は、Windows Server 管理ツールを使用してそのドメインの信頼関係を設定します。
AWS Managed Microsoft AD とさまざまな Active Directory ドメイン間に複数の信頼関係を作成できます。ただし、ペアごとに 1 つの信頼関係のみが同時に存在することができます。たとえば、「受信方向」に既存の一方向の信頼があり、「送信方向」の別の信頼関係を設定する場合は、既存の信頼関係を削除して新しい「双方向」の信頼を作成します。
送信の信頼関係を確認するには
1. AWS Directory Service console を開きます。2. [ディレクトリ] ページで、AWS Managed Microsoft AD ID を選択します。
Version 1.074
AWS Directory Service 管理ガイド既存の AD インフラストラクチャに接続する
3. [ディレクトリの詳細] ページで、[ネットワークとセキュリティ] タブを選択します。4. [信頼関係] セクションで検証する信頼を選択したら、[アクション]、[信頼関係の検証] の順に選択しま
す。
このプロセスは、双方向の信頼の送信方向のみを検証します。AWS は、受信した信頼の検証をサポートしていません。オンプレミスの Active Directory との間で信頼関係を確認する方法の詳細については、Microsoft TechNet の「信頼の検証」を参照してください。
既存の信頼関係を削除するには
1. AWS Directory Service console を開きます。2. [ディレクトリ] ページで、AWS Managed Microsoft AD ID を選択します。3. [ディレクトリの詳細] ページで、[ネットワークとセキュリティ] タブを選択します。4. [信頼関係] セクションで削除する信頼を選択したら、[アクション]、[信頼関係の削除] の順に選択しま
す。5. [Delete] を選択します。
パブリック IP アドレス使用時の IP ルートを追加する
AWS Directory Service for Microsoft Active Directory を使用すると、他のディレクトリとの信頼を確立するなど、Active Directory の多数の強力な機能を活用できます。ただし、他のディレクトリのネットワークの DNS サーバーでパブリック (RFC 1918 ではない) IP アドレスを使用している場合は、信頼の設定の一部として、その IP アドレスを指定する必要があります。この手順については、「信頼関係を作成する場合 (p. 68)」を参照してください。
同様に、VPC でパブリック IP アドレス範囲が使用されている場合は、AWS の AWS Managed MicrosoftAD から、ピア接続する AWS VPC にトラフィックをルーティングする際にも、IP アドレス情報を入力する必要があります。
「信頼関係を作成する場合 (p. 68)」に説明があるように、IP アドレスの追加時に [Add routes to thesecurity group for this directory's VPC] オプションを選択できます。このオプションは選択する必要があります。ただし、以下に示すように、必要なトラフィックを許可するようにセキュリティグループをカスタマイズ済みである場合は除きます。詳細については、「ディレクトリの AWS セキュリティグループの設定と使用について理解する (p. 112)」を参照してください。
このオプションは、ディレクトリの VPC のセキュリティグループを次のように設定します。
インバウンドルール
タイプ プロトコル ポート範囲 送信元
カスタム UDP ルール UDP 88 0.0.0.0/0
カスタム UDP ルール UDP 123 0.0.0.0/0
カスタム UDP ルール UDP 138 0.0.0.0/0
カスタム UDP ルール UDP 389 0.0.0.0/0
カスタム UDP ルール UDP 445 0.0.0.0/0
カスタム UDP ルール UDP 464 0.0.0.0/0
カスタム TCP ルール TCP 88 0.0.0.0/0
カスタム TCP ルール TCP 135 0.0.0.0/0
Version 1.075
AWS Directory Service 管理ガイド既存の AD インフラストラクチャに接続する
タイプ プロトコル ポート範囲 送信元
カスタム TCP ルール TCP 445 0.0.0.0/0
カスタム TCP ルール TCP 464 0.0.0.0/0
カスタム TCP ルール TCP 636 0.0.0.0/0
カスタム TCP ルール TCP 1024-65535 0.0.0.0/0
カスタム TCP ルール TCP 3268 - 3269 0.0.0.0/0
DNS (UDP) UDP 53 0.0.0.0/0
DNS (TCP) TCP 53 0.0.0.0/0
LDAP TCP 389 0.0.0.0/0
すべての ICMP すべて 該当なし 0.0.0.0/0
アウトバウンドルール
タイプ プロトコル ポート範囲 送信先
すべてのトラフィック すべて すべて 0.0.0.0/0
これらのセキュリティルールは、パブリックに公開されていない内部ネットワークインターフェイスに影響を及ぼします。
チュートリアル: AWS Managed Microsoft AD とオンプレミスドメインの間の信頼関係を作成するこのチュートリアルでは、AWS Directory Service for Microsoft Active Directory と オンプレミスのMicrosoft Active Directory の間の信頼関係をセットアップするのに必要なすべてのステップについて説明します。信頼関係の作成に必要なのは数ステップのみですが、まず、次の前提条件ステップを完了させる必要があります。
トピック• 前提条件 (p. 76)• ステップ 1: オンプレミスのドメインを準備する (p. 77)• ステップ 2: AWS Managed Microsoft AD を準備する (p. 80)• ステップ 3: 信頼関係の作成 (p. 86)
以下の資料も参照してください。
信頼関係を作成する場合 (p. 68)
前提条件このチュートリアルでは、以下の点を満たしていることを前提としています。
• AWS で作成された AWS Managed Microsoft AD ディレクトリヘルプが必要な場合は、「AWS ManagedMicrosoft AD の使用開始 (p. 10)」を参照してください。
• Windows を実行している EC2 インスタンスが AWS Managed Microsoft AD に追加されていること。ヘルプが必要な場合は、「Windows インスタンスを手動で参加させる (p. 52)」を参照してください。
Version 1.076
AWS Directory Service 管理ガイド既存の AD インフラストラクチャに接続する
Important
AWS Managed Microsoft AD の管理者アカウントには、このインスタンスに対する管理者権限が必要です。
• 以下の Windows Server ツールが、該当インスタンスにインストールされていること。• AD DS および AD LDS ツール• DNS
ヘルプが必要な場合は、「Active Directory 管理ツールのインストール (p. 64)」を参照してください。
• オンプレミスの Microsoft Active Directory
このディレクトリに対する管理アクセス権限が必要です。また、前述と同じ Windows Server ツールもこのディレクトリで使用できる状態にする必要があります。
• オンプレミスネットワークと、AWS Managed Microsoft AD を含む VPC の間にアクティブな接続が確立していること。ヘルプが必要な場合は、「Amazon Virtual Private Cloud Connectivity Options」を参照してください。
チュートリアルの設定
このチュートリアルでは、AWS Managed Microsoft AD およびオンプレミスのドメインは既に作成されています。オンプレミスのネットワークは、AWS Managed Microsoft AD の VPC に接続されています。2 つのディレクトリのプロパティを以下に示します。
AWS で実行されている AWS Managed Microsoft AD
• ドメイン名 (FQDN): MyManagedAD.example.com• NetBIOS 名: MyManagedAD• DNS アドレス: 10.0.10.246, 10.0.20.121• VPC CIDR: 10.0.0.0/16
AWS Managed Microsoft AD は、VPC ID: vpc-12345678 に存在します。
オンプレミスドメイン
• ドメイン名 (FQDN): corp.example.com• NetBIOS 名: CORP• DNS アドレス: 172.16.10.153• オンプレミス CIDR: 172.16.0.0/16
次のステップ
ステップ 1: オンプレミスのドメインを準備する (p. 77)
ステップ 1: オンプレミスのドメインを準備するまず、オンプレミスドメインに関するいくつかの前提条件のステップを完了させる必要があります。
オンプレミスのファイアウォールの設定
以下のポートが、AWS Managed Microsoft AD を含む VPC によって使用されるすべてのサブネットのCIDR に対して開かれるように、オンプレミスのファイアウォールを設定する必要があります。このチュートリアルでは、以下のポートの 10.0.0.0/16 (AWS Managed Microsoft AD の VPC の CIDR ブロック) からの受信トラフィックおよび送信トラフィックの両方を許可します。
Version 1.077
AWS Directory Service 管理ガイド既存の AD インフラストラクチャに接続する
• TCP/UDP 53 - DNS• TCP/UDP 88 - Kerberos 認証• TCP/UDP 389 - LDAP• TCP 445 - SMB
Note
2020 年 5 月 30 日以降、SMB v1 はサポートされなくなります。
Note
これらは、VPC をオンプレミスのディレクトリに接続するために最低限必要なポートです。固有の設定によっては、追加ポートが開かれていることが必要です。
Kerberos の事前認証が有効に設定されていることを確認する
Kerberos の事前認証は、必ず両方のディレクトリのユーザアカウントを使用して有効にします。これはデフォルト設定ですが、いずれかのユーザーのプロパティをチェックして、何も変更されていないことを確認します。
ユーザーの Kerberos 設定を表示するには
1. オンプレミスのドメインコントローラーで、Server Manager を開きます。2. [Tools] メニューで、[Active Directory Users and Computers] を選択します。3. [ユーザー] フォルダを選択し、コンテキスト (右クリック) メニューを開きます。右側のペインに表示
されるユーザーアカウントを無作為に選択します。[Properties] を選択します。4. [Account] タブを選択します。[Account options] リストで、下にスクロールし、[Do not require
Kerberos preauthentication] がオンになっていないことを確認します。
Version 1.078
AWS Directory Service 管理ガイド既存の AD インフラストラクチャに接続する
オンプレミスドメインの DNS の条件付きフォワーダーを設定する
DNS の条件付きフォワーダーは各ドメインに設定する必要があります。オンプレミスドメインでこの設定を行うには、まず AWS Managed Microsoft AD に関する情報を取得します。
条件付きフォワーダーをオンプレミスのドメインに設定するには
1. AWS マネジメントコンソール にサインインして AWS Directory Service console (https://console.aws.amazon.com/directoryservicev2/) を開きます。
2. ナビゲーションペインで [Directories] を選択します。3. AWS Managed Microsoft AD のディレクトリ ID を選択します。4. [Details (詳細)] ページで、ディレクトリの [Directory name (ディレクトリ名)] と [DNS address (DNS
アドレス)] の値をメモします。5. オンプレミスのドメインコントローラーに戻ります。Server Manager を開きます。6. [Tools] メニューで、[DNS] を選択します。7. コンソールツリーで、信頼関係をセットアップするドメインの DNS サーバーを拡張します。サー
バーは、WIN-5V70CN7VJ0.corp.example.com です。8. コンソールツリーで、[Conditional Forwarders] を選択します。9. [Action] メニューで、[New conditional forwarder] を選択します。10. [DNS domain] で、前に書き留めた AWS Managed Microsoft AD の完全修飾ドメイン名 (FQDN) を入
力します。この例では、FQDN は MyManagedAD.example.com です。11. [IP addresses of the master servers] を選択し、前に書き留めた AWS Managed Microsoft AD ディレク
トリの DNS アドレスを入力します。この例では、DNS アドレスは 10.0.10.246、10.0.20.121 です。
DNS アドレスを入力すると、「タイムアウト」または「解決できません」というエラーが表示される場合があります。通常、このエラーは無視できます。
Version 1.079
AWS Directory Service 管理ガイド既存の AD インフラストラクチャに接続する
12. [Store this conditional forwarder in Active Directory, and replicate it as follows] を選択します。13. [All DNS servers in this domain]、[OK] の順に選択します。
次のステップ
ステップ 2: AWS Managed Microsoft AD を準備する (p. 80)
ステップ 2: AWS Managed Microsoft AD を準備する
次に、信頼関係を準備する AWS Managed Microsoft AD を始めましょう。次の手順の多くは、オンプレミスドメインに完了した手順とほとんど同じです。ただし、今回は、AWS Managed Microsoft AD を使用します。
VPC サブネットおよびセキュリティグループの設定
オンプレミスネットワークから AWS Managed Microsoft AD を含む VPC へのトラフィックを許可する必要があります。これを行うには、ACL が AWS Managed Microsoft AD のデプロイ時に使用されたサブネットとドメインコントローラーで設定したセキュリティグループに関連付けられ、この両方で信頼をサポートするために必要なトラフィックが許可されていることを確認することが必要です。
ポート要件は、ドメインコントローラーが使用する Windows Server のバージョンおよび信頼を活用するサービスやアプリケーションによって異なります。このチュートリアルでは、次のポートを開く必要があります。
インバウンド
• TCP/UDP 53 - DNS
Version 1.080
AWS Directory Service 管理ガイド既存の AD インフラストラクチャに接続する
• TCP/UDP 88 - Kerberos 認証• UDP 123 - NTP• TCP 135 - RPC• UDP 137-138 - Netlogon• TCP 139 - Netlogon• TCP/UDP 389 - LDAP• TCP/UDP 445 - SMB
Note
2020 年 5 月 30 日以降、SMB v1 はサポートされなくなります。• TCP/UDP 464 - Kerberos 認証• TCP 636 - LDAPS (LDAP over TLS/SSL)• TCP 873 - Rsync• TCP 3268-3269 - グローバルカタログ• TCP/UDP 1024-65535 - RPC 用の一時ポート• ICMP すべて
アウトバウンド
• ALL
Note
これらは、VPC とオンプレミスディレクトリを接続するために最低限必要なポートです。固有の設定によっては、追加ポートが開かれていることが必要です。
AWS Managed Microsoft AD ドメインコントローラーの送信および受信ルールを設定するには
1. AWS Directory Service console に戻ります。ディレクトリのリストで、AWS Managed Microsoft ADディレクトリのディレクトリ ID をメモしておきます。
2. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。3. ナビゲーションペインで、[Security Groups] を選択します。4. 検索ボックスを使用して、AWS Managed Microsoft AD ディレクトリ ID を検索します。検索結果で、
説明として [AWS created security group for <yourdirectoryID> directory controllers] と表示されている項目を選択します。
5. そのセキュリティグループの [Outbound Rules] タブに移動します。[Edit]、[Add another rule] の順に選択します。新しいルールに対して、次の値を入力します。
• [Type]: ALL Traffic
Version 1.081
AWS Directory Service 管理ガイド既存の AD インフラストラクチャに接続する
• [Protocol]: ALL• [Destination] は、ドメインコントローラーから発信されるトラフィックの送信先を指定します。単
一の IP アドレスまたは IP アドレス範囲を CIDR 表記で指定します (例: 203.0.113.5/32)。同じリージョン内の別のセキュリティグループの名前または ID を指定することもできます。詳細については、「ディレクトリの AWS セキュリティグループの設定と使用について理解する (p. 112)」を参照してください。
6. [Save] を選択します。
7. 同じセキュリティグループの [Inbound Rules] タブに移動します。[Edit]、[Add another rule] の順に選択します。新しいルールに対して、次の値を入力します。
• [Type]: Custom UDP Rule• [Protocol]: UDP• [Port Range]: 445• [Source] として、単一の IP アドレスまたは IP アドレス範囲を CIDR 表記で指定します (例:
203.0.113.5/32)。同じリージョン内の別のセキュリティグループの名前または ID を指定することもできます。この設定は、ドメインコントローラーに到達できるトラフィックを指定します。詳細については、「ディレクトリの AWS セキュリティグループの設定と使用について理解する (p. 112)」を参照してください。
8. [Save] を選択します。9. ステップ 7 と 8 を繰り返して、次の各ルールを追加します。
タイプ プロトコル ポート範囲 送信元
カスタム UDP ルール UDP 88 前のステップで使用した [Source]のトラフィックを指定します。
カスタム UDP ルール UDP 123 前のステップで使用した [Source]のトラフィックを指定します。
Version 1.082
AWS Directory Service 管理ガイド既存の AD インフラストラクチャに接続する
タイプ プロトコル ポート範囲 送信元
カスタム UDP ルール UDP 138 前のステップで使用した [Source]のトラフィックを指定します。
カスタム UDP ルール UDP 389 前のステップで使用した [Source]のトラフィックを指定します。
カスタム UDP ルール UDP 464 前のステップで使用した [Source]のトラフィックを指定します。
カスタム TCP ルール TCP 88 前のステップで使用した [Source]のトラフィックを指定します。
カスタム TCP ルール TCP 135 前のステップで使用した [Source]のトラフィックを指定します。
カスタム TCP ルール TCP 445 前のステップで使用した [Source]のトラフィックを指定します。
カスタム TCP ルール TCP 464 前のステップで使用した [Source]のトラフィックを指定します。
Version 1.083
AWS Directory Service 管理ガイド既存の AD インフラストラクチャに接続する
タイプ プロトコル ポート範囲 送信元
カスタム TCP ルール TCP 636 前のステップで使用した [Source]のトラフィックを指定します。
カスタム TCP ルール TCP 1024-65535 前のステップで使用した [Source]のトラフィックを指定します。
カスタム TCP ルール TCP 3268 - 3269 前のステップで使用した [Source]のトラフィックを指定します。
DNS (UDP) UDP 53 前のステップで使用した [Source]のトラフィックを指定します。
DNS (TCP) TCP 53 前のステップで使用した [Source]のトラフィックを指定します。
LDAP TCP 389 前のステップで使用した [Source]のトラフィックを指定します。
すべての ICMP すべて 該当なし 前のステップで使用した [Source]のトラフィックを指定します。
Version 1.084
AWS Directory Service 管理ガイド既存の AD インフラストラクチャに接続する
タイプ プロトコル ポート範囲 送信元
すべてのトラフィック すべて すべて 現在のセキュリティグループ(ディレクトリのセキュリティグループ).
Kerberos の事前認証が有効に設定されていることを確認する
ここで AWS Managed Microsoft AD のユーザーも Kerberos 事前認証が有効になっていることを確認します。これは、オンプレミスディレクトリで完了したのと同じプロセスです。これはデフォルト設定ですが、何も変更されていないことを確認します。
ユーザーの Kerberos 設定を表示するには
1. ドメインの 管理者アカウント (p. 15)、またはドメインのユーザーを管理する権限が委任されたアカウントを使用して、AWS Managed Microsoft AD ディレクトリのメンバーであるインスタンスにログインします。
2. まだインストールされていない場合は、Active Directory ユーザーとコンピュータツールおよび DNSツールをインストールします。「Active Directory 管理ツールのインストール (p. 64)」で、これらのツールをインストールする方法について説明し ます。
3. Server Manager を開きます。[Tools] メニューで、[Active Directory Users and Computers] を選択します。
4. ドメイン内の [Users] フォルダを選択します。これは、NetBIOS 名の [Users] フォルダであり、完全修飾ドメイン名 (FQDN) の [Users] フォルダではないことに注意してください。
5. ユーザーのリストで、ユーザーを右クリックし、[Properties (プロパティ)] を選択します。6. [Account] タブを選択します。[Account options] リストで、[Do not require Kerberos preauthentication]
がオンになっていないことを確認します。
Version 1.085
AWS Directory Service 管理ガイド既存の AD インフラストラクチャに接続する
次のステップ
ステップ 3: 信頼関係の作成 (p. 86)
ステップ 3: 信頼関係の作成
これで準備作業が完了したら、最後のステップは、信頼関係を作成することです。最初にオンプレミスのドメインで信頼関係を作成し、最後に AWS Managed Microsoft AD で作成します。信頼の作成プロセス中に問題が発生した場合は、「信頼作成ステータスの理由 (p. 136)」を参照してください。
オンプレミスアクティブディレクトリで信頼を設定する
このチュートリアルでは、双方向のフォレスト信頼を設定します。ただし、一方向のフォレスト信頼を作成する場合は、各ドメインの信頼方向が補完的である必要があることに注意します。たとえば、一方向の信頼、オンプレミスのドメインで送信方向の信頼を作成した場合は、もう一方は、AWS ManagedMicrosoft AD で受信方向の信頼を作成する必要があります。
Note
AWS Managed Microsoft AD では外部の信頼もサポートしています。ただし、このチュートリアルでは、双方向のフォレスト信頼を作成します。
オンプレミス AD で信頼を設定するには
1. Server Manager を開き、[Tools] メニューで、[Active Directory Domains and Trusts] を選択します。2. ドメインのコンテキスト (右クリック) メニューを開き、[Properties] を選択します。3. [Trusts] タブを選択し、[New trust] を選択します。AWS Managed Microsoft AD の名前を入力し、[次
へ] を選択します。4. [Forest trust] を選択します。[Next] を選択します。5. [Two-way] を選択します。[Next] を選択します。6. [This domain only] を選択します。[次へ] を選択します。7. [Forest-wide authentication] を選択します。[Next] を選択します。8. [Trust password] にパスワードを入力します。AWS Managed Microsoft AD の信頼を設定するときに
必要になるのでこのパスワードを覚えておきます。9. 次のダイアログボックスで、設定を確認し、[Next] を選択します。信頼が正常に作成されたことを確
認し、[Next] を再度選択します。10. [No, do not confirm the outgoing trust] を選択します。[Next (次へ)] を選択します。11. [No, do not confirm the incoming trust] を選択します。[Next (次へ)] を選択します。
AWS Managed Microsoft AD ディレクトリで信頼を設定する
最後に、AWS Managed Microsoft AD ディレクトリでフォレスト信頼関係を設定します。オンプレミスのドメインに双方向のフォレスト信頼を作成したため、AWS Managed Microsoft AD ディレクトリを使用して双方向の信頼も作成します。
AWS Managed Microsoft AD ディレクトリで信頼を設定するには
1. AWS Directory Service console に戻ります。2. [ディレクトリ] ページで、AWS Managed Microsoft AD ID を選択します。3. [ディレクトリの詳細] ページで、[ネットワークとセキュリティ] タブを選択します。4. [信頼関係] タブを選択したら、[アクション]、[信頼関係の追加] の順に選択します。5. [信頼関係の追加] ページで、オンプレミスドメインの FQDN を入力します (このチュートリアルで
は、corp.example.com)。オンプレミスドメインで信頼を作成したときに使用したのと同じ信頼パスワードを入力します。方向を指定します。この例では、[Two-way] を選択します。
Version 1.086
AWS Directory Service 管理ガイドスキーマを拡張する
6. [Conditional forwarder] フィールドに、オンプレミス DNS サーバーの IP アドレスを入力します。この例では、172.16.10.153 と入力します。
7. (オプション) [別の IP アドレスの追加] を選択し、オンプレミス DNS サーバーの 2 番目の IP アドレスを入力します。合計で最大 4 つの DNS サーバーを指定できます。
8. [Add] を選択します。
これで、オンプレミスドメイン (corp.example.com) と AWS Managed Microsoft AD(MyManagedAD.example.com) との間の信頼関係を作成しました。これらの 2 つのドメイン間には、1 の関係のみを設定できます。たとえば、信頼方向を一方に変更する場合は、まず既存の信頼関係を削除してから、新しい信頼関係を作成します。
信頼の確認または削除に関する指示を含むの詳細については、「信頼関係を作成する場合 (p. 68)」を参照してください。
スキーマを拡張するAWS Managed Microsoft AD は、スキーマを使用してディレクトリデータを保存する方法を整理し、適用します。スキーマに定義を追加するプロセスは、スキーマ拡張と呼ばれます。 スキーマ拡張を使用すると、有効な LDAP データ交換形式 (LDIF) ファイルを使用して、AWS Managed Microsoft AD ディレクトリのスキーマを変更できます。AD スキーマおよびスキーマを拡張する方法の詳細については、以下のトピックを参照してください。
トピック• AWS Managed Microsoft AD スキーマを拡張するタイミング (p. 87)• チュートリアル: AWS Managed Microsoft AD スキーマの拡張 (p. 87)
AWS Managed Microsoft AD スキーマを拡張するタイミングAWS Managed Microsoft AD スキーマを拡張するには、新しいオブジェクトクラスおよび属性を追加します。たとえば、アプリケーションのスキーマに変更を加えて、シングルサインオン機能をサポートする必要がある場合にこの作業を行います。
また、スキーマ拡張を使用して、特定の Active Directory オブジェクトクラスおよび属性に依存するアプリケーションのサポートを有効にすることもできます。これは、AWS Managed Microsoft AD に依存している企業アプリケーションを AWS クラウドに移行する必要がある場合に特に有効です。
既存の Active Directory スキーマに追加されている各属性またはクラスは、一意の ID で定義する必要があります。こうすることで、企業がスキーマに拡張を追加するときに一意であることを保証することができ、互いに競合することはありません。これらの ID は、AD の オブジェクト識別子 (OID) オブジェクトと呼ばれ、AWS Managed Microsoft AD に保存されます。
開始するには、チュートリアル: AWS Managed Microsoft AD スキーマの拡張 (p. 87) を参照してください。
関連トピック
• スキーマを拡張する (p. 87)• スキーマの要素 (p. 17)
チュートリアル: AWS Managed Microsoft AD スキーマの拡張このチュートリアルでは、特定の要件を満たす固有の属性およびクラスを追加して、AWS DirectoryService for Microsoft Active Directory ディレクトリ (AWS Managed Microsoft AD と呼ばれる) のスキーマを拡張する方法について説明します。AWS Managed Microsoft AD スキーマ拡張は、有効な LDIF
Version 1.087
AWS Directory Service 管理ガイドスキーマを拡張する
(Lightweight Directory インターチェンジ形式) スクリプトファイルを使用してのみアップロードして適用できます。
属性 (attributeSchema) はデータベース内のフィールドを定義し、クラス (classSchema) はデータベース内のテーブルを定義します。たとえば、Active Directory 内のすべてのユーザーオブジェクトはスキーマクラスユーザーによって定義され、ユーザーの個々のプロパティ (E メールアドレスや電話番号など) は属性ごとに定義されます。
Shoe-Size などの新しいプロパティを追加する場合は、整数型の新しい属性を定義します。1 ~ 20 のような下限と上限を定義することもできます。Shoe-Size attributeSchema オブジェクトが作成されたら、UserclassSchema オブジェクトをその属性を含むように変更します。属性は複数のクラスにリンクできます。Shoe-Size は、たとえば Contact クラスに追加することもできます。Active Directory スキーマの詳細については、「AWS Managed Microsoft AD スキーマを拡張するタイミング (p. 87)」 を参照してください。
このワークフローには 3 つの基本的なステップがあります。
ステップ 1: LDIF ファイルを作成する (p. 88)
最初に、LDIF ファイルを作成し、新しい属性と属性を追加するクラスを定義します。このファイルは、ワークフローの次の段階で使用します。
ステップ 2: LDIF ファイルをインポートする (p. 89)
このステップでは、AWS Directory Service コンソールを使用して、LDIF ファイルを Microsoft AD 環境にインポートします。
ステップ 3: スキーマ拡張が成功したかどうかを確認する (p. 90)
最後に、管理者は EC2 インスタンスを使用して、新しい拡張が Active Directory スキーマスナップインに表示されることを確認します。
ステップ 1: LDIF ファイルを作成するLDIFファイルは、「LDAP」 (Lightweight Directory Access Protocol) ディレクトリの内容と更新リクエストを表すための標準のプレーンテキストデータ交換形式です。LDIF は、ディレクトリコンテンツを一連のレコード (各オブジェクト (またはエントリ) ごとの 1 つのレコード) として伝達します。また、追加、変更、削除、名前変更などの更新リクエストを、更新リクエストごとの一連のレコードとして表します。
AWS Directory Service は、AWS Managed Microsoft AD ディレクトリで ldifde.exe アプリケーションを実行することにより、スキーマの変更を含むLDIFファイルをインポートします。したがって、LDIF スクリプト構文を理解しておくと便利です。詳細については、「LDIF スクリプト」を参照してください。
Version 1.088
AWS Directory Service 管理ガイドスキーマを拡張する
一部のサードパーティ製の LDIF ツールは、スキーマの更新を展開、クリーンアップ、および更新できます。いずれのツールを使用する場合でも、LDIF ファイルで使用されるすべての識別子は一意でなければならないことを理解することが重要です。
LDIF ファイルを作成する前に、次の概念とヒントを確認することを強くお勧めします。
• スキーマの要素 – 属性、クラス、オブジェクト ID、リンク属性などのスキーマ要素について説明します。詳細については、「スキーマの要素 (p. 17)」を参照してください。
• アイテムのシーケンス – LDIF ファイル内の項目が配置される順序が、上から順に「ディレクトリ情報ツリー (DIT)」に従っていることを確認します。LDIF ファイルのシーケンシングの一般的なルールは次のとおりです。• 空白行で項目を区切ります。• 子項目は、親項目の後に表示します。• スキーマ内に属性やオブジェクトクラスなどの項目が存在することを確認します。存在しない場合
は、使用する前にスキーマに追加する必要があります。たとえば、属性をクラスに割り当てる前に、その属性を作成する必要があります。
• DN の形式 – LDIF ファイルの新しい命令ごとに、識別名 (DN) を命令の最初の行として定義します。DNは、Active Directory オブジェクトのツリー内の Active Directory オブジェクトを識別し、ディレクトリのドメインコンポーネントを含む必要があります。たとえば、このチュートリアルのディレクトリのドメインコンポーネントは、DC=example,DC=comです。
DN には、Active Directory オブジェクトの共通名 (CN) も含める必要があります。最初の CN エントリは、属性またはクラス名です。次に、CN=Schema,CN=Configuration を使用する必要があります。この CN により、Active Directory スキーマを拡張することができます。前述のとおり、Active Directoryオブジェクトのコンテンツを追加または変更することはできません。DN の一般的な形式は次のとおりです。
dn: CN=[attribute or class name],CN=Schema,CN=Configuration,DC=[domain_name]
このチュートリアルでは、新しい Shoe-Size 属性の DN は次のようになります。
dn: CN=Shoe-Size,CN=Schema,CN=Configuration,DC=example,DC=com
• 警告 – スキーマを拡張する前に、以下の警告を確認してください。• Active Directory スキーマを拡張する前に、この操作の影響に関する Microsoft の警告を確認すること
が重要です。詳細については、「スキーマを拡張する前に知っておくべきこと」を参照してください。
• スキーマの属性またはクラスは削除することはできません。したがって、間違いをしてバックアップからリストアしたくない場合は、オブジェクトを無効にするだけで済みます。詳細については、「既存のクラスと属性の無効化」を参照してください。
LDIF ファイルの構築方法と、AWS Managed Microsoft AD スキーマ拡張のテストに使用できるサンプルLDIF ファイルの詳細については、AWS セキュリティブログの「AWS Managed Microsoft AD ディレクトリのスキーマを拡張する方法」を参照してください。
次のステップ
ステップ 2: LDIF ファイルをインポートする (p. 89)
ステップ 2: LDIF ファイルをインポートする
AWS Directory Service コンソールまたは API を使用して LDIF ファイルをインポートすることにより、スキーマを拡張できます。スキーマ拡張 API でこれを行う方法の詳細については、「AWS Directory
Version 1.089
AWS Directory Service 管理ガイドスキーマを拡張する
Service API Reference」を参照してください。現時点では、AWS はスキーマの更新を直接実行するために、Microsoft Exchange などの外部アプリケーションをサポートしていません。
Important
AWS Managed Microsoft AD ディレクトリスキーマを更新すると、操作は元に戻せません。つまり、新しいクラスまたは属性を作成すると、Active Directory ではそのクラスまたは属性を削除することができません。ただし、無効にすることができます。スキーマの変更を削除する必要がある場合は、以前のスナップショットからディレクトリを復元する方法があります。スナップショットを復元すると、スキーマだけでなく、スキーマとディレクトリデータの両方がロールバックされて元のポイントに戻ります。
更新プロセスが始まる前に、AWS Managed Microsoft AD はスナップショットを取得し、ディレクトリの現在の状態を保持します。
LDIF ファイルをインポートするには
1. AWS Directory Service console ナビゲーションペインで [ディレクトリ] を選択します。2. [ディレクトリ] ページで、ディレクトリ ID を選択します。3. [ディレクトリの詳細] ページで、[メンテナンス] タブを選択します。4. [スキーマ拡張] セクションで、[アクション]、[スキーマのアップロードと更新] の順に選択します。5. ダイアログボックスで、[Browse] を選択し、有効な LDIF ファイルを選択します。次に説明を入力
し、[Update Schema] を選択します。Important
スキーマの拡張は重要な操作です。開発環境またはテスト環境でアプリケーションをテストせずに、本番環境でスキーマ更新を適用しないでください。
LDIF ファイルの適用方法
LDIF ファイルがアップロードされた後、AWS Managed Microsoft AD はエラーからディレクトリを保護するためのステップを実行します。それには次の順序で変更を適用します。
1. LDIF ファイルを検証します。 LDIF スクリプトはドメイン内のオブジェクトを操作できるため、AWSManaged Microsoft AD はアップロード後すぐにチェックを実行して、インポート操作が失敗しないようにします。これには、次のことを確認するチェックが含まれます。• 更新されるオブジェクトは、スキーマコンテナにのみ保持される• DC (ドメインコントローラー) の部分は、LDIF スクリプトが実行されているドメインの名前と一致す
る2. ディレクトリのスナップショットを取得します。 スキーマの更新後にアプリケーションに問題が発生し
た場合、スナップショットを使用してディレクトリを復元することができます。3. 変更を単一の DC に適用します。AWS Managed Microsoft AD は、1 つの DC を分離し、LDIF ファイ
ルの更新を分離された DC に適用します。次に、1 つの DC をスキーママスターに選択し、その DC をディレクトリレプリケーションから削除し、Ldifde.exe を使用して LDIF ファイルを適用します。
4. レプリケーションはすべての DC に発生します。AWS Managed Microsoft AD は、分離された DC をレプリケーションに追加して更新を完了します。この間にも、ディレクトリは引き続きアプリケーションに Active Directory サービスを中断することなく提供します。
次のステップ
ステップ 3: スキーマ拡張が成功したかどうかを確認する (p. 90)
ステップ 3: スキーマ拡張が成功したかどうかを確認するインポート処理が完了したら、スキーマの更新がディレクトリに適用されたことを確認することが重要です。これは、スキーマの更新に依存するアプリケーションを移行または更新する前に特に重要です。さま
Version 1.090
AWS Directory Service 管理ガイドスキーマを拡張する
ざまな LDAP ツールを使用するか、または適切な LDAP コマンドを発行するテストツールを作成して、これを実行できます。
この手順では、Active Directory スキーマスナップインまたは PowerShell を使用して、スキーマ更新が適用されたことを確認します。これらのツールは、ドメインが AWS Managed Microsoft AD に結合されているコンピュータから実行する必要があります。これは、仮想プライベートクラウド (VPC) または仮想プライベートネットワーク (VPN) 接続を介してアクセスするオンプレミスネットワーク上で実行されている Windows サーバーです。これらのツールは、Amazon EC2 Windows のインスタンスでも実行できます(「シームレスドメイン結合を使用して新しい EC2 インスタンスを起動する方法」を参照)。
Active Directory スキーマスナップインを使用して検証するには
1. TechNet Web サイトの手順に従って、Active Directory スキーマスナップインをインストールします。
2. Microsoft 管理コンソール (MMC) を開き、ディレクトリの ADスキーマツリーを展開します。3. 前に行ったスキーマの変更が見つかるまで、クラスと属性フォルダを調べます。
PowerShell の使用を確認するには
1. PowerShell ウィンドウを開きます。2. 次に示すように、Get-ADObject コマンドレットを使用して、スキーマの変更を確認します。以下に
例を示します。
get-adobject -Identity 'CN=Shoe-Size,CN=Schema,CN=Configuration,DC=example,DC=com' -Properties *
オプションのステップ
(オプション) 新しい属性に値を追加する (p. 91)
(オプション) 新しい属性に値を追加する
新しい属性を作成済みであり、この属性に対して AWS Managed Microsoft AD ディレクトリで新しい値を追加する場合は、このオプションのステップを使用します。
属性に値を追加するには
1. Windows PowerShell コマンドラインユーティリティを開き、次のコマンドを使用して新しい属性を設定します。この例では、特定のコンピュータの属性に新しい EC2InstanceID 値を追加します。
PS C:\> set-adcomputer -Identity computer name -add @{example-EC2InstanceID= 'EC2 instance ID'}
2. 次のコマンドを実行すると、EC2InstanceID 値がコンピュータオブジェクトに追加されたかどうかを検証できます。
PS C:\> get-adcomputer -Identity computer name –Property example-EC2InstanceID
関連リソース
以下のリソースリンクは、Microsoft の Web サイトにあり、関連情報を提供しています。
• スキーマの拡張 (Windows)• Active Directory スキーマ (Windows)• Active Directory スキーマ
Version 1.091
AWS Directory Service 管理ガイドディレクトリをメンテナンスする
• Windows 管理: Active Directory スキーマの拡張• スキーマ拡張の制限 (Windows)• Ldifde
AWS Managed Microsoft AD ディレクトリの管理このセクションでは、AWS Managed Microsoft AD 環境の一般的な管理タスクをメンテナンスする方法について説明します。
トピック• 代替の UPN サフィックスを追加する (p. 92)• ディレクトリの削除 (p. 92)• ディレクトリのサイト名を変更する (p. 93)• ディレクトリのスナップショットまたは復元 (p. 94)• ディレクトリ情報の表示 (p. 95)
代替の UPN サフィックスを追加するAWS Managed Microsoft AD ディレクトリに代替のユーザープリンシパル名 (UPN) サフィックスを追加することで、Active Directory (AD) ログイン名の管理をシンプルにし、ユーザーのログインエクスペリエンスを向上させることができます。そのためには、[管理者] アカウントまたは [AWS Delegated User PrincipalName Suffix Administrators] (AWS が委任したユーザープリンシパル名のサフィックスの管理者) グループのメンバーであるアカウントでログインする必要があります。このグループの詳細については、「作成されるファイル (p. 13)」を参照してください。
代替の UPN サフィックスを追加するには
1. Amazon EC2 コンソール(https://console.aws.amazon.com/ec2/)を開きます。2. AWS Managed Microsoft AD ディレクトリに参加している Amazon EC2 インスタンスを見つけます。
そのインスタンスを選択してから、[Connect] (接続) を選択します。3. [Server Manager] ウィンドウで、[ツール] を選択します。次に、[Active Directory ドメインと信頼関
係] を選択します。4. 左側のペインで、[Active Directory ドメインと信頼関係] を右クリックし、[プロパティ] を選択しま
す。5. [UPN Suffixes (UPN サフィックス)] タブで、代替の UPN サフィックス (「sales.example.com」な
ど) を入力します。[追加]、[適用] の順に選択します。6. さらに UPN サフィックスを追加する必要がある場合は、必要な UPN サフィックスを得られるまで手
順 5 を繰り返します。
ディレクトリの削除When a Simple AD or AWS Directory Service for Microsoft Active Directory directory is deleted, all ofthe directory data and snapshots are deleted and cannot be recovered. After the directory is deleted, allinstances that are joined to the directory remain intact. You cannot, however, use your directory credentialsto log in to these instances. You need to log in to these instances with a user account that is local to theinstance.
When an AD Connector directory is deleted, your on-premises directory remains intact. All instances thatare joined to the directory also remain intact and remain joined to your on-premises directory. You can stilluse your directory credentials to log in to these instances.
Version 1.092
AWS Directory Service 管理ガイドディレクトリをメンテナンスする
To delete a directory
1. In the AWS Directory Service console navigation pane, select Directories.2. Ensure that no AWS applications are enabled for the directory.
a. On the Directories page, choose your directory ID.b. On the Directory details page, select the Application management tab. In the AWS apps &
services section, you see which AWS applications are enabled for your directory.
• To disable Amazon WorkSpaces, you must deregister the service from the directory in theAmazon WorkSpaces console. For more information, see Deregistering From a Directory in theAmazon WorkSpaces Administration Guide.
• To disable Amazon WorkSpaces Application Manager, you must remove all applicationassignments in the Amazon WAM console. For more information, see Removing All ApplicationAssignments in the Amazon WAM Administration Guide.
• To disable Amazon WorkDocs, you must delete the Amazon WorkDocs site in the AmazonWorkDocs console. For more information, see Delete a Site in the Amazon WorkDocs 管理ガイド.
• To disable Amazon WorkMail, you must remove the Amazon WorkMail organization in theAmazon WorkMail console. For more information, see Remove an Organization in the AmazonWorkMail Administrator Guide.
• Disable AWS マネジメントコンソール access.• To disable Amazon Relational Database Service, you must remove the Amazon RDS instance
from the domain. For more information, see Managing a DB Instance in a Domain in theAmazon RDS ユーザーガイド.
• To disable Amazon QuickSight, you must unsubscribe from Amazon QuickSight. For moreinformation, see Closing Your Amazon QuickSight Account in the Amazon QuickSight UserGuide.
• To disable Amazon Connect, you must delete the Amazon Connect Instance. For moreinformation, see Deleting an Amazon Connect Instance in the Amazon Connect AdministrationGuide.
Note
If you are using AWS Single Sign-On and have previously connected it to the AWSManaged Microsoft AD directory you plan to delete, you must first disconnect thedirectory from AWS SSO before you can delete it. For more information, see Disconnecta Directory in the AWS SSO User Guide.
3. In the navigation pane, choose Directories.4. Select only the directory to be deleted and click Delete. It takes several minutes for the directory to be
deleted. When the directory has been deleted, it is removed from your directory list.
ディレクトリのサイト名を変更するAWS Managed Microsoft AD ディレクトリのデフォルトのサイト名を、既存の Microsoft Active Directory(AD) サイト名と一致するように変更できます。これにより、AWS Managed Microsoft AD がオンプレミスディレクトリで既存の AD ユーザーをより速く見つけて認証するようになります。その結果、AWSManaged Microsoft AD ディレクトリに結合した AWS リソース (Amazon EC2 や Amazon RDS for SQLServer インスタンスなど) にユーザーがログインするときのエクスペリエンスが向上します。
そのためには、[管理者] アカウントまたは [AWS が委任したサイトとサービスの管理者] グループのメンバーであるアカウントでログインする必要があります。このグループの詳細については、「作成されるファイル (p. 13)」を参照してください。
Version 1.093
AWS Directory Service 管理ガイドディレクトリをメンテナンスする
AWS Managed Microsoft AD サイト名の名前を変更するには
1. Amazon EC2 コンソール(https://console.aws.amazon.com/ec2/)を開きます。2. AWS Managed Microsoft AD ディレクトリに参加している Amazon EC2 インスタンスを見つけます。
そのインスタンスを選択してから、[Connect] (接続) を選択します。3. [Server Manager] ウィンドウで、[ツール] を選択します。次に、[Active Directory サイトとサービス]
を選択します。4. 左側のペインで、[Sites] (サイト) フォルダを展開し、サイト名 (デフォルトは [Default-Site-Name]) を
右クリックして、[名前の変更] を選択します。5. 新しいサイト名を入力し、[Enter] (確定) を選択します。
ディレクトリのスナップショットまたは復元AWS Directory Service provides the ability to take manual snapshots of data for a Simple AD or AWSDirectory Service for Microsoft Active Directory directory. These snapshots can be used to perform a point-in-time restore for your directory.
Note
You cannot take snapshots of AD Connector directories.
トピック• Creating a Snapshot of Your Directory (p. 94)• Restoring Your Directory from a Snapshot (p. 94)• Deleting a Snapshot (p. 95)
Creating a Snapshot of Your Directory
A snapshot can be used to restore your directory to what it was at the point in time that the snapshot wastaken. To create a manual snapshot of your directory, perform the following steps.
Note
You are limited to 5 manual snapshots for each directory. If you have already reached this limit,you must delete one of your existing manual snapshots before you can create another.
To create a manual snapshot
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Maintenance tab.4. In the Snapshots section, choose Actions, and then select Create snapshot.5. In the Create directory snapshot dialog box, provide a name for the snapshot, if desired. When ready,
choose Create.
Depending on the size of your directory, it may take several minutes to create the snapshot. When thesnapshot is ready, the Status value changes to Completed.
Restoring Your Directory from a Snapshot
Restoring a directory from a snapshot is equivalent to moving the directory back in time. Directorysnapshots are unique to the directory they were created from. A snapshot can only be restored to thedirectory from which it was created.
Version 1.094
AWS Directory Service 管理ガイドAWS リソースに対するアクセス権限の付与
Warning
We recommend that you contact the AWS Support Center before any snapshot restore; we maybe able to help you avoid the need to do a snapshot restore. Any restore from snapshot can resultin data loss as they are a point in time. It is important you understand that all of the DCs and DNSservers associated with the directory will be offline until the restore operation has been completed.
To restore your directory from a snapshot, perform the following steps.
To restore a directory from a snapshot
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Maintenance tab.4. In the Snapshots section, select a snapshot in the list, choose Actions, and then select Restore
snapshot.5. Review the information in the Restore directory snapshot dialog box, and choose Restore.
For a Simple AD directory, it may take several minutes for the directory to be restored. For a AWSManaged Microsoft AD directory, it can take from two to three hours. When it has been successfullyrestored, the Status value of the directory changes to Active. Any changes made to the directory after thesnapshot date are overwritten.
Deleting a Snapshot
To delete a snapshot
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Maintenance tab.4. In the Snapshots section, choose Actions, and then select Delete snapshot.5. Verify that you want to delete the snapshot, and then choose Delete.
ディレクトリ情報の表示You can view detailed information about a directory.
To view detailed directory information
1. In the AWS Directory Service console navigation pane, select Directories.2. Click the directory ID link for your directory. Information about the directory is displayed in the Directory
details page.
For more information about the Status field, see ディレクトリのステータスを把握する (p. 37).
AWS リソースへのユーザーおよびグループに対するアクセス権限の付与AWS Directory Service は、Amazon EC2 コンソールへのアクセスなど、AWS サービスおよびリソースへのディレクトリユーザーおよびグループのアクセス権を与える機能を提供します。「アイデンティティベースのポリシー (IAM ポリシー) (p. 222)」で説明したように、ディレクトリ管理のために IAM ユーザーのアクセス権を付与することと同じく、ディレクトリ内のユーザーが Amazon EC2 などの他の AWS
Version 1.095
AWS Directory Service 管理ガイドAWS リソースに対するアクセス権限の付与
リソースにアクセスできるようにするには、そのユーザーとグループに IAM のロールとポリシーを割り当てる必要があります。詳細については、『IAM ユーザーガイド』の「IAM ロール」を参照してください。
AWS マネジメントコンソール へのアクセス権をユーザーに付与する方法の詳細については、「AD 認証情報による AWS マネジメントコンソール へのアクセスを有効にする (p. 107)」を参照してください。
トピック• 新しいロールの作成 (p. 96)• 既存のロールの信頼関係の編集 (p. 97)• ユーザーまたはグループを既存のロールへ割り当て (p. 97)• ロールに割り当てられたユーザーとグループの表示 (p. 98)• ロールからユーザーまたはグループの削除 (p. 98)• AWS Directory Service で AWS 管理ポリシーを使用する (p. 98)
新しいロールの作成AWS Directory Service で使用するために新しい IAM ロールを作成する必要がある場合は、IAM コンソールを使用して作成する必要があります。ロールが作成されたら、AWS Directory Service コンソールでそのロールを表示する前に、そのロールとの信頼関係を設定する必要があります。詳細については、「既存のロールの信頼関係の編集 (p. 97)」を参照してください。
Note
このタスクを実行するユーザーは、次の IAM アクションを実行するアクセス許可を持っている必要があります。詳細については、「アイデンティティベースのポリシー (IAM ポリシー) (p. 222)」を参照してください。
• iam:PassRole• iam:GetRole• iam:CreateRole• iam:PutRolePolicy
IAM コンソールで新しいロールを作成するには
1. IAM コンソールの [Navigation] ペインで [Roles] を選択します。詳細については、IAM ユーザーガイドの「ロールの作成 (AWS マネジメントコンソール)」を参照してください。
2. [Create role] を選択します。3. [このロールを使用するサービスを選択] で、[Directory Service]、[次へ] の順に選択します。4. ディレクトリユーザーに適用するポリシー (AmazonEC2FullAccess など) の横にあるチェックボック
スをオンにして、[次へ] を選択します。5. 必要に応じて、タグをロールに追加し、[次へ] を選択します。6. [ロール名] とオプションの [説明] を入力し、[ロールの作成] を選択します。
例: ロールを作成して AWS マネジメントコンソールのアクセスを有効にする
次のチェックリストに、Amazon EC2 コンソールへのアクセス権限を特定のディレクトリユーザーに許可する新しいロールを作成するために完了する必要があるタスクの例を示します。
1. 上記の手順を使用して、IAM コンソールでロールを作成します。ポリシーが要求されたら、[AmazonEC2FullAccess] を選択します。
2. 「既存のロールの信頼関係の編集 (p. 97)」のステップを使用して、作成したロールを編集し、必要な信頼関係情報をポリシードキュメントに追加します。このステップは、次のステップで AWS マネジメントコンソールへのアクセスを有効にした直後にロールを表示するために必要です。
Version 1.096
AWS Directory Service 管理ガイドAWS リソースに対するアクセス権限の付与
3. 「AD 認証情報による AWS マネジメントコンソール へのアクセスを有効にする (p. 107)」のステップに従って、AWS マネジメントコンソールへの一般的なアクセスを設定します。
4. 「ユーザーまたはグループを既存のロールへ割り当て (p. 97)」のステップに従って、EC2 リソースへのフルアクセスを必要とするユーザーを新しいロールに追加します。
既存のロールの信頼関係の編集既存の IAM ロールを AWS Directory Service のユーザーとグループに割り当てることができます。ただし、これを実行するには、ロールは AWS Directory Service との信頼関係が必要です。新しいロールの作成 (p. 96) の手順を使用して AWS Directory Service を使用してロールを作成すると、この信頼関係が自動的に設定されます。AWS Directory Service によって作成されない IAM ロールに対しては、この信頼関係を確立する必要があります。
AWS Directory Service への既存のロールの信頼関係を確立するには
1. IAM コンソールの [Navigation] ペインで [Roles] を選択します。
コンソールには、アカウントのロールが表示されます。2. 変更するロールの名前を選択し、詳細ページの [Trust relationships] タブを選択します。3. [Edit trust relationship] を選択します。4. [Policy Document] の下に以下の内容を貼り付け、[Update Trust Policy] を選択します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ds.amazonaws.com" }, "Action": "sts:AssumeRole" } ]}
IAM CLI を使用してこのポリシードキュメントを更新することもできます。詳細については、IAM コマンドラインリファレンス の「put-role-policy」を参照してください。
ユーザーまたはグループを既存のロールへ割り当て既存の IAM ロールを AWS Directory Service ユーザーまたはグループに割り当てることができます。ロールは AWS Directory Service との信頼関係が必要です。詳細については、「既存のロールの信頼関係の編集 (p. 97)」を参照してください。
既存の IAM ロールにユーザーまたはグループを割り当てるには
1. AWS Directory Service console ナビゲーションペインで [Directories] を選択します。2. [ディレクトリ] ページで、ディレクトリ ID を選択します。3. [ディレクトリの詳細] ページで、[アプリケーション管理] タブを選択します。4. [AWS マネジメントコンソール] セクションの [Delegate console access (コンソールへのアクセスを
委任)] で、ユーザーを割り当てる既存の IAM ロールの IAM ロール名を選択します。ロールがまだ作成されていない場合は、「新しいロールの作成 (p. 96)」を参照してください。
5. [Selected role (選択済みロール)] ページの [Manage users and groups for this role (このロールのユーザーとグループを管理)] で、[Add (追加)] を選択します。
Version 1.097
AWS Directory Service 管理ガイドAWS リソースに対するアクセス権限の付与
6. [Add users and groups to role (ロールへのユーザーとグループの追加)] ページの [Select ActiveDirectory Forest (Active Directory フォレストの選択)] で、AWS Managed Microsoft AD フォレスト (このフォレスト) またはオンプレミスフォレスト (信頼できるフォレスト) のいずれかを選択します。いずれかに AWS マネジメントコンソール へのアクセスが必要なアカウントが含まれています。信頼されたフォレストを設定する方法の詳細については、「チュートリアル: AWS Managed Microsoft AD とオンプレミスドメインの間の信頼関係を作成する (p. 76)」を参照してください。
7. [Specify which users or groups to add (追加するユーザーまたはグループを指定)] で、[Find by user(ユーザーで検索)] または [Find by group (グループで検索)] のいずれかを選択し、ユーザーまたはグループの名前を入力します。一致する可能性のあるリストで、追加するユーザーまたはグループを選択します。
8. [Add (追加)] を選択して、ユーザーとグループのロールへの割り当てを終了します。Note
ディレクトリ内にネストされたグループのユーザーによるアクセスはサポートされていません。親グループのメンバーはコンソールアクセスが有効に設定されていますが、子グループのメンバーは無効に設定されています。
ロールに割り当てられたユーザーとグループの表示ロールに割り当てられたユーザーとグループを表示するには、以下のステップを実行します。
ロールに割り当てられたユーザーとグループを表示するには
1. AWS Directory Service console ナビゲーションペインで [Directories] を選択します。2. [ディレクトリ] ページで、ディレクトリ ID を選択します。3. [ディレクトリの詳細] ページで、[アプリケーション管理] タブを選択します。4. [AWS マネジメントコンソール] セクションで、表示するロールを選択します。5. [Selected role (選択済みロール)] ページの [Manage users and groups for this role (このロールのユー
ザーとグループを管理)] で、そのロールに割り当てられたユーザーとグループを確認できます。
ロールからユーザーまたはグループの削除ロールからユーザーまたはグループを削除するには、以下のステップを実行します。
ロールからユーザーまたはグループの削除するには
1. AWS Directory Service console ナビゲーションペインで [Directories (ディレクトリ)] を選択します。2. [ディレクトリ] ページで、ディレクトリ ID を選択します。3. [ディレクトリの詳細] ページで、[アプリケーション管理] タブを選択します。4. [AWS マネジメントコンソール] セクションで、表示するロールを選択します。5. [Selected role (選択済みロール)] ページの [Manage users and groups for this role (このロールのユー
ザーとグループを管理)] で、ロールを削除するユーザーまたはグループを選択し、[Remove (削除)] を選択します。このロールは指定されたユーザーおよびグループから削除されますが、アカウントから削除されません。
AWS Directory Service で AWS 管理ポリシーを使用するAWS Directory Service では、以下の AWS 管理ポリシーを使用して、ユーザーおよびグループに AWS のサービスやリソースへのアクセス (Amazon EC2 コンソールへのアクセスなど) を提供します。これらのポリシーを確認するには、AWS マネジメントコンソール にログインする必要があります。
• 読み取り専用アクセス
Version 1.098
AWS Directory Service 管理ガイドAWS のアプリケーションとサービスへのアクセスを有効にする
• パワーユーザーアクセス• AWS Directory Service 完全アクセス• AWS Directory Service 読み取り専用アクセス• Amazon Cloud Directory 完全アクセス• Amazon Cloud Directory 読み取り専用アクセス• Amazon EC2 完全アクセス• Amazon EC2 読み取り専用アクセス• Amazon VPC 完全アクセス• Amazon VPC 読み取り専用アクセス• Amazon RDS 完全アクセス• Amazon RDS 読み取り専用アクセス• Amazon DynamoDB 完全アクセス• Amazon DynamoDB 読み取り専用アクセス• Amazon S3 完全アクセス• Amazon S3 読み取り専用アクセス• AWS CloudTrail 完全アクセス• AWS CloudTrail 読み取り専用アクセス• Amazon CloudWatch 完全アクセス• Amazon CloudWatch 読み取り専用アクセス• Amazon CloudWatch Logs 完全アクセス• Amazon CloudWatch Logs 読み取り専用アクセス
独自のポリシーを作成する方法の詳細については、IAM ユーザーガイドの「AWS リソースを管理するためのポリシー例」を参照してください。
AWS のアプリケーションとサービスへのアクセスを有効にするAWS Directory Service can give other AWS applications and services, such as Amazon WorkSpaces,access to your directory users. The following AWS applications and services can be enabled or disabled towork with AWS Directory Service.
AWS application / service More information...
Amazon Chime For more information, see the Amazon ChimeAdministration Guide.
Amazon Connect For more information, see the Amazon ConnectAdministration Guide.
Amazon FSx for Windows ファイルサーバー For more information, see Using Amazon FSxwith AWS Directory Service for Microsoft ActiveDirectory in the Amazon FSx for Windows ファイルサーバー User Guide.
Amazon QuickSight For more information, see the Amazon QuickSightUser Guide.
Amazon Relational Database Service For more information, see the Amazon RDS ユーザーガイド.
Version 1.099
AWS Directory Service 管理ガイドAWS のアプリケーションとサービスへのアクセスを有効にする
AWS application / service More information...
Amazon WorkDocs For more information, see the Amazon WorkDocs管理ガイド.
Amazon WorkMail For more information, see the Amazon WorkMailAdministrator Guide.
Amazon WorkSpaces You can create a Simple AD, AWS ManagedMicrosoft AD, or AD Connector directly fromAmazon WorkSpaces. Simply launch AdvancedSetup when creating your Workspace.
For more information, see the AmazonWorkSpaces Administration Guide.
Amazon WorkSpaces Application Manager For more information, see the Amazon WAMAdministration Guide.
AWS マネジメントコンソール For more information, see AD 認証情報によるAWS マネジメントコンソール へのアクセスを有効にする (p. 107).
Once enabled, you manage access to your directories in the console of the application or service that youwant to give access to your directory. To find the AWS applications and services links described above inthe AWS Directory Service console, perform the following steps.
To display the applications and services for a directory
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. Review the list under the AWS apps & services section.
トピック• アクセス URL の作成 (p. 100)• シングルサインオン (p. 101)
アクセス URL の作成An access URL is used with AWS applications and services, such as Amazon WorkSpaces, to reach alogin page that is associated with your directory. The URL must be unique globally. You can create anaccess URL for your directory by performing the following steps.
Warning
Once you create an application access URL for this directory, it cannot be changed. After anaccess URL is created, it cannot be used by others. If you delete your directory, the access URL isalso deleted and can then be used by any other account.
To create an access URL
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.
Version 1.0100
AWS Directory Service 管理ガイドAWS のアプリケーションとサービスへのアクセスを有効にする
3. On the Directory details page, select the Application management tab.4. In the Application access URL section, if an access URL has not been assigned to the directory, the
Create button is displayed. Enter a directory alias and choose Create. If an Entity Already Exists erroris returned, the specified directory alias has already been allocated. Choose another alias and repeatthis procedure.
Your access URL is displayed in the format <alias>.awsapps.com.
シングルサインオンAWS Directory Service provides the ability to allow your users to access Amazon WorkDocs from acomputer joined to the directory without having to enter their credentials separately.
Before you enable single sign-on, you need to take additional steps to enable your users web browsers tosupport single sign-on. Users may need to modify their web browser settings to enable single sign-on.
Note
Single sign-on only works when used on a computer that is joined to the AWS Directory Servicedirectory. It cannot be used on computers that are not joined to the directory.
To enable or disable single sign-on with Amazon WorkDocs
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. In the Application access URL section, choose Enable to enable single sign-on for Amazon WorkDocs.
If you do not see the Enable button, you may need to first create an Access URL before this optionwill be displayed. For more information about how to create an access URL, see アクセス URL の作成 (p. 100).
5. In the Enable Single Sign-On for this directory dialog box, choose Enable. Single sign-on is enabled forthe directory.
If the directory is an AD Connector directory and the AD Connector service account does not havepermission to add a service principal name, you are prompted for the username and password for adirectory user that has this permission. These credentials are only used to enable single sign-on andare not stored by the service. The AD Connector service account is not changed.
6. If you later want to disable single sign-on with Amazon WorkDocs, choose Disable, and then in theDisable Single Sign-On for this directory dialog box, choose Disable again.
If the directory is an AD Connector directory and the AD Connector service account does not havepermission to remove a service principal name, you are prompted for the username and password fora directory user that has this permission. These credentials are only used to disable single sign-on andare not stored by the service. The AD Connector service account is not changed.
トピック• Single Sign-On for IE and Chrome (p. 101)• Single Sign-On for Firefox (p. 106)
Single Sign-On for IE and Chrome
To allow Microsoft Internet Explorer (IE) and Google Chrome browsers to support single sign-on, thefollowing tasks must be performed on the client computer:
Version 1.0101
AWS Directory Service 管理ガイドAWS のアプリケーションとサービスへのアクセスを有効にする
• Add your access URL (e.g., https://<alias>.awsapps.com) to the list of approved sites for single sign-on.
• Enable active scripting (JavaScript).• Allow automatic logon.• Enable integrated authentication.
You or your users can perform these tasks manually, or you can change these settings using Group Policysettings.
トピック• Manual Update for Single Sign-On on Windows (p. 102)• Manual Update for Single Sign-On on OS X (p. 104)• Group Policy Settings for Single Sign-On (p. 104)
Manual Update for Single Sign-On on Windows
To manually enable single sign-on on a Windows computer, perform the following steps on the clientcomputer. Some of these settings may already be set correctly.
To manually enable single sign-on for Internet Explorer and Chrome on Windows
1. To open the Internet Properties dialog box, choose the Start menu, type Internet Options in thesearch box, and choose Internet Options.
2. Add your access URL to the list of approved sites for single sign-on by performing the following steps:
a. In the Internet Properties dialog box, select the Security tab.b. Select Local intranet and choose Sites.c. In the Local intranet dialog box, choose Advanced.d. Add your access URL to the list of websites and choose Close.e. In the Local intranet dialog box, choose OK.
3. To enable active scripting, perform the following steps:
a. In the Security tab of the Internet Properties dialog box, choose Custom level.b. In the Security Settings - Local Intranet Zone dialog box, scroll down to Scripting and select
Enable under Active scripting.
Version 1.0102
AWS Directory Service 管理ガイドAWS のアプリケーションとサービスへのアクセスを有効にする
c. In the Security Settings - Local Intranet Zone dialog box, choose OK.4. To enable automatic logon, perform the following steps:
a. In the Security tab of the Internet Properties dialog box, choose Custom level.b. In the Security Settings - Local Intranet Zone dialog box, scroll down to User Authentication and
select Automatic logon only in Intranet zone under Logon.
c. In the Security Settings - Local Intranet Zone dialog box, choose OK.d. In the Security Settings - Local Intranet Zone dialog box, choose OK.
5. To enable integrated authentication, perform the following steps:
a. In the Internet Properties dialog box, select the Advanced tab.b. Scroll down to Security and select Enable Integrated Windows Authentication.
Version 1.0103
AWS Directory Service 管理ガイドAWS のアプリケーションとサービスへのアクセスを有効にする
c. In the Internet Properties dialog box, choose OK.6. Close and re-open your browser to have these changes take effect.
Manual Update for Single Sign-On on OS X
To manually enable single sign-on for Chrome on OS X, perform the following steps on the client computer.You will need administrator rights on your computer to complete these steps.
To manually enable single sign-on for Chrome on OS X
1. Add your access URL to the AuthServerWhitelist policy by running the following command:
defaults write com.google.Chrome AuthServerWhitelist "https://<alias>.awsapps.com"
2. Open System Preferences, go to the Profiles panel, and delete the Chrome KerberosConfiguration profile.
3. Restart Chrome and open chrome://policy in Chrome to confirm that the new settings are in place.
Group Policy Settings for Single Sign-On
The domain administrator can implement Group Policy settings to make the single sign-on changes onclient computers that are joined to the domain.
Note
If you manage the Chrome web browsers on the computers in your domain with Chrome policies,you must add your access URL to the AuthServerWhitelist policy. For more information aboutsetting Chrome policies, go to Policy Settings in Chrome.
To enable single sign-on for Internet Explorer and Chrome using Group Policy settings
1. Create a new Group Policy object by performing the following steps:
a. Open the Group Policy Management tool, navigate to your domain and select Group PolicyObjects.
Version 1.0104
AWS Directory Service 管理ガイドAWS のアプリケーションとサービスへのアクセスを有効にする
b. From the main menu, choose Action and select New.c. In the New GPO dialog box, enter a descriptive name for the Group Policy object, such as SSO
Policy, and leave Source Starter GPO set to (none). Click OK.2. Add the access URL to the list of approved sites for single sign-on by performing the following steps:
a. In the Group Policy Management tool, navigate to your domain, select Group Policy Objects, openthe context (right-click) menu for your SSO policy, and choose Edit.
b. In the policy tree, navigate to User Configuration > Preferences > Windows Settings.c. In the Windows Settings list, open the context (right-click) menu for Registry and choose New
registry item.d. In the New Registry Properties dialog box, enter the following settings and choose OK:
Action
Update
Hive
HKEY_CURRENT_USER
Path
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>
The value for <alias> is derived from your access URL. If your access URL is https://examplecorp.awsapps.com, the alias is examplecorp, and the registry key will beSoftware\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp.
Value name
https
Value type
REG_DWORD
Value data
1
3. To enable active scripting, perform the following steps:
a. In the Group Policy Management tool, navigate to your domain, select Group Policy Objects, openthe context (right-click) menu for your SSO policy, and choose Edit.
b. In the policy tree, navigate to Computer Configuration > Policies > Administrative Templates >Windows Components > Internet Explorer > Internet Control Panel > Security Page > IntranetZone.
c. In the Intranet Zone list, open the context (right-click) menu for Allow active scripting and chooseEdit.
d. In the Allow active scripting dialog box, enter the following settings and choose OK:
• Select the Enabled radio button.• Under Options set Allow active scripting to Enable.
4. To enable automatic logon, perform the following steps:
a. In the Group Policy Management tool, navigate to your domain, select Group Policy Objects, openthe context (right-click) menu for your SSO policy, and choose Edit.
Version 1.0105
AWS Directory Service 管理ガイドAWS のアプリケーションとサービスへのアクセスを有効にする
b. In the policy tree, navigate to Computer Configuration > Policies > Administrative Templates >Windows Components > Internet Explorer > Internet Control Panel > Security Page > IntranetZone.
c. In the Intranet Zone list, open the context (right-click) menu for Logon options and choose Edit.d. In the Logon options dialog box, enter the following settings and choose OK:
• Select the Enabled radio button.• Under Options set Logon options to Automatic logon only in Intranet zone.
5. To enable integrated authentication, perform the following steps:
a. In the Group Policy Management tool, navigate to your domain, select Group Policy Objects, openthe context (right-click) menu for your SSO policy, and choose Edit.
b. In the policy tree, navigate to User Configuration > Preferences > Windows Settings.c. In the Windows Settings list, open the context (right-click) menu for Registry and choose New
registry item.d. In the New Registry Properties dialog box, enter the following settings and choose OK:
Action
Update
Hive
HKEY_CURRENT_USER
Path
Software\Microsoft\Windows\CurrentVersion\Internet Settings
Value name
EnableNegotiate
Value type
REG_DWORD
Value data
1
6. Close the Group Policy Management Editor window if it is still open.7. Assign the new policy to your domain by following these steps:
a. In the Group Policy Management tree, open the context (right-click) menu for your domain andchoose Link an Existing GPO.
b. In the Group Policy Objects list, select your SSO policy and choose OK.
These changes will take effect after the next Group Policy update on the client, or the next time the userlogs in.
Single Sign-On for Firefox
To allow Mozilla Firefox browser to support single sign-on, add your access URL (e.g.,https://<alias>.awsapps.com) to the list of approved sites for single sign-on. This can be done manually,or automated with a script.
トピック• Manual Update for Single Sign-On (p. 107)• Automatic Update for Single Sign-On (p. 107)
Version 1.0106
AWS Directory Service 管理ガイドAWS マネジメントコンソール へのアクセスを有効にする
Manual Update for Single Sign-On
To manually add your access URL to the list of approved sites in Firefox, perform the following steps on theclient computer.
To manually add your access URL to the list of approved sites in Firefox
1. Open Firefox and open the about:config page.2. Open the network.negotiate-auth.trusted-uris preference and add your access URL to the
list of sites. Use a comma (,) to separate multiple entries.
Automatic Update for Single Sign-On
As a domain administrator, you can use a script to add your access URL to the Firefoxnetwork.negotiate-auth.trusted-uris user preference on all computers on your network. Formore information, go to https://support.mozilla.org/en-US/questions/939037.
AD 認証情報による AWS マネジメントコンソール へのアクセスを有効にするAWS Directory Service allows you to grant members of your directory access to the AWS マネジメントコンソール. By default, your directory members do not have access to any AWS resources. You assign IAMroles to your directory members to give them access to the various AWS services and resources. The IAMrole defines the services, resources, and level of access that your directory members have.
Before you can grant console access to your directory members, your directory must have an access URL.For more information about how to view directory details and get your access URL, see ディレクトリ情
Version 1.0107
AWS Directory Service 管理ガイドAWS マネジメントコンソール へのアクセスを有効にする
報の表示 (p. 95). For more information about how to create an access URL, see アクセス URL の作成 (p. 100).
For more information about how to create and assign IAM roles to your directory members, see AWS リソースへのユーザーおよびグループに対するアクセス権限の付与 (p. 95).
トピック• Enable AWS マネジメントコンソール Access (p. 108)• Disable AWS マネジメントコンソール Access (p. 108)• Set Login Session Length (p. 109)
Related AWS Security Blog Article
• How to Access the AWS マネジメントコンソール Using AWS Managed Microsoft AD and Your On-Premises Credentials
Enable AWS マネジメントコンソール AccessBy default, console access is not enabled for any directory. To enable console access for your directoryusers and groups, perform the following steps:
To enable console access
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. Under the AWS マネジメントコンソール section, choose Enable. Console access is now enabled for
your directory.
Before users can sign-in to the console with your access URL, you must first add your users to the role.For general information about assigning users to IAM roles, see ユーザーまたはグループを既存のロールへ割り当て (p. 97). After the IAM roles have been assigned, users can then access the consoleusing your access URL. For example, if your directory access URL is example-corp.awsapps.com, theURL to access the console is https://example-corp.awsapps.com/console/.
Disable AWS マネジメントコンソール AccessTo disable console access for your directory users and groups, perform the following steps:
To disable console access
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. Under the AWS マネジメントコンソール section, choose Disable. Console access is now disabled for
your directory.5. If any IAM roles have been assigned to users or groups in the directory, the Disable button may
be unavailable. In this case, you must remove all IAM role assignments for the directory beforeproceeding, including assignments for users or groups in your directory that have been deleted, whichwill show as Deleted User or Deleted Group.
After all IAM role assignments have been removed, repeat the steps above.
Version 1.0108
AWS Directory Service 管理ガイド追加ドメインコントローラーのデプロイ
Set Login Session LengthBy default, users have 1 hour to use their session after successfully signing in to the console before theyare logged out. After that, users must sign in again to start the next 1 hour session before being logged offagain. You can use the following procedure to change the length of time to up to 12 hours per session.
To set login session length
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. Under the AWS apps & services section, choose AWS Management Console.5. In the Manage Access to AWS Resource dialog box, choose Continue.6. In the Assign users and groups to IAM roles page, under Set login session length, edit the numbered
value, and then choose Save.
追加ドメインコントローラーのデプロイ追加のドメインコントローラーをデプロイすると、冗長性が高まり、その結果として耐障害性と可用性が高まります。また、Active Directory リクエストのサポート数が増え、ディレクトリのパフォーマンスが向上します。たとえば、AWS Managed Microsoft AD を使用して、Amazon EC2 および Amazon RDS forSQL Server インスタンスの大規模なフリートにデプロイされている複数の .NET アプリケーションをサポートできます。
ディレクトリの初回作成時に、AWS Managed Microsoft AD は複数のアベイラビリティーゾーンにまたがる 2 つのドメインコントローラーをデプロイすることで、高可用性を要件とする目的に対応します。後で、必要なドメインコントローラーの総数を指定するだけで、AWS Directory Service コンソールを介して追加のドメインコントローラーを簡単にデプロイできます。AWS Managed Microsoft AD は、ディレクトリが実行されているアベイラビリティーゾーンと VPC サブネットに追加のドメインコントローラーを分散させます。
たとえば、次の図で DC-1 と DC-2 はディレクトリで最初に作成された 2 つのドメインコントローラーを示しています。AWS Directory Service コンソールでは、これらのデフォルトのドメインコントローラーを必須として参照します。AWS Managed Microsoft AD では、ディレクトリの作成時に、この 2 つのドメインコントローラーを意図的に別個のアベイラビリティーゾーンに分散して配置します。後で、さらに 2つのドメインコントローラーを追加し、ログインのピーク時の認証負荷を分散する場合があります。DC-3と DC-4 は新しいドメインコントローラーです。コンソールでは、これらを追加として参照します。前と同じように、AWS Managed Microsoft AD では、新しいドメインコントローラーをそれぞれ異なるアベイラビリティーゾーンに自動的に配置し、ドメインの高可用性を確保します。
Version 1.0109
AWS Directory Service 管理ガイド追加ドメインコントローラーのデプロイ
このプロセスにより、ディレクトリデータのレプリケーション、日次の自動スナップショット、または追加のドメインコントローラーのモニタリングを手動で設定する必要がなくなります。独自の Active Directory インフラストラクチャをデプロイして維持する必要がないため、ミッションクリティカルな Active Directory 統合のワークロードを AWS クラウドに移行して実行することも容易になります。また、AWS Managed Microsoft AD の追加のドメインコントローラーは、UpdateNumberOfDomainControllers API を使用してデプロイまたは削除できます。
追加のドメインコントローラーの追加または削除AWS Managed Microsoft AD ディレクトリの追加のドメインコントローラーをデプロイまたは削除するには、以下の手順を使用します。
Note
LDAPS を有効にするように AWS Managed Microsoft AD を設定している場合は、追加のドメインコントローラーでも LDAPS が自動的に有効になります。詳細については、「セキュア LDAP(LDAPS) の有効化 (p. 28)」を参照してください。
追加のドメインコントローラーを追加または削除するには
1. AWS Directory Service console ナビゲーションペインで [Directories] を選択します。2. [ディレクトリ] ページで、ディレクトリ ID を選択します。3. [ディレクトリの詳細] ページで、[Scale (スケール)] タブを選択します。4. [ドメインコントローラ] セクションで、[編集] を選択します。
Version 1.0110
AWS Directory Service 管理ガイドAD から AWS Managed Microsoft AD へのユーザーの移行
5. ディレクトリに対して追加または削除するドメインコントローラーの数を指定し、[変更] を選択します。
6. AWS Managed Microsoft AD でデプロイプロセスが完了すると、すべてのドメインコントローラーのステータスがアクティブになり、割り当て先のアベイラビリティーゾーンと VPC サブネットの両方が表示されます。新しいドメインコントローラーは、ディレクトリがデプロイ済みのアベイラビリティーゾーンとサブネットに均等に分散されます。
Note
追加のドメインコントローラーをデプロイした後で、ドメインコントローラーの数を 2 まで減らすことができます。これは、耐障害性と高可用性を確保するために必要な最小値です。
AWS セキュリティブログの関連記事
• ドメインコントローラーを追加して、AWS Managed Microsoft AD 用の AWS Directory Service の冗長性とパフォーマンスを高める方法
Active Directory から AWS Managed Microsoft AD へのユーザーの移行セルフマネージド型 AD から AWS Managed Microsoft AD ディレクトリにユーザーを移行するには、Active Directory 移行ツールキット (ADMT) とパスワードエクスポートサービス (PES) を使用します。これにより、ユーザーの AD オブジェクトと暗号化パスワードを簡単に移行できます。
詳細な手順については、『AWS セキュリティブログ』の「ADMT を使用してオンプレミスのドメインをAWS マネージド型の Microsoft AD に移行する方法」を参照してください。
AWS Managed Microsoft AD のベストプラクティス問題を回避し、AWS Managed Microsoft AD を最大限に活用するために考慮する必要のあるいくつかの提案とガイドラインを示します。
セットアップ: 前提条件ディレクトリを作成する前に、これらのガイドラインを検討してください。
Verify You Have the Right Directory TypeAWS Directory Service provides multiple ways to use Microsoft Active Directory with other AWS services.You can choose the directory service with the features you need at a cost that fits your budget:
• AWS Directory Service for Microsoft Active Directory is a feature-rich managed Microsoft Active Directoryhosted on the AWS cloud. AWS Managed Microsoft AD is your best choice if you have more than 5,000users and need a trust relationship set up between an AWS hosted directory and your on-premisesdirectories.
• AD Connector simply connects your existing on-premises Active Directory to AWS. AD Connector is yourbest choice when you want to use your existing on-premises directory with AWS services.
• Simple AD is an inexpensive Active Directory–compatible service with the common directory features.In most cases, Simple AD is the least expensive option and your best choice if you have 5,000 or fewerusers and don’t need the more advanced Microsoft Active Directory features.
For a more detailed comparison of AWS Directory Service options, see オプションの選択 (p. 1).
Version 1.0111
AWS Directory Service 管理ガイドセットアップ: 前提条件
Ensure Your VPCs and Instances are Configured CorrectlyIn order to connect to, manage, and use your directories, you must properly configure the VPCs thatthe directories are associated with. See either AWS Managed Microsoft AD の前提条件 (p. 10), ADConnector の前提条件 (p. 138), or Simple AD の前提条件 (p. 170) for information about the VPCsecurity and networking requirements.
If you are adding an instance to your domain, ensure that you have connectivity and remote access toyour instance as described in EC2 インスタンスを AWS Managed Microsoft AD ディレクトリに結合する (p. 51).
Be Aware of Your LimitsLearn about the various limits for your specific directory type. The available storage and the aggregatesize of your objects are the only limitations on the number of objects you may store in your directory. Seeeither AWS Managed Microsoft AD の制限 (p. 116), AD Connector の制限 (p. 164), or Simple AD の制限 (p. 212) for details about your chosen directory.
ディレクトリの AWS セキュリティグループの設定と使用について理解するAWS は、セキュリティグループを作成し、それをディレクトリのドメインコントローラーの ElasticNetwork Interface にアタッチします。このセキュリティグループは、ドメインコントローラーへの不要なトラフィックをブロックし、Active Directory の通信に必要なトラフィックを許可します。AWS では、Active Directory の通信に必要なポートのみを開くようにセキュリティグループを設定します。デフォルト設定では、セキュリティグループは、これらのポートに対する任意の IP アドレスからのトラフィックを受け入れます。AWS では、ユーザーの VPC、ピアリングされた VPC、またはサイズ変更した VPCからアクセスできるドメインコントローラーのインターフェイスにセキュリティグループをアタッチします。これらのインターフェイスにインターネットからアクセスすることはできません (ルーティングテーブルを変更しても、VPC へのネットワーク接続を変更しても、NAT ゲートウェイサービスを設定してもアクセスできません)。そのため、VPC へのネットワークパスを持つインスタンスとコンピュータのみがディレクトリにアクセスできます。これにより、特定のアドレス範囲を設定する必要がないため、セットアップが簡素化されます。代わりに、信頼できるインスタンスやコンピュータからのトラフィックのみを許可するルートやセキュリティグループを VPC 内に設定します。
ディレクトリのセキュリティグループを変更するディレクトリのセキュリティを強化する場合は、セキュリティグループで許可するトラフィックの送信元IP アドレスのリストを絞り込みます。たとえば、許可するアドレスを 0.0.0.0/0 から 単一のサブネットやコンピュータ別の CIDR 範囲に変更できます。同様に、ドメインコントローラーが通信する送信先アドレスを制限することもできます。このような変更を行うのは、セキュリティグループのフィルタリング機能を完全に理解している場合に限ります。詳細については、Amazon EC2 ユーザーガイドの「Linux インスタンスの Amazon EC2 セキュリティグループ」を参照してください。不適切な変更を行うと、対象のコンピュータやインスタンスとの通信が失われる場合があります。追加のポートを開くと、ディレクトリのセキュリティが低下します。AWS は、追加のポートを開かないようお勧めします。「AWS の責任共有モデル」をよくお読みください。
Warning
ディレクトリで使用するセキュリティグループを、ユーザーが作成した他の EC2 インスタンスと関連付けることは技術的には可能です。ただし、AWS では、この方法をお勧めしません。AWSでは、管理対象ディレクトリの機能上またはセキュリティ上のニーズに対処するために、予告なしにセキュリティグループを変更する場合があります。このような変更は、ユーザーがディレクトリのセキュリティグループを関連付けるインスタンスに影響します。さらに、ディレクトリのセキュリティグループを EC2 インスタンスに関連付けると、EC2 インスタンスのセキュリティリスクが発生する可能性があります。ディレクトリのセキュリティグループは、必要な ActiveDirectory ポートで任意の IP アドレスからのトラフィックを許可します。このセキュリティグ
Version 1.0112
AWS Directory Service 管理ガイドセットアップ: ディレクトリの作成
ループを関連付ける EC2 インスタンスにインターネットにアタッチされたパブリック IP アドレスがあると、開いているポートでインターネット上の任意のコンピュータが EC2 インスタンスと通信できます。
セットアップ: ディレクトリの作成ディレクトリを作成する際に考慮するべき提案をいくつか示します。
お客様の管理者 ID とパスワードを忘れないでくださいディレクトリをセットアップするときに、管理者アカウントのパスワードを指定します。AWS ManagedMicrosoft AD のアカウント ID は Admin です。このアカウント用に作成したパスワードを忘れないでください。そうでないと、ディレクトリにオブジェクトを追加できません。
DHCP オプションセットの作成AWS Directory Service ディレクトリの DHCP オプションセットを作成し、ディレクトリが含まれているVPC にこの DHCP オプションセットを割り当てることをお勧めします。このようにすると、その VPC 内のインスタンスは、指定されたドメインを参照し、DNS サーバーはドメイン名を解決できます。
DHCP セットの詳細については、「DHCP オプションセットの作成 (p. 63)」を参照してください。
追加ドメインコントローラーのデプロイデフォルトでは、AWS は別々のアベイラビリティーゾーンに存在する 2 つのドメインコントローラーを作成します。これにより、ソフトウェアのパッチ適用など、1 つのドメインコントローラーが到達不能または利用不可になる可能性があるイベント中の耐障害性が提供されます。耐障害性をさらに高め、ドメインコントローラーまたはアベイラビリティーゾーンへのアクセスに影響する長期的なイベントの発生時にパフォーマンスが確実に拡大されるように、追加のドメインコントローラーをデプロイすることをお勧めします。
詳細については、「Windows DC Locator Service を使用する (p. 115)」を参照してください。
AWS アプリケーションのユーザー名の制限を理解するAWS Directory Service は、ユーザー名の作成に使用できるほとんどの文字形式をサポートしています。ただし、AWS アプリケーション (例: Amazon WorkSpaces、Amazon WorkDocs、AmazonWorkMail、Amazon QuickSight) へのサインインに使用されるユーザー名には、文字制限が適用されます。これらの制限により、以下の文字は使用できません。
• スペース• !"#$%&'()*+,/:;<=>?@[\]^`{|}~
Note
@ 記号は、UPN サフィックスが後に続く場合に限り、使用できます。
ディレクトリの使用ここでは、ディレクトリを使用する場合に、心に留めておくべき推奨事項をいくつか示します。
事前定義されたユーザー、グループ、組織単位を変更しないAWS Directory Service を使用して、ディレクトリを起動する場合、AWS は、ディレクトリのオブジェクトがすべて含まれているの組織単位 (OU) を作成します。この OU はドメインルートにあります。OU には
Version 1.0113
AWS Directory Service 管理ガイドディレクトリの管理
ディレクトリを作成する際に入力した NetBIOS 名があります。ドメインルートは AWS が所有し、管理します。いくつかのグループと管理ユーザーも作成されます。
これらの事前定義されたオブジェクトを移動、削除、または他の方法で変更しないでください。これにより、自分と AWS の両方でディレクトリにアクセスできなくなります。詳細については、「作成されるファイル (p. 13)」を参照してください。
自動的にドメインを結合するAWS Directory Service ドメインの一部となる Windows インスタンスを起動する場合は、手動で後からインスタンスを追加するより、インスタンスの一部としてドメインを結合するほうが、多くの場合は簡単です。自動的にドメインを結合するには、新しいインスタンスを起動するときに、単にドメイン結合ディレクトリの適切なディレクトリを選択します。詳細は、「Windows EC2 インスタンスをシームレスに結合する (p. 51)」にあります。
信頼を正しく設定するAWS Managed Microsoft AD ディレクトリと別のディレクトリとの信頼関係を設定する場合は、以下のガイドラインに注意してください。
• 両方の信頼がフォレスト信頼である必要があります。• 両方の完全修飾ドメイン名 (FQDN) は一意である必要があります。• NetBIOS 名を追加する場合も、一意であることも必要です。
信頼関係の設定の手順の詳細については、「信頼関係を作成する場合 (p. 68)」を参照してください。
ディレクトリの管理ディレクトリを管理するためのこれらの提案を考慮します。
スキーマ拡張を慎重に計画する重要かつ頻繁なクエリ用にディレクトリへのインデックス付けを行う場合、そのためのスキーマ拡張は慎重に適用します。ディレクトリへのインデックス付けが過剰になると、インデックスによるディレクトリ領域の消費や、インデックス付けされた値の急な変更により、パフォーマンスの問題が発生する可能性があるためです。インデックス付けを行うには、Lightweight Directory Access Protocol (LDAP) DirectoryInterchange Format (LDIF) ファイルを作成し、スキーマ拡張を行う必要があります。詳細については、「スキーマを拡張する (p. 87)」を参照してください。
ロードバランサーについてAWS Managed Microsoft AD エンドポイントの前にロードバランサーを使用しないでください。Microsoftの Active Directory (AD) は、外部ロードバランシングを使用せずに応答性の最も高い運用中の DC を検出する、ドメインコントローラー (DC) 探索アルゴリズムと共に使用するように設計されています。外部network load balancerによるアクティブな DC の検出は正確でない場合があり、実行中であっても使用できない DC にアプリケーションが割り当てられることがあります。詳細については、Microsoft TechNet の「ロードバランサーと Active Directory」を参照してください。このページでは、外部ロードバランサーを実装するのではなく、AD を正しく使用するようにアプリケーションを修正することを推奨しています。
インスタンスのバックアップの作成インスタンスを既存の AWS Directory Service ドメインに手動で追加する場合は、最初にそのインスタンスのバックアップまたはスナップショットを作成してください。これは Linux インスタンスを結合する場合には、特に重要です。インスタンスを追加するための手順は、正しく実行しないと、インスタンスに到
Version 1.0114
AWS Directory Service 管理ガイドアプリケーションのプログラミング
達できなくなったり、使用できなくなるがあります。詳細については、「ディレクトリのスナップショットまたは復元 (p. 94)」を参照してください。
SNS メッセージングの設定Amazon Simple Notification Service (Amazon SNS) を使用して、ディレクトリのステータスが変更されたときにメールまたはテキストメッセージ (SMS) を受信することができます。ディレクトリのステータスが[Active] から [Impaired] または [Inoperable] に変わると、通知が送信されます。ディレクトリが Active ステータスが返した時も通知を受け取ります。
また、AWS Directory Service からメッセージを受け取る SNS トピックがある場合は、Amazon SNSコンソールからトピックを削除する前に、ディレクトリに別の SNS トピックを関連付ける必要があることに注意してください。そうしないと、重要なディレクトリステータスメッセージを失う恐れがあります。Amazon SNS をセットアップする方法については、「ディレクトリステータス通知を設定する (p. 38)」を参照してください。
ディレクトリを削除する前に Amazon エンタープライズアプリケーションを削除する1 つ以上の Amazon エンタープライズアプリケーション (例: Amazon WorkSpaces、Amazon WorkSpacesApplication Manager、Amazon WorkDocs、Amazon WorkMail、AWS マネジメントコンソール、AmazonRelational Database Service (Amazon RDS)) に関連付けられているディレクトリを削除する前に、まず各アプリケーションを削除する必要があります。これらのアプリケーションを削除する方法の詳細については、「ディレクトリの削除 (p. 92)」を参照してください。
アプリケーションのプログラミングアプリケーションをプログラミングする前に、以下の点を考慮します。
Windows DC Locator Service を使用するアプリケーションの開発時、ドメインコントローラー (DC) の探索には、Windows DC Locator Service を使用するか、AWS Managed Microsoft AD の Dynamic DNS (DDNS) サービスを使用するようにします。アプリケーションを DC のアドレスでハードコードしないでください。DC Locator Service では、ディレクトリの負荷を分散できるだけでなく、デプロイにドメインコントローラーの追加によりスケールイン/アウトを活用できます。アプリケーションを固定 DC にバインドした場合、その DC がパッチ適用または復旧を行うと、アプリケーションは残りのいずれかの DC を使用する代わりに、DC へのアクセスを失います。さらに、DC をハードコードすると、1 つの DC にホットスポットが発生する可能性があります。重大な問題な場合、ホットスポットが原因で DC が応答しなくなる可能性があります。このような場合、AWSのディレクトリオートメーション機能によりディレクトリに障害発生済みフラグが付けられ、応答しないDC を置き換える復旧プロセスがトリガーされる可能性があります。
本番稼働用環境にロールアウトする前の負荷テスト本番稼働用環境のワークロードを表すオブジェクトとリクエストを使用してラボテストを行い、ディレクトリがアプリケーションの負荷に合わせてスケールされることを確認します。追加のキャパシティーが必要な場合は、DC 間でリクエストを分散しながら追加の DC でテストします。詳細については、「追加ドメインコントローラーのデプロイ (p. 109)」を参照してください。
効率的な LDAP クエリを使用する何万個ものオブジェクトにまたがるドメインコントローラーへの広範な LDAP クエリにより、1 つの DCで大量の CPU サイクルが消費されて、ホットスポットが発生することがあります。これは、クエリ中に同じ DC を共有するアプリケーションに影響を与える可能性があります。
Version 1.0115
AWS Directory Service 管理ガイド制限
AWS Managed Microsoft AD の制限次に示しているのは、AWS Managed Microsoft AD のデフォルトの制限です。特に明記されていない限り、制限はリージョンごとに存在します。
AWS Managed Microsoft AD の制限
リソース デフォルトの制限
AWS Managed Microsoft AD ディレクトリ 10
手動スナップショット * 5/AWS Managed Microsoft AD
ディレクトリあたりのドメインコントローラーの最大数
20
* 手動スナップショット制限は変更できません。
Note
AWS Elastic Network Interface (ENI) にパブリック IP アドレスをアタッチすることはできません。
アプリケーションの設計と負荷分散については、「アプリケーションのプログラミング (p. 115)」を参照してください。
ストレージとオブジェクトの制限については、「AWS Directory Service 料金表」ページの「比較表」を参照してください。
Increase Your LimitPerform the following steps to increase your limit for a region.
To request a limit increase for a region
1. Go to the AWS Support Center page, sign in, if necessary, and click Open a new case.2. Under Regarding, select Service Limit Increase.3. Under Limit Type, select AWS Directory Service.4. Fill in all of the necessary fields in the form and click the button at the bottom of the page for your
desired method of contact.
AWS Managed Microsoft AD のアプリケーションの互換性ポリシー
AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) は多数の AWS のサービスおよびサードパーティーアプリケーションと互換性があります。
以下に示しているのは、AWS の互換性のあるアプリケーションとサービスのリストです。
• Amazon Chime - 詳細な手順については、「Active Directory に接続する」を参照してください。• Amazon Connect - 詳細については、「Amazon Connect の仕組み」を参照してください。
Version 1.0116
AWS Directory Service 管理ガイド互換性に関するガイドライン
• Amazon EC2 – 詳細については、「EC2 インスタンスを AWS Managed Microsoft AD ディレクトリに結合する (p. 51)」を参照してください。
• Amazon FSx for Windows ファイルサーバー - 詳細については、「Amazon FSx for Windows ファイルサーバー とは」を参照してください。
• AWS マネジメントコンソール – 詳細については、「AD 認証情報による AWS マネジメントコンソールへのアクセスを有効にする (p. 107)」を参照してください。
• Amazon QuickSight - 詳細については、「Amazon QuickSight エンタープライズエディションでのユーザーアカウントの管理」を参照してください。
• Amazon RDS for SQL Server - 詳細については、「Microsoft SQL Server DB インスタンスでのWindows 認証の使用」を参照してください。
• AWS シングルサインオン - 詳細な手順については、「AWS SSO をオンプレミス Active Directory に接続する」を参照してください。
• Amazon WorkDocs - 詳細な手順については、「AWS Managed Microsoft AD を使用してオンプレミスディレクトリに接続する」を参照してください。
• Amazon WorkMail - 詳細な手順については、「Amazon WorkMail を既存のディレクトリと統合する (標準セットアップ)」を参照してください。
• Amazon WorkSpaces - 詳細な手順については、「AWS Managed Microsoft AD を使用して WorkSpaceを起動する」を参照してください。
Active Directory を使用するカスタムおよび市販の既製アプリケーションは多数あるため、AWS は、AWSDirectory Service for Microsoft Active Directory (AWS Managed Microsoft AD) とのサードパーティーアプリケーションの互換性を正式と広範のどちらにも検証できません。お客様側でアプリケーションのインストールに関する問題が発生した場合、AWS はお客様と協力して問題の解決に努めますが、AWS ManagedMicrosoft AD とのアプリケーションの現時点および将来の互換性は保証できません。
以下のサードパーティーアプリケーションは AWS Managed Microsoft AD と互換性があります。
• Active Directory フェデレーションサービス(AD FS)• Application Server (.NET)• Azure Active Directory (AD) Connect• Enterprise Certificate Authority• Remote Desktop Licensing Manager• SharePoint Server• SQL Server (Always On 可用性グループを含む)• System Center Configuration Manager (SCCM) - SCCM をデプロイするユーザーは、AWS が委任したシ
ステム管理者グループのメンバーである必要があります。
これらのアプリケーションのすべての設定がサポートされているわけではありません。
互換性に関するガイドラインアプリケーションには互換性のない設定が含まれていることがありますが、多くの場合、アプリケーションのデプロイ設定により非互換性を解決できます。以下に示しているのは、アプリケーションの非互換性の最も一般的な原因です。お客様はこの情報を使用して、目的のアプリケーションの互換性の特性を調べ、考えられるデプロイの変更を特定できます。
• ドメイン管理者アクセス権限などの特権付与済みアクセス権限 - 一部のアプリケーションでは、ドメイン管理者としてインストールする必要があります。AWS は、Active Directory をマネージド型サービスとして提供するために、このアクセス許可レベルの排他的な制御を保持する必要があるので、お客様はドメイン管理者として、そのようなアプリケーションをインストールすることはできません。ただし、付与済み特権の少ない AWS 対応の特定のアクセス許可をインストール者に委任することで、そのようなアプリケーションをインストールすることはできます。アプリケーションに必要な正確なアクセス権
Version 1.0117
AWS Directory Service 管理ガイド互換性のない既知のアプリケーション
限の詳細については、アプリケーションプロバイダーにお問い合わせください。AWS で委任できるアクセス許可の詳細については、「作成されるファイル (p. 13)」を参照してください。
• 特権付与済み Active Directory コンテナへのアクセス - ディレクトリ内では、お客様に完全な管理権限のある組織単位 (OU) が AWS Managed Microsoft AD から提供されます。Active Directory ツリー内でそのOU よりも上位にあるコンテナに対しては、作成または書き込みアクセス権限がなく、場合によっては読み取りアクセス権限もありません。お客様にアクセス権限のないコンテナを作成したりそれらにアクセスしたりするアプリケーションは機能しない可能性があります。ただし、そのようなアプリケーションは、お客様の OU 内で作成したコンテナを代替として使用できる場合があります。お客様の OU 内のコンテナを代替として作成して使用する方法については、アプリケーションのプロバイダーに確認してください。OU の管理の詳細については、「AWS Managed Microsoft AD を管理する方法 (p. 22)」を参照してください。
• インストールワークフロー中のスキーマの変更 - 一部の Active Directory アプリケーションは、デフォルトの Active Directory スキーマを変更する必要があり、アプリケーションのインストールワークフロー中にそのような変更を試みる場合があります。スキーマ拡張の特権上、AWS でこのような変更を行うには、AWS Directory Service コンソール、CLI、または SDK を使用して Lightweight DirectoryInterchange Format (LDIF) ファイルをインポートするしかありません。そのようなアプリケーションには多くの場合、AWS Directory Service スキーマの更新プロセスを通じてディレクトリに適用できるLDIF ファイルが付属しています。LDIF のインポートプロセスの詳細については、「チュートリアル:AWS Managed Microsoft AD スキーマの拡張 (p. 87)」を参照してください。インストールプロセス中にスキーマのインストールをバイパスすれば、アプリケーションをインストールできます。
互換性のない既知のアプリケーション以下に示しているのは、問い合わせの多い市販の既製アプリケーションのうち、AWS Managed MicrosoftAD で機能する設定を確認できていないアプリケーションです。AWS は、お客様の参考目的に限り、このリストを独自の裁量で随時更新しています。また、AWS では、現時点または将来の互換性に関する保証や苦情がないものとして、この情報を提供しています。
• Microsoft Exchange
AWS Managed Microsoft AD テストラボのチュートリアル
このセクションでは、AWS Managed Microsoft AD を実験できるテストラボ環境を AWS で設定するためのチュートリアルガイドを提供します。
トピック• チュートリアル: AWS で AWS Managed Microsoft AD の基本的なテストラボをセットアップす
る (p. 118)• チュートリアル: Amazon EC2 にインストールされたセルフマネージド型 Active Directory に対する
AWS Managed Microsoft AD からの信頼の作成 (p. 127)
チュートリアル: AWS で AWS Managed Microsoft ADの基本的なテストラボをセットアップするこのチュートリアルでは、新しい AWS Managed Microsoft AD をインストールして Windows Server 2016で新しい EC2 インスタンスを実行するために、AWS 環境をセットアップして準備する方法について説明します。さらに、一般的な Active Directory 管理ツールを使用して Windows システムから AWS ManagedMicrosoft AD 環境を管理する方法についても説明します。チュートリアルを終了した時点で、ネットワークの前提条件のセットアップと、新しい AWS Managed Microsoft AD フォレストの設定が完了します。
Version 1.0118
AWS Directory Service 管理ガイドチュートリアル: AWS Managed Microsoft AD
の基本的なテストラボをセットアップする
次の図に示すように、このチュートリアルで作成するラボは、AWS Managed Microsoft AD に関する実践学習の土台となります。後でオプションのチュートリアルを追加し、実践経験を積むことができます。このチュートリアルシリーズは、AWS Managed Microsoft AD を初めて利用し、評価目的でテストラボを試すユーザーに最適です。チュートリアルの所要時間は約 1 時間です。
ステップ 1: AWS AWS Managed Microsoft AD 環境をセットアップする (p. 120)
前提条件のタスクを完了したら、EC2 インスタンスで VPC を作成して設定します。ステップ 2: AWS Managed Microsoft AD ディレクトリを AWS に作成する (p. 122)
このステップでは、初めて AWS で AWS Managed Microsoft AD をセットアップします。ステップ 3: EC2 インスタンスをデプロイして AWS Managed Microsoft AD を管理する (p. 123)
このステップでは、クライアントコンピュータから新しいドメインに接続し、EC2 で WindowsServer システムをセットアップするために必要なデプロイ後の各種タスクを示します。
ステップ 4: 基本的なテストラボが正常に機能することを確認する (p. 126)
最後に、管理者として、EC2 で Windows Server システムから AWS Managed Microsoft AD にログインして接続できることを検証します。ラボが正常に機能することをテストしたら、他のテストラボのガイドモジュールを追加して続行できます。
前提条件このチュートリアルで UI 手順のみを使用してテストラボを作成する場合は、この前提条件のセクションにスキップして、ステップ 1 に進むことができます。ただし、AWS CLI コマンドまたは AWS Tools forWindows PowerShell モジュールを使用してテストラボ環境を作成する場合は、最初に以下の設定が必要になります。
Version 1.0119
AWS Directory Service 管理ガイドチュートリアル: AWS Managed Microsoft AD
の基本的なテストラボをセットアップする
• アクセス権とシークレットアクセスキーを持つ IAM ユーザー – AWS CLI または AWS Tools forWindows PowerShell モジュールを使用する場合は、アクセスキーを持つ IAM ユーザーが必要です。アクセスキーがない場合は、「アクセスキーの作成、修正、および表示 (AWS マネジメントコンソール)」を参照してください。
• AWS Command Line Interface (オプション) – AWS CLI をダウンロードして Windows にインストールします。インストール後に、コマンドプロンプトウィンドウまたは Windows PowerShell ウィンドウを開き、「aws configure」 と入力します。このセットアップを完了するには、アクセスキーとシークレットキーが必要なことに注意してください。必要な手順については最初の前提条件を参照してください。以下を指定することを求められます。• AWS アクセスキー ID [None]: AKIAIOSFODNN7EXAMPLE• AWS シークレットアクセスキー [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY• デフォルトリージョン名 [None]: us-west-2• デフォルト出力形式 [None]: json
• AWS Tools for Windows PowerShell (オプション) – 最新バージョンの AWS Tools for WindowsPowerShell を https://aws.amazon.com/powershell/ からダウンロードしてインストールし、以下のコマンドを実行します。このセットアップを完了するには、アクセスキーとシークレットキーが必要なことに注意してください。必要な手順については最初の前提条件を参照してください。
Set-AWSCredentials -AccessKey {AKIAIOSFODNN7EXAMPLE} -SecretKey{wJalrXUtnFEMI/K7MDENG/ bPxRfiCYEXAMPLEKEY} -StoreAs {default}
ステップ 1: AWS AWS Managed Microsoft AD 環境をセットアップするAWS テストラボで AWS Managed Microsoft AD を作成する前に、Amazon EC2 キーペアをセットアップし、すべてのログインデータを暗号化する必要があります。
キーペアの作成
既存のキーペアがある場合は、このステップを省略できます。Amazon EC2 キーペアの詳細については、http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html を参照してください。
キーペアを作成するには
1. AWS マネジメントコンソールにサインインをしたあと、https://console.aws.amazon.com/ec2/ にあるAmazon EC2 コンソールを開きます。
2. ナビゲーションペインの [Network & Security] で、[Key Pairs]、[Create Key Pair] の順に選択します。3. キーペアの名前に「AWS-DS-KP」と入力し、[Create] を選択します。4. ブラウザによって秘密キーファイルが自動的にダウンロードされます。ファイル名は、キーペアを作
成したときに指定した名前で、拡張子は .pem となります。プライベートキーファイルを安全な場所に保存します。
Important
これは、プライベートキーを保存する唯一のチャンスです。インスタンスの起動時にキーペア名を指定し、インスタンスのパスワードを復号するたびに対応するプライベートキーを指定する必要があります。
VPC を作成する
この手順では AWS CloudFormation テンプレートを使用して VPC ネットワークを作成します。このテンプレートの機能の詳細については、Amazon VPC クイックスタートガイドを参照してください。このチュートリアルでは、パブリック VPC を設定します。ただし、VPC へのネットワークパスを Amazon
Version 1.0120
AWS Directory Service 管理ガイドチュートリアル: AWS Managed Microsoft AD
の基本的なテストラボをセットアップする
Direct Connect または仮想プライベートネットワーク (VPN) 接続で作成する場合は、プライベート VPCを設定できます。
デフォルトの VPC (172.31.0.0/16) を使用する場合は、次のセクションに進むことができます。AWS CLIと PowerShell のすべての例では、カスタム VPC 情報を使用します。詳細については、Amazon VirtualPrivate Cloud (Amazon VPC) を参照してください。
VPC を作成するには
1. AWS CloudFormation テンプレートを AWS アカウントに起動します。こちらをクリックしてアカウントにサインオンします。
テンプレートは、デフォルトで 米国西部 (オレゴン) リージョン リージョンで起動されます。リージョンを変更するには、ナビゲーションバーのリージョンセレクターを使用します。このスタックの作成所要時間は約 5 分です。
2. [Select Template] ページで、Amazon S3 テンプレート URL のデフォルト設定をそのままにし、[Next] を選択します。
3. [Specify Details] ページで、スタック名を [AWS-DS-VPC] に設定します。次に、以下の操作を実行します。
• [Availability Zone Configuration] で、該当地域の 2 つのゾーンを選択します。次に、[Number ofAvailability Zones] として [2] を選択します。
• [Network Configuration] で、[Create private subnets] を [false] に設定します。次に、[Createadditional private subnets with dedicated network ACLs] で [false] を選択します。
• [Amazon EC2 Configuration] で、[Key pair name] として「AWS-DS-KP」を設定するか、既存のキーペアを使用します。
4. 情報を確認し、[Next] を選択します。5. [Options] ページで、[Next] を選択します。6. [Review] ページで、[Create ] を選択します。
EC2 インスタンスのセキュリティグループを作成する
デフォルトでは、AWS Managed Microsoft AD はセキュリティグループが作成してドメインコントローラー間のトラフィックを管理します。この手順では、EC2 インスタンスで VPC 内のトラフィックを管理するためのセキュリティグループを作成します。また、任意の場所から着信する RDP (3389) を許可するためと、ローカル VPC から着信するすべてのトラフィックタイプに適用するためのルールも追加します。詳細については、「Windows インスタンスの Amazon EC2 セキュリティグループ」を参照してください。
EC2 インスタンスのセキュリティグループを作成するには
1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。2. [Security] で、[Security Groups] を選択します。3. [Create Security Group] を選択します。4. [Create Security Group] ダイアログボックスで、以下の値を指定します。
• [セキュリティグループ名] に「AWS DS RDP Security Group」と入力します。• [説明] に「AWS DS RDP Security Group」と入力します。• [VPC] で、AWS-DS-VPC で終わる VPC を選択します。
5. [Create (作成)] を選択します。6. [AWS DS RDP Security Group] を選択します。7. セキュリティグループのリストの下にある [インバウンドルール] を選択します。8. [ルールの編集]、[ルールの追加] の順に選択します。
Version 1.0121
AWS Directory Service 管理ガイドチュートリアル: AWS Managed Microsoft AD
の基本的なテストラボをセットアップする
9. テーブルに、以下の値を追加します。
• [Type] で [RDP (3389)] を選択します。• [Protocol] として [TCP (6)] と表示されていることを確認します。• [Port Range] として [3389] と表示されていることを確認します。• [Source] として、単一の IP アドレスまたは IP アドレス範囲を CIDR 表記で指定します (例:
203.0.113.5/32)。同じリージョン内の別のセキュリティグループの名前または ID を指定することもできます。この設定は、EC2 インスタンスに到達できるトラフィックを指定します。詳細については、「ディレクトリの AWS セキュリティグループの設定と使用について理解する (p. 112)」を参照してください。
10. [ルールの追加] を選択し、以下の値を指定します。
• [Type] として [All Traffic] を選択します。• [Protocol] として [All] と表示されていることを確認します。• [Port Range] として [All] と表示されていることを確認します。• [Source] に「10.0.0.0/16」と入力します。
11. [Save Rules (ルールの保存)] を選択します。
ステップ 2: AWS Managed Microsoft AD ディレクトリを AWSに作成するディレクトリは、3 つの異なる方法で作成できます。AWS マネジメントコンソール の手順 (このチュートリアルでの推奨) を使用するか、AWS CLI または AWS Tools for Windows PowerShell の手順を使用して、ディレクトリを作成します。
方法 1: AWS Managed Microsoft AD ディレクトリを作成するには (AWS マネジメントコンソール)
1. AWS Directory Service console ナビゲーションペインで、[ディレクトリ]、[Set up Directory (ディレクトリの設定)] の順に選択します。
2. [ディレクトリタイプの選択] ページで [AWS Managed Microsoft AD]、[次へ] の順に選択します。3. [ディレクトリ情報の入力] ページで、以下の情報を指定して [次へ] を選択します。
• [Edition (エディション)] で、[Standard Edition] または [Enterprise Edition] を選択します。エディションの詳細については、「AWS Directory Service for Microsoft Active Directory」を参照してください。
• [Directory DNS name] に「corp.example.com」と入力します。• [Directory NetBIOS name] に「corp」と入力します。• [Directory description] に「AWS DS Managed」と入力します。• [Admin password] に、このアカウントに使用するパスワードを入力し、[Confirm password] に同じ
パスワードを再度入力します。この 管理者アカウントは、ディレクトリの作成プロセス中に自動的に作成されます。パスワードには、「admin」という単語を使用できません。ディレクトリ管理者のパスワードは大文字と小文字が区別され、8~64 文字の長さにする必要があります。また、以下の 4 つのカテゴリうち 3 つから少なくとも 1 文字を含める必要があります。• 小文字 (a〜z)• 大文字 (A〜Z)• 番号 (0〜9)• アルファベット以外の文字 (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
4. [VPC とサブネットの選択] ページで、以下の情報を指定して [次へ] を選択します。
• [VPC] で、AWS-DS-VPC で始まり、(10.0.0.0/16) で終わるオプションを選択します。Version 1.0
122
AWS Directory Service 管理ガイドチュートリアル: AWS Managed Microsoft AD
の基本的なテストラボをセットアップする
• [Subnets] で、パブリックサブネットとして [10.0.128.0/20] と [10.0.144.0/20] を選択します。5. [確認と作成] ページでディレクトリ情報を確認し、必要に応じて変更を加えます。情報が正しい場合
は、[Create directory (ディレクトリの作成)] を選択します。ディレクトリの作成所要時間は 20〜40分です。作成が完了すると、[Status] 値が [Active] に変わります。
方法 2: AWS Managed Microsoft AD を作成するには (Windows PowerShell) (オプション)
1. Windows PowerShell を開きます。2. 次のコマンドを入力します.前の AWS マネジメントコンソール 手順のステップ 4 で指定した値を必ず
使用します。
New-DSMicrosoftAD -Name corp.example.com –ShortName corp –PasswordP@ssw0rd –Description “AWS DS Managed” - VpcSettings_VpcId vpc-xxxxxxxx -VpcSettings_SubnetId subnet-xxxxxxxx, subnet-xxxxxxxx
方法 3: AWS Managed Microsoft AD ディレクトリを作成するには (AWS CLI) (オプション)
1. AWS CLI を開きます。2. 次のコマンドを入力します。前の AWS マネジメントコンソール 手順のステップ 4 で指定した値を必
ず使用します。
aws ds create-microsoft-ad --name corp.example.com --short-name corp --password P@ssw0rd --description "AWS DS Managed" --vpc-settings VpcId= vpc-xxxxxxxx,SubnetIds= subnet-xxxxxxxx, subnet-xxxxxxxx
ステップ 3: EC2 インスタンスをデプロイして AWS ManagedMicrosoft AD を管理するこのラボでは、パブリック IP アドレスを持つ EC2 インスタンスを使用し、任意の場所から管理インスタンスに簡単にアクセスできるようにしています。本番稼働用の設定では、プライベート VPC 内のインスタンスを使用し、VPN または Amazon Direct Connect リンク経由のアクセスに限定できます。インスタンスでパブリック IP アドレスを使用することは必須条件ではありません。
このセクションでは、新しい EC2 インスタンスで Windows Server を使用し、クライアントコンピュータからドメインに接続するために必要なデプロイ後の各種タスクを示します。次のステップでは、WindowsServer を使用し、ラボが正常に機能することを確認します。
ディレクトリの DHCP オプションセットを作成するこの手順では、DHCP オプションの範囲を設定し、VPC 内の EC2 インスタンスで DNS 解決に AWSManaged Microsoft AD を自動的に利用できるようにします。詳細については、「DHCP オプションセット」を参照してください。
ディレクトリの DHCP オプションセットを作成するには
1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。2. ナビゲーションペインで [DHCP Options Sets] を選択し、[Create DHCP options set] を選択します。3. [Create DHCP options set (DHCP オプションセットの作成)] ページで、ディレクトリに以下の値を指
定します。
• [Name (名前)] に、「AWS DS DHCP」と入力します。• [Domain Name] に、「corp.example.com」と入力します。• [Domain name servers] として、AWS が提供するディレクトリの DNS サーバーの IP アドレスを入
力します。
Version 1.0123
AWS Directory Service 管理ガイドチュートリアル: AWS Managed Microsoft AD
の基本的なテストラボをセットアップする
Note
これらのアドレスを見つけるには、AWS Directory Service の [Directories (ディレクトリ)]ページに移動し、該当するディレクトリ ID を選択します。次に、[Details (詳細)] ページで、[DNS address (DNS アドレス)] に表示されている IP アドレスを特定して使用します。
• [NTP servers]、[NetBIOS name servers]、[NetBIOS node type] は空白のままにします。4. [Create DHCP options set (DHCP オプションセットの作成)] を選択し、次に [Close (閉じる)] を選択
します。新しい DHCP オプションのセットが DHCP オプションの一覧に表示されます。5. 新しい DHCP オプションセットの ID (dopt-xxxxxxxx) を書き留めます。この ID は、この手順の最後
で新しいオプションセットを VPC と関連付けるときに使用します。6. 6.ナビゲーションペインで、[Your VPCs] を選択します。7. 7.VPCのリストで、[AWS DS VPC] を選択し、[Actions (アクション)]、[Edit DHCP Options Set
(DHCP オプションセットの編集)] の順に選択します。8. [Edit DHCP options set (DHCP オプションセットの編集)] ページで、ステップ 5 で書き留めたオプ
ションセットを選択し、[Save (保存)] を選択します。
Windows インスタンスを AWS Managed Microsoft AD ドメインに結合するためのロールを作成する
この手順では、EC2 Windows インスタンスをドメインに結合するためのロールを設定します。詳細については、Windows インスタンスの Amazon EC2 ユーザーガイドの Windows EC2 インスタンスをシームレスに結合するを参照してください。
Windows インスタンスをドメインに結合するように EC2 を設定するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. IAM コンソールのナビゲーションペインで、[Roles]、[Create role] の順に選択します。3. [信頼されたエンティティの種類を選択] で、[AWS のサービス] を選択します。4. [Choose the service that will use this role (このロールを使用するサービスを選択)] のすぐ下で、
[EC2]、[Next: Permissions (次の手順: アクセス許可)] を選択します。5. [Attached permissions policy (アタッチされているアクセス権限ポリシー)] ページで、以下の操作を行
います。
• [AmazonSSMManagedInstanceCore] 管理ポリシーの横にあるボックスを選択します。このポリシーでは、Systems Manager サービスを使用するために必要な最小限のアクセス許可が付与されます。
• [AmazonSSMDirectoryServiceAccess] 管理ポリシーの横にあるチェックボックスをオンにします。このポリシーでは、AWS Directory Service によって管理されている Active Directory にインスタンスを結合するアクセス許可が付与されします。
これらの管理ポリシーおよび Systems Manager の IAM のインスタンスプロファイルに追加できる他のポリシーの詳細については、AWS Systems Manager ユーザーガイドの Systems Manager の IAMインスタンスプロファイルの作成を参照してください。管理ポリシーの詳細については、IAM ユーザーガイドにある AWS 管理ポリシー を参照してください。
6. [次へ: タグ] を選択します。7. (オプション) 1 つ以上のタグ/値ペアを追加して、このロールのアクセスを整理、追跡、または制御
し、[Next: Review (次の手順: アクセス許可)] を選択します。8. [Role name (ロール名)] には、「EC2DomainJoin」 など、インスタンスをドメインに結合させるため
に使用されることがわかるような名前を入力します。9. (オプション) [ロールの説明] に、説明を入力します。10. [ロールの作成] を選択します。システムでは、[Roles] ページが返されます。
Version 1.0124
AWS Directory Service 管理ガイドチュートリアル: AWS Managed Microsoft AD
の基本的なテストラボをセットアップする
EC2 インスタンスを作成し、自動的にディレクトリを結合する
この手順では、Amazon EC2 で Windows Server システムをセットアップし、後で Active Directory でユーザー、グループ、ポリシーを管理できるようにします。
EC2 インスタンスを作成し、自動的にディレクトリを結合するには
1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。2. [インスタンスの作成] を選択します。3. [Step 1] ページで、[Microsoft Windows Server 2016 Base - ami-xxxxxxxx] の横にある [Select] を選
択します。4. [Step 2] ページで、[t2.micro] を選択します (これより大きいタイプも選択できます)。次に、[Next:
Configure Instance Details] を選択します。5. [Step 3] ページで、以下の操作を行います。
• [Network] で、AWS-DS-VPC で終わる VPC を選択します (例: vpc-xxxxxxxx | AWS-DS-VPC)。• [Subnet] で、[Public subnet 1] として設定済みの優先アベイラビリティーゾーンを選択します (例:
subnet-xxxxxxxx | Public subnet1 | us-west-2a)。• [Auto-assign Public IP] で、[Enable] を選択します (サブネットのデフォルト設定が [Enable] でない
場合)。• [Domain join directory] で、[corp.example.com (d-xxxxxxxxxx)] を選択します。• [IAM role (IAM ロール)] には、「EC2DomainJoin」など、Windows インスタンスを AWS Managed
Microsoft AD ドメインに結合するためのロールを作成する (p. 124) でインスタンスロールに付けた名前を選択します。
• 残りの設定はデフォルトのままにしておきます。• [次の手順: ストレージの追加] を選択します。
6. [Step 4] ページで、デフォルト設定を変更せずに、[Next: Add Tags] を選択します。7. [Step 5] ページで、[Add Tag] を選択します。[Key] に「corp.example.com-mgmt」と入力し、
[Next: Configure Security Group] を選択します。8. [Step 6] ページで、[Select an existing security group]、[AWS DS RDP Security Group]、[Review and
Launch] の順に選択し、インスタンスを確認します。9. [Step 7] ページで、ページの内容を確認し、[Launch] を選択します。10. [Select an existing key pair or create a new key pair] ダイアログボックスで、以下の操作を行います。
• [Choose an existing key pair] を選択します。
• [Select a key pair] で、[AWS-DS-KP] を選択します。• [I acknowledge...] チェックボックスをオンにします。• [Launch Instances] を選択します。
11. [View Instances] を選択して Amazon EC2 コンソールに戻り、デプロイのステータスを確認します。
EC2 インスタンスに Active Directory ツールをインストールする
Active Directory ドメイン管理ツールを EC2 インスタンスにインストールするには、2 つの方法があります。Server Manager UI (このチュートリアルでの推奨) または Windows PowerShell を使用できます。
Active Directory ツールを EC2 インスタンスにインストールするには (Server Manager)
1. Amazon EC2 コンソールで [Instances] を選択し、先ほど作成したインスタンスを選択して、[Connect] を選択します。
Version 1.0125
AWS Directory Service 管理ガイドチュートリアル: AWS Managed Microsoft AD
の基本的なテストラボをセットアップする
2. [Connect To Your Instance (インスタンスに接続)] ダイアログボックスで、まだ取得していない場合は [Get Password (パスワードを取得)] を選択してパスワードを取得し、続いて [Download RemoteDesktop File (リモートデスクトップファイルのダウンロード)]を選択します。
3. [Windows Security] ダイアログボックスで、Windows Server コンピュータのローカル管理者の認証情報 (「administrator」など) を入力してログインします。
4. [Start] メニューで、[Server Manager] を選択します。5. [Dashboard] で、[Add Roles and Features] をクリックします。6. [Add Roles and Features Wizard] で、[Next] をクリックします。7. [Select installation type] ページで、[Role-based or feature-based installation] を選択して、[Next] をク
リックします。8. [Select destination server] ページで、ローカルサーバーが選択されていることを確認し、[Next] を選
択します。9. [Select server roles] ページで、[Next] を選択します。10. [Select features] ページで、以下の操作を行います。
• [Group Policy Management] チェックボックスをオンにします。• [Remote Server Administration Tools]、[Role Administration Tools] の順に展開します。• [AD DS and AD LDS Tools] チェックボックスをオンにします。• [DNS Server Tools] チェックボックスをオンにします。• [Next] を選択します。
11. [Confirm installation selections] ページで、情報を確認し、[Install] を選択します。機能のインストールが完了すると、[スタート] メニューの [Windows 管理ツール] フォルダで、以下の新しいツールやスナップインが利用可能になります。
• Active Directory 管理センター• Active Directory ドメインと信頼関係• Windows PowerShell の Active Directory モジュール• Active Directory サイトとサービス• Active Directory ユーザーとコンピュータ• ADSI エディター• DNS• グループポリシーの管理
Active Directory ツールを EC2 インスタンスにインストールするには (Windows PowerShell) (オプション)
1. Windows PowerShell を起動します。2. 次のコマンドを入力します。
Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
ステップ 4: 基本的なテストラボが正常に機能することを確認する追加のテストラブのガイドモジュールを追加する前に、次の手順を使用して、テストラボが正常にセットアップされていることを確認します。この手順では、Windows Server が適切に設定されていること、corp.example.com ドメインに接続できること、および AWS Managed Microsoft AD フォレストを管理できることを確認します。
Version 1.0126
AWS Directory Service 管理ガイドチュートリアル: EC2 にインストールされたセルフマネージド型 AD に対する AWS
Managed Microsoft AD からの信頼を作成するテストラボが正常に機能することを確認するには
1. ローカル管理者としてログインした EC2 インスタンスからサインアウトします。2. Amazon EC2 コンソールに戻り、ナビゲーションペインの [Instances] を選択します。次に、作成した
インスタンスを選択します。接続を選択します。3. [Connect To Your Instance] ダイアログボックスで、[Download Remote Desktop File] を選択します。4. [Windows Security] ダイアログボックスで、CORP ドメインの管理者の認証情報 (「corp\admin」な
ど) を入力してログインします。5. ログインしたら、[スタート] メニューの [Windows 管理ツール] を選択し、[Active Directory ユーザー
とコンピュータ] を選択します。6. 新しいドメインと関連付けられたすべてのデフォルト OU およびアカウントで corp.example.com が
表示されます。[ドメインコントローラー] で、表示されているドメインコントローラーの名前が、このチュートリアルのステップ 2 で AWS Managed Microsoft AD を作成したときに自動作成されたものであることを確認します。
おめでとうございます。 AWS Managed Microsoft AD の基本的なテストラボ環境が設定されました。これで、シリーズの次のテストラボを追加する準備が整いました。
次のチュートリアル: チュートリアル: Amazon EC2 にインストールされたセルフマネージド型 ActiveDirectory に対する AWS Managed Microsoft AD からの信頼の作成 (p. 127)
チュートリアル: Amazon EC2 にインストールされたセルフマネージド型 Active Directory に対する AWSManaged Microsoft AD からの信頼の作成このチュートリアルでは、基本チュートリアル (p. 118)で作成した AWS Directory Service for MicrosoftActive Directory フォレストとの信頼を作成する方法について説明します。また、Amazon EC2 でWindows Server 上に新しいネイティブの Active Directory フォレストを作成する方法についても説明します。次の図に示すように、このチュートリアルで作成するラボは、完全な AWS Managed Microsoft AD テストラボのセットアップに必要な 2 番目の構成要素です。このテストラボを使用して、純粋なクラウドまたはハイブリッドクラウドベースの AWS ソリューションをテストできます。–
このチュートリアルは 1 回のみ作成する必要があります。その後は、経験を積む必要に応じてオプションのチュートリアルを追加できます。
Version 1.0127
AWS Directory Service 管理ガイドチュートリアル: EC2 にインストールされたセルフマネージド型 AD に対する AWS
Managed Microsoft AD からの信頼を作成する
ステップ 1: 信頼の環境をセットアップする (p. 128)
新しい Active Directory フォレストと基本チュートリアル (p. 118)で作成した AWS ManagedMicrosoft AD フォレストとの信頼を確立するには、Amazon EC2 環境の準備を整える必要があります。そのためには、まず Windows Server 2016 サーバーを作成して、このサーバーをドメインコントローラーに昇格させ、次に VPC を適切に設定します。
ステップ 2: 信頼を作成する (p. 131)
このステップでは、新規作成した Active Directory フォレスト (Amazon EC2 でホストされる) と AWSの AWS Managed Microsoft AD フォレストとの間に双方向のフォレストの信頼関係を作成します。
ステップ 3: 信頼を検証する (p. 132)
最後に、管理者として AWS Directory Service コンソールを使用し、新しい信頼が機能することを検証します。
ステップ 1: 信頼の環境をセットアップするこのセクションでは、Amazon EC2 環境をセットアップし、新しいフォレストをデプロイして、AWS との信頼に備えて VPC を設定します。
Windows Server 2016 EC2 インスタンスを作成するAmazon EC2 で Windows Server 2016 のメンバーサーバーを作成するには、以下の手順を使用します。
Windows Server 2016 EC2 インスタンスを作成するには
1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。2. Amazon EC2 コンソールで、[Launch Instance] を選択します。
Version 1.0128
AWS Directory Service 管理ガイドチュートリアル: EC2 にインストールされたセルフマネージド型 AD に対する AWS
Managed Microsoft AD からの信頼を作成する3. [Step 1] ページで、リストから [Microsoft Windows Server 2016 Base - ami-xxxxxxxx] を見つけま
す。続いて、[Select] を選択します。4. [Step 2] ページで、[t2.large]、[Next: Configure Instance Details] の順に選択します。5. [Step 3] ページで、以下の操作を行います。
• [Network] で、vpc-xxxxxxxx AWS-DS-VPC] (基本チュートリアル (p. 120)でセットアップ済み)を選択します。
• [Subnet] で、[subnet-xxxxxxxx | Public subnet2 | (YourAZ)] を選択します。• [Auto-assign Public IP] リストで、[Enable] を選択します (サブネットのデフォルト設定が [Enable]
でない場合)。• 残りの設定はデフォルトのままにしておきます。• [次の手順: ストレージの追加] を選択します。
6. [Step 4] ページで、デフォルト設定を変更せずに、[Next: Add Tags] を選択します。7. [Step 5] ページで、[Add Tag] を選択します。[Key] に「example.local-DC01」と入力し、[Next:
Configure Security Group] を選択します。8. [Step 6] ページで、[Select an existing security group] を選択し、[AWS DS RDP Security Group] (基本
チュートリアル (p. 121)でセットアップ済み) を選択します。次に [Review and Launch] を選択してインスタンスを確認します。
9. [Step 7] ページで、ページの内容を確認し、[Launch] を選択します。10. [Select an existing key pair or create a new key pair] ダイアログボックスで、以下の操作を行います。
• [Choose an existing key pair] を選択します。• [Select a key pair] で、[AWS-DS-KP] (基本チュートリアル (p. 120)でセットアップ済み) を選択し
ます。• [I acknowledge...] チェックボックスをオンにします。• [Launch Instances] を選択します。
11. [View Instances] を選択して Amazon EC2 コンソールに戻り、デプロイのステータスを確認します。
サーバーをドメインコントローラーに昇格させる信頼を作成する前に、新しいフォレストの最初のドメインコントローラーを構築してデプロイする必要があります。このプロセスでは、新しい Active Directory フォレストを設定し、DNS をインストールして、このサーバーで名前解決にローカル DNS サーバーを使用するように設定します。この手順の最後にサーバーを再起動する必要があります。
Note
AWS で作成したドメインコントローラーをオンプレミスのネットワークでレプリケートする場合は、最初に手動で EC2 インスタンスをオンプレミスのドメインに結合します。その後、サーバーをドメインコントローラーに昇格させることができます。
サーバーをドメインコントローラーに昇格させるには
1. Amazon EC2 コンソールで [Instances] を選択し、先ほど作成したインスタンスを選択して、[Connect] を選択します。
2. [Connect To Your Instance] ダイアログボックスで、[Download Remote Desktop File] を選択します。3. [Windows Security] ダイアログボックスで、Windows Server コンピュータのローカル管理者の認証
情報 (「administrator」など) を入力してログインします。ローカル管理者のパスワードを持っていない場合は、Amazon EC2 コンソールに戻り、インスタンスを右クリックして [Get WindowsPassword] を選択します。AWS DS KP.pem ファイルまたは個人用の .pem キーを参照し、[DecryptPassword] を選択します。
4. [Start] メニューで、[Server Manager] を選択します。5. [Dashboard] で、[Add Roles and Features] をクリックします。
Version 1.0129
AWS Directory Service 管理ガイドチュートリアル: EC2 にインストールされたセルフマネージド型 AD に対する AWS
Managed Microsoft AD からの信頼を作成する6. [Add Roles and Features Wizard] で、[Next] をクリックします。7. [Select installation type] ページで、[Role-based or feature-based installation] を選択して、[Next] をク
リックします。8. [Select destination server] ページで、ローカルサーバーが選択されていることを確認し、[Next] を選
択します。9. [Select server roles] ページで、[Active Directory Domain Services] を選択します。[Add Roles and
Features Wizard] ダイアログボックスで、[Include management tools (if applicable)] チェックボックスがオンになっていることを確認します。[Add Features]、[Next] の順に選択します。
10. [Select features] ページで、[Next] を選択します。11. [Active Directory Domain Services] ページで、[Next] を選択します。12. [Confirm installation selections] ページで、[Install] を選択します。13. Active Directory バイナリがインストールされたら、[Close] を選択します。14. Server Manager が表示されたら、上部で [Manage] の語の横にあるフラグを探します。このフラグが
黄色に変わると、サーバーの昇格の準備完了です。15. 黄色のフラグを選択し、[Promote this server to a domain controller] を選択します。16. [Deployment Configuration] ページで、[Add a new forest] を選択します。[Root domain name] に
「example.local」と入力し、[Next] を選択します。17. [Domain Controller Options] ページで、以下の操作を行います。
• [Forest functional level] と [Domain functional level] の両方で、[Windows Server 2016] を選択します。
• [Specify domain controller capabilities] で、[Domain Name System (DNS) server] と [Global Catalog(GC)] の両方が選択されていることを確認します。
• ディレクトリサービス復元モード (DSRM) のパスワードを入力し、さらに確認します。続いて、[Next] を選択します。
18. [DNS Options] ページで、委任に関する警告を無視し、[Next] を選択します。19. [Additional options] ページで、NetBios ドメイン名として [EXAMPLE1] が表示されていることを確認
します。20. [Paths] ページで、デフォルト値を受け入れ、[Next] を選択します。21. [Review Options] ページで、[Next] を選択します。これで、ドメインコントローラーのすべての前提
条件が満たされていることがサーバーで確認されます。いくつかの警告が表示されることがありますが、無視して構いません。
22. [Install] を選択します。インストールが完了すると、サーバーが再起動し、ドメインコントローラーとしての機能を開始します。
VPC を設定する
次の 3 つの手順で AWS と接続するように VPC を設定する各ステップを示します。
VPC のアウトバウンドルールを設定するには
1. AWS Directory Service コンソールで、基本チュートリアル (p. 122)で corp.example.com 用に作成した AWS Managed Microsoft AD のディレクトリ ID を書き留めます。
2. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。3. ナビゲーションペインで、[Security Groups] を選択します。4. AWS Managed Microsoft AD のディレクトリ ID を検索します。検索結果で、説明として [AWS
created security group for d-xxxxxx directory controllers] と表示されている項目を選択します。
Note
このセキュリティグループは、ディレクトリを最初に作成したときに自動的に作成されています。
Version 1.0130
AWS Directory Service 管理ガイドチュートリアル: EC2 にインストールされたセルフマネージド型 AD に対する AWS
Managed Microsoft AD からの信頼を作成する5. そのセキュリティグループの下にある [Outbound Rules] タブを選択します。[Edit]、[Add another rule]
の順に選択し、以下の値を追加します。
• [Type] として [All Traffic] を選択します。• [Destination] に「0.0.0.0/0」と入力します。• 残りの設定はデフォルトのままにしておきます。• [Save] を選択します。
Kerberos の事前認証が有効化されていることを確認するには
1. [example.local] ドメインコントローラーで、[Server Manager] を開きます。2. [ツール] メニューで、[Active Directory ユーザーとコンピュータ] を選択します。3. [Users] ディレクトリに移動し、ユーザーを右クリックし、Properties] を選択して、[Account]
タブを選択します。[Account options] リストで、下にスクロールし、[Do not require Kerberospreauthentication] が選択されていないことを確認します。
4. corp.example.com-mgmt インスタンスの corp.example.com ドメインに対しても同じ手順を実行します。
DNS 条件付フォワーダーを設定するには
1. まず、AWS Managed Microsoft AD に関するいくつかの情報を取得する必要があります。
AWS マネジメントコンソールにサインインし、AWS Directory Service コンソールを https://console.aws.amazon.com/directoryservicev2/ で開きます。
2. ナビゲーションペインで [Directories] を選択します。3. AWS Managed Microsoft AD のディレクトリ ID を選択します。4. ディレクトリの完全修飾ドメイン名 (FQDN) である corp.example.com と DNS アドレスを書き留めま
す。5. ここで、example.local ドメインコントローラーに戻り、Server Manager を開きます。6. [Tools] メニューで、[DNS] を選択します。7. コンソールツリーで、信頼を設定するドメインの DNS サーバーを展開し、[Conditional Forwarders]
に移動します。8. [Conditional Forwarders] を右クリックし、[New Conditional Forwarder] を選択します。9. DNS ドメインに、「corp.example.com」と入力します。10. [IP addresses of the master servers] で [Click here to add ...] を選択し、AWS Managed Microsoft AD
ディレクトリの最初の DNS アドレス (前の手順で書き留めたもの) を入力して、Enter を押します。2つ目の DNS アドレスにも同じ操作を行います。DNS アドレスを入力すると、「タイムアウト」または「解決できません」というエラーが表示される場合があります。通常、このエラーは無視できます。
11. [Store this conditional forwarder in Active Directory, and replicate as follows] チェックボックスをオンにします。ドロップダウンメニューで、[All DNS servers in this Forest] を選択し、次に [OK] を選択します。
ステップ 2: 信頼を作成するこのセクションでは、2 つのフォレストの信頼を別個に作成します。1 つの信頼は EC2 インスタンスのActive Directory ドメインから作成し、もう 1 つは AWS の AWS Managed Microsoft AD から作成します。
Note
AWS Managed Microsoft AD では外部の信頼もサポートしています。ただし、このチュートリアルでは、双方向のフォレスト信頼を作成します。
Version 1.0131
AWS Directory Service 管理ガイドチュートリアル: EC2 にインストールされたセルフマネージド型 AD に対する AWS
Managed Microsoft AD からの信頼を作成するEC2 ドメインから AWS の AWS Managed Microsoft AD への信頼を作成するには
1. [example.local] にログインします。2. [Server Manager] を開き、コンソールツリーで [DNS] を選択します。表示されたサーバーの IPv4 ア
ドレスを書き留めます。このアドレスは、次の手順で corp.example.com から example.local ディレクトリへの条件付きフォワーダーを作成するときに必要になります。
3. [Tools] メニューで、[Active Directory Domains and Trusts] を選択します。4. コンソールツリーで、[example.local] を右クリックし、[Properties] を選択します。5. [Trusts] タブで、[New Trust] を選択し、[Next] を選択します。6. [Trust Name] ページで、「corp.example.com」と入力し、[Next] を選択します。7. [Trust Type] ページで、[Forest trust] を選択し、[Next] を選択します。8. [Direction of Trust] ページで、[Two-way] を選択し、[Next] を選択します。9. [Sides of Trust] ページで、[This domain only] を選択し、[Next] を選択します。10. [Outgoing Trust Authentication Level] ページで、[Forest-wide authentication] を選択し、[Next] を選択
します。11. [Trust Password] ページで、信頼のパスワードを 2 回入力し、[Next] を選択します。この同じパス
ワードを次の手順でも使用します。12. [Trust Selections Complete] ページで、結果を確認し、[Next] を選択します。13. [Trust Creation Complete] ページで、結果を確認し、[Next] を選択します。14. [Confirm Outgoing Trust] ページで、[No, do not confirm the outgoing trust] を選択します。その後、
[Next] を選択します。15. [Confirm Incoming Trust] ページで、[No, do not confirm the incoming trust] を選択します。その後、
[Next] を選択します。16. [Completing the New Trust Wizard] ページで、[Finish] を選択します。
EC2 ドメインから AWS の AWS Managed Microsoft AD への信頼を作成するには
1. AWS Directory Service コンソールを開きます。2. [corp.example.com] ディレクトリを選択します。3. [ディレクトリの詳細] ページで、[ネットワークとセキュリティ] タブを選択します。4. [信頼関係] タブを選択したら、[アクション]、[信頼関係の追加] の順に選択します。5. [Add a trust relationship] ダイアログボックスで、以下の操作を行います。
• [Remote domain name] として「example.local」 と入力します。• [Trust password] として、前の手順で指定したのと同じパスワードを入力します。• [Trust direction] で、[Two-way] を選択します。• [Conditional forwarder] に、[example.local] フォレストの DNS サーバーの IP アドレス (前の手順で
書き留めたもの) を入力します。6. [Add] を選択します。
ステップ 3: 信頼を検証するこのセクションでは、AWS と Amazon EC2 上の Active Directory の間で信頼が正常にセットアップされたかどうかをテストします。
信頼を検証するには
1. AWS Directory Service コンソールを開きます。2. [corp.example.com] ディレクトリを選択します。3. [ディレクトリの詳細] ページで、[ネットワークとセキュリティ] タブを選択します。
Version 1.0132
AWS Directory Service 管理ガイドトラブルシューティング
4. [信頼関係] セクションで、作成したばかりの信頼関係を選択します。5. [Actions] を選択し、[Verify trust relationship] を選択します。
検証が完了すると、[Status] 列に [Verified] と表示されます。
以上で、このチュートリアルは完了です。 これで、完全に機能するマルチフォレストの Active Directory環境で、さまざまなシナリオのテストを開始できます。追加のテストラボのチュートリアルは、2018 年に予定されています。定期的に最新情報を確認してください。
AWS Managed Microsoft AD のトラブルシューティング
以下のセクションは、ディレクトリ作成時および使用時に直面する問題をトラブルシューティングするのに役立ちます。
パスワードの回復ユーザーがパスワードを忘れたか、Simple AD または AWS Managed Microsoft AD ディレクトリへのサインインで問題が発生した場合は、AWS マネジメントコンソール、Windows PowerShell、または AWS CLIのいずれかを使用してパスワードをリセットできます。
詳細については、「ユーザーパスワードのリセット (p. 66)」を参照してください。
トピック• DNS のトラブルシューティング (p. 133)• Linux ドメイン結合エラー (p. 134)• スキーマ拡張エラー (p. 135)• 信頼作成ステータスの理由 (p. 136)
DNS のトラブルシューティングAWS Managed Microsoft AD DNS イベントを監査することで、DNS の問題の特定とトラブルシューティングがより簡単になります。たとえば、DNS レコードが見つからない場合は、DNS 監査イベントログを使用して根本原因を特定し、問題を解決できます。DNS 監査イベントログを使用して、不審な IP アドレスからのリクエストを検出してブロックすることで、セキュリティを強化することもできます。
そのためには、[Admin] (管理者) アカウントまたは [AWS Domain Name System Administrators] (AWS ドメインネームシステム管理者) グループのメンバーであるアカウントでログインする必要があります。このグループの詳細については、「作成されるファイル (p. 13)」を参照してください。
AWS Managed Microsoft AD DNS をトラブルシューティングするには
1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。2. 左のナビゲーションペインの [Instances] を選択します。3. AWS Managed Microsoft AD ディレクトリに参加している Amazon EC2 インスタンスを見つけます。
そのインスタンスを選択してから、[Connect] (接続) を選択します。4. [Administrative Tools] (管理ツール) フォルダにある [Event Viewer] (イベントビューワー) を開きま
す。5. [Event Viewer] (イベントビューワー) ウィンドウで [アクション] を選択してから、[Connect to
Another Computer] (別のコンピュータに接続) を選択します。
Version 1.0133
AWS Directory Service 管理ガイドLinux ドメイン結合エラー
6. [Another computer (別のコンピュータ)] を選択し、AWS Managed Microsoft AD DNS サーバーの名前または IP アドレスのいずれかを入力して、[OK] を選択します。
7. 左側のペインで、[Applications and Services Logs] (アプリケーションとサービスのログ) > [Microsoft]> [Windows] > [DNS-Server] (DNS サーバー) に移動し、[監査] を選択します。
Linux ドメイン結合エラー以下は、EC2 Linux インスタンスを AWS Managed Microsoft AD ディレクトリに結合するときに発生する可能性のあるエラーメッセージのトラブルシューティングに役立ちます。
Linux インスタンスはドメインの結合あるいは認証を行うことができません領域を Microsoft AD で使用するには、Ubuntu 14.04、16.04、および 18.04 インスタンスは、DNS で逆引き解決可能である必要があります。それ以外の場合は、次の 2 つのシナリオのいずれかが発生することがあります。
シナリオ 1: まだ領域に結合されていない Ubuntu インスタンス領域への結合を試みている Ubuntu インスタンスの場合、sudo realm join コマンドで、ドメインに結合するために必要なアクセス権限が提供されず、次のようなエラーが表示されることがあります。
! アクティブディレクトリに認証できませんでした: SASL(-1): 一般エラー: GSSAPI エラー: 無効な名前が提供されました (成功) adcli: EXAMPLE.COM ドメインに接続できませんでした: アクティブディレクトリに認証できませんでした: SASL(-1): 一般エラー: GSSAPI エラー: 無効な名前が提供されました (成功) ! ドメイン領域に結合するための権限が不十分です: 領域に結合できませんでした: ドメインに結合するための権限が不十分です
シナリオ 2: 領域に結合されている Ubuntu インスタンス既に Microsoft AD ドメインに結合されている Ubuntu インスタンスの場合、ドメイン認証情報を使用してインスタンスに SSH 接続を試みると、次のエラーで失敗することがあります。
$ ssh [email protected]@198.51.100
no such identity: /Users/username/.ssh/id_ed25519: No such file or directory
[email protected]@198.51.100's password:
Permission denied, please try again.
[email protected]@198.51.100's password:
パブリックキーを使用してインスタンスにログインし、/var/log/auth.log を確認すると、ユーザーが見つからないことについて、次のエラーが表示されることがあります。
May 12 01:02:12 ip-192-0-2-0 sshd[2251]: pam_unix(sshd:auth): authentication failure; logname= uid=0euid=0 tty=ssh ruser= rhost=203.0.113.0
May 12 01:02:12 ip-192-0-2-0 sshd[2251]: pam_sss(sshd:auth): authentication failure; logname= uid=0euid=0 tty=ssh ruser= rhost=203.0.113.0 [email protected]
May 12 01:02:12 ip-192-0-2-0 sshd[2251]: pam_sss(sshd:auth): received for user [email protected]:10 (User not known to the underlying authentication module)
May 12 01:02:14 ip-192-0-2-0 sshd[2251]: Failed password for invalid user [email protected] from203.0.113.0 port 13344 ssh2
May 12 01:02:15 ip-192-0-2-0 sshd[2251]: Connection closed by 203.0.113.0 [preauth]
Version 1.0134
AWS Directory Service 管理ガイドスキーマ拡張エラー
ただし、ユーザーの kinit は引き続き機能します。例:
ubuntu@ip-192-0-2-0:~$ kinit [email protected] Password for [email protected]:ubuntu@ip-192-0-2-0:~$ klist Ticket cache: FILE:/tmp/krb5cc_1000 Default principal:[email protected]
回避方法
これらの両方のシナリオで推奨される現在の回避策は、次に示すように [libdefaults] セクションの /etc/krb5.conf で逆引き DNS を無効にすることです。
[libdefaults]default_realm = EXAMPLE.COMrdns = false
スキーマ拡張エラー以下は、AWS Managed Microsoft AD ディレクトリのスキーマを拡張する際に発生する可能性のあるエラーメッセージのトラブルシューティングに役立ちます。
照会エラー
行 1 で エントリ起動の追加エラー: 照会 サーバー側エラー: 0x202b サーバーから照会が返されました。拡張サーバーエラー: 0000202B: RefErr: DSID-0310082F、データ 0、1 アクセスポイント \tref 1:「example.com」変更されたオブジェクト数: 0
トラブルシューティング
すべての識別名フィールドに正しいドメイン名が設定されていることを確認します。上記の例では、DC=example,dc=com はコマンドレット Get-ADDomain に示される DistinguishedName に置換される必要があります。
インポートファイルを読み取れないエラー
インポートファイルを読み取れない。変更されたオブジェクト数: 0トラブルシューティング
インポートされた LDIF ファイルは空です (0 バイト)。正しいファイルがアップロードされたことを確認します。
構文エラーエラー
行 21 で失敗した入力ファイルに構文エラーがあります。最後のトークンは「q」で始まります。変更されたオブジェクト数: 0
トラブルシューティング
行 21 のテキスト が正しくフォーマットされていません。無効なテキストの最初の文字は、A です。有効な LDIF 構文で行 21 を更新します。LDIF ファイルの形式を設定する方法の詳細については、「ステップ 1: LDIF ファイルを作成する (p. 88)」を参照してください。
Version 1.0135
AWS Directory Service 管理ガイド信頼作成ステータスの理由
属性または値が存在するエラー
行 1で エントリ起動の追加エラー: 属性または値が存在する サーバー側のエラー: 0x2083 指定された値はすでに存在しています。拡張サーバーエラー: 00002083: AtrErr:DSID-03151830、#1:\t0:00002083: DSID-03151830、問題 1006 (ATT_OR_VALUE_EXISTS)、データ 0、Att 20019(mayContain):len 4 変更されたオブジェクト数: 0
トラブルシューティング
スキーマの変更がすでに適用されます。
このような属性がないエラー
行 1 で エントリ起動の追加エラー: このような属性がない サーバー側エラー: 0x2085属性値はオブジェクトに存在しないため削除できません。拡張サーバーエラー:00002085: AtrErr:DSID-03152367、#1: \t0:00002085: DSID-03152367、問題 1001(NO_ATTRIBUTE_OR_VAL)、データ 0、Att 20019 (mayContain):len 4 変更されたオブジェクト数: 0
トラブルシューティング
LDIF ファイルはクラスから属性を削除しようとしていますが、その属性は現在クラスには関連付けられていません。スキーマの変更がすでに適用されている可能性があります。
エラー
行 41 で エントリ起動の追加エラー: このような属性 0x57 パラメータが正しくありません。拡張サーバーエラー: 0x208d ディレクトリオブジェクトが見つかりません。拡張サーバーエラー: 「00000057:LdapErr:DSID-0C090D8A、コメント: 属性変換操作エラー、データ 0、v2580」変更されたオブジェクト数: 0
トラブルシューティング
行 41 に記載されている属性が正しくありません。スペルを再確認してください。
このようなオブジェクトがないエラー
行 1 で エントリ起動の追加エラー: このようなオブジェクトがない サーバー側エラー: 0x208dディレクトリオブジェクトが見つかりません。拡張サーバーエラー: 0000208D: NameErr:DSID-03100238、問題 2001 (NO_OBJECT)、データ 0、ベストマッチ: 「CN=スキーマ、CN=設定、DC=例、DC=com」変更されたオブジェクト数: 0
トラブルシューティング
識別名 (DN) によって参照されるオブジェクトは存在しません。
信頼作成ステータスの理由信頼の作成が失敗した場合、ステータスメッセージに追加情報が含まれます。これらは、それらのメッセージの理解に役立ちます。
Version 1.0136
AWS Directory Service 管理ガイド信頼作成ステータスの理由
アクセスが拒否されました信頼を作成しようとしたときにアクセスが拒否されました。信頼パスワードが正しくないか、またはリモートドメインのセキュリティ設定により、信頼を設定することが許可されていません。この問題を解決するには、以下の手順を実行します。
• リモートドメインで対応する信頼を作成するのに使用したのと同じ信頼パスワードを使用していることを確認します。
• ドメインのセキュリティ設定が信頼の作成を許可していることを確認します。• ローカルセキュリティポリシーが正しく設定されていることを確認します。具体的に LocalSecurity Policy > Local Policies > Security Options > Network access: NamedPipes that can be accessed anonymously をチェックして、少なくとも次の 3 つの名前付きパイプが含まれていることを確認してください• netlogon• samr• lsarpc
Note
デフォルトでは、Network access: Named Pipes that can be accessedanonymously が設定されておらず、Not Defined が表示されます。これは正常です。Networkaccess: Named Pipes that can be accessed anonymously のドメインコントローラの有効なデフォルト設定は、netlogon、samr、lsarpc です。
指定されたドメイン名が存在しない、または接続できませんでした。この問題を解決するには、ドメインのセキュリティグループ設定および VPC のアクセス制御リスト (ACL)が正しいこと、および正確な条件付きフォワーダーの情報を入力したことを確認します。セキュリティ要件の詳細については、「信頼関係を作成する場合 (p. 68)」を参照してください。
これで問題を解決できない場合は、先に作成した条件付きフォワーダーの情報がキャッシュされ、新しい信頼の作成ができないようにすることが可能です。数分待ってから再度信頼と条件付きフォワーダーを作成してみます。
信頼テスト用の一般的なツールDirectoryServicePortTest テストツールは、AWS Managed Microsoft AD とオンプレミス Active Directoryの間の信頼を作成する際に生じた問題のトラブルシューティングに役立ちます。ツールの使用例については、「AD Connector をテストする (p. 143)」を参照してください。
Version 1.0137
AWS Directory Service 管理ガイド開始方法
Active Directory ConnectorAD Connector は、クラウドの情報をキャッシュせずにディレクトリリクエストをオンプレミスのMicrosoft Active Directory へリダイレクトするのに使用するディレクトリゲートウェイです。ADConnector には、スモールとラージの 2 つのサイズがあります。パフォーマンスのニーズに合わせてスケールし、複数の AD Connector 間でアプリケーションの負荷を分散させることができます。適用されるユーザー制限や接続制限はありません。
いったん設定したら、AD Connector には次の利点があります。
• エンドユーザーと IT 管理者は、既存の会社の認証情報を使用して、AWS、Amazon WorkSpaces、または Amazon WorkDocs などの Amazon WorkMail アプリケーションにログオンします。
• AWS への Amazon EC2 ロールベースのアクセスを介して、Amazon S3 インスタンスのような IAM リソースまたは AWS マネジメントコンソール バケットを管理できます。
• ユーザーまたは IT 管理者がオンプレミスインフラストラクチャまたは AWS クラウドのリソースにアクセスしていても、既存のセキュリティポリシーを一貫して適用することができます (パスワード有効期限、パスワード履歴、およびアカウントロックアウトなど)。
• AD Connector を使用すると、既存の RADIUS ベースの MFA インフラストラクチャと統合し、多要素認証を有効にして、ユーザーが AWS アプリケーションにアクセスするときに追加のセキュリティレイヤーを提供できます。
このセクションのトピックを引き続き読んで、ディレクトリに接続する方法および AD Connector 機能を最大限に利用する方法について学習します。
トピック• AD Connector の使用開始 (p. 138)• AD Connector を管理する方法 (p. 149)• AD Connector のベストプラクティス (p. 162)• AD Connector の制限 (p. 164)• AD Connector のアプリケーションの互換性ポリシー (p. 165)• AD Connector のトラブルシューティング (p. 165)
AD Connector の使用開始AD Connector を使用すると、AWS Directory Service を既存のエンタープライズディレクトリに接続することができます。既存のディレクトリに接続されている場合、ドメインコントローラーにすべてのディレクトリデータが維持されます。AWS Directory Service では、ディレクトリデータはレプリケートされません。
トピック• AD Connector の前提条件 (p. 138)• AD Connector の作成 (p. 148)• 作成されるファイル (p. 149)
AD Connector の前提条件AD Connector を使用して既存のディレクトリに接続するには、以下が必要です。
Version 1.0138
AWS Directory Service 管理ガイドAD Connector の前提条件
VPC
以下の手順での VPC の設定:• 少なくとも 2 つのサブネット。各サブネットはそれぞれ異なるアベイラビリティーゾーンにある必
要があります。• VPC は、仮想プライベートネットワーク (VPN) 接続または AWS Direct Connect を通じて既存の
ネットワークに接続されている必要があります。• VPC にはデフォルトのハードウェアテナンシーが必要です。
AWS Directory Service uses a two VPC structure. The EC2 instances which make up your directoryrun outside of your AWS account, and are managed by AWS. They have two network adapters, ETH0and ETH1. ETH0 is the management adapter, and exists outside of your account. ETH1 is createdwithin your account.
The management IP range of your directory's ETH0 network is chosen programmatically to ensure itdoes not conflict with the VPC where your directory is deployed. This IP range can be in either of thefollowing pairs (as Directories run in two subnets):• 10.0.1.0/24 & 10.0.2.0/24• 192.168.1.0/24 & 192.168.2.0/24
We avoid conflicts by checking the first octet of the ETH1 CIDR. If it starts with a 10, then we choose a192.168.0.0/16 VPC with 192.168.1.0/24 and 192.168.2.0/24 subnets. If the first octet is anything elseother than a 10 we choose a 10.0.0.0/16 VPC with 10.0.1.0/24 and 10.0.2.0/24 subnets.
The selection algorithm does not include routes on your VPC. It is therefore possible to have an IProuting conflict result from this scenario.
詳細については、「Amazon VPC ユーザーガイド」の次のトピックを参照してください。• Amazon VPC とは?• VPC のサブネット• VPC へのハードウェア仮想プライベートゲートウェイの追加
AWS Direct Connect の詳細については、「AWS Direct Connect ユーザーガイド」を参照してください。
既存の Active Directory
Active Directory ドメインを持つ既存のネットワークに接続する必要があります。このドメインの機能レベルは Windows Server 2003 以上である必要があります。AD Connector は Amazon EC2 インスタンスでホストされているドメインへの接続にも対応しています。
Note
AD Connector は、Amazon EC2 のドメイン結合機能と併用する場合の読み取り専用ドメインコントローラー (RODC) はサポートしていません。
サービスアカウント
次の権限が委任されている既存のディレクトリのサービスアカウントの認証情報が必要です。• ユーザーおよびグループの読み取り - 必須• コンピュータのドメインへの結合 - 必須• コンピュータオブジェクトの作成 - シームレスドメイン結合と Amazon WorkSpaces を使用する場
合にのみ必須。
詳細については、「権限をサービスアカウントに委任する (p. 141)」を参照してください。
Version 1.0139
AWS Directory Service 管理ガイドAD Connector の前提条件
ユーザーアクセス許可
すべての Active Directory ユーザーは、各ユーザー独自の属性を読み取るアクセス許可を持っている必要があります。具体的には次の属性があります。• GivenName• SurName• Mail• SamAccountName• UserPrincipalName• UserAccountControl• MemberOf
デフォルトでは、Active Directory ユーザーには、これらの属性に対する読み取りアクセス許可があります。ただし、時間の経過に伴い管理者がこれらのアクセス許可を変更する可能性があるため、ADConnector を初めて設定する前に、ユーザーがこれらの読み取りアクセス権限を持っているかどうか確認することをお勧めします。
IP アドレス
既存のディレクトリの 2 つの DNS サーバーまたはドメインコントローラーの IP アドレスを取得します。
AD Connectorは、ディレクトリに接続するときに _ldap._tcp.<DnsDomainName> および_kerberos._tcp.<DnsDomainName> SRV レコードをこれらのサーバーから取得します。そのため、これらの SRV レコードがこれらのサーバーに含まれている必要があります。AD Connectorは、LDAP と Kerberos サービスの両方を提供する共通ドメインコントローラーを検索しようとします。そのため、これらの SRV レコードには、少なくとも 1 つの共通ドメインコントローラーが含まれている必要があります。SRV レコードの詳細については、Microsoft TechNet の「SRV リソースレコード」を参照してください。
サブネット用のポート
AD Connector で既存の Active Directory ドメインコントローラにディレクトリリクエストをリダイレクトするには、既存のネットワークのファイアウォールで、Amazon VPC の両方のサブネットのCIDR に対して次のポートを開く必要があります。• TCP/UDP 53 - DNS• TCP/UDP 88 - Kerberos authentication• TCP/UDP 389 - LDAP
これらは、AD Connector をディレクトリに接続する前に必要な最小限のポートです。固有の設定によっては、追加ポートが開かれていることが必要です。
Note
既存の Active Directory ドメインの DNS サーバーまたはドメインコントローラーサーバーがVPC 内にある場合、これらのサーバーに関連付けられたセキュリティグループでは、VPC の両方のサブネットで、CIDR に対して上記のポートが開かれている必要があります。
追加のポート要件については、Microsoft TechNet の AD and AD DS Port Requirements を参照してください。
Kerberos 事前認証
ユーザーアカウントの Kerberos 事前認証を有効にしておく必要があります。この設定を有効にする方法の詳細については、「Kerberos の事前認証が有効に設定されていることを確認する (p. 78)」を参照
Version 1.0140
AWS Directory Service 管理ガイドAD Connector の前提条件
してください。この設定に関する一般的な情報については、Microsoft TechNet の「事前認証」を参照してください。
暗号化タイプ
AD Connector は、Active Directory ドメインコントローラーへの認証時の暗号化として、以下のタイプの暗号化をサポートしています。• AES-256-HMAC• AES-128-HMAC• RC4-HMAC
多要素認証の前提条件AD Connector ディレクトリで多要素認証をサポートするには、以下が必要です。
• 2 個のクライアントのエンドポイントを持つ、既存のネットワーク内の Remote Authentication Dial-InUser Service (RADIUS) サーバー。RADIUS クライアントエンドポイントには次の要件があります。• エンドポイントを作成するには、AWS Directory Service サーバーの IP アドレスが必要です。これら
の IP アドレスは、ディレクトリの詳細の [Directory IP Address] フィールドから取得できます。• 2 つの RADIUS エンドポイントが同じ共有シークレットコードを使用する必要があります。
• 既存のネットワークでは、AWS Directory Service サーバーからのデフォルトの RADIUS サーバーポート (1812) を介した受信トラフィックが許可されている必要があります。
• RADIUS サーバーと既存のディレクトリの間でユーザー名が同じである必要があります。
MFA で AD Connector を使用する場合の詳細については、「AD Connector の多要素認証を有効にするには (p. 150)」を参照してください。
権限をサービスアカウントに委任する既存のディレクトリに接続するには、特定の権限が委任されている、既存のディレクトリの AD Connectorサービスアカウントの認証情報が必要です。[Domain Admins (ドメインの管理者)] グループのメンバーにはディレクトリに接続するための十分な権限がありますが、ベストプラクティスとして、そのディレクトリへの接続に必要な最小限の権限を含むサービスアカウントを使用してください。以下の手順では、Connectors という名前の新しいグループを作成後、AWS Directory Service をこのグループに接続するために必要な権限を委任し、新しいサービスアカウントをこのグループに追加する方法を説明します。
この手順はディレクトリに結合され、[Active Directory User and Computers] MMC スナップインがインストールされたマシンで実行される必要があります。ドメイン管理者としてログインする必要があります。
権限をサービスアカウントに委任するには
1. [Active Directory User and Computers] を開き、ナビゲーションツリーのドメインルートを選択します。
2. 左のペインの一覧で、[Users] を右クリックし、[New] を選択して、[Group] を選択します。3. [New Object - Group] ダイアログボックスで次のように入力し、[OK] をクリックします。
フィールド 値/選択
グループ名 Connectors
Group scope グローバル
Group type セキュリティ
Version 1.0141
AWS Directory Service 管理ガイドAD Connector の前提条件
4. [Active Directory User and Computers] ナビゲーションツリーで、ドメインルートを選択します。メニューで [Action] を選択し、[Delegate Control] を選択します。
5. [Delegation of Control Wizard] ページで [Next] をクリックし、[Add] をクリックします。6. [Select Users, Computers, or Groups] ダイアログボックスで Connectors と入力し [OK] をクリック
します。複数のオブジェクトがある場合は、上記で作成した Connectors グループを選択します。[Next] をクリックします。
7. [Tasks to Delegate] ページで、[Create a custom task to delegate]、[Next] の順に選択します。8. [Only the following objects in the folder] を選択し、[Computer objects]、[User objects] の順に選択しま
す。9. [Create selected objects in this folder] を選択し、[Delete selected objects in this folder] を選択しま
す。続いて、[Next] を選択します。
10. [Read] を選択し、[Next] を選択します。
Note
シームレスドメイン結合または Amazon WorkSpaces を使用する場合は、AWS ManagedMicrosoft AD で コンピュータオブジェクトに書き込めるように [Write] のアクセス許可を有効にする必要があります。
11. [Completing the Delegation of Control Wizard] ページの情報を確認し、[Finish] をクリックします。12. ユーザーアカウントと強力なパスワードを作成し、そのユーザーを Connectors グループに追加しま
す。このユーザーは、AD Connector サービスアカウントとして知られます。これで、Connectorsグループのメンバーになり、AWS Directory Service をディレクトリに接続するために十分な権限が付与されました。
Version 1.0142
AWS Directory Service 管理ガイドAD Connector の前提条件
AD Connector をテストするAD Connector で既存のディレクトリに接続するには、既存のネットワークのファイアウォールで VPC の両方のサブネットの CIDR に対して特定のポートが開かれている必要があります。これらの要件が満たされるかどうかをテストするには、以下の手順に従います。
接続をテストするには
1. VPC で Windows インスタンスを起動し、RDP 経由でインスタンスに接続します。インスタンスは、既存のドメインのメンバーである必要があります。残りの手順は、この VPC インスタンスで実行します。
2. DirectoryServicePortTest テストアプリケーションをダウンロードして解凍します。ソースコードとVisual Studio プロジェクトファイルが含まれており、必要に応じてテストアプリケーションを変更できます。
Note
このスクリプトは Windows Server 2003 以前のオペレーティングシステムではサポートされていません。
3. Windows のコマンドプロンプトで、次のオプションを指定して DirectoryServicePortTest テストアプリケーションを実行します。
Note
DirectoryServicePortTest テストアプリケーションは、ドメインおよびフォレストの機能レベルが Windows Server 2012 R2 以下に設定されている場合にのみ使用できます。
DirectoryServicePortTest.exe -d <domain_name> -ip <server_IP_address> -tcp "53,88,389" -udp "53,88,389"
<domain_name>
完全修飾ドメイン名。これは、フォレストとドメインの機能レベルをテストするために使用されます。ドメイン名を除外した場合、機能レベルはテストされません。
<server_IP_address>
既存のドメインのドメインコントローラーの IP アドレス。ポートはこの IP アドレスに対してテストされます。IP アドレスを除外した場合、ポートはテストされません。
このテストアプリケーションは、VPC からドメインに必要なポートが開いているかどうかを判断し、最小のフォレストとドメインの機能レベルも検証します。
出力は以下のようになります。
Testing forest functional level.Forest Functional Level = Windows2008R2Forest : PASSED
Testing domain functional level.Domain Functional Level = Windows2008R2Domain : PASSED
Testing required TCP ports to <server_IP_address>:Checking TCP port 53: PASSEDChecking TCP port 88: PASSEDChecking TCP port 389: PASSED
Testing required UDP ports to <server_IP_address>:Checking UDP port 53: PASSEDChecking UDP port 88: PASSED
Version 1.0143
AWS Directory Service 管理ガイドAD Connector の前提条件
Checking UDP port 389: PASSED
DirectoryServicePortTest アプリケーションのソースコードは次のとおりです。
/* Copyright 2010-2019 Amazon.com, Inc. or its affiliates. All Rights Reserved.
This file is licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance with the License. A copy of the License is located at
http://aws.amazon.com/apache2.0/
This file is distributed on an "AS IS" BASIS, WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. See the License for the specific language governing permissions and limitations under the License.*/using System;using System.Collections.Generic;using System.IO;using System.Linq;using System.Net;using System.Net.Sockets;using System.Text;using System.Threading.Tasks;using System.DirectoryServices.ActiveDirectory;using System.Threading;using System.DirectoryServices.AccountManagement;using System.DirectoryServices;using System.Security.Authentication;using System.Security.AccessControl;using System.Security.Principal;
namespace DirectoryServicePortTest{ class Program { private static List<int> _tcpPorts; private static List<int> _udpPorts;
private static string _domain = ""; private static IPAddress _ipAddr = null;
static void Main(string[] args) { if (ParseArgs(args)) { try { if (_domain.Length > 0) { try { TestForestFunctionalLevel();
TestDomainFunctionalLevel(); } catch (ActiveDirectoryObjectNotFoundException) { Console.WriteLine("The domain {0} could not be found.\n", _domain); } }
Version 1.0144
AWS Directory Service 管理ガイドAD Connector の前提条件
if (null != _ipAddr) { if (_tcpPorts.Count > 0) { TestTcpPorts(_tcpPorts); }
if (_udpPorts.Count > 0) { TestUdpPorts(_udpPorts); } } } catch (AuthenticationException ex) { Console.WriteLine(ex.Message); } } else { PrintUsage(); }
Console.Write("Press <enter> to continue."); Console.ReadLine(); }
static void PrintUsage() { string currentApp = Path.GetFileName(System.Reflection.Assembly.GetExecutingAssembly().Location); Console.WriteLine("Usage: {0} \n-d <domain> \n-ip \"<server IP address>\" \n[-tcp \"<tcp_port1>,<tcp_port2>,etc\"] \n[-udp \"<udp_port1>,<udp_port2>,etc\"]", currentApp); }
static bool ParseArgs(string[] args) { bool fReturn = false; string ipAddress = "";
try { _tcpPorts = new List<int>(); _udpPorts = new List<int>();
for (int i = 0; i < args.Length; i++) { string arg = args[i];
if ("-tcp" == arg | "/tcp" == arg) { i++; string portList = args[i]; _tcpPorts = ParsePortList(portList); }
if ("-udp" == arg | "/udp" == arg) { i++; string portList = args[i]; _udpPorts = ParsePortList(portList); }
if ("-d" == arg | "/d" == arg)
Version 1.0145
AWS Directory Service 管理ガイドAD Connector の前提条件
{ i++; _domain = args[i]; }
if ("-ip" == arg | "/ip" == arg) { i++; ipAddress = args[i]; } } } catch (ArgumentOutOfRangeException) { return false; }
if (_domain.Length > 0 || ipAddress.Length > 0) { fReturn = true; }
if (ipAddress.Length > 0) { _ipAddr = IPAddress.Parse(ipAddress); } return fReturn; }
static List<int> ParsePortList(string portList) { List<int> ports = new List<int>();
char[] separators = {',', ';', ':'};
string[] portStrings = portList.Split(separators); foreach (string portString in portStrings) { try { ports.Add(Convert.ToInt32(portString)); } catch (FormatException) { } }
return ports; }
static void TestForestFunctionalLevel() { Console.WriteLine("Testing forest functional level.");
DirectoryContext dirContext = new DirectoryContext(DirectoryContextType.Forest, _domain, null, null); Forest forestContext = Forest.GetForest(dirContext);
Console.Write("Forest Functional Level = {0} : ", forestContext.ForestMode);
if (forestContext.ForestMode >= ForestMode.Windows2003Forest) { Console.WriteLine("PASSED"); } else
Version 1.0146
AWS Directory Service 管理ガイドAD Connector の前提条件
{ Console.WriteLine("FAILED"); }
Console.WriteLine(); }
static void TestDomainFunctionalLevel() { Console.WriteLine("Testing domain functional level.");
DirectoryContext dirContext = new DirectoryContext(DirectoryContextType.Domain, _domain, null, null); Domain domainObject = Domain.GetDomain(dirContext);
Console.Write("Domain Functional Level = {0} : ", domainObject.DomainMode);
if (domainObject.DomainMode >= DomainMode.Windows2003Domain) { Console.WriteLine("PASSED"); } else { Console.WriteLine("FAILED"); }
Console.WriteLine(); }
static List<int> TestTcpPorts(List<int> portList) { Console.WriteLine("Testing TCP ports to {0}:", _ipAddr.ToString());
List<int> failedPorts = new List<int>();
foreach (int port in portList) { Console.Write("Checking TCP port {0}: ", port);
TcpClient tcpClient = new TcpClient();
try { tcpClient.Connect(_ipAddr, port);
tcpClient.Close(); Console.WriteLine("PASSED"); } catch (SocketException) { failedPorts.Add(port); Console.WriteLine("FAILED"); } }
Console.WriteLine();
return failedPorts; }
static List<int> TestUdpPorts(List<int> portList) { Console.WriteLine("Testing UDP ports to {0}:", _ipAddr.ToString());
List<int> failedPorts = new List<int>();
Version 1.0147
AWS Directory Service 管理ガイドAD Connector の作成
foreach (int port in portList) { Console.Write("Checking UDP port {0}: ", port);
UdpClient udpClient = new UdpClient();
try { udpClient.Connect(_ipAddr, port); udpClient.Close(); Console.WriteLine("PASSED"); } catch (SocketException) { failedPorts.Add(port); Console.WriteLine("FAILED"); } }
Console.WriteLine();
return failedPorts; } }}
AD Connector の作成既存のディレクトリを AD Connector に接続するには、次のステップを実行します。この手順を開始する前に、AD Connector の前提条件 (p. 138) で定義されている前提条件を満たしていることを確認します。
AD Connector を使用して接続するには
1. AWS Directory Service console ナビゲーションペインで、[ディレクトリ]、[Set up Directory (ディレクトリの設定)] の順に選択します。
2. [ディレクトリタイプの選択] ページで、 AD Connectorを選択し、次へ を選択します。3. [AD Connector 情報の入力] ページで、以下の情報を指定します。
ディレクトリのサイズ
[スモール] または [ラージ] サイズオプションを選択します。サイズの詳細については、「ActiveDirectory Connector (p. 138)」を参照してください。
ディレクトリの説明
必要に応じて、ディレクトリの説明。4. [VPC とサブネットの選択] ページで、以下の情報を指定して [次へ] を選択します。
VPC
ディレクトリ用の VPC。Subnets
ドメインコントローラーのサブネットを選択します。2 つのサブネットは、異なるアベイラビリティーゾーンに存在している必要があります。
5. [AD への接続] ページで、以下の情報を指定します。
ディレクトリの DNS 名
既存のディレクトリの完全修飾名 (例: corp.example.com)。
Version 1.0148
AWS Directory Service 管理ガイド作成されるファイル
ディレクトリの NetBIOS 名
既存のディレクトリの短縮名 (例: CORP)。DNS IP アドレス
既存のディレクトリ内の少なくとも 1 つの DNS サーバーの IP アドレス。これらのサーバーは、次のセクションで指定される各サブネットからアクセスできる必要があります。
サービスアカウントのユーザー名
既存のディレクトリのユーザーのユーザー名。このアカウントの詳細については、「ADConnector の前提条件 (p. 138)」を参照してください。
サービスアカウントのパスワード
既存のユーザーアカウントのパスワード。[Confirm Password]
既存のユーザーアカウントのパスワードを再入力します。6. [確認と作成] ページでディレクトリ情報を確認し、必要に応じて変更を加えます。情報が正しい場合
は、[Create directory (ディレクトリの作成)] を選択します。ディレクトリが作成されるまで、数分かかります。作成が完了すると、[Status] 値が [Active] に変わります。
作成されるファイルAD Connector を作成すると、AWS Directory Service は Elastic Network Interface と各ドメインコントローラーを自動的に関連付けます。これらの各ネットワークインターフェイスは、EC2 と AWS DirectoryService 間の接続を維持するために必要不可欠であり、削除することはできません。AWS DirectoryService で使用するために予約されたネットワークインターフェイスはすべて、「AWS created networkinterface for directory directory-id」という説明で識別できます。詳細については、Amazon EC2 ユーザーガイドの「Elastic Network Interface」を参照してください。
AD Connector を管理する方法このセクションでは、AD Connector 環境を運用およびメンテナンスするすべての手順を示します。
トピック• AD Connector ディレクトリをセキュリティで保護する (p. 149)• AD Connector ディレクトリのモニタリング (p. 156)• EC2 インスタンスを AD Connector ディレクトリに結合する (p. 158)• AD Connector ディレクトリの管理 (p. 160)• AD Connector の DNS アドレスの更新 (p. 161)
AD Connector ディレクトリをセキュリティで保護するこのセクションでは、AD Connector 環境をセキュリティで保護する際の考慮事項について説明します。
トピック• AWS Directory Service の AD Connector サービスアカウントの認証情報の更新 (p. 150)• AD Connector の多要素認証を有効にするには (p. 150)
Version 1.0149
AWS Directory Service 管理ガイドディレクトリをセキュリティで保護する
• AD Connector を使用してクライアント側 LDAPS を有効にする (p. 151)
AWS Directory Service の AD Connector サービスアカウントの認証情報の更新AWS Directory Service で指定した AD Connector の認証情報は、既存のオンプレミスディレクトリへのアクセスに使用するサービスアカウントを表します。AWS Directory Service のサービスアカウント認証情報を変更するには、次のステップを実行します。
Note
ディレクトリに対してシングルサインオンが有効になっている場合は、AWS Directory Service のサービスプリンシパル名 (SPN) を現在のサービスアカウントから新しいサービスアカウントに転送する必要があります。現在のサービスアカウントに SPN を削除する権限がない場合、または新しいサービスアカウントに SPN を追加する権限がない場合は、両方のアクションを実行する権限を持つディレクトリアカウントの認証情報の入力を求められます。これらの認証情報は、SPN を転送する目的でのみ使用され、サービスで保存されることはありません。
AWS Directory Service の AD Connector サービスアカウント認証情報を更新するには
1. AWS Directory Service console ナビゲーションペインで [ディレクトリ] を選択します。2. ディレクトリのディレクトリ ID リンクを選択します。3. [ディレクトリの詳細] ページの [Connector アカウントの認証情報] セクションで、[更新] を選択しま
す。4. [サービスアカウントの認証情報の更新] ダイアログで新しいユーザー名とパスワードを入力し、[ディ
レクトリの更新] を選択します。
AD Connector の多要素認証を有効にするにはオンプレミスまたは EC2 インスタンスで Active Directory を実行している場合は、AD Connector の Multi-Factor Authentication (MFA) を有効にすることができます。AWS Directory Service での多要素認証を使用の詳細については、「AD Connector の前提条件 (p. 138)」を参照してください。
Note
多要素認証は、Simple AD では使用できません。ただし、MFA は AWS Managed Microsoft ADディレクトリでは有効にすることができます。詳細については、「AWS Managed Microsoft ADの多要素認証を有効にするには (p. 26)」を参照してください。
AD Connector の多要素認証を有効にするには
1. AWS Directory Service console ナビゲーションペインで [ディレクトリ] を選択します。2. AD Connector ディレクトリのディレクトリ ID リンクを選択します。3. On the Directory details page, in the Multi-factor authentication section, choose Actions, and then
choose Enable.4. On the Enable multi-factor authentication (MFA) page, provide the following values:
Display label
Provide a label name.RADIUS server DNS name or IP addresses
The IP addresses of your RADIUS server endpoints, or the IP address of your RADIUS serverload balancer. You can enter multiple IP addresses by separating them with a comma (e.g.,192.0.0.0,192.0.0.12).
Version 1.0150
AWS Directory Service 管理ガイドディレクトリをセキュリティで保護する
Note
RADIUS MFA is applicable only to authenticate access to the AWS マネジメントコンソール, or to Amazon Enterprise applications and services such as Amazon WorkSpaces,Amazon QuickSight, or Amazon Chime. It does not provide MFA to Windows workloadsrunning on EC2 instances, or for signing into an EC2 instance. AWS Directory Servicedoes not support RADIUS Challenge/Response authentication.Users must have their MFA code at the time they enter their username and password.Alternatively, you must use a solution that performs MFA out-of-band such as SMS textverification for the user. In out-of-band MFA solutions, you must make sure you set theRADIUS time-out value appropriately for your solution. When using an out-of-band MFAsolution, the sign-in page will prompt the user for an MFA code. In this case, the bestpractice is for users to enter their password in both the password field and the MFA field.
Port
The port that your RADIUS server is using for communications. Your on-premises network mustallow inbound traffic over the default RADIUS server port (UDP:1812) from the AWS DirectoryService servers.
Shared secret code
The shared secret code that was specified when your RADIUS endpoints were created.Confirm shared secret code
Confirm the shared secret code for your RADIUS endpoints.Protocol
Select the protocol that was specified when your RADIUS endpoints were created.Server timeout (in seconds)
The amount of time, in seconds, to wait for the RADIUS server to respond. This must be a valuebetween 1 and 50.
Max RADIUS request retries
The number of times that communication with the RADIUS server is attempted. This must be avalue between 0 and 10.
Multi-factor authentication is available when the RADIUS Status changes to Enabled.5. Choose Enable.
AD Connector を使用してクライアント側 LDAPS を有効にするAD Connector のクライアント側 LDAPS サポートにより、Microsoft Active Directory (AD) と AWSアプリケーション間の通信が暗号化されます。このようなアプリケーションの例として AmazonWorkSpaces、AWS SSO、Amazon QuickSight、Amazon Chime などがあります。この暗号化により、組織の ID データの保護を強化し、セキュリティ要件を満たすことができます。
前提条件クライアント側 LDAPS を有効にする前に、次の要件を満たす必要があります。
トピック• Active Directory にサーバー証明書をデプロイする (p. 152)• CA 証明書の要件 (p. 152)• ネットワーク要件 (p. 152)
Version 1.0151
AWS Directory Service 管理ガイドディレクトリをセキュリティで保護する
Active Directory にサーバー証明書をデプロイする
クライアント側 LDAPS を有効にするには、Active Directory 内のドメインコントローラーごとにサーバー証明書を取得してインストールする必要があります。これらの証明書は、LDAP サービスが LDAP クライアントからの SSL 接続をリッスンして自動的に承認するために使用されます。SSL 証明書は、社内のActive Directory 証明書サービス (ADCS) のデプロイから発行されたもの、または商用発行者から購入したものを使用できます。Active Directory サーバー証明書の要件の詳細については、Microsoft の Web サイト「LDAP over SSL (LDAPS) 証明書」を参照してください。
CA 証明書の要件
クライアント側 LDAPS のオペレーションには、サーバー証明書の発行元を表す証明機関 (CA) 証明書が必要です。CA 証明書は、LDAP 通信を暗号化するために Active Directory ドメインコントローラーから提示されるサーバー証明書と照合されます。次の CA 証明書の要件に注意してください。
• 証明書を登録するには、有効期限までに 90 日以上の期間があることが必要です。• 証明書は、プライバシー強化メール (PEM) 形式であることが必要です。Active Directory 内から CA 証
明書をエクスポートする場合は、エクスポートファイル形式として base64 でエンコードされた X.509(.CER) を選択します。
• AD Connector ディレクトリごとに最大 5 つの CA 証明書を保存できます。• RSASSA-PSS 署名アルゴリズムを使用する証明書はサポートされていません。
ネットワーク要件
AWS アプリケーションの LDAP トラフィックは TCP ポート 636 で排他的に実行され、LDAP ポート 389へのフォールバックはありません。ただし、レプリケーション、信頼などをサポートする Windows LDAP通信は、Windows ネイティブセキュリティを備えた LDAP ポート 389 を引き続き使用します。AWS セキュリティグループとネットワークファイアウォールを設定し、ポート 636 での AD Connector (アウトバウンド) およびセルフマネージド Active Directory (インバウンド) の TCP 通信を許可します。
クライアント側 LDAPS の有効化
クライアント側 LDAPS を有効にするには、認証期間 (CA) 証明書を AD Connector にインポートし、ディレクトリで LDAPS を有効にします。有効にすると、AWS アプリケーションとセルフマネージド ActiveDirectory 間のすべての LDAP トラフィックには、Secure Sockets Layer (SSL) チャネル暗号化が使用されます。
2 つの異なる方法を使用して、ディレクトリのクライアント側 LDAPS を有効にできます。AWS マネジメントコンソールまたは AWS CLI のいずれかの方法を使用できます。
トピック• ステップ 1: AWS Directory Service で証明書を登録する (p. 152)• ステップ 2: 登録ステータスを確認する (p. 153)• ステップ 3: クライアント側 LDAPS を有効にする (p. 153)• ステップ 4: LDAPS ステータスを確認する (p. 154)
ステップ 1: AWS Directory Service で証明書を登録する
以下のいずれかの方法を使用して、AWS Directory Service で証明書を登録します。
方法 1: AWS Directory Service で証明書を登録するには (AWS マネジメントコンソール)
1. AWS Directory Service console ナビゲーションペインで [ディレクトリ] を選択します。2. ディレクトリのディレクトリ ID リンクを選択します。
Version 1.0152
AWS Directory Service 管理ガイドディレクトリをセキュリティで保護する
3. [ディレクトリの詳細] ページで、[Networking & security (ネットワークとセキュリティ)] タブを選択します。
4. [Client-side LDAPS (クライアント側 LDAPS)] セクションで、[Actions (アクション)] メニューを選択してから、[証明書の登録] を選択します。
5. [CA 証明書を登録する] ダイアログボックスで [参照] を選択し、証明書を選択してから、[Open (開く)]を選択します。
6. [証明書の登録] を選択します。
方法 2: AWS Directory Service で証明書を登録するには (AWS CLI)
• 次のコマンドを実行します。証明書データについては、CA 証明書ファイルの場所をポイントします。証明書 ID がレスポンスで提供されます。
aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
ステップ 2: 登録ステータスを確認する
証明書登録のステータスまたは登録済み証明書のリストを表示するには、以下のいずれかの方法を使用します。
方法 1: AWS Directory Service で証明書登録ステータスを確認するには (AWS マネジメントコンソール)
1. [ディレクトリの詳細] ページの [Client-side LDAPS (クライアント側 LDAPS)] セクションに移動します。
2. [登録ステータス] 列に表示される現在の証明書登録ステータスを確認します。登録ステータスの値が[登録済み] に変わると、証明書は正常に登録されています。
方法 2: AWS Directory Service で証明書登録ステータスを確認するには (AWS CLI)
• 次のコマンドを実行します。ステータス値として Registered が返される場合、証明書は正常に登録されています。
aws ds list-certificates --directory-id your_directory_id
ステップ 3: クライアント側 LDAPS を有効にする
以下のいずれかの方法を使用して、AWS Directory Service でクライアント側 LDAPS を有効にします。
Note
クライアント側 LDAPS を有効にするには、1 つ以上の証明書が正常に登録されている必要があります。
方法 1: AWS Directory Service でクライアント側 LDAPS を有効にするには (AWS マネジメントコンソール)
1. [ディレクトリの詳細] ページの [Client-side LDAPS (クライアント側 LDAPS)] セクションに移動します。
2. [Enable] を選択します。このオプションを使用できない場合は、有効な証明書が正常に登録されていることを確認してから、もう一度やり直してください。
Version 1.0153
AWS Directory Service 管理ガイドディレクトリをセキュリティで保護する
3. [Enable client-side LDAPS (クライアント側 LDAPS を有効にする)] ダイアログボックスで、[Enable(有効化)] を選択します。
方法 2: AWS Directory Service でクライアント側 LDAPS を有効にするには (AWS CLI)
• 次のコマンドを実行します。
aws ds enable-ldaps --directory-id your_directory_id --type Client
ステップ 4: LDAPS ステータスを確認する
以下のいずれかの方法を使用して、AWS Directory Service の LDAPS ステータスを確認します。
方法 1: AWS Directory Service で LDAPS ステータスを確認するには (AWS マネジメントコンソール)
1. [ディレクトリの詳細] ページの [Client-side LDAPS (クライアント側 LDAPS)] セクションに移動します。
2. ステータス値が [Enabled (有効)] と表示されている場合、LDAPS は正常に設定されています。
方法 2: AWS Directory Service で LDAPS ステータスを確認するには (AWS CLI)
• 次のコマンドを実行します。ステータス値として Enabled が返される場合、LDAPS は正常に設定されています。
aws ds describe-ldaps-settings –directory-id your_directory_id
クライアント側 LDAPS の管理
LDAPS 設定を管理するには、以下のコマンドを使用します。
2 つの異なる方法を使用して、クライアント側 LDAPS 設定を管理できます。AWS マネジメントコンソールまたは AWS CLI のいずれかの方法を使用できます。
証明書の詳細を表示する
以下のいずれかの方法を使用して、証明書の有効期限がいつ切れるかを確認します。
方法 1: AWS Directory Service で証明書の詳細を表示するには (AWS マネジメントコンソール)
1. AWS Directory Service console ナビゲーションペインで [ディレクトリ] を選択します。2. ディレクトリのディレクトリ ID リンクを選択します。3. [ディレクトリの詳細] ページで、[Networking & security (ネットワークとセキュリティ)] タブを選択し
ます。4. [Client-side LDAPS (クライアント側 LDAPS)] セクションの [CA certificates (CA 証明書)] に、証明書
に関する情報が表示されます。
方法 2: AWS Directory Service で証明書の詳細を表示するには (AWS CLI)
• 次のコマンドを実行します。証明書 ID として、register-certificate または list-certificates から返される ID を使用します。
Version 1.0154
AWS Directory Service 管理ガイドディレクトリをセキュリティで保護する
aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
証明書の登録解除
以下のいずれかの方法を使用して、証明書を登録解除します。
Note
登録されている証明書が 1 つのみの場合は、証明書を登録解除する前に、まず LDAPS を無効にする必要があります。
方法 1: AWS Directory Service で証明書を登録解除するには (AWS マネジメントコンソール)
1. AWS Directory Service console ナビゲーションペインで [ディレクトリ] を選択します。2. ディレクトリのディレクトリ ID リンクを選択します。3. [ディレクトリの詳細] ページで、[Networking & security (ネットワークとセキュリティ)] タブを選択し
ます。4. [Client-side LDAPS (クライアント側 LDAPS)] セクションで、[Actions (アクション)] を選択してか
ら、[Deregister certificate (証明書の登録解除)] を選択します。5. [Deregister a CA certificate (CA 証明書を登録解除する)] ダイアログボックスで、[登録解除] を選択し
ます。
方法 2: AWS Directory Service で証明書を登録解除するには (AWS CLI)
• 次のコマンドを実行します。証明書 ID として、register-certificate または list-certificates から返される ID を使用します。
aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
クライアント側 LDAPS の無効化
以下のいずれかの方法を使用して、クライアント側 LDAPS を無効にします。
方法 1: AWS Directory Service でクライアント側 LDAPS を無効にするには (AWS マネジメントコンソール)
1. AWS Directory Service console ナビゲーションペインで [ディレクトリ] を選択します。2. ディレクトリのディレクトリ ID リンクを選択します。3. [ディレクトリの詳細] ページで、[Networking & security (ネットワークとセキュリティ)] タブを選択し
ます。4. [Client-side LDAPS (クライアント側 LDAPS)] セクションで、[Disable (無効化)] を選択します。5. [Disable client-side LDAPS (クライアント側 LDAPS を無効にする)] ダイアログボックスで、[Disable
(無効化)] を選択します。
方法 2: AWS Directory Service でクライアント側 LDAPS を無効にするには (AWS CLI)
• 次のコマンドを実行します。
Version 1.0155
AWS Directory Service 管理ガイドディレクトリをモニタリングする
aws ds disable-ldaps --directory-id your_directory_id --type Client
AD Connector ディレクトリのモニタリングAD Connector ディレクトリは、次の方法でモニタリングできます。
トピック• ディレクトリのステータスを把握する (p. 156)• ディレクトリステータス通知を設定する (p. 157)
ディレクトリのステータスを把握するThe following are the various statuses for a directory.
Active
The directory is operating normally. No issues have been detected by the AWS Directory Service foryour directory.
Creating
The directory is currently being created. Directory creation typically takes between 5 to 30 minutes butmay vary depending on the system load.
Deleted
The directory has been deleted. All resources for the directory have been released. Once a directoryenters this state, it cannot be recovered.
Deleting
The directory is currently being deleted. The directory will remain in this state until it has beencompletely deleted. Once a directory enters this state, the delete operation cannot be cancelled, andthe directory cannot be recovered.
Failed
The directory could not be created. Please delete this directory. If this problem persists, please contactthe AWS Support Center.
Impaired
The directory is running in a degraded state. One or more issues have been detected, and not alldirectory operations may be working at full operational capacity. There are many potential reasonsfor the directory being in this state. These include normal operational maintenance activity such aspatching or EC2 instance rotation, temporary hot spotting by an application on one of your domaincontrollers, or changes you made to your network that inadvertently disrupt directory communications.For more information, see either AWS Managed Microsoft AD のトラブルシューティング (p. 133), ADConnector のトラブルシューティング (p. 165), Simple AD のトラブルシューティング (p. 213). Fornormal maintenance related issues, AWS resolves these issues within 40 minutes. If after reviewingthe troubleshooting topic, your directory is in an Impaired state longer than 40 minutes, we recommendthat you contact the AWS Support Center.
Important
Do not restore a snapshot while a directory is in an Impaired state. It is rare that snapshotrestore is necessary to resolve impairments. For more information, see ディレクトリのスナップショットまたは復元 (p. 94).
Version 1.0156
AWS Directory Service 管理ガイドディレクトリをモニタリングする
Inoperable
The directory is not functional. All directory endpoints have reported issues.Requested
A request to create your directory is currently pending.RestoreFailed
Restoring the directory from a snapshot failed. Please retry the restore operation. If this continues, try adifferent snapshot, or contact the AWS Support Center.
Restoring
The directory is currently being restored from an automatic or manual snapshot. Restoring from asnapshot typically takes several minutes, depending on the size of the directory data in the snapshot.
For more information, see Simple AD ディレクトリステータスの原因 (p. 214).
ディレクトリステータス通知を設定するUsing Amazon Simple Notification Service (Amazon SNS), you can receive email or text (SMS) messageswhen the status of your directory changes. You get notified if your directory goes from an Active status toan Impaired or Inoperable status. You also receive a notification when the directory returns to an Activestatus.
How It Works
Amazon SNS uses “topics” to collect and distribute messages. Each topic has one or more subscriberswho receive the messages that have been published to that topic. Using the steps below you can add AWSDirectory Service as publisher to an Amazon SNS topic. When AWS Directory Service detects a change inyour directory’s status, it publishes a message to that topic, which is then sent to the topic's subscribers.
You can associate multiple directories as publishers to a single topic. You can also add directory statusmessages to topics that you’ve previously created in Amazon SNS. You have detailed control over whocan publish to and subscribe to a topic. For complete information about Amazon SNS, see What is AmazonSNS?.
To enable SNS messaging for your directory
1. Sign in to the AWS マネジメントコンソール and open the AWS Directory Service console at https://console.aws.amazon.com/directoryservicev2/.
2. On the Directories page, choose your directory ID.3. Select the Maintenance tab.4. In the Directory monitoring section, choose Actions, and then select Create notification.5. On the Create notification page, select Choose a notification type, and then choose Create a new
notification. Alternatively, if you already have an existing SNS topic, you can choose Associate existingSNS topic to send status messages from this directory to that topic.
Note
If you choose Create a new notification but then use the same topic name for an SNStopic that already exists, Amazon SNS does not create a new topic, but just adds the newsubscription information to the existing topic.If you choose Associate existing SNS topic, you will only be able to choose an SNS topic thatis in the same region as the directory.
Version 1.0157
AWS Directory Service 管理ガイドEC2 インスタンスをディレクトリに参加させる
6. Choose the Recipient type and enter the Recipient contact information. If you enter a phone number forSMS, use numbers only. Do not include dashes, spaces, or parentheses.
7. (Optional) Provide a name for your topic and an SNS display name. The display name is a short nameup to 10 characters that is included in all SMS messages from this topic. When using the SMS option,the display name is required.
Note
If you are logged in using an IAM user or role that has only the DirectoryServiceFullAccessmanaged policy, your topic name must start with “DirectoryMonitoring”. If you’d like to furthercustomize your topic name you’ll need additional privileges for SNS.
8. Choose Create.
If you want to designate additional SNS subscribers, such as an additional email address,Amazon SQS queues or AWS Lambda, you can do this from the Amazon SNS console at https://console.aws.amazon.com/sns/v3/home.
To remove directory status messages from a topic
1. Sign in to the AWS マネジメントコンソール and open the AWS Directory Service console at https://console.aws.amazon.com/directoryservicev2/.
2. On the Directories page, choose your directory ID.3. Select the Maintenance tab.4. In the Directory monitoring section, select an SNS topic name in the list, choose Actions, and then
select Remove.5. Choose Remove.
This removes your directory as a publisher to the selected SNS topic. If you want to delete the entire topic,you can do this from the Amazon SNS console at https://console.aws.amazon.com/sns/v3/home.
Note
Before deleting an Amazon SNS topic using the SNS console, you should ensure that a directoryis not sending status messages to that topic.If you delete an Amazon SNS topic using the SNS console, this change will not immediately bereflected within the Directory Services console. You would only be notified the next time a directorypublishes a notification to the deleted topic, in which case you would see an updated status on thedirectory’s Monitoring tab indicating the topic could not be found.Therefore, to avoid missing important directory status messages, before deleting any topic thatreceives messages from AWS Directory Service, associate your directory with a different AmazonSNS topic.
EC2 インスタンスを AD Connector ディレクトリに結合するYou can seamlessly join an EC2 instance to your directory domain when the instance is launched usingAWS Systems Manager. For more information, see Seamlessly Joining a Windows Instance to an AWSDirectory Service Domain in the Windows インスタンスの Amazon EC2 ユーザーガイド.
If you need to manually join an EC2 instance to your domain, you must launch the instance in the properregion and security group or subnet, then join the instance to the domain.
To be able to connect remotely to these instances, you must have IP connectivity to the instances from thenetwork you are connecting from. In most cases, this requires that an internet gateway be attached to yourVPC and that the instance has a public IP address.
Version 1.0158
AWS Directory Service 管理ガイドEC2 インスタンスをディレクトリに参加させる
トピック• Windows EC2 インスタンスをシームレスに結合する (p. 159)
Windows EC2 インスタンスをシームレスに結合するこの手順は、Windows EC2 インスタンスを AD Connector ディレクトリにシームレスに結合します。
Windows EC2 インスタンスをシームレスに統合するには
1. AWS マネジメントコンソールにサインインをしたあと、https://console.aws.amazon.com/ec2/ にあるAmazon EC2 コンソールを開きます。
2. From the region selector in the navigation bar, choose the same region as the existing directory.3. Choose Launch Instance.4. On the Step 1 page, choose Select for the appropriate AMI.5. On the Step 2 page, select the appropriate instance type, and then choose Next: Configure Instance
Details.6. On the Step 3 page, do the following, and then choose Next: Add Storage:
1. For Network, choose the VPC that your directory was created in.2. For Subnet, choose one of the public subnets in your VPC. The subnet that you choose must have
all external traffic routed to an internet gateway. If this is not the case, you won't be able to connectto the instance remotely.
3. For Auto-assign Public IP, choose Enable.
For more information about public and private IP addressing, see Amazon EC2 Instance IPAddressing in the Windows インスタンスの Amazon EC2 ユーザーガイド.
4. For Domain join directory, choose your domain from the list.Note
This option is only available for Windows instances. Linux instances must be manuallyjoined to the directory as explained in Linux インスタンスを手動で結合する (p. 54).
5. For IAM role, do one of the following:
Select an IAM role that has the AWS managed policies AmazonSSMManagedInstanceCore andAmazonSSMDirectoryServiceAccess attached to it.
-or-
If you haven't created an IAM role that has the AmazonSSMManagedInstanceCore andAmazonSSMDirectoryServiceAccess managed policies attached to it, choose the Create new IAMrole link, and then do the following:a. Choose Create role.b. Under Select type of trusted entity, choose AWS service.c. Under Choose the service that this role will use, in the full list of services, choose EC2 .d. Under Select your use case, choose EC2, and the choose Next: Permissions.e. In the list of policies, select the AmazonSSMManagedInstanceCore and
AmazonSSMDirectoryServiceAccess policies. (To filter the list, type SSM in the search box.)Note
AmazonSSMDirectoryServiceAccess provides the permissions to joininstances to an Active Directory managed by AWS Directory Service.AmazonSSMManagedInstanceCore provides the minimum permissions necessary touse the Systems Manager service. For more information about creating a role with these
Version 1.0159
AWS Directory Service 管理ガイドディレクトリをメンテナンスする
permissions, and for information about other permissions and policies you can assignto your IAM role, see Create an IAM Instance Profile for Systems Manager in the AWSSystems Manager ユーザーガイド.
f. Choose Next: Tags.g. (Optional) Add one or more tag key-value pairs to organize, track, or control access for this role,
and then choose Next: Review.h. For Role name, enter a name for your new role, such as EC2DomainJoin or another name that
you prefer.i. (Optional) For Role description, enter a description.j. Choose Create role.k. Go back to the Step 3 page. For IAM role, choose the refresh icon next to IAM role. Your new role
should be visible in the menu. Choose it and leave the rest of the settings on this page with theirdefault values, and then choose Next: Add Storage.
7. On both the Step 4 and Step 5 pages, leave the default settings or make changes as needed, and thenchoose the Next buttons.
8. On the Step 6 page, select a security group for the instance that has been configured to allow remoteaccess to the instance from your network, and then choose Review and Launch.
9. On the Step 7 page, choose Launch, select a key pair, and then choose Launch Instance.
AD Connector ディレクトリの管理このセクションでは、AD Connector 環境の一般的な管理タスクをメンテナンスする方法について説明します。
トピック• ディレクトリの削除 (p. 160)• ディレクトリ情報の表示 (p. 161)
ディレクトリの削除When a Simple AD or AWS Directory Service for Microsoft Active Directory directory is deleted, all ofthe directory data and snapshots are deleted and cannot be recovered. After the directory is deleted, allinstances that are joined to the directory remain intact. You cannot, however, use your directory credentialsto log in to these instances. You need to log in to these instances with a user account that is local to theinstance.
When an AD Connector directory is deleted, your on-premises directory remains intact. All instances thatare joined to the directory also remain intact and remain joined to your on-premises directory. You can stilluse your directory credentials to log in to these instances.
To delete a directory
1. In the AWS Directory Service console navigation pane, select Directories.2. Ensure that no AWS applications are enabled for the directory.
a. On the Directories page, choose your directory ID.b. On the Directory details page, select the Application management tab. In the AWS apps &
services section, you see which AWS applications are enabled for your directory.
• To disable Amazon WorkSpaces, you must deregister the service from the directory in theAmazon WorkSpaces console. For more information, see Deregistering From a Directory in theAmazon WorkSpaces Administration Guide.
Version 1.0160
AWS Directory Service 管理ガイドAD Connector の DNS を更新する
• To disable Amazon WorkSpaces Application Manager, you must remove all applicationassignments in the Amazon WAM console. For more information, see Removing All ApplicationAssignments in the Amazon WAM Administration Guide.
• To disable Amazon WorkDocs, you must delete the Amazon WorkDocs site in the AmazonWorkDocs console. For more information, see Delete a Site in the Amazon WorkDocs 管理ガイド.
• To disable Amazon WorkMail, you must remove the Amazon WorkMail organization in theAmazon WorkMail console. For more information, see Remove an Organization in the AmazonWorkMail Administrator Guide.
• Disable AWS マネジメントコンソール access.• To disable Amazon Relational Database Service, you must remove the Amazon RDS instance
from the domain. For more information, see Managing a DB Instance in a Domain in theAmazon RDS ユーザーガイド.
• To disable Amazon QuickSight, you must unsubscribe from Amazon QuickSight. For moreinformation, see Closing Your Amazon QuickSight Account in the Amazon QuickSight UserGuide.
• To disable Amazon Connect, you must delete the Amazon Connect Instance. For moreinformation, see Deleting an Amazon Connect Instance in the Amazon Connect AdministrationGuide.
Note
If you are using AWS Single Sign-On and have previously connected it to the AWSManaged Microsoft AD directory you plan to delete, you must first disconnect thedirectory from AWS SSO before you can delete it. For more information, see Disconnecta Directory in the AWS SSO User Guide.
3. In the navigation pane, choose Directories.4. Select only the directory to be deleted and click Delete. It takes several minutes for the directory to be
deleted. When the directory has been deleted, it is removed from your directory list.
ディレクトリ情報の表示You can view detailed information about a directory.
To view detailed directory information
1. In the AWS Directory Service console navigation pane, select Directories.2. Click the directory ID link for your directory. Information about the directory is displayed in the Directory
details page.
For more information about the Status field, see ディレクトリのステータスを把握する (p. 37).
AD Connector の DNS アドレスの更新AD Connector が指す DNS アドレスを更新するには、以下のステップを実行します。
Note
更新中の場合は、この更新が完了してから別のアップデートが送信されます。
AD Connector の DNS 設定を更新するには
1. AWS Directory Service console ナビゲーションペインで [Directories (ディレクトリ)] を選択します。
Version 1.0161
AWS Directory Service 管理ガイドベストプラクティス
2. ディレクトリのディレクトリ ID リンクを選択します。3. [Directory details (ディレクトリの詳細)] ページで [Network & Security (ネットワークととセキュリ
ティ)] を選択します。4. [Existing DNS settings (既存の DNS 設定)] セクションで [Update (更新)] を選択します。5. [既存の DNS アドレスの更新] ダイアログで、更新された DNS IP アドレスを入力し、[更新] を選択し
ます。
AD Connector のベストプラクティス問題を回避し、AD Connector を最大限に活用するために考慮する必要のあるいくつかの提案とガイドラインを示します。
セットアップ: 前提条件ディレクトリを作成する前に、これらのガイドラインを検討してください。
Verify You Have the Right Directory TypeAWS Directory Service provides multiple ways to use Microsoft Active Directory with other AWS services.You can choose the directory service with the features you need at a cost that fits your budget:
• AWS Directory Service for Microsoft Active Directory is a feature-rich managed Microsoft Active Directoryhosted on the AWS cloud. AWS Managed Microsoft AD is your best choice if you have more than 5,000users and need a trust relationship set up between an AWS hosted directory and your on-premisesdirectories.
• AD Connector simply connects your existing on-premises Active Directory to AWS. AD Connector is yourbest choice when you want to use your existing on-premises directory with AWS services.
• Simple AD is an inexpensive Active Directory–compatible service with the common directory features.In most cases, Simple AD is the least expensive option and your best choice if you have 5,000 or fewerusers and don’t need the more advanced Microsoft Active Directory features.
For a more detailed comparison of AWS Directory Service options, see オプションの選択 (p. 1).
Ensure Your VPCs and Instances are Configured CorrectlyIn order to connect to, manage, and use your directories, you must properly configure the VPCs that thedirectories are associated with. See either AWS Managed Microsoft AD の前提条件 (p. 10), AD Connectorの前提条件 (p. 138), or Simple AD の前提条件 (p. 170) for information about the VPC security andnetworking requirements.
If you are adding an instance to your domain, ensure that you have connectivity and remote access toyour instance as described in EC2 インスタンスを AWS Managed Microsoft AD ディレクトリに結合する (p. 51).
Be Aware of Your LimitsLearn about the various limits for your specific directory type. The available storage and the aggregatesize of your objects are the only limitations on the number of objects you may store in your directory. Seeeither AWS Managed Microsoft AD の制限 (p. 116), AD Connector の制限 (p. 164), or Simple AD の制限 (p. 212) for details about your chosen directory.
Version 1.0162
AWS Directory Service 管理ガイドセットアップ: 前提条件
ディレクトリの AWS セキュリティグループの設定と使用について理解するAWS は、セキュリティグループを作成して、ピアリングされた、またはサイズ変更した VPC 内からアクセスできる、ディレクトリの Elastic Network Interface (ENI) にアタッチします。また、AWS は、そのディレクトリに不要なトラフィックをブロックし、必要なトラフィックが許可されるようにセキュリティグループを設定します。
ディレクトリのセキュリティグループを変更する
ディレクトリのセキュリティグループのセキュリティは、必要に応じて変更することができます。このような変更を行うのは、セキュリティグループのフィルタリング機能を完全に理解している場合に限ります。詳細については、Amazon EC2 ユーザーガイドの「Linux インスタンスの Amazon EC2 セキュリティグループ」を参照してください。不適切な変更を行うと、対象のコンピュータやインスタンスとの通信が失われる場合があります。追加のポートを開くと、ディレクトリのセキュリティが低下します。AWS は、追加のポートを開かないようお勧めします。「AWS の責任共有モデル」をよくお読みください。
Warning
技術的には、ディレクトリのセキュリティグループを、ユーザーが作成した他の EC2 インスタンスと関連付けることができます。ただし、AWS では、この方法をお勧めしません。AWS では、管理対象ディレクトリの機能上またはセキュリティ上のニーズに対処するために、予告なしにセキュリティグループを変更する場合があります。このような変更は、ディレクトリのセキュリティグループと関連付けるインスタンスに影響を及ぼすため、関連付けられたインスタンスのオペレーションが中断する場合があります。さらに、ディレクトリのセキュリティグループを EC2インスタンスに関連付けると、EC2 インスタンスのセキュリティリスクが生じる可能性があります。
AD Connector を使用する際、オンプレミスサイトとサブネットを正しく設定するオンプレミスのネットワークに Active Directory サイトが定義されている場合、AD Connector が存在するVPC 内のサブネットが Active Directory サイトで定義されていること、VPC 内のサブネットとその他のサイトのサブネットの間に競合が存在しないことを確認する必要があります。
ドメインコントローラーの AD Connector を検出するには、サブネット IP アドレス範囲が AD Connectorを含む VPC 内の IP アドレス範囲に近い Active Directory サイトを使用します。VPC 内の IP アドレス範囲と同じ IP アドレス範囲を持つサブネットを持つサイトがある場合、AD Connector はそのサイトのドメインコントローラーを検出します。これは物理的にユーザーのリージョンに近くない可能性があります。
AWS アプリケーションのユーザー名の制限を理解するAWS Directory Service は、ユーザー名の作成に使用できるほとんどの文字形式をサポートしています。ただし、AWS アプリケーション (例: Amazon WorkSpaces、Amazon WorkDocs、AmazonWorkMail、Amazon QuickSight) へのサインインに使用されるユーザー名には、文字制限が適用されます。これらの制限により、以下の文字は使用できません。
• スペース• !"#$%&'()*+,/:;<=>?@[\]^`{|}~
Note
@ 記号は、UPN サフィックスが後に続く場合に限り、使用できます。
Version 1.0163
AWS Directory Service 管理ガイドアプリケーションのプログラミング
アプリケーションのプログラミングアプリケーションをプログラミングする前に、以下の点を考慮します。
本番稼働用環境にロールアウトする前の負荷テスト本番稼働用環境のワークロードを表すアプリケーションとリクエストを使用してラボテストを行い、ディレクトリがアプリケーションの負荷に合わせてスケールされることを確認します。追加のキャパシティーが必要な場合は、複数の AD Connector ディレクトリに負荷を分散します。
ディレクトリの使用ここでは、ディレクトリを使用する場合に、心に留めておくべき推奨事項をいくつか示します。
管理者の認証情報を定期的に更新するAD Connector サービスアカウントの管理者パスワードは定期的に変更し、パスワードが既存の ActiveDirectory パスワードポリシーに準拠していることを確認します。サービスアカウントのパスワードを変更する手順については、「AWS Directory Service の AD Connector サービスアカウントの認証情報の更新 (p. 150)」を参照してください。
各ドメインの一意の AD Connector を使用するAD Connector とオンプレミスの AD ドメインには 1 対 1 の関係があります。つまり、AD フォレスト内の子ドメインを含む認証する各オンプレミスドメインに対して、一意の AD Connector を作成する必要があります。作成する各 AD Connector は、同じディレクトリに接続されていても、別のサービスアカウントを使用する必要があります。
互換性を確認するAD Connector を使用する場合、オンプレミスのディレクトリがあり、AWS Directory Services と互換性が維持されていることを確認する必要があります。お客様の責任の詳細については、「 共有責任モデル 」を参照してください。
AD Connector の制限次に示しているのは、AD Connector のデフォルトの制限です。特に明記されていない限り、制限はリージョンごとに存在します。
AD Connector の制限
リソース デフォルトの制限
AD Connector ディレクトリ 10
Increase Your LimitPerform the following steps to increase your limit for a region.
To request a limit increase for a region
1. Go to the AWS Support Center page, sign in, if necessary, and click Open a new case.
Version 1.0164
AWS Directory Service 管理ガイドアプリケーションの互換性
2. Under Regarding, select Service Limit Increase.3. Under Limit Type, select AWS Directory Service.4. Fill in all of the necessary fields in the form and click the button at the bottom of the page for your
desired method of contact.
AD Connector のアプリケーションの互換性ポリシー
AD Connector は、AWS Managed Microsoft AD (p. 9) (AWS Directory Service for Microsoft ActiveDirectory ) の代替として機能し、AWS で作成されたアプリケーションとサービスの Active Directory プロキシとなります。指定した Active Directory ドメインを使用するように、このプロキシを設定します。アプリケーションが Active Directory 内のユーザーまたはグループをルックアップする必要があるとき、ADConnector はそのリクエストをディレクトリにプロキシします。同様に、ユーザーがアプリケーションにログインするとき、AD Connector は認証リクエストをディレクトリにプロキシします。AD Connector で動作するサードパーティーアプリケーションはありません。
以下に示しているのは、AWS の互換性のあるアプリケーションとサービスのリストです。
• Amazon Chime - 詳細な手順については、「Active Directory に接続する」を参照してください。• Amazon Connect - 詳細については、「Amazon Connect の仕組み」を参照してください。• Amazon EC2 for Windows - Amazon EC2 Windows のシームレスドメイン参加機能を使用して、インス
タンスを自己マネージド型 Active Directory (オンプレミス) に参加させることができます。参加すると、インスタンスは Active Directory と直接通信し、AD Connector をバイパスします。詳細については、「Windows EC2 インスタンスをシームレスに結合する (p. 51)」を参照してください。
• AWS マネジメントコンソール - AD Connector を使用して、AWS マネジメントコンソール ユーザーを Active Directory 認証情報で認証できます。SAML インフラストラクチャを設定する必要はありません。詳細については、「AD 認証情報による AWS マネジメントコンソール へのアクセスを有効にする (p. 107)」を参照してください。
• Amazon QuickSight - 詳細については、「Amazon QuickSight エンタープライズエディションでのユーザーアカウントの管理」を参照してください。
• AWS シングルサインオン - 詳細な手順については、「AWS SSO をオンプレミス Active Directory に接続する」を参照してください。
• Amazon WorkDocs - 詳細な手順については、「AD Connector を使用してオンプレミスディレクトリに接続する」を参照してください。
• Amazon WorkMail - 詳細な手順については、「Amazon WorkMail を既存のディレクトリと統合する (標準セットアップ)」を参照してください。
• Amazon WorkSpaces - 詳細な手順については、「AD Connector を使用して WorkSpace を起動する」を参照してください。
Note
Amazon RDS for SQL Server は AWS Managed Microsoft AD とのみ互換性があり、ADConnector とは互換性がありません詳細については、「AWS Directory Service FAQ」ページのAWS Microsoft AD のセクションを参照してください。
AD Connector のトラブルシューティング以下のセクションは、ディレクトリ作成時および使用時に直面する問題をトラブルシューティングするのに役立ちます。
Version 1.0165
AWS Directory Service 管理ガイドEC2 インスタンスのシームレスなドメイン結合が動作しない
AD Connector に関する一般的な問題を以下に示します。
EC2 インスタンスのシームレスなドメイン結合が動作しないEC2 インスタンスのシームレスなドメイン結合中に、AD Connector はアクティブだが停止した場合は、AD Connector サービスアカウントの認証情報が期限切れになっている可能性があります。認証情報が期限切れの場合は、AD Connector で Active Directory のコンピューティングオブジェクトを作成できない場合があります。
この問題を解消するには、パスワードが一致するように、次の順序でサービスアカウントのパスワードを更新します。
1. Active Directory のサービスアカウントのパスワードを更新2. AWS Directory Service で AD Connector のサービスアカウントのパスワードを更新
AWS Directory Service のパスワードのみを更新すると、このパスワードの変更は既存のオンプレミスActive Directory にプッシュされないため、指定の順序で更新することが重要です。
AWS アプリケーションを使用してユーザーまたはグループを検索すると「認証できません」エラーが表示されるAWS アプリケーション (例: Amazon WorkSpaces または Amazon QuickSight) の使用中にユーザーを検索すると、AD Connector ステータスがアクティブであってもエラーが表示される場合があります。認証情報が期限切れの場合は、AD Connector で Active Directory のオブジェクトのクエリを完了できない場合があります。上記の指定されたステップを使用して、サービスアカウントのパスワードを更新します。
AD Connector を通してドメインのユーザーおよびグループをクエリすると、「Authentication failed (認証失敗)」が返されるこれは、[LDAP server signing requirements (LDAP サーバー署名要件)] ポリシーが有効化されている場合に発生することがあります。このポリシーを無効化して、再度クエリを試行してください。このポリシーの全般的な情報については、「Domain controller: LDAP server signing requirements (ドメインコントローラー LDAP サーバー署名要件)」を参照してください。
オンプレミスディレクトリに接続しようとすると、「DNS unavailable」というエラーが表示されるオンプレミスディレクトリに接続するときに、次のようなエラーメッセージが表示されます。
DNS unavailable (TCP port 53) for IP: <DNS IP address>
AD Connector は、ポート 53 上で TCP および UDP によってオンプレミス DNS サーバーと通信できる必要があります。セキュリティグループおよびオンプレミスのファイアウォールが、このポート上のTCP および UDP 通信を許可していることを確認します。詳細については、「AD Connector の前提条件 (p. 138)」を参照してください。
Version 1.0166
AWS Directory Service 管理ガイドオンプレミスディレクトリに接続しようとすると、
「Connectivity issues detected」というエラーが表示される
オンプレミスディレクトリに接続しようとすると、「Connectivity issues detected」というエラーが表示されるオンプレミスディレクトリに接続するときに、次のようなエラーメッセージが表示されます。
Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address>Kerberos/authentication unavailable (TCP port 88) for IP: <IP address>Please ensure that the listed ports are available and retry the operation.
AD Connector は、以下のポート上で TCP および UDP によってオンプレミスドメインコントローラーと通信できる必要があります。セキュリティグループおよびオンプレミスのファイアウォールが、これらのポート上の TCP および UDP 通信を許可していることを確認します。詳細については、「AD Connectorの前提条件 (p. 138)」を参照してください。
• 88 (Kerberos)• 389 (LDAP)
オンプレミスディレクトリに接続しようとすると、「SRV record」というエラーが表示されるオンプレミスディレクトリに接続するときに、次のいずれかまたは複数のエラーメッセージが表示されます。
SRV record for LDAP does not exist for IP: <DNS IP address>
SRV record for Kerberos does not exist for IP: <DNS IP address>
AD Connector は、ディレクトリに接続するときに、_ldap._tcp.<DnsDomainName> および_kerberos._tcp.<DnsDomainName> SRV レコードを取得する必要があります。ディレクトリに接続するときに、サービスが指定された DNS サーバーからこれらのレコードを取得できない場合、このエラーが表示されます。これらの SRV レコードの詳細については、「SRV レコード要件 (p. 140)」を参照してください。
ディレクトリが「リクエスト済み」の状態から変化しない5 分を経過しても、ディレクトリの状態が「リクエスト済み」の状態から変わらない場合は、ディレクトリを削除して、作成し直してください。この問題が解決しない場合は、AWS Support Center までお問い合わせください。
ディレクトリを作成すると、「AZ 制約」エラーが表示される2012 年より前に作成された一部の AWS アカウントでは、米国東部(バージニア北部) をサポートしない米国西部 (北カリフォルニア)、アジアパシフィック (東京)、または AWS Directory Service リージョン のアベイラビリティーゾーンにアクセスできることがあります。ディレクトリ作成時にこのようなエラーが表示される場合は、別のアベイラビリティーゾーンのサブネットを選択して、ディレクトリを再度作成してください。
Version 1.0167
AWS Directory Service 管理ガイド一部のユーザーがディレクトリで認証されない
一部のユーザーがディレクトリで認証されないユーザーアカウントの Kerberos 事前認証を有効にしておく必要があります。これは、新しいユーザーアカウントのデフォルト設定ですが、変更しないでください。この設定の詳細については、MicrosoftTechNet の「事前認証」を参照してください。
AD Connector で使用されるサービスアカウントで認証を試みると、「無効な認証情報」エラーが表示されるこのエラーは、ドメインコントローラーのハードドライブ容量が不足している場合に発生する場合があります。ドメインコントローラーのハードドライブがいっぱいでないことを確認します。
Version 1.0168
AWS Directory Service 管理ガイド
Simple Active DirectorySimple AD は、Samba 4 Active Directory Compatible Server を使用するスタンドアロンのマネージド型ディレクトリです。2 つのサイズから選択できます。
• スモール – 最大 500 ユーザー (ユーザー、グループ、コンピュータを含む約 2,000 オブジェクト) をサポートします。
• ラージ – 最大 5,000 ユーザー (ユーザー、グループ、コンピュータを含む約 20,000 オブジェクト) をサポートします。
Simple AD では、AWS Managed Microsoft AD の機能のサブセットを使用できます。たとえば、ユーザーアカウントやグループメンバーシップの管理、グループポリシーの作成および適用、Amazon EC2インスタンスへの安全な接続を行うことができるだけでなく、Kerberos ベースのシングルサインオン (SSO) を使用できます。ただし、Simple AD では、他ドメインとの信頼関係、Active Directory 管理センター、PowerShell サポート、Active Directory のごみ箱、グループが管理するサービスアカウント、POSIX および Microsoft アプリケーションのスキーマ拡張などの機能はサポートされていません。
Simple AD には、数多くの利点があります。
• Simple AD により、Linux および Windows を実行する Amazon EC2 インスタンスの管理と AWS クラウドでの Windows アプリケーションのデプロイがさらに容易になります。
• 現在使用している Microsoft Active Directory のサポートを必要とするアプリケーションやツールの多くは、Simple AD で使用することができます。
• Simple AD、AWS、Amazon WorkSpaces などの Amazon WorkDocs アプリケーションは、AmazonWorkMail のユーザーアカウントを使用してアクセスできます。
• IAM –ロールベースの AWS リソースへのアクセスを管理でき AWS マネジメントコンソールます。• 毎日の自動スナップショットで、ポイントインタイムリカバリを行うことができます。
Simple AD は、次のいずれかもサポートしていません。
• Amazon AppStream 2.0• Amazon Chime• Amazon RDS (SQL Server)• AWS シングルサインオン• 他のドメインとの信頼関係• Active Directory 管理センター• PowerShell• Active Directory ごみ箱• グループ管理サービスアカウント• POSIX および Microsoft アプリケーションのスキーマ拡張
独自の Simple AD を作成する方法については、このトピックの後半を参照してください。
トピック• Simple AD の使用開始 (p. 170)
Version 1.0169
AWS Directory Service 管理ガイド開始方法
• Simple AD を管理する方法 (p. 173)• チュートリアル: Simple AD ディレクトリの作成 (p. 206)• Simple AD のベストプラクティス (p. 209)• Simple AD の制限 (p. 212)• Simple AD のアプリケーションの互換性ポリシー (p. 212)• Simple AD のトラブルシューティング (p. 213)
Simple AD の使用開始Simple AD は、フルマネージド型の Samba ベースのディレクトリを AWS クラウドに作成します。SimpleAD でディレクトリを作成すると、ユーザーに代わって AWS Directory Service が 2 つのドメインコントローラーと DNS サーバーを追加します。ドメインコントローラーは、1 つの VPC の異なるサブネットに作成されます。この冗長性により、障害が発生してもディレクトリに確実にアクセスできます。
トピック• Simple AD の前提条件 (p. 170)• Simple AD ディレクトリを作成する (p. 171)• 作成されるファイル (p. 172)• DNS を設定する (p. 172)
Simple AD の前提条件Simple AD ディレクトリを作成するには、VPC に関する以下の条件があります。
• 少なくとも 2 つのサブネット。Simple AD を正しくインストールするには、2 つのドメインコントローラーを異なるアベイラビリティーゾーンに存在する異なるサブネットにインストールする必要があります。さらに、サブネットは同じクラスレスドメイン間ルーティング (CIDR) の範囲に存在する必要があります。ディレクトリの VPC を拡張またはサイズ変更する場合は、拡張された VPC CIDR 範囲の両方のドメインコントローラーサブネットを選択してください。
• VPC にはデフォルトのハードウェアテナンシーが必要です。• Simple AD による LDAPS のサポートが必要な場合、EC2 インスタンスで実行される Elastic Load
Balancing と HA Proxy を使用して設定することをお勧めします。このモデルを使用すると、LDAPS 接続に強力な証明書を使用して、単一の ELB IP アドレスを通じて LDAPS へのアクセスを簡素化し、HAProxy を通じて自動フェイルオーバーを実現できます。Simple AD を使用した LDAPS の設定方法の詳細については、AWS セキュリティブログの「How to Configure an LDAPS Endpoint for Simple AD」を参照してください。
• 以下の暗号化タイプをディレクトリで有効にする必要があります。• RC4_HMAC_MD5• AES128_HMAC_SHA1• AES256_HMAC_SHA1• 今後の暗号化タイプ
Note
これらの暗号化タイプを無効にすると、RSAT (Remote Server Administration Tools) との通信の問題が発生し、可用性またはディレクトリに影響を与える可能性があります。
AWS Directory Service uses a two VPC structure. The EC2 instances which make up your directory runoutside of your AWS account, and are managed by AWS. They have two network adapters, ETH0 and
Version 1.0170
AWS Directory Service 管理ガイドSimple AD ディレクトリを作成する
ETH1. ETH0 is the management adapter, and exists outside of your account. ETH1 is created within youraccount.
The management IP range of your directory's ETH0 network is chosen programmatically to ensure it doesnot conflict with the VPC where your directory is deployed. This IP range can be in either of the followingpairs (as Directories run in two subnets):
• 10.0.1.0/24 & 10.0.2.0/24• 192.168.1.0/24 & 192.168.2.0/24
We avoid conflicts by checking the first octet of the ETH1 CIDR. If it starts with a 10, then we choose a192.168.0.0/16 VPC with 192.168.1.0/24 and 192.168.2.0/24 subnets. If the first octet is anything else otherthan a 10 we choose a 10.0.0.0/16 VPC with 10.0.1.0/24 and 10.0.2.0/24 subnets.
The selection algorithm does not include routes on your VPC. It is therefore possible to have an IP routingconflict result from this scenario.
Simple AD ディレクトリを作成するTo create a new directory, perform the following steps. Before starting this procedure, make sure you havecompleted the prerequisites identified in Simple AD の前提条件 (p. 170).
To create a Simple AD directory
1. In the AWS Directory Service console navigation pane, choose Directories and then choose Set updirectory.
2. On the Select directory type page, choose Simple AD, and then choose Next.3. On the Enter directory information page, provide the following information:
Directory size
Choose from either the Small or Large size option. For more information about sizes, see SimpleActive Directory (p. 169).
Organization name
A unique organization name for your directory that will be used to register client devices.
This field is only available if you are creating your directory as part of launching AmazonWorkSpaces.
Directory DNS name
The fully qualified name for the directory, such as corp.example.com.Directory NetBIOS name
The short name for the directory, such as CORP.Administrator password
The password for the directory administrator. The directory creation process creates anadministrator account with the user name Administrator and this password.
The directory administrator password is case-sensitive and must be between 8 and 64 charactersin length, inclusive. It must also contain at least one character from three of the following fourcategories:• Lowercase letters (a-z)• Uppercase letters (A-Z)• Numbers (0-9)
Version 1.0171
AWS Directory Service 管理ガイド作成されるファイル
• Non-alphanumeric characters (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)Confirm password
Retype the administrator password.Directory description
An optional description for the directory.4. On the Choose VPC and subnets page, provide the following information, and then choose Next.
VPC
The VPC for the directory.Subnets
Choose the subnets for the domain controllers. The two subnets must be in different AvailabilityZones.
5. On the Review & create page, review the directory information and make any necessary changes.When the information is correct, choose Create directory. It takes several minutes for the directory tobe created. Once created, the Status value changes to Active.
作成されるファイルSimple AD を使用してディレクトリを作成すると、お客様に代わって、AWS Directory Service によって次のタスクが自動的に実行されます。
• VPC 内に Samba ベースのディレクトリをセットアップします。• ユーザー名 Administrator と指定されたパスワードを使用してディレクトリ管理者アカウントを作成
します。このアカウントを使用してディレクトリを管理します。Important
このパスワードは必ず保管してください。AWS Directory Service にはこのパスワードは保存されず、取得できません。ただし、AWS Directory Service コンソールから、またはResetUserPassword API を使用して、パスワードをリセットできます。
• ディレクトリコントローラー用セキュリティグループを作成します。• ドメイン管理者権限を持つ名前 AWSAdminD-xxxxxxxx を使用してアカウントを作成します。このアカ
ウントは、ディレクトリスナップショットの作成や、FSMO ロールの転送などのディレクトリの管理オペレーションを自動化するために AWS Directory Service によって使用されます。このアカウントの認証情報は、AWS Directory Service によって安全に保存されます。
• Automatically associates an elastic network interface with each of your domain controllers. Each ofthese network interfaces are essential to preserve connectivity between EC2 and AWS DirectoryService and should never be deleted. You can identify all network interfaces reserved for use with AWSDirectory Service by the description: "AWS created network interface for directory directory-id". For moreinformation, see Elastic Network Interfaces in the Amazon EC2 User Guide.
DNS を設定するSimple AD は、VPC の Amazon が提供する DNS サーバーの IP アドレスに DNS リクエストを転送します。これらの DNS サーバーは、Route 53 プライベートホストゾーンで構成された名前を解決します。オンプレミスのコンピュータを Simple AD に指定することで、プライベートホストゾーンへの DNS リクエストを解決できるようになりました。
Simple AD が外部の DNS クエリに応答できるように、Simple AD を含む VPC のネットワークアクセスコントロールリスト (ACL) を、VPC 外からのトラフィックを許可するように設定する必要があります。
Version 1.0172
AWS Directory Service 管理ガイド方法...
Route 53 プライベートホストゾーンを使用していない場合、DNS リクエストはパブリック DNS サーバーに転送されます。
VPC の外部にあるカスタム DNS サーバーを使用していて、プライベート DNS を使用する場合は、VPC内の EC2 インスタンスのカスタム DNS サーバーを使用するように再設定する必要があります。詳細については、「プライベートホストゾーンの使用」を参照してください。
Simple AD が VPC 内の DNS サーバーと VPC 外のプライベート DNS サーバーの両方を使用して名前を解決するには、DHCP オプションセットを使用します。詳細例については、この記事を参照してください。
Note
DNS の動的更新は、Simple AD ドメインでサポートされていません。ドメインに結合されているインスタンスで DNS Manager を使用してディレクトリに接続し、直接変更することもできます。
Route 53 の詳細については、「Route 53 とは」を参照してください。
Simple AD を管理する方法このセクションでは、Simple AD 環境を運用およびメンテナンスするすべての手順を示します。
トピック• Simple AD のユーザーとグループを管理する (p. 173)• Simple AD ディレクトリのモニタリング (p. 178)• EC2 インスタンスを Simple AD ディレクトリに結合する (p. 180)• Simple AD ディレクトリの管理 (p. 194)• AWS のアプリケーションとサービスへのアクセスを有効にする (p. 197)• AD 認証情報による AWS マネジメントコンソール へのアクセスを有効にする (p. 204)
Simple AD のユーザーとグループを管理するUsers represent individual people or entities that have access to your directory. Groups are very usefulfor giving or denying privileges to groups of users, rather than having to apply those privileges to eachindividual user. If a user moves to a different organization, you move that user to a different group and theyautomatically receive the privileges needed for the new organization.
To create users and groups in an AWS Directory Service directory, you must use any instance (from eitheron-premises or EC2) that has been joined to your AWS Directory Service directory, and be logged in asa user that has privileges to create users and groups. You will also need to install the Active DirectoryTools on your EC2 instance so you can add your users and groups with the Active Directory Users andComputers snap-in. For more information about how to set up an EC2 instance and install the necessarytools, see ステップ 3: EC2 インスタンスをデプロイして AWS Managed Microsoft AD を管理する (p. 123).
Note
Your user accounts must have Kerberos preauthentication enabled. This is the default setting fornew user accounts, but it should not be modified. For more information about this setting, go toPreauthentication on Microsoft TechNet.
The following topics include instructions on how to create and manage users and groups.
トピック
Version 1.0173
AWS Directory Service 管理ガイドユーザーとグループを管理する
• Active Directory 管理ツールのインストール (p. 174)• ユーザーの作成 (p. 175)• ユーザーパスワードのリセット (p. 176)• グループの作成 (p. 177)• ユーザーをグループに追加する (p. 177)
Active Directory 管理ツールのインストールTo manage your directory from an EC2 Windows instance, you need to install the Active Directory DomainServices and Active Directory Lightweight Directory Services Tools on the instance.
トピック• Install the Active Directory Administration Tools on Windows Server 2008 (p. 65)• Install the Active Directory Administration Tools on Windows Server 2012 (p. 65)• Install the Active Directory Administration Tools on Windows Server 2016 (p. 65)• Install the Active Directory Administration Tools on Windows Server 2019 (p. 65)
You can optionally choose to install the Active Directory administration tools using Windows PowerShell.For example, you can install the Active Directory remote administration tools from a PowerShell promptusing Install-WindowsFeature RSAT-ADDS. For more information, see Install-WindowsFeature on theMicrosoft Website.
Install the Active Directory Administration Tools on Windows Server 2008
To install the Active Directory administration tools on Windows Server 2008
1. Open Server Manager by choosing Start, Administrative Tools, Server Manager.2. In the Server Manager tree pane, select Features, and choose Add Features,3. In the Add Features Wizard, open Remote Server Administration Tools, Role Administration Tools,
select AD DS and AD LDS Tools, scroll down and select DNS, then choose Next.4. Review the information and choose Install. The feature installation requires that the instance be
restarted. When the instance has restarted, the Active Directory Domain Services and ActiveDirectory Lightweight Directory Services Tools are available on the Start menu, under All Programs >Administrative Tools.
Install the Active Directory Administration Tools on Windows Server 2012
To install the Active Directory administration tools on Windows Server 2012
1. Open Server Manager from the Start screen by choosing Server Manager.2. In the Server Manager Dashboard, choose Add roles and features,3. In the Add Roles and Features Wizard choose Installation Type, select Role-based or feature-based
installation, and choose Next.4. Under Server Selection, make sure the local server is selected, and choose Features in the left
navigation pane.5. In the Features tree, open Remote Server Administration Tools, Role Administration Tools, select AD
DS and AD LDS Tools, scroll down and select DNS Server Tools, and then choose Next.6. Review the information and choose Install. When the feature installation is finished, the Active
Directory Domain Services and Active Directory Lightweight Directory Services Tools are available onthe Start screen in the Administrative Tools folder.
Version 1.0174
AWS Directory Service 管理ガイドユーザーとグループを管理する
Install the Active Directory Administration Tools on Windows Server 2016
To install the Active Directory administration tools on Windows Server 2016
1. Open Server Manager from the Start screen by choosing Server Manager.2. In the Server Manager Dashboard, choose Add roles and features,3. In the Add Roles and Features Wizard choose Installation Type, select Role-based or feature-based
installation, and choose Next.4. Under Server Selection, make sure the local server is selected, and choose Features in the left
navigation pane.5. In the Features tree, open Remote Server Administration Tools, Role Administration Tools, select AD
DS and AD LDS Tools, scroll down and select DNS Server Tools, and then choose Next.6. Review the information and choose Install. When the feature installation is finished, the Active
Directory tools are available on the Start screen in the Administrative Tools folder.
Install the Active Directory Administration Tools on Windows Server 2019
To install the Active Directory administration tools on Windows Server 2019
1. Open Server Manager from the Start screen by choosing Server Manager.2. In the Server Manager Dashboard, choose Add roles and features,3. In the Add Roles and Features Wizard choose Installation Type, select Role-based or feature-based
installation, and choose Next.4. Under Server Selection, make sure the local server is selected, and choose Features in the left
navigation pane.5. In the Features tree, open Remote Server Administration Tools, Role Administration Tools, select AD
DS and AD LDS Tools, scroll down and select DNS Server Tools, and then choose Next.6. Review the information and choose Install. When the feature installation is finished, the Active
Directory tools are available on the Start screen in the Administrative Tools folder.
ユーザーの作成Note
Simple AD を使用する際、「最初のログイン時にユーザーにパスワードの変更を強制する」オプションを指定して Linux インスタンスにユーザーアカウントを作成する場合、ユーザーはkpasswd を使用して初期パスワードを変更することはできません。初めてパスワードを変更する場合は、ドメイン管理者が Active Directory 管理ツールを使用してユーザーのパスワードを更新する必要があります。
Simple AD ディレクトリに結合された EC2 インスタンスを持つユーザーを作成するには、次の手順を使用します。
To create a user
1. Open the Active Directory Users and Computers tool. There is a shortcut to this tool in theAdministrative Tools folder.
Tip
You can run the following from a command prompt on the instance to open the ActiveDirectory Users and Computers tool box directly.
Version 1.0175
AWS Directory Service 管理ガイドユーザーとグループを管理する
%SystemRoot%\system32\dsa.msc
2. In the directory tree, select an OU under your directory's NetBIOS name OU where you want to storeyour user (for example, Corp\Users). For more information about the OU structure used by directoriesin AWS, see 作成されるファイル (p. 13).
3. On the Action menu, click New, and then click User to open the new user wizard.4. On the first page of the wizard, enter the values for the following fields, and then click Next.
• First name• Last name• User logon name
5. On the second page of the wizard, type a temporary password in Password and Confirm Password.Make sure the User must change password at next logon option is selected. None of the other optionsshould be selected. Click Next.
6. On the third page of the wizard, verify that the new user information is correct and click Finish. The newuser will appear in the Users folder.
ユーザーパスワードのリセットUsers must adhere to password policies as defined in the directory. Sometimes this can get the best ofusers, including the directory admin, and they forget their password. When this happens, you can quicklyreset the user's password using AWS Directory Service if the user resides in either a Simple AD or AWSManaged Microsoft AD directory.
You can reset the password for any user in your directory with the following exceptions:
• For Simple AD, you cannot reset the password for any user that is a member of either the DomainAdmins or Enterprise Admins group except for the Administrator user.
• For AWS Managed Microsoft AD, you cannot reset the password for any user that is in an OU other thanthe OU that is based off of the NetBIOS name you typed when you created your directory. For example,you cannot reset the password for a user in the AWS Reserved OU. For more information about the OUstructure for an AWS Managed Microsoft AD directory, see 作成されるファイル (p. 13).
You can use any of the following methods to reset a user's password.
Method 1: To reset a user password (AWS マネジメントコンソール)
1. In the AWS Directory Service console navigation pane, under Active Directory, choose Directories, andthen select the directory in the list where you want to reset a user's password.
2. Choose Actions, and then choose Reset user password.3. In the Reset user password dialog, in Username type the username of the user whose password needs
to change.4. Type a password in New password and Confirm Password, and then choose Reset password.
Method 2: To reset a user password (Windows PowerShell)
1. Open Windows PowerShell.2. Type the following command and replace the username "joebob" and password "P@ssw0rd" with your
desired credentials. See Reset-DSUserPassword Cmdlet for more information.
Reset-DSUserPassword -UserName joebob -DirectoryId d-1234567890 -NewPasswordP@ssw0rd
Version 1.0176
AWS Directory Service 管理ガイドユーザーとグループを管理する
Method 3: To reset a user password (AWS CLI)
1. Open the AWS CLI.2. Type the following command and replace the username "joebob" and password "P@ssw0rd" with
your desired credentials. See reset-user-password in the AWS CLI Command Reference for moreinformation.
aws ds reset-user-password --directory-id d-1234567890 --user-name joebob --new-password P@ssw0rd
グループの作成Simple AD ディレクトリに結合された EC2 インスタンスを持つセキュリティグループを作成するには、次の手順を使用します。
To create a group
1. Open the Active Directory Users and Computers tool. There is a shortcut to this tool in theAdministrative Tools folder.
Tip
You can run the following from a command prompt on the instance to open the ActiveDirectory Users and Computers tool box directly.
%SystemRoot%\system32\dsa.msc
2. In the directory tree, select an OU under your directory's NetBIOS name OU where you want to storeyour group (for example, Corp\Users). For more information about the OU structure used by directoriesin AWS, see 作成されるファイル (p. 13).
3. On the Action menu, click New, and then click Group to open the new group wizard.4. Type a name for the group in Group name, select a Group scope, and select Security for the Group
type.5. Click OK. The new security group will appear in the Users folder.
ユーザーをグループに追加するSimple AD ディレクトリに結合された EC2 インスタンスを持つセキュリティグループにユーザーを追加するには、次の手順を使用します。
To add a user to a group
1. Open the Active Directory Users and Computers tool. There is a shortcut to this tool in theAdministrative Tools folder.
Tip
You can run the following from a command prompt on the instance to open the ActiveDirectory Users and Computers tool box directly.
%SystemRoot%\system32\dsa.msc
2. In the directory tree, select the OU under your directory's NetBIOS name OU where you stored yourgroup, and select the group that you want to add a user as a member.
3. On the Action menu, click Properties to open the properties dialog box for the group.
Version 1.0177
AWS Directory Service 管理ガイドディレクトリをモニタリングする
4. Select the Members tab and click Add.5. For Enter the object names to select, type the username you want to add and click OK. The name will
be displayed in the Members list. Click OK again to update the group membership.6. Verify that the user is now a member of the group by selecting the user in the Users folder and clicking
Properties in the Action menu to open the properties dialog box. Select the Member Of tab. You shouldsee the name of the group in the list of groups that the user belongs to.
Simple AD ディレクトリのモニタリングSimple AD ディレクトリは、次の方法でモニタリングできます。
トピック• ディレクトリのステータスを把握する (p. 178)• ディレクトリステータス通知を設定する (p. 179)
ディレクトリのステータスを把握するThe following are the various statuses for a directory.
Active
The directory is operating normally. No issues have been detected by the AWS Directory Service foryour directory.
Creating
The directory is currently being created. Directory creation typically takes between 5 to 30 minutes butmay vary depending on the system load.
Deleted
The directory has been deleted. All resources for the directory have been released. Once a directoryenters this state, it cannot be recovered.
Deleting
The directory is currently being deleted. The directory will remain in this state until it has beencompletely deleted. Once a directory enters this state, the delete operation cannot be cancelled, andthe directory cannot be recovered.
Failed
The directory could not be created. Please delete this directory. If this problem persists, please contactthe AWS Support Center.
Impaired
The directory is running in a degraded state. One or more issues have been detected, and not alldirectory operations may be working at full operational capacity. There are many potential reasonsfor the directory being in this state. These include normal operational maintenance activity such aspatching or EC2 instance rotation, temporary hot spotting by an application on one of your domaincontrollers, or changes you made to your network that inadvertently disrupt directory communications.For more information, see either AWS Managed Microsoft AD のトラブルシューティング (p. 133), ADConnector のトラブルシューティング (p. 165), Simple AD のトラブルシューティング (p. 213). Fornormal maintenance related issues, AWS resolves these issues within 40 minutes. If after reviewingthe troubleshooting topic, your directory is in an Impaired state longer than 40 minutes, we recommendthat you contact the AWS Support Center.
Version 1.0178
AWS Directory Service 管理ガイドディレクトリをモニタリングする
Important
Do not restore a snapshot while a directory is in an Impaired state. It is rare that snapshotrestore is necessary to resolve impairments. For more information, see ディレクトリのスナップショットまたは復元 (p. 94).
Inoperable
The directory is not functional. All directory endpoints have reported issues.Requested
A request to create your directory is currently pending.RestoreFailed
Restoring the directory from a snapshot failed. Please retry the restore operation. If this continues, try adifferent snapshot, or contact the AWS Support Center.
Restoring
The directory is currently being restored from an automatic or manual snapshot. Restoring from asnapshot typically takes several minutes, depending on the size of the directory data in the snapshot.
For more information, see Simple AD ディレクトリステータスの原因 (p. 214).
ディレクトリステータス通知を設定するUsing Amazon Simple Notification Service (Amazon SNS), you can receive email or text (SMS) messageswhen the status of your directory changes. You get notified if your directory goes from an Active status toan Impaired or Inoperable status. You also receive a notification when the directory returns to an Activestatus.
How It WorksAmazon SNS uses “topics” to collect and distribute messages. Each topic has one or more subscriberswho receive the messages that have been published to that topic. Using the steps below you can add AWSDirectory Service as publisher to an Amazon SNS topic. When AWS Directory Service detects a change inyour directory’s status, it publishes a message to that topic, which is then sent to the topic's subscribers.
You can associate multiple directories as publishers to a single topic. You can also add directory statusmessages to topics that you’ve previously created in Amazon SNS. You have detailed control over whocan publish to and subscribe to a topic. For complete information about Amazon SNS, see What is AmazonSNS?.
To enable SNS messaging for your directory
1. Sign in to the AWS マネジメントコンソール and open the AWS Directory Service console at https://console.aws.amazon.com/directoryservicev2/.
2. On the Directories page, choose your directory ID.3. Select the Maintenance tab.4. In the Directory monitoring section, choose Actions, and then select Create notification.5. On the Create notification page, select Choose a notification type, and then choose Create a new
notification. Alternatively, if you already have an existing SNS topic, you can choose Associate existingSNS topic to send status messages from this directory to that topic.
Note
If you choose Create a new notification but then use the same topic name for an SNStopic that already exists, Amazon SNS does not create a new topic, but just adds the newsubscription information to the existing topic.
Version 1.0179
AWS Directory Service 管理ガイドEC2 インスタンスをディレクトリに参加させる
If you choose Associate existing SNS topic, you will only be able to choose an SNS topic thatis in the same region as the directory.
6. Choose the Recipient type and enter the Recipient contact information. If you enter a phone number forSMS, use numbers only. Do not include dashes, spaces, or parentheses.
7. (Optional) Provide a name for your topic and an SNS display name. The display name is a short nameup to 10 characters that is included in all SMS messages from this topic. When using the SMS option,the display name is required.
Note
If you are logged in using an IAM user or role that has only the DirectoryServiceFullAccessmanaged policy, your topic name must start with “DirectoryMonitoring”. If you’d like to furthercustomize your topic name you’ll need additional privileges for SNS.
8. Choose Create.
If you want to designate additional SNS subscribers, such as an additional email address,Amazon SQS queues or AWS Lambda, you can do this from the Amazon SNS console at https://console.aws.amazon.com/sns/v3/home.
To remove directory status messages from a topic
1. Sign in to the AWS マネジメントコンソール and open the AWS Directory Service console at https://console.aws.amazon.com/directoryservicev2/.
2. On the Directories page, choose your directory ID.3. Select the Maintenance tab.4. In the Directory monitoring section, select an SNS topic name in the list, choose Actions, and then
select Remove.5. Choose Remove.
This removes your directory as a publisher to the selected SNS topic. If you want to delete the entire topic,you can do this from the Amazon SNS console at https://console.aws.amazon.com/sns/v3/home.
Note
Before deleting an Amazon SNS topic using the SNS console, you should ensure that a directoryis not sending status messages to that topic.If you delete an Amazon SNS topic using the SNS console, this change will not immediately bereflected within the Directory Services console. You would only be notified the next time a directorypublishes a notification to the deleted topic, in which case you would see an updated status on thedirectory’s Monitoring tab indicating the topic could not be found.Therefore, to avoid missing important directory status messages, before deleting any topic thatreceives messages from AWS Directory Service, associate your directory with a different AmazonSNS topic.
EC2 インスタンスを Simple AD ディレクトリに結合するYou can seamlessly join an EC2 instance to your directory domain when the instance is launched usingAWS Systems Manager. For more information, see Seamlessly Joining a Windows Instance to an AWSDirectory Service Domain in the Windows インスタンスの Amazon EC2 ユーザーガイド.
If you need to manually join an EC2 instance to your domain, you must launch the instance in the properregion and security group or subnet, then join the instance to the domain.
Version 1.0180
AWS Directory Service 管理ガイドEC2 インスタンスをディレクトリに参加させる
To be able to connect remotely to these instances, you must have IP connectivity to the instances from thenetwork you are connecting from. In most cases, this requires that an internet gateway be attached to yourVPC and that the instance has a public IP address.
トピック• Windows EC2 インスタンスをシームレスに結合する (p. 181)• Windows インスタンスを手動で参加させる (p. 182)• Linux インスタンスを手動で結合する (p. 183)• Simple AD のディレクトリ結合特権を委任する (p. 191)• DHCP オプションセットの作成 (p. 193)
Windows EC2 インスタンスをシームレスに結合するこの手順は、Windows EC2 インスタンスを Simple AD ディレクトリにシームレスに結合します。
Windows EC2 インスタンスをシームレスに統合するには
1. AWS マネジメントコンソールにサインインをしたあと、https://console.aws.amazon.com/ec2/ にあるAmazon EC2 コンソールを開きます。
2. From the region selector in the navigation bar, choose the same region as the existing directory.3. Choose Launch Instance.4. On the Step 1 page, choose Select for the appropriate AMI.5. On the Step 2 page, select the appropriate instance type, and then choose Next: Configure Instance
Details.6. On the Step 3 page, do the following, and then choose Next: Add Storage:
1. For Network, choose the VPC that your directory was created in.2. For Subnet, choose one of the public subnets in your VPC. The subnet that you choose must have
all external traffic routed to an internet gateway. If this is not the case, you won't be able to connectto the instance remotely.
3. For Auto-assign Public IP, choose Enable.
For more information about public and private IP addressing, see Amazon EC2 Instance IPAddressing in the Windows インスタンスの Amazon EC2 ユーザーガイド.
4. For Domain join directory, choose your domain from the list.Note
This option is only available for Windows instances. Linux instances must be manuallyjoined to the directory as explained in Linux インスタンスを手動で結合する (p. 54).
5. For IAM role, do one of the following:
Select an IAM role that has the AWS managed policies AmazonSSMManagedInstanceCore andAmazonSSMDirectoryServiceAccess attached to it.
-or-
If you haven't created an IAM role that has the AmazonSSMManagedInstanceCore andAmazonSSMDirectoryServiceAccess managed policies attached to it, choose the Create new IAMrole link, and then do the following:a. Choose Create role.b. Under Select type of trusted entity, choose AWS service.c. Under Choose the service that this role will use, in the full list of services, choose EC2 .d. Under Select your use case, choose EC2, and the choose Next: Permissions.
Version 1.0181
AWS Directory Service 管理ガイドEC2 インスタンスをディレクトリに参加させる
e. In the list of policies, select the AmazonSSMManagedInstanceCore andAmazonSSMDirectoryServiceAccess policies. (To filter the list, type SSM in the search box.)
Note
AmazonSSMDirectoryServiceAccess provides the permissions to joininstances to an Active Directory managed by AWS Directory Service.AmazonSSMManagedInstanceCore provides the minimum permissions necessary touse the Systems Manager service. For more information about creating a role with thesepermissions, and for information about other permissions and policies you can assignto your IAM role, see Create an IAM Instance Profile for Systems Manager in the AWSSystems Manager ユーザーガイド.
f. Choose Next: Tags.g. (Optional) Add one or more tag key-value pairs to organize, track, or control access for this role,
and then choose Next: Review.h. For Role name, enter a name for your new role, such as EC2DomainJoin or another name that
you prefer.i. (Optional) For Role description, enter a description.j. Choose Create role.k. Go back to the Step 3 page. For IAM role, choose the refresh icon next to IAM role. Your new role
should be visible in the menu. Choose it and leave the rest of the settings on this page with theirdefault values, and then choose Next: Add Storage.
7. On both the Step 4 and Step 5 pages, leave the default settings or make changes as needed, and thenchoose the Next buttons.
8. On the Step 6 page, select a security group for the instance that has been configured to allow remoteaccess to the instance from your network, and then choose Review and Launch.
9. On the Step 7 page, choose Launch, select a key pair, and then choose Launch Instance.
Windows インスタンスを手動で参加させるTo manually join an existing Amazon EC2 Windows instance to a Simple AD or AWS Directory Service forMicrosoft Active Directory directory, the instance must be launched as specified in Windows EC2 インスタンスをシームレスに結合する (p. 51).
To join a Windows instance to a Simple AD or AWS Managed Microsoft AD directory
1. Connect to the instance using any Remote Desktop Protocol client.2. Open the TCP/IPv4 properties dialog box on the instance.
a. Open Network Connections.
Tip
You can open Network Connections directly by running the following from a commandprompt on the instance.
%SystemRoot%\system32\control.exe ncpa.cpl
b. Open the context menu (right-click) for any enabled network connection and then chooseProperties.
c. In the connection properties dialog box, open (double-click) Internet Protocol Version 4.3. Select Use the following DNS server addresses, change the Preferred DNS server and Alternate DNS
server addresses to the IP addresses of the AWS Directory Service-provided DNS servers, and chooseOK.
Version 1.0182
AWS Directory Service 管理ガイドEC2 インスタンスをディレクトリに参加させる
4. Open the System Properties dialog box for the instance, select the Computer Name tab, and chooseChange.
Tip
You can open the System Properties dialog box directly by running the following from acommand prompt on the instance.
%SystemRoot%\system32\control.exe sysdm.cpl
5. In the Member of field, select Domain, enter the fully-qualified name of your AWS Directory Servicedirectory, and choose OK.
6. When prompted for the name and password for the domain administrator, enter the username andpassword of an account that has domain join privileges. For more information about delegating theseprivileges, see AWS Managed Microsoft AD のディレクトリ結合特権を委任する (p. 61).
Note
You can enter either the fully-qualified name of your domain or the NetBios name, followedby a backslash (\), and then the user name, in this case, administrator. For example,corp.example.com\administrator or corp\administrator.
7. After you receive the message welcoming you to the domain, restart the instance to have the changestake effect.
Now that your instance has been joined to the domain, you can log into that instance remotely and installutilities to manage the directory, such as adding users and groups.
Linux インスタンスを手動で結合するAmazon EC2 Windows インスタンスに加えて、特定の Amazon EC2 Linux インスタンスを Simple ADディレクトリに結合することもできます。以下の Linux インスタンスのディストリビューションおよびバージョンがサポートされています。
Version 1.0183
AWS Directory Service 管理ガイドEC2 インスタンスをディレクトリに参加させる
• Amazon Linux AMI 2015.03• Red Hat Enterprise Linux 7.2• Ubuntu Server 14.04 LTS• CentOS 7
Note
Other Linux distributions and versions may work but have not been tested.
ディレクトリへのインスタンスの結合Before you can join either an Amazon Linux, CentOS, Red Hat, or Ubuntu instance to your directory,the instance must first be launched as specified in Windows EC2 インスタンスをシームレスに結合する (p. 51).
Important
Some of the following procedures, if not performed correctly, can render your instanceunreachable or unusable. Therefore, we strongly suggest you make a backup or take a snapshotof your instance before performing these procedures.
Linux インスタンスをディレクトリに結合するには
次のいずれかのタブを使用して特定の Linux インスタンスのステップに従います。
Amazon Linux
1. Connect to the instance using any SSH client.2. Configure the Linux instance to use the DNS server IP addresses of the AWS Directory Service-
provided DNS servers. You can do this either by setting it up in the DHCP Options set attached tothe VPC or by setting it manually on the instance. If you want to set it manually, see How do I assigna static DNS server to a private Amazon EC2 instance in the AWS Knowledge Center for guidanceon setting the persistent DNS server for your particular Linux distribution and version.
3. Make sure your Amazon Linux - 64bit instance is up to date.
sudo yum -y update
4. Install the required Amazon Linux packages on your Linux instance.Note
Some of these packages may already be installed.As you install the packages, you might be presented with several pop-up configurationscreens. You can generally leave the fields in these screens blank.
Amazon Linux 1
sudo yum -y install sssd realmd krb5-workstation
Amazon Linux 2
sudo yum -y install sssd realmd krb5-workstation samba-common-tools
Note
For help with determining the Amazon Linux version you are using, see Identifying AmazonLinux Images in the Amazon EC2 User Guide for Linux Instances.
Version 1.0184
AWS Directory Service 管理ガイドEC2 インスタンスをディレクトリに参加させる
5. Join the instance to the directory with the following command.
sudo realm join -U [email protected] example.com --verbose
An account in the example.com domain that has domain join privileges. Enter the password forthe account when prompted. For more information about delegating these privileges, see AWSManaged Microsoft AD のディレクトリ結合特権を委任する (p. 61).
example.com
The fully-qualified DNS name of your directory.
... * Successfully enrolled machine in realm
6. Set the SSH service to allow password authentication.a. Open the /etc/ssh/sshd_config file in a text editor.
sudo vi /etc/ssh/sshd_config
b. Set the PasswordAuthentication setting to yes.
PasswordAuthentication yes
c. Restart the SSH service.
sudo systemctl restart sshd.service
Alternatively:
sudo service sshd restart
7. After the instance has restarted, connect to it with any SSH client and add the domain admins groupto the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
## Add the "Domain Admins" group from the example.com domain.%Domain\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
CentOS
1. Connect to the instance using any SSH client.2. Configure the Linux instance to use the DNS server IP addresses of the AWS Directory Service-
provided DNS servers. You can do this either by setting it up in the DHCP Options set attached tothe VPC or by setting it manually on the instance. If you want to set it manually, see How do I assignVersion 1.0
185
AWS Directory Service 管理ガイドEC2 インスタンスをディレクトリに参加させる
a static DNS server to a private Amazon EC2 instance in the AWS Knowledge Center for guidanceon setting the persistent DNS server for your particular Linux distribution and version.
3. Make sure your CentOS 7 instance is up to date.
sudo yum -y update
4. Install the required CentOS 7 packages on your Linux instance.
Note
Some of these packages may already be installed.As you install the packages, you might be presented with several pop-up configurationscreens. You can generally leave the fields in these screens blank.
sudo yum -y install sssd realmd krb5-workstation samba-common-tools
5. Join the instance to the directory with the following command.
sudo realm join -U [email protected] example.com --verbose
An account in the example.com domain that has domain join privileges. Enter the password forthe account when prompted. For more information about delegating these privileges, see AWSManaged Microsoft AD のディレクトリ結合特権を委任する (p. 61).
example.com
The fully-qualified DNS name of your directory.
... * Successfully enrolled machine in realm
6. Set the SSH service to allow password authentication.a. Open the /etc/ssh/sshd_config file in a text editor.
sudo vi /etc/ssh/sshd_config
b. Set the PasswordAuthentication setting to yes.
PasswordAuthentication yes
c. Restart the SSH service.
sudo systemctl restart sshd.service
Alternatively:
sudo service sshd restart
7. After the instance has restarted, connect to it with any SSH client and add the domain admins groupto the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
Version 1.0186
AWS Directory Service 管理ガイドEC2 インスタンスをディレクトリに参加させる
## Add the "Domain Admins" group from the example.com domain.%Domain\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
Red Hat
1. Connect to the instance using any SSH client.2. Configure the Linux instance to use the DNS server IP addresses of the AWS Directory Service-
provided DNS servers. You can do this either by setting it up in the DHCP Options set attached tothe VPC or by setting it manually on the instance. If you want to set it manually, see How do I assigna static DNS server to a private Amazon EC2 instance in the AWS Knowledge Center for guidanceon setting the persistent DNS server for your particular Linux distribution and version.
3. Make sure the Red Hat - 64bit instance is up to date.
sudo yum -y update
4. Install the required Red Hat packages on your Linux instance.
Note
Some of these packages may already be installed.As you install the packages, you might be presented with several pop-up configurationscreens. You can generally leave the fields in these screens blank.
sudo yum -y install sssd realmd krb5-workstation samba-common-tools
5. Join the instance to the directory with the following command.
sudo realm join -v -U join_account example.com --install=/
join_account
An account in the example.com domain that has domain join privileges. Enter the password forthe account when prompted. For more information about delegating these privileges, see AWSManaged Microsoft AD のディレクトリ結合特権を委任する (p. 61).
example.com
The fully-qualified DNS name of your directory.
... * Successfully enrolled machine in realm
6. Set the SSH service to allow password authentication.a. Open the /etc/ssh/sshd_config file in a text editor.
sudo vi /etc/ssh/sshd_config
b. Set the PasswordAuthentication setting to yes.
PasswordAuthentication yes
Version 1.0187
AWS Directory Service 管理ガイドEC2 インスタンスをディレクトリに参加させる
c. Restart the SSH service.
sudo systemctl restart sshd.service
Alternatively:
sudo service sshd restart
7. After the instance has restarted, connect to it with any SSH client and add the domain admins groupto the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
## Add the "Domain Admins" group from the example.com domain.%Domain\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
Ubuntu
1. Connect to the instance using any SSH client.2. Configure the Linux instance to use the DNS server IP addresses of the AWS Directory Service-
provided DNS servers. You can do this either by setting it up in the DHCP Options set attached tothe VPC or by setting it manually on the instance. If you want to set it manually, see How do I assigna static DNS server to a private Amazon EC2 instance in the AWS Knowledge Center for guidanceon setting the persistent DNS server for your particular Linux distribution and version.
3. Make sure your Ubuntu - 64bit instance is up to date.
sudo apt-get updatesudo apt-get -y upgrade
4. Install the required Ubuntu packages on your Linux instance.
Note
Some of these packages may already be installed.As you install the packages, you might be presented with several pop-up configurationscreens. You can generally leave the fields in these screens blank.
sudo apt-get -y install sssd realmd krb5-user samba-common packagekit adcli
5. Disable Reverse DNS resolution. Ubuntu Instances must be reverse-resolvable in DNS before therealm will work. Otherwise, you have to disable reverse DNS in /etc/krb5.conf as follows:
[libdefaults] default_realm = EXAMPLE.COM rdns = false
6. Join the instance to the directory with the following command.Version 1.0
188
AWS Directory Service 管理ガイドEC2 インスタンスをディレクトリに参加させる
sudo realm join -U [email protected] example.com --verbose
Note
If you are using Ubuntu 16.04, you must enter the domain name portion of the usernamewith all capital letters. For example, [email protected] example.com --verbose.
An account in the example.com domain that has domain join privileges. Enter the password forthe account when prompted. For more information about delegating these privileges, see AWSManaged Microsoft AD のディレクトリ結合特権を委任する (p. 61).
example.com
The fully-qualified DNS name of your directory.
... * Successfully enrolled machine in realm
7. Set the SSH service to allow password authentication.a. Open the /etc/ssh/sshd_config file in a text editor.
sudo vi /etc/ssh/sshd_config
b. Set the PasswordAuthentication setting to yes.
PasswordAuthentication yes
c. Restart the SSH service.
sudo systemctl restart sshd.service
Alternatively:
sudo service sshd restart
8. After the instance has restarted, connect to it with any SSH client and add the domain admins groupto the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
## Add the "Domain Admins" group from the example.com domain.%Domain\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
Version 1.0189
AWS Directory Service 管理ガイドEC2 インスタンスをディレクトリに参加させる
Note
Simple AD を使用する際、「最初のログイン時にユーザーにパスワードの変更を強制する」オプションを指定して Linux インスタンスにユーザーアカウントを作成する場合、ユーザーはkpasswd を使用して初期パスワードを変更することはできません。初めてパスワードを変更する場合は、ドメイン管理者が Active Directory 管理ツールを使用してユーザーのパスワードを更新する必要があります。
Linux インスタンスからアカウントを管理するLinux インスタンスから Simple AD のアカウントを管理するには、次に示すように、Linux インスタンスで特定の設定ファイルをアップロードする必要があります。
1. [/etc/sssd/sssd.conf] ファイルで [krb5_use_kdcinfo] を [False] に設定します。例:
[domain/example.com] krb5_use_kdcinfo = False
2. 設定を有効にするには、sssd サービスを再起動する必要があります。
$ sudo systemctl restart sssd.service
または、以下のコマンドを使用できます。
$ sudo service sssd start
3. CentOS Linux インスタンスからユーザーを管理する場合には、以下を含めるために [/etc/smb.conf] も編集する必要があります。
[global] workgroup = EXAMPLE.COM realm = EXAMPLE.COM netbios name = EXAMPLE security = ads
アカウントのログインアクセスの制限Since all accounts are defined in Active Directory, by default, all the users in the directory can log in to theinstance. You can allow only specific users to log in to the instance with ad_access_filter in sssd.conf. Forexample:
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
memberOf
Indicates that users should only be allowed access to the instance if they are a member of a specificgroup.
cn
The canonical name of the group that should have access. In this example, the group name is admins.ou
This is the organizational unit in which the above group is located. In this example, the OU is Testou.dc
This is the domain component of your domain. In this example, example.
Version 1.0190
AWS Directory Service 管理ガイドEC2 インスタンスをディレクトリに参加させる
dc
This is an additional domain component. In this example, com.
You must manually add ad_access_filter to your /etc/sssd/sssd.conf. After you do this, your sssd.conf mightlook like this:
[sssd]domains = example.comconfig_file_version = 2 services = nss, pam
[domain/example.com] ad_domain = example.com krb5_realm = EXAMPLE.COM realmd_tags = manages-system joined-with-samba cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True use_fully_qualified_names = True fallback_homedir = /home/%u@%d access_provider = ad ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
In order for the configuration to take affect you need to restart the sssd service:
sudo systemctl restart sssd.service
Alternatively, you could use:
sudo service sssd start
インスタンスに接続するWhen a user connects to the instance using an SSH client, they are prompted for their username. Theuser can enter the username in either the [email protected] or EXAMPLE\username format. Theresponse will appear similar to the following:
login as: [email protected]@example.com's password:Last login: Thu Jun 25 16:26:28 2015 from XX.XX.XX.XX
Simple AD のディレクトリ結合特権を委任するコンピュータをディレクトリに結合するには、コンピュータをディレクトリに結合する権限を持つアカウントが必要です。
Simple AD では、ドメイン管理者グループのメンバーは、コンピュータをディレクトリに結合する十分な権限があります。
ただし、ベストプラクティスとして、必要な最小限の権限のみを持つアカウントを使用する必要があります。以下の手順は、Joiners という新しいグループを作成し、結合するコンピュータをディレクトリに接続するために必要な権限をこのグループに委任する方法について説明しています。
この手順は、ディレクトリに結合されていて、[Active Directory User and Computers] MMC スナップインがインストールされているマシンで実行する必要があります。ドメイン管理者としてログインする必要があります。
Version 1.0191
AWS Directory Service 管理ガイドEC2 インスタンスをディレクトリに参加させる
Simple AD の結合権限を委任するには
1. [Active Directory User and Computers] を開き、ナビゲーションツリーのドメインルートを選択します。
2. 左側のナビゲーションツリーで、[ユーザー] のコンテキストメニュー (右クリック) を開き、[新規]、[グループ] の順に選択します。
3. [New Object - Group] ボックスで、以下の内容を入力し、[OK] を選択します。
• [Group name (グループ名)] に「Joiners」と入力します。• [Group scope] で、[Global] を選択します。• [Group type] で、[Security] を選択します。
4. ナビゲーションツリーで、ドメインルートを選択します。[Action] メニューで、[Delegate Control] を選択します。
5. [Delegation of Control Wizard] ページで、[Next]、[Add] の順に選択します。6. [Select Users, Computers, or Groups] ボックスで「Joiners」と入力し、[OK] を選択します。複数の
オブジェクトがある場合は、上記で作成した Joiners グループを選択します。[次へ] を選択します。7. [Tasks to Delegate] ページで、[Create a custom task to delegate]、[Next] の順に選択します。8. [Only the following objects in the folder] を選択し、[Computer objects] を選択します。9. [Create selected objects in this folder] を選択し、[Delete selected objects in this folder] を選択しま
す。続いて、[Next] を選択します。
10. [Read] と [Write] を選択し、[Next] を選択します。
Version 1.0192
AWS Directory Service 管理ガイドEC2 インスタンスをディレクトリに参加させる
11. [Completing the Delegation of Control Wizard] ページで情報を確認し、[Finish] を選択します。12. 強力なパスワードでユーザーを作成し、そのユーザーを Joiners グループに追加します。ユーザー
には、ディレクトリに AWS Directory Service を接続するための十分な権限が与えられます。
DHCP オプションセットの作成AWS recommends that you create a DHCP options set for your AWS Directory Service directory and assignthe DHCP options set to the VPC that your directory is in. This allows any instances in that VPC to point tothe specified domain and DNS servers to resolve their domain names.
For more information about DHCP options sets, see DHCP Options Sets in the Amazon VPC ユーザーガイド.
To create a DHCP options set for your directory
1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。2. In the navigation pane, choose DHCP Options Sets, and then choose Create DHCP options set.3. On the Create DHCP options set page, enter the following values for your directory:
Name
An optional tag for the options set.Domain name
The fully-qualified name of your directory, such as corp.example.com.Domain name servers
The IP addresses of your AWS-provided directory's DNS servers.Note
You can find these addresses by going to the AWS Directory Service console navigationpane, selecting Directories and then choosing the correct directory ID.
NTP servers
Leave this field blank.NetBIOS name servers
Leave this field blank.NetBIOS node type
Leave this field blank.4. Choose Create DHCP options set. The new set of DHCP options appears in your list of DHCP options.5. Make a note of the ID of the new set of DHCP options (dopt-xxxxxxxx). You use it to associate the
new options set with your VPC.
To change the DHCP options set associated with a VPC
After you create a set of DHCP options, you can't modify them. If you want your VPC to use a different setof DHCP options, you must create a new set and associate them with your VPC. You can also set up yourVPC to use no DHCP options at all.
1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。2. In the navigation pane, choose Your VPCs3. Select the VPC, and then choose Actions, Edit DHCP options set.
Version 1.0193
AWS Directory Service 管理ガイドディレクトリをメンテナンスする
4. For DHCP options set, select an options set or choose No DHCP options set, and then choose Save.
Simple AD ディレクトリの管理このセクションでは、Simple AD 環境の一般的な管理タスクをメンテナンスする方法について説明します。
トピック• ディレクトリの削除 (p. 194)• ディレクトリのスナップショットまたは復元 (p. 195)• ディレクトリ情報の表示 (p. 196)
ディレクトリの削除When a Simple AD or AWS Directory Service for Microsoft Active Directory directory is deleted, all ofthe directory data and snapshots are deleted and cannot be recovered. After the directory is deleted, allinstances that are joined to the directory remain intact. You cannot, however, use your directory credentialsto log in to these instances. You need to log in to these instances with a user account that is local to theinstance.
When an AD Connector directory is deleted, your on-premises directory remains intact. All instances thatare joined to the directory also remain intact and remain joined to your on-premises directory. You can stilluse your directory credentials to log in to these instances.
To delete a directory
1. In the AWS Directory Service console navigation pane, select Directories.2. Ensure that no AWS applications are enabled for the directory.
a. On the Directories page, choose your directory ID.b. On the Directory details page, select the Application management tab. In the AWS apps &
services section, you see which AWS applications are enabled for your directory.
• To disable Amazon WorkSpaces, you must deregister the service from the directory in theAmazon WorkSpaces console. For more information, see Deregistering From a Directory in theAmazon WorkSpaces Administration Guide.
• To disable Amazon WorkSpaces Application Manager, you must remove all applicationassignments in the Amazon WAM console. For more information, see Removing All ApplicationAssignments in the Amazon WAM Administration Guide.
• To disable Amazon WorkDocs, you must delete the Amazon WorkDocs site in the AmazonWorkDocs console. For more information, see Delete a Site in the Amazon WorkDocs 管理ガイド.
• To disable Amazon WorkMail, you must remove the Amazon WorkMail organization in theAmazon WorkMail console. For more information, see Remove an Organization in the AmazonWorkMail Administrator Guide.
• Disable AWS マネジメントコンソール access.• To disable Amazon Relational Database Service, you must remove the Amazon RDS instance
from the domain. For more information, see Managing a DB Instance in a Domain in theAmazon RDS ユーザーガイド.
• To disable Amazon QuickSight, you must unsubscribe from Amazon QuickSight. For moreinformation, see Closing Your Amazon QuickSight Account in the Amazon QuickSight UserGuide.
Version 1.0194
AWS Directory Service 管理ガイドディレクトリをメンテナンスする
• To disable Amazon Connect, you must delete the Amazon Connect Instance. For moreinformation, see Deleting an Amazon Connect Instance in the Amazon Connect AdministrationGuide.
Note
If you are using AWS Single Sign-On and have previously connected it to the AWSManaged Microsoft AD directory you plan to delete, you must first disconnect thedirectory from AWS SSO before you can delete it. For more information, see Disconnecta Directory in the AWS SSO User Guide.
3. In the navigation pane, choose Directories.4. Select only the directory to be deleted and click Delete. It takes several minutes for the directory to be
deleted. When the directory has been deleted, it is removed from your directory list.
ディレクトリのスナップショットまたは復元AWS Directory Service provides the ability to take manual snapshots of data for a Simple AD or AWSDirectory Service for Microsoft Active Directory directory. These snapshots can be used to perform a point-in-time restore for your directory.
Note
You cannot take snapshots of AD Connector directories.
トピック• Creating a Snapshot of Your Directory (p. 94)• Restoring Your Directory from a Snapshot (p. 94)• Deleting a Snapshot (p. 95)
Creating a Snapshot of Your Directory
A snapshot can be used to restore your directory to what it was at the point in time that the snapshot wastaken. To create a manual snapshot of your directory, perform the following steps.
Note
You are limited to 5 manual snapshots for each directory. If you have already reached this limit,you must delete one of your existing manual snapshots before you can create another.
To create a manual snapshot
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Maintenance tab.4. In the Snapshots section, choose Actions, and then select Create snapshot.5. In the Create directory snapshot dialog box, provide a name for the snapshot, if desired. When ready,
choose Create.
Depending on the size of your directory, it may take several minutes to create the snapshot. When thesnapshot is ready, the Status value changes to Completed.
Version 1.0195
AWS Directory Service 管理ガイドディレクトリをメンテナンスする
Restoring Your Directory from a Snapshot
Restoring a directory from a snapshot is equivalent to moving the directory back in time. Directorysnapshots are unique to the directory they were created from. A snapshot can only be restored to thedirectory from which it was created.
Warning
We recommend that you contact the AWS Support Center before any snapshot restore; we maybe able to help you avoid the need to do a snapshot restore. Any restore from snapshot can resultin data loss as they are a point in time. It is important you understand that all of the DCs and DNSservers associated with the directory will be offline until the restore operation has been completed.
To restore your directory from a snapshot, perform the following steps.
To restore a directory from a snapshot
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Maintenance tab.4. In the Snapshots section, select a snapshot in the list, choose Actions, and then select Restore
snapshot.5. Review the information in the Restore directory snapshot dialog box, and choose Restore.
For a Simple AD directory, it may take several minutes for the directory to be restored. For a AWSManaged Microsoft AD directory, it can take from two to three hours. When it has been successfullyrestored, the Status value of the directory changes to Active. Any changes made to the directory after thesnapshot date are overwritten.
Deleting a Snapshot
To delete a snapshot
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Maintenance tab.4. In the Snapshots section, choose Actions, and then select Delete snapshot.5. Verify that you want to delete the snapshot, and then choose Delete.
ディレクトリ情報の表示You can view detailed information about a directory.
To view detailed directory information
1. In the AWS Directory Service console navigation pane, select Directories.2. Click the directory ID link for your directory. Information about the directory is displayed in the Directory
details page.
For more information about the Status field, see ディレクトリのステータスを把握する (p. 37).
Version 1.0196
AWS Directory Service 管理ガイドAWS のアプリケーションとサービスへのアクセスを有効にする
AWS のアプリケーションとサービスへのアクセスを有効にするAWS Directory Service can give other AWS applications and services, such as Amazon WorkSpaces,access to your directory users. The following AWS applications and services can be enabled or disabled towork with AWS Directory Service.
AWS application / service More information...
Amazon Chime For more information, see the Amazon ChimeAdministration Guide.
Amazon Connect For more information, see the Amazon ConnectAdministration Guide.
Amazon FSx for Windows ファイルサーバー For more information, see Using Amazon FSxwith AWS Directory Service for Microsoft ActiveDirectory in the Amazon FSx for Windows ファイルサーバー User Guide.
Amazon QuickSight For more information, see the Amazon QuickSightUser Guide.
Amazon Relational Database Service For more information, see the Amazon RDS ユーザーガイド.
Amazon WorkDocs For more information, see the Amazon WorkDocs管理ガイド.
Amazon WorkMail For more information, see the Amazon WorkMailAdministrator Guide.
Amazon WorkSpaces You can create a Simple AD, AWS ManagedMicrosoft AD, or AD Connector directly fromAmazon WorkSpaces. Simply launch AdvancedSetup when creating your Workspace.
For more information, see the AmazonWorkSpaces Administration Guide.
Amazon WorkSpaces Application Manager For more information, see the Amazon WAMAdministration Guide.
AWS マネジメントコンソール For more information, see AD 認証情報によるAWS マネジメントコンソール へのアクセスを有効にする (p. 107).
Once enabled, you manage access to your directories in the console of the application or service that youwant to give access to your directory. To find the AWS applications and services links described above inthe AWS Directory Service console, perform the following steps.
To display the applications and services for a directory
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.
Version 1.0197
AWS Directory Service 管理ガイドAWS のアプリケーションとサービスへのアクセスを有効にする
4. Review the list under the AWS apps & services section.
トピック• アクセス URL の作成 (p. 198)• シングルサインオン (p. 198)
アクセス URL の作成An access URL is used with AWS applications and services, such as Amazon WorkSpaces, to reach alogin page that is associated with your directory. The URL must be unique globally. You can create anaccess URL for your directory by performing the following steps.
Warning
Once you create an application access URL for this directory, it cannot be changed. After anaccess URL is created, it cannot be used by others. If you delete your directory, the access URL isalso deleted and can then be used by any other account.
To create an access URL
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. In the Application access URL section, if an access URL has not been assigned to the directory, the
Create button is displayed. Enter a directory alias and choose Create. If an Entity Already Exists erroris returned, the specified directory alias has already been allocated. Choose another alias and repeatthis procedure.
Your access URL is displayed in the format <alias>.awsapps.com.
シングルサインオンAWS Directory Service provides the ability to allow your users to access Amazon WorkDocs from acomputer joined to the directory without having to enter their credentials separately.
Before you enable single sign-on, you need to take additional steps to enable your users web browsers tosupport single sign-on. Users may need to modify their web browser settings to enable single sign-on.
Note
Single sign-on only works when used on a computer that is joined to the AWS Directory Servicedirectory. It cannot be used on computers that are not joined to the directory.
To enable or disable single sign-on with Amazon WorkDocs
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. In the Application access URL section, choose Enable to enable single sign-on for Amazon WorkDocs.
If you do not see the Enable button, you may need to first create an Access URL before this optionwill be displayed. For more information about how to create an access URL, see アクセス URL の作成 (p. 100).
Version 1.0198
AWS Directory Service 管理ガイドAWS のアプリケーションとサービスへのアクセスを有効にする
5. In the Enable Single Sign-On for this directory dialog box, choose Enable. Single sign-on is enabled forthe directory.
If the directory is an AD Connector directory and the AD Connector service account does not havepermission to add a service principal name, you are prompted for the username and password for adirectory user that has this permission. These credentials are only used to enable single sign-on andare not stored by the service. The AD Connector service account is not changed.
6. If you later want to disable single sign-on with Amazon WorkDocs, choose Disable, and then in theDisable Single Sign-On for this directory dialog box, choose Disable again.
If the directory is an AD Connector directory and the AD Connector service account does not havepermission to remove a service principal name, you are prompted for the username and password fora directory user that has this permission. These credentials are only used to disable single sign-on andare not stored by the service. The AD Connector service account is not changed.
トピック• Single Sign-On for IE and Chrome (p. 101)• Single Sign-On for Firefox (p. 106)
Single Sign-On for IE and Chrome
To allow Microsoft Internet Explorer (IE) and Google Chrome browsers to support single sign-on, thefollowing tasks must be performed on the client computer:
• Add your access URL (e.g., https://<alias>.awsapps.com) to the list of approved sites for single sign-on.
• Enable active scripting (JavaScript).• Allow automatic logon.• Enable integrated authentication.
You or your users can perform these tasks manually, or you can change these settings using Group Policysettings.
トピック• Manual Update for Single Sign-On on Windows (p. 102)• Manual Update for Single Sign-On on OS X (p. 104)• Group Policy Settings for Single Sign-On (p. 104)
Manual Update for Single Sign-On on Windows
To manually enable single sign-on on a Windows computer, perform the following steps on the clientcomputer. Some of these settings may already be set correctly.
To manually enable single sign-on for Internet Explorer and Chrome on Windows
1. To open the Internet Properties dialog box, choose the Start menu, type Internet Options in thesearch box, and choose Internet Options.
2. Add your access URL to the list of approved sites for single sign-on by performing the following steps:
a. In the Internet Properties dialog box, select the Security tab.b. Select Local intranet and choose Sites.
Version 1.0199
AWS Directory Service 管理ガイドAWS のアプリケーションとサービスへのアクセスを有効にする
c. In the Local intranet dialog box, choose Advanced.d. Add your access URL to the list of websites and choose Close.e. In the Local intranet dialog box, choose OK.
3. To enable active scripting, perform the following steps:
a. In the Security tab of the Internet Properties dialog box, choose Custom level.b. In the Security Settings - Local Intranet Zone dialog box, scroll down to Scripting and select
Enable under Active scripting.
c. In the Security Settings - Local Intranet Zone dialog box, choose OK.4. To enable automatic logon, perform the following steps:
a. In the Security tab of the Internet Properties dialog box, choose Custom level.b. In the Security Settings - Local Intranet Zone dialog box, scroll down to User Authentication and
select Automatic logon only in Intranet zone under Logon.
c. In the Security Settings - Local Intranet Zone dialog box, choose OK.
Version 1.0200
AWS Directory Service 管理ガイドAWS のアプリケーションとサービスへのアクセスを有効にする
d. In the Security Settings - Local Intranet Zone dialog box, choose OK.5. To enable integrated authentication, perform the following steps:
a. In the Internet Properties dialog box, select the Advanced tab.b. Scroll down to Security and select Enable Integrated Windows Authentication.
c. In the Internet Properties dialog box, choose OK.6. Close and re-open your browser to have these changes take effect.
Manual Update for Single Sign-On on OS X
To manually enable single sign-on for Chrome on OS X, perform the following steps on the client computer.You will need administrator rights on your computer to complete these steps.
To manually enable single sign-on for Chrome on OS X
1. Add your access URL to the AuthServerWhitelist policy by running the following command:
defaults write com.google.Chrome AuthServerWhitelist "https://<alias>.awsapps.com"
2. Open System Preferences, go to the Profiles panel, and delete the Chrome KerberosConfiguration profile.
3. Restart Chrome and open chrome://policy in Chrome to confirm that the new settings are in place.
Group Policy Settings for Single Sign-On
The domain administrator can implement Group Policy settings to make the single sign-on changes onclient computers that are joined to the domain.
Note
If you manage the Chrome web browsers on the computers in your domain with Chrome policies,you must add your access URL to the AuthServerWhitelist policy. For more information aboutsetting Chrome policies, go to Policy Settings in Chrome.
Version 1.0201
AWS Directory Service 管理ガイドAWS のアプリケーションとサービスへのアクセスを有効にする
To enable single sign-on for Internet Explorer and Chrome using Group Policy settings
1. Create a new Group Policy object by performing the following steps:
a. Open the Group Policy Management tool, navigate to your domain and select Group PolicyObjects.
b. From the main menu, choose Action and select New.c. In the New GPO dialog box, enter a descriptive name for the Group Policy object, such as SSO
Policy, and leave Source Starter GPO set to (none). Click OK.2. Add the access URL to the list of approved sites for single sign-on by performing the following steps:
a. In the Group Policy Management tool, navigate to your domain, select Group Policy Objects, openthe context (right-click) menu for your SSO policy, and choose Edit.
b. In the policy tree, navigate to User Configuration > Preferences > Windows Settings.c. In the Windows Settings list, open the context (right-click) menu for Registry and choose New
registry item.d. In the New Registry Properties dialog box, enter the following settings and choose OK:
Action
Update
Hive
HKEY_CURRENT_USER
Path
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>
The value for <alias> is derived from your access URL. If your access URL is https://examplecorp.awsapps.com, the alias is examplecorp, and the registry key will beSoftware\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp.
Value name
https
Value type
REG_DWORD
Value data
1
3. To enable active scripting, perform the following steps:
a. In the Group Policy Management tool, navigate to your domain, select Group Policy Objects, openthe context (right-click) menu for your SSO policy, and choose Edit.
b. In the policy tree, navigate to Computer Configuration > Policies > Administrative Templates >Windows Components > Internet Explorer > Internet Control Panel > Security Page > IntranetZone.
c. In the Intranet Zone list, open the context (right-click) menu for Allow active scripting and chooseEdit.
d. In the Allow active scripting dialog box, enter the following settings and choose OK:
• Select the Enabled radio button.• Under Options set Allow active scripting to Enable.
Version 1.0202
AWS Directory Service 管理ガイドAWS のアプリケーションとサービスへのアクセスを有効にする
4. To enable automatic logon, perform the following steps:
a. In the Group Policy Management tool, navigate to your domain, select Group Policy Objects, openthe context (right-click) menu for your SSO policy, and choose Edit.
b. In the policy tree, navigate to Computer Configuration > Policies > Administrative Templates >Windows Components > Internet Explorer > Internet Control Panel > Security Page > IntranetZone.
c. In the Intranet Zone list, open the context (right-click) menu for Logon options and choose Edit.d. In the Logon options dialog box, enter the following settings and choose OK:
• Select the Enabled radio button.• Under Options set Logon options to Automatic logon only in Intranet zone.
5. To enable integrated authentication, perform the following steps:
a. In the Group Policy Management tool, navigate to your domain, select Group Policy Objects, openthe context (right-click) menu for your SSO policy, and choose Edit.
b. In the policy tree, navigate to User Configuration > Preferences > Windows Settings.c. In the Windows Settings list, open the context (right-click) menu for Registry and choose New
registry item.d. In the New Registry Properties dialog box, enter the following settings and choose OK:
Action
Update
Hive
HKEY_CURRENT_USER
Path
Software\Microsoft\Windows\CurrentVersion\Internet Settings
Value name
EnableNegotiate
Value type
REG_DWORD
Value data
1
6. Close the Group Policy Management Editor window if it is still open.7. Assign the new policy to your domain by following these steps:
a. In the Group Policy Management tree, open the context (right-click) menu for your domain andchoose Link an Existing GPO.
b. In the Group Policy Objects list, select your SSO policy and choose OK.
These changes will take effect after the next Group Policy update on the client, or the next time the userlogs in.
Single Sign-On for Firefox
To allow Mozilla Firefox browser to support single sign-on, add your access URL (e.g.,https://<alias>.awsapps.com) to the list of approved sites for single sign-on. This can be done manually,or automated with a script. Version 1.0
203
AWS Directory Service 管理ガイドAWS マネジメントコンソール へのアクセスを有効にする
トピック• Manual Update for Single Sign-On (p. 107)• Automatic Update for Single Sign-On (p. 107)
Manual Update for Single Sign-On
To manually add your access URL to the list of approved sites in Firefox, perform the following steps on theclient computer.
To manually add your access URL to the list of approved sites in Firefox
1. Open Firefox and open the about:config page.2. Open the network.negotiate-auth.trusted-uris preference and add your access URL to the
list of sites. Use a comma (,) to separate multiple entries.
Automatic Update for Single Sign-On
As a domain administrator, you can use a script to add your access URL to the Firefoxnetwork.negotiate-auth.trusted-uris user preference on all computers on your network. Formore information, go to https://support.mozilla.org/en-US/questions/939037.
AD 認証情報による AWS マネジメントコンソール へのアクセスを有効にするAWS Directory Service allows you to grant members of your directory access to the AWS マネジメントコンソール. By default, your directory members do not have access to any AWS resources. You assign IAM
Version 1.0204
AWS Directory Service 管理ガイドAWS マネジメントコンソール へのアクセスを有効にする
roles to your directory members to give them access to the various AWS services and resources. The IAMrole defines the services, resources, and level of access that your directory members have.
Before you can grant console access to your directory members, your directory must have an access URL.For more information about how to view directory details and get your access URL, see ディレクトリ情報の表示 (p. 95). For more information about how to create an access URL, see アクセス URL の作成 (p. 100).
For more information about how to create and assign IAM roles to your directory members, see AWS リソースへのユーザーおよびグループに対するアクセス権限の付与 (p. 95).
トピック• Enable AWS マネジメントコンソール Access (p. 108)• Disable AWS マネジメントコンソール Access (p. 108)• Set Login Session Length (p. 109)
Related AWS Security Blog Article
• How to Access the AWS マネジメントコンソール Using AWS Managed Microsoft AD and Your On-Premises Credentials
Enable AWS マネジメントコンソール AccessBy default, console access is not enabled for any directory. To enable console access for your directoryusers and groups, perform the following steps:
To enable console access
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. Under the AWS マネジメントコンソール section, choose Enable. Console access is now enabled for
your directory.
Before users can sign-in to the console with your access URL, you must first add your users to the role.For general information about assigning users to IAM roles, see ユーザーまたはグループを既存のロールへ割り当て (p. 97). After the IAM roles have been assigned, users can then access the consoleusing your access URL. For example, if your directory access URL is example-corp.awsapps.com, theURL to access the console is https://example-corp.awsapps.com/console/.
Disable AWS マネジメントコンソール AccessTo disable console access for your directory users and groups, perform the following steps:
To disable console access
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. Under the AWS マネジメントコンソール section, choose Disable. Console access is now disabled for
your directory.
Version 1.0205
AWS Directory Service 管理ガイドチュートリアル: Simple AD ディレクトリの作成
5. If any IAM roles have been assigned to users or groups in the directory, the Disable button maybe unavailable. In this case, you must remove all IAM role assignments for the directory beforeproceeding, including assignments for users or groups in your directory that have been deleted, whichwill show as Deleted User or Deleted Group.
After all IAM role assignments have been removed, repeat the steps above.
Set Login Session LengthBy default, users have 1 hour to use their session after successfully signing in to the console before theyare logged out. After that, users must sign in again to start the next 1 hour session before being logged offagain. You can use the following procedure to change the length of time to up to 12 hours per session.
To set login session length
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. Under the AWS apps & services section, choose AWS Management Console.5. In the Manage Access to AWS Resource dialog box, choose Continue.6. In the Assign users and groups to IAM roles page, under Set login session length, edit the numbered
value, and then choose Save.
チュートリアル: Simple AD ディレクトリの作成次のチュートリアルでは、AWS Directory Service の Simple AD ディレクトリをセットアップするために必要なすべての手順を説明します。このチュートリアルは、すばやく簡単に AWS Directory Service の使用を開始するためのものですが、大規模な本稼働環境で使用することは想定されていません。
トピック• 前提条件 (p. 206)• ステップ 1: VPC の作成と設定 (p. 206)• ステップ 2: Simple AD ディレクトリを作成する (p. 208)
前提条件このチュートリアルでは、以下のことを前提としています。
• アクティブな AWS アカウントがある。• お使いのアカウントは、AWS Directory Service を使用するリージョンで VPC の制限に達していませ
ん。Amazon VPC の詳細については、Amazon VPC ユーザーガイド の「Amazon VPC とは」および「VPC のサブネット」を参照してください。
• CIDR が 10.0.0.0/16 のリージョンに既存の VPC がない。
ステップ 1: VPC の作成と設定以下のセクションでは、AWS Directory Service で使用するために VPC を作成し、設定する方法について説明します。
Version 1.0206
AWS Directory Service 管理ガイドステップ 1: VPC の作成と設定
トピック• 新しい VPC を作成する (p. 207)• 2 番目のサブネットの追加 (p. 207)
新しい VPC を作成するこのチュートリアルでは、いずれかの VPC 作成ウィザードを使用して次のものを作成します。
• VPC• いずれかのサブネット• インターネットゲートウェイ
VPC ウィザードを使用して VPC を作成するには
1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。2. ナビゲーションペインで [VPC ダッシュボード] をクリックします。既に VPC リソースがない場合
は、ダッシュボードの [Your Virtual Private Cloud (仮想プライベートクラウド)] 領域で、[Get startedcreating a VPC (VPC の作成を開始)] をクリックします。それ以外の場合は、[VPC ウィザードの起動]をクリックします。
3. 2 番目のオプションである [1 つのパブリックサブネットを持つ VPC] を選択し、[選択] をクリックします。
4. ウィザードに以下の情報を入力し、[VPC の作成] をクリックします。
IP CIDR ブロック
10.0.0.0/16
VPC 名
ADS VPC
パブリックサブネット
10.0.0.0/24
アベイラビリティーゾーン
指定なしサブネット名
ADS Subnet 1
DNS ホスト名を有効化
デフォルトの選択をそのままにしておきますハードウェアのテナンシー
デフォルト5. VPC が作成されるまでに数分かかります。VPC が作成されたら、次のセクションに進み、2 つ目のサ
ブネットを追加します。
2 番目のサブネットの追加AWS Directory Service では、VPC に 2 つのサブネットが必要です。また、各サブネットは異なるアベイラビリティーゾーンに存在している必要があります。VPC ウィザードでは、サブネットを 1 つしか作成できないため、2 つめのサブネットは手動で作成する必要があります。また、最初のサブネットとは異な
Version 1.0207
AWS Directory Service 管理ガイドステップ 2: Simple AD ディレクトリを作成する
るアベイラビリティーゾーンを指定する必要があります。2 つめのプライベートサブネットを作成するには、以下の手順を実行します。
サブネットを作成するには
1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。2. ナビゲーションペインで、[サブネット] を選択し、ADS Subnet 1 という名前のサブネットを選択
し、ページの下部にある [概要] タブを選択します。このサブネットのアベイラビリティーゾーンを書き留めておきます。
3. [サブネットの作成] をクリックし、次の情報を [サブネットの作成] ダイアログボックスに入力して、[Yes, Create (作成)] をクリックします。
名前タグ
ADS Subnet 2
VPC
VPC を選択します。これは ADS VPC という名前の VPC です。アベイラビリティーゾーン
ステップ 2 で書き留めたもの以外の任意のアベイラビリティーゾーンを選択します。AWSDirectory Service で使用される 2 つのサブネットは、異なるアベイラビリティーゾーンに存在する必要があります。
CIDR ブロック
10.0.1.0/24
ステップ 2: Simple AD ディレクトリを作成するTo create a new directory, perform the following steps. Before starting this procedure, make sure you havecompleted the prerequisites identified in Simple AD の前提条件 (p. 170).
To create a Simple AD directory
1. In the AWS Directory Service console navigation pane, choose Directories and then choose Set updirectory.
2. On the Select directory type page, choose Simple AD, and then choose Next.3. On the Enter directory information page, provide the following information:
Directory size
Choose from either the Small or Large size option. For more information about sizes, see SimpleActive Directory (p. 169).
Organization name
A unique organization name for your directory that will be used to register client devices.
This field is only available if you are creating your directory as part of launching AmazonWorkSpaces.
Directory DNS name
The fully qualified name for the directory, such as corp.example.com.Directory NetBIOS name
The short name for the directory, such as CORP.Version 1.0
208
AWS Directory Service 管理ガイドベストプラクティス
Administrator password
The password for the directory administrator. The directory creation process creates anadministrator account with the user name Administrator and this password.
The directory administrator password is case-sensitive and must be between 8 and 64 charactersin length, inclusive. It must also contain at least one character from three of the following fourcategories:• Lowercase letters (a-z)• Uppercase letters (A-Z)• Numbers (0-9)• Non-alphanumeric characters (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
Confirm password
Retype the administrator password.Directory description
An optional description for the directory.4. On the Choose VPC and subnets page, provide the following information, and then choose Next.
VPC
The VPC for the directory.Subnets
Choose the subnets for the domain controllers. The two subnets must be in different AvailabilityZones.
5. On the Review & create page, review the directory information and make any necessary changes.When the information is correct, choose Create directory. It takes several minutes for the directory tobe created. Once created, the Status value changes to Active.
Simple AD のベストプラクティス問題を回避し、AWS Managed Microsoft AD を最大限に活用するために考慮する必要のあるいくつかの提案とガイドラインを示します。
セットアップ: 前提条件ディレクトリを作成する前に、これらのガイドラインを検討してください。
Verify You Have the Right Directory TypeAWS Directory Service provides multiple ways to use Microsoft Active Directory with other AWS services.You can choose the directory service with the features you need at a cost that fits your budget:
• AWS Directory Service for Microsoft Active Directory is a feature-rich managed Microsoft Active Directoryhosted on the AWS cloud. AWS Managed Microsoft AD is your best choice if you have more than 5,000users and need a trust relationship set up between an AWS hosted directory and your on-premisesdirectories.
• AD Connector simply connects your existing on-premises Active Directory to AWS. AD Connector is yourbest choice when you want to use your existing on-premises directory with AWS services.
• Simple AD is an inexpensive Active Directory–compatible service with the common directory features.In most cases, Simple AD is the least expensive option and your best choice if you have 5,000 or fewerusers and don’t need the more advanced Microsoft Active Directory features.
Version 1.0209
AWS Directory Service 管理ガイドセットアップ: ディレクトリの作成
For a more detailed comparison of AWS Directory Service options, see オプションの選択 (p. 1).
Ensure Your VPCs and Instances are Configured CorrectlyIn order to connect to, manage, and use your directories, you must properly configure the VPCs that thedirectories are associated with. See either AWS Managed Microsoft AD の前提条件 (p. 10), AD Connectorの前提条件 (p. 138), or Simple AD の前提条件 (p. 170) for information about the VPC security andnetworking requirements.
If you are adding an instance to your domain, ensure that you have connectivity and remote access toyour instance as described in EC2 インスタンスを AWS Managed Microsoft AD ディレクトリに結合する (p. 51).
Be Aware of Your LimitsLearn about the various limits for your specific directory type. The available storage and the aggregatesize of your objects are the only limitations on the number of objects you may store in your directory. Seeeither AWS Managed Microsoft AD の制限 (p. 116), AD Connector の制限 (p. 164), or Simple AD の制限 (p. 212) for details about your chosen directory.
ディレクトリの AWS セキュリティグループの設定と使用について理解するAWS は、セキュリティグループを作成し、それをディレクトリのドメインコントローラーの ElasticNetwork Interface にアタッチします。また、AWS は、そのディレクトリに不要なトラフィックをブロックし、必要なトラフィックが許可されるようにセキュリティグループを設定します。
ディレクトリのセキュリティグループを変更するディレクトリのセキュリティグループのセキュリティは、必要に応じて変更することができます。このような変更を行うのは、セキュリティグループのフィルタリング機能を完全に理解している場合に限ります。詳細については、Amazon EC2 ユーザーガイドの「Linux インスタンスの Amazon EC2 セキュリティグループ」を参照してください。不適切な変更を行うと、対象のコンピュータやインスタンスとの通信が失われる場合があります。追加のポートを開くと、ディレクトリのセキュリティが低下します。AWS は、追加のポートを開かないようお勧めします。「AWS の責任共有モデル」をよくお読みください。
Warning
技術的には、ディレクトリのセキュリティグループを、ユーザーが作成した他の EC2 インスタンスと関連付けることができます。ただし、AWS では、この方法をお勧めしません。AWS では、管理対象ディレクトリの機能上またはセキュリティ上のニーズに対処するために、予告なしにセキュリティグループを変更する場合があります。このような変更は、ディレクトリのセキュリティグループと関連付けるインスタンスに影響を及ぼすため、関連付けられたインスタンスのオペレーションが中断する場合があります。さらに、ディレクトリのセキュリティグループを EC2インスタンスに関連付けると、EC2 インスタンスのセキュリティリスクが生じる可能性があります。
信頼が必要な場合は AWS Managed Microsoft AD を使用するSimple AD は信頼関係をサポートしていません。AWS Directory Service ディレクトリと別のディレクトリの間に信頼を確立する必要がある場合は、AWS Directory Service for Microsoft Active Directory を使用する必要があります。
セットアップ: ディレクトリの作成ディレクトリを作成する際に考慮するべき提案をいくつか示します。
Version 1.0210
AWS Directory Service 管理ガイドアプリケーションのプログラミング
お客様の管理者 ID とパスワードを忘れないでくださいディレクトリをセットアップするときに、管理者アカウントのパスワードを指定します。Simple AD のアカウント ID は Administrator です。このアカウント用に作成したパスワードを忘れないでください。そうでないと、ディレクトリにオブジェクトを追加できません。
AWS アプリケーションのユーザー名の制限を理解するAWS Directory Service は、ユーザー名の作成に使用できるほとんどの文字形式をサポートしています。ただし、AWS アプリケーション (例: Amazon WorkSpaces、Amazon WorkDocs、AmazonWorkMail、Amazon QuickSight) へのサインインに使用されるユーザー名には、文字制限が適用されます。これらの制限により、以下の文字は使用できません。
• スペース• !"#$%&'()*+,/:;<=>?@[\]^`{|}~
Note
@ 記号は、UPN サフィックスが後に続く場合に限り、使用できます。
アプリケーションのプログラミングアプリケーションをプログラミングする前に、以下の点を考慮します。
Windows DC Locator Service を使用するアプリケーションの開発時、ドメインコントローラー (DC) の探索には、Windows DC Locator Service を使用するか、AWS Managed Microsoft AD の Dynamic DNS (DDNS) サービスを使用するようにします。アプリケーションを DC のアドレスでハードコードしないでください。DC Locator Service では、ディレクトリの負荷を分散できるだけでなく、デプロイにドメインコントローラーの追加によりスケールイン/アウトを活用できます。アプリケーションを固定 DC にバインドした場合、その DC がパッチ適用または復旧を行うと、アプリケーションは残りのいずれかの DC を使用する代わりに、DC へのアクセスを失います。さらに、DC をハードコードすると、1 つの DC にホットスポットが発生する可能性があります。重大な問題な場合、ホットスポットが原因で DC が応答しなくなる可能性があります。このような場合、AWSのディレクトリオートメーション機能によりディレクトリに障害発生済みフラグが付けられ、応答しないDC を置き換える復旧プロセスがトリガーされる可能性があります。
本番稼働用環境にロールアウトする前の負荷テスト本番稼働用環境のワークロードを表すオブジェクトとリクエストを使用してラボテストを行い、ディレクトリがアプリケーションの負荷に合わせてスケールされることを確認します。追加のキャパシティーが必要な場合は、Microsoft Active Directory 用の AWS Directory Service を使用する必要があります。これにより、ドメインコントローラーを追加して、性能を高めることができます。詳細については、「追加ドメインコントローラーのデプロイ (p. 109)」を参照してください。
効率的な LDAP クエリを使用する何千個ものオブジェクトにまたがるドメインコントローラーへの広範な LDAP クエリにより、1 つの DCで大量の CPU サイクルが消費されて、ホットスポットが発生することがあります。これは、クエリ中に同じ DC を共有するアプリケーションに影響を与える可能性があります。
Version 1.0211
AWS Directory Service 管理ガイド制限
Simple AD の制限一般的に、500 人以上のユーザーをスモール Simple AD ディレクトリに加えることはできず、5000 人以上のユーザーをラージ Simple AD ディレクトリに加えることはできません。より柔軟なスケーリングオプションおよび追加の Active Directory 機能については、代わりに AWS Directory Service for MicrosoftActive Directory (Standard Edition あるいは Enterprise Edition) の使用を検討してください。
次に示しているのは、Simple AD のデフォルトの制限です。特に明記されていない限り、制限はリージョンごとに存在します。
Simple AD の制限
リソース デフォルトの制限
Simple AD ディレクトリ 10
手動スナップショット * 5/Simple AD
* 手動スナップショット制限は変更できません。Note
AWS Elastic Network Interface (ENI) にパブリック IP アドレスをアタッチすることはできません。
Increase Your LimitPerform the following steps to increase your limit for a region.
To request a limit increase for a region
1. Go to the AWS Support Center page, sign in, if necessary, and click Open a new case.2. Under Regarding, select Service Limit Increase.3. Under Limit Type, select AWS Directory Service.4. Fill in all of the necessary fields in the form and click the button at the bottom of the page for your
desired method of contact.
Simple AD のアプリケーションの互換性ポリシーSimple AD は、Active Directory の基本機能の多くを提供する Samba の実装です。Active Directory を使用するカスタムおよび市販の既製アプリケーションは多数あるため、AWS は、Simple AD とのサードパーティーアプリケーションの互換性を正式と広範のどちらにも検証できません。お客様側でアプリケーションのインストールに関する問題が発生した場合、AWS はお客様と協力して問題の解決に努めますが、Simple AD とのアプリケーションの現時点および将来の互換性は保証できません。
以下のサードパーティーアプリケーションは Simple AD と互換性があります。
• Microsoft Internet Information Services (IIS) は、以下のプラットフォームで使用できます。• Windows Server 2003 R2• Windows Server 2008 R1• Windows Server 2008 R2• Windows Server 2012• Windows Server 2012 R2
• Microsoft SQL Server:
Version 1.0212
AWS Directory Service 管理ガイドトラブルシューティング
• SQL Server 2005 R2 (Express、Web および Standard edition)• SQL Server 2008 R2 (Express、Web、および Standard edition)• SQL Server 2012 (Express、Web、および Standard edition)• SQL Server 2014 (Express、Web、および Standard edition)
• Microsoft SharePoint• SharePoint 2010 Foundation• SharePoint 2010 Enterprise• SharePoint 2013 Enterprise
お客様は、実際の Active Directory に基づいて互換性を高めるために、AWS Directory Service for MicrosoftActive Directory (AWS Managed Microsoft AD (p. 9)) を使用するように選択できます。
Simple AD のトラブルシューティング以下のセクションは、ディレクトリ作成時および使用時に直面する問題をトラブルシューティングするのに役立ちます。
トピック• パスワードの回復 (p. 213)• Simple AD にユーザーを追加するときに「KDC can't fulfill requested option (KDC ではリクエストされ
たオプションを達成できません)」というエラーが返される (p. 213)• ドメインに結合したインスタンスの DNS 名または IP アドレスを更新できない (DNS の動的更
新) (p. 214)• SQL Server アカウントを使用して SQL Server にログインできない (p. 214)• ディレクトリが「リクエスト済み」の状態から変化しない (p. 214)• ディレクトリを作成すると、「AZ 制約」エラーが表示される (p. 214)• 一部のユーザーがディレクトリで認証されない (p. 214)• Simple AD ディレクトリステータスの原因 (p. 214)
パスワードの回復ユーザーがパスワードを忘れたか、Simple AD または AWS Managed Microsoft AD ディレクトリへのサインインで問題が発生した場合は、AWS マネジメントコンソール、Windows PowerShell、または AWS CLIのいずれかを使用してパスワードをリセットできます。
詳細については、「ユーザーパスワードのリセット (p. 176)」を参照してください。
Simple AD にユーザーを追加するときに「KDC can'tfulfill requested option (KDC ではリクエストされたオプションを達成できません)」というエラーが返されるこれは、Samba CLI クライアントがすべてのドメインコントローラーに「net」コマンドを正しく送信しない場合に発生することがあります。「net ads」コマンドを使用して Simple AD ディレクトリにユーザーを追加するときにこのエラーメッセージが表示される場合には、-S 引数を使用して、使用するドメインコントローラーの 1 つの IP アドレスを指定します。それでもこのエラーが表示される場合は、別のドメインコントローラーを試してください。また、Active Directory 管理ツールを使用して、ディレクトリにユーザーを追加することもできます。詳細については、「Active Directory 管理ツールのインストール (p. 174)」を参照してください。
Version 1.0213
AWS Directory Service 管理ガイドドメインに結合したインスタンスの DNS 名または IP アドレスを更新できない (DNS の動的更新)
ドメインに結合したインスタンスの DNS 名または IPアドレスを更新できない (DNS の動的更新)DNS の動的更新は、Simple AD ドメインでサポートされていません。ドメインに結合されているインスタンスで DNS Manager を使用してディレクトリに接続し、直接変更することもできます。
SQL Server アカウントを使用して SQL Server にログインできないSQL Server アカウントで SQL Server Management Studio (SSMS) を使用して、Windows 2012 R2 EC2インスタンスまたは Amazon RDS 上で実行されている SQL Server にログインしようとすると、エラーが表示される場合があります。この問題は、ドメインユーザーとして SSMS を実行した場合に発生し、有効な認証情報を入力しても「ユーザーのログイン失敗」エラーが表示される場合があります。これは既知の問題で、AWS では現在、問題の解決に積極的に取り組んでいます。
この問題を回避するには、SQL 認証ではなく、Windows 認証を使用して SQL Server にログインします。または、Simple AD のドメインユーザーではなく、ローカルユーザーとして SSMS を起動します。
ディレクトリが「リクエスト済み」の状態から変化しない5 分を経過しても、ディレクトリの状態が「リクエスト済み」の状態から変わらない場合は、ディレクトリを削除して、作成し直してください。この問題が解決しない場合は、AWS Support Center までお問い合わせください。
ディレクトリを作成すると、「AZ 制約」エラーが表示される2012 年より前に作成された一部の AWS アカウントでは、米国東部(バージニア北部) をサポートしない米国西部 (北カリフォルニア)、アジアパシフィック (東京)、または AWS Directory Service リージョン のアベイラビリティーゾーンにアクセスできることがあります。ディレクトリ作成時にこのようなエラーが表示される場合は、別のアベイラビリティーゾーンのサブネットを選択して、ディレクトリを再度作成してください。
一部のユーザーがディレクトリで認証されないユーザーアカウントの Kerberos 事前認証を有効にしておく必要があります。これは、新しいユーザーアカウントのデフォルト設定のため、変更しないでください。この設定の詳細については、MicrosoftTechNet の「事前認証」を参照してください。
トピック• Simple AD ディレクトリステータスの原因 (p. 214)
Simple AD ディレクトリステータスの原因ディレクトリが機能しない、または動作しない場合、ディレクトリステータスメッセージには追加情報が含まれます。ステータスメッセージが AWS Directory Service コンソールに表示されるか、DescribeDirectories API で DirectoryDescription.StageReason メンバーに返されます。ディレクトリステータスの詳細については、「ディレクトリのステータスを把握する (p. 37)」を参照してください。
Version 1.0214
AWS Directory Service 管理ガイドディレクトリステータスの原因
Simple AD ディレクトリのステータスメッセージは次のとおりです。
トピック• The directory service's elastic network interface is not attached (p. 215)• Issue(s) detected by instance (p. 215)• 重要な AWS Directory Service 予約済みユーザーがディレクトリにいません (p. 215)• 重要な AWS Directory Service 予約ユーザーは、ドメイン管理者 AD グループに所属している必要があ
ります (p. 216)• 予約ユーザーが無効になっている重要な AWS Directory Service (p. 216)• 主要ドメインコントローラーにすべての FSMO ロールがありません (p. 216)• ドメインコントローラーレプリケーション障害 (p. 216)
The directory service's elastic network interface is not attachedDescription
The critical elastic network interface (ENI) that was created on your behalf during directory creationto establish network connectivity with your VPC is not attached to the directory instance. AWSapplications backed by this directory will not be functional. Your directory cannot connect to your on-premises network.
Troubleshooting
If the ENI is detached but still exists, contact AWS サポート. If the ENI is deleted, there is no way toresolve the issue and your directory is permanently unusable. You must delete the directory and createa new one.
Issue(s) detected by instanceDescription
An internal error was detected by the instance. This usually signifies that the monitoring service isactively attempting to recover the impaired instances.
Troubleshooting
In most cases, this is a transient issue, and the directory eventually returns to the Active state. If theproblem persists, contact AWS サポート for more assistance.
重要な AWS Directory Service 予約済みユーザーがディレクトリにいません説明
Simple AD が作成されると、AWS Directory Service はサービスアカウントを AWSAdminD-xxxxxxxxx という名前でディレクトリに作成します。このサービスアカウントが見つからないときに、このエラーが発生します。このアカウントを使用しない場合、AWS Directory Service はディレクトリの管理機能を実行できず、ディレクトリを使用できません。
トラブルシューティング
この問題を修正するには、ディレクトリをサービスアカウントが削除される前に作成された以前のスナップショットに復元します。Simple AD ディレクトリの自動スナップショットは 1 日に 1 回実行されます。このアカウントが削除された日より 5 日以上経過している場合は、このアカウントが存在する状態にディレクトリを復元できない可能性があります。このアカウントが存在するスナップショッ
Version 1.0215
AWS Directory Service 管理ガイドディレクトリステータスの原因
トからディレクトリを復元できない場合、ディレクトリは永久に使用できなくなる可能性があります。このような場合は、ディレクトリを削除して、新しいディレクトリを作成する必要があります。
重要な AWS Directory Service 予約ユーザーは、ドメイン管理者AD グループに所属している必要があります説明
Simple AD が作成されると、AWS Directory Service はサービスアカウントを AWSAdminD-xxxxxxxxx という名前でディレクトリに作成します。このサービスアカウントが Domain Adminsグループのメンバーでない場合、このエラーが発生します。FSMO ロールの転送、新しいディレクトリコントローラーへのドメインの参加、スナップショットからの復元など、メンテナンスおよび回復操作を実行するために必要な権限を AWS Directory Service に付与するには、このグループのメンバシップが必要です。
トラブルシューティング
Active Directory Users and Computers ツールを使用して、再度サービスアカウントを DomainAdmins グループに追加します。
予約ユーザーが無効になっている重要な AWS Directory Service説明
Simple AD が作成されると、AWS Directory Service はサービスアカウントを AWSAdminD-xxxxxxxxx という名前でディレクトリに作成します。このサービスアカウントが無効の場合、このエラーが発生します。AWS Directory Service がディレクトリのメンテナンスと回復操作を実行できるように、このアカウントを有効にする必要があります。
トラブルシューティング
Active Directory Users and Computers ツールを使用して、サービスアカウントを再度有効にします。
主要ドメインコントローラーにすべての FSMO ロールがありません説明
Simple AD ディレクトリコントローラーによって所有されていない FSMO ロールがあります。FSMOロールが正しい Simple AD ディレクトリコントローラーに属していない場合、AWS Directory Serviceは特定の動作と機能を保証することはできません。
トラブルシューティング
Active Directory ツールを使用して、元の作業ディレクトリコントローラーに FSMO ロールを戻します。FSMO ロールの移動に関する詳細は、https://support.microsoft.com/en-us/kb/324801 を参照してください。問題が解決されない場合は、AWS サポート にお問い合わせください。
ドメインコントローラーレプリケーション障害説明
Simple AD ディレクトリコントローラーは相互に複製できません。次のいずれかの問題が原因で、このエラーが発生します。• ディレクトリコントローラーのセキュリティグループに正しいポートが開かれていません。
Version 1.0216
AWS Directory Service 管理ガイドディレクトリステータスの原因
• ネットワーク ACL の制限が高すぎます。• VPC ルートテーブルが、ディレクトリコントローラー間のネットワークトラフィックを正しくルー
ティングしていません。• もう 1 つのインスタンスが、ディレクトリでドメインコントローラーに昇格されました。
トラブルシューティング
VPC ネットワーク要件の詳細については、AWS Managed Microsoft AD の「AWS Managed MicrosoftAD の前提条件 (p. 10)」、AD Connector の「AD Connector の前提条件 (p. 138)」、または SimpleAD の「Simple AD の前提条件 (p. 170)」を参照してください。ディレクトリに不明なドメインコントローラーがある場合は、そのドメインコントローラーを降格する必要があります。VPC ネットワーク設定が正しい場合でエラーが解決しない場合は、AWS サポート にお問い合わせください。
Version 1.0217
AWS Directory Service 管理ガイド
AWS Directory Service でのセキュリティ
AWS では、クラウドのセキュリティが最優先事項です。AWS のお客様は、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャーから利点を得られます。
セキュリティは、AWS とお客様の間の共有責任です。共有責任モデルでは、これをクラウドのセキュリティおよびクラウド内のセキュリティとして説明しています。
• クラウドのセキュリティ – AWS は、AWS クラウド内で AWS サービスを実行するインフラストラクチャを保護する責任を担います。また、AWS は、使用するサービスを安全に提供します。AWS コンプライアンスプログラムの一環として、サードパーティーの監査が定期的にセキュリティの有効性をテストおよび検証しています。AWS Directory Service に適用されるコンプライアンスプログラムの詳細については、「コンプライアンスプログラム対象範囲内の AWS のサービス」を参照してください。
• クラウド内のセキュリティ – お客様の責任はお客様が使用する AWS のサービスによって決まります。また、お客様は、お客様のデータの機密性、企業の要件、および適用可能な法律および規制などの他の要因についても責任を担います。
このドキュメントは、AWS Directory Service を使用する際に共有責任モデルを適用する方法を理解するのに役立ちます。以下のトピックでは、セキュリティおよびコンプライアンスの目的を達成するために AWSDirectory Service を設定する方法を示します。また、AWS Directory Service リソースのモニタリングや保護に役立つ他の AWS のサービスの使用方法についても説明します。
セキュリティに関するトピック
このセクションには、以下のセキュリティに関するトピックがあります。
• AWS Directory Service の Identity and Access Management (p. 219)• AWS Directory Service でのログ記録とモニタリング (p. 230)• AWS Directory Service のコンプライアンス検証 (p. 231)• AWS Directory Service でのレジリエンス (p. 231)• AWS Directory Service でのインフラストラクチャのセキュリティ (p. 232)
セキュリティに関するその他のトピック
このガイドには、以下のセキュリティに関するその他のトピックがあります。
アカウント、信頼、AWS リソースアクセス
• 管理者アカウント (p. 15)• グループ管理サービスアカウント (p. 18)• 信頼関係を作成する場合 (p. 68)• Kerberos の制約付き委任 (p. 18)• AWS リソースへのユーザーおよびグループに対するアクセス権限の付与 (p. 95)
Version 1.0218
AWS Directory Service 管理ガイドIdentity and Access Management
• AWS のアプリケーションとサービスへのアクセスを有効にする (p. 99)
ディレクトリをセキュリティで保護する
• AWS Managed Microsoft AD ディレクトリをセキュリティで保護する (p. 23)• AD Connector ディレクトリをセキュリティで保護する (p. 149)
ロギングとモニタリング
• AWS Managed Microsoft AD のモニタリング (p. 36)• AD Connector ディレクトリのモニタリング (p. 156)
弾力
• AWS Managed Microsoft AD のパッチ適用とメンテナンス (p. 18)
AWS Directory Service の Identity and AccessManagement
AWS Directory Service へのアクセスには、リクエストを認証するために AWS によって使用される認証情報が必要です。これらの認証情報には、AWS リソース (例: AWS Directory Service ディレクトリ) に対するアクセス許可が必要です。次のセクションでは、AWS Identity and Access Management (IAM) と AWSDirectory Service を使用して、リソースにアクセスできるユーザーを制御することで、リソースをセキュリティで保護する方法について詳しく説明します。
• 認証 (p. 219)• アクセスコントロール (p. 220)
認証AWS には、次のタイプのアイデンティティでアクセスできます。
• AWS アカウントのルートユーザー – AWS アカウントを初めて作成する場合は、このアカウントのすべての AWS サービスとリソースに対して完全なアクセス権限を持つシングルサインインアイデンティティで始めます。このアイデンティティは AWS アカウント ルートユーザー と呼ばれ、アカウントの作成に使用した E メールアドレスとパスワードでのサインインによりアクセスします。強くお勧めしているのは、日常的なタスクには、それが管理者タスクであっても、ルートユーザーを使用しないことです。代わりに、最初の IAM ユーザーを作成するためだけに ルートユーザー を使用するというベストプラクティスに従います。その後、ルートユーザー認証情報を安全な場所に保管し、それらを使用して少数のアカウントおよびサービス管理タスクのみを実行します。
• IAM ユーザー – IAM ユーザーは、特定のカスタム権限 (たとえば、AWS Directory Service で a directoryを作成するアクセス権限) を持つ AWS アカウント内のアイデンティティです。IAM のユーザー名とパスワードを使用して、AWS マネジメントコンソール、AWS ディスカッションフォーラム、AWS SupportCenter などのセキュリティ保護された AWS ウェブページにサインインできます。
ユーザー名とパスワードに加えて、各ユーザーのアクセスキーを生成することもできます。いくつかのSDK の 1 つまたは AWS Command Line Interface (CLI) を使ってプログラムで AWS サービスにアクセスするときに、これらのキーを使用できます。SDK と CLI ツールでは、アクセスキーを使用してリクエ
Version 1.0219
AWS Directory Service 管理ガイドアクセスコントロール
ストが暗号で署名されます。AWS ツールを使用しない場合は、リクエストに自分で署名する必要があります。AWS Directory Service supports では、署名バージョン 4 がサポートされています。これは、インバウンド API リクエストを認証するためのプロトコルです。リクエストの認証の詳細については、『AWS General Reference』の「署名バージョン 4 の署名プロセス」を参照してください。
• IAM ロール – IAM ロールは、特定のアクセス権限を持ち、アカウントで作成できる IAM アイデンティ
ティです。IAM ロールは、AWS で許可/禁止する操作を決めるアクセス権限ポリシーが関連付けられている AWS アイデンティティであるという点で、IAM ユーザーと似ています。ただし、ユーザーは 1 人の特定の人に一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。また、ロールには標準の長期認証情報 (パスワードやアクセスキーなど) も関連付けられません。代わりに、ロールを引き受けると、ロールセッション用の一時的なセキュリティ認証情報が提供されます。 IAM ロールと一時的な認証情報は、次の状況で役立ちます。
• フェデレーティッドユーザーアクセス – IAM ユーザーを作成する代わりに、AWS Directory Service、
エンタープライズユーザーディレクトリ、またはウェブ ID プロバイダーに既存のアイデンティティを使用できます。このようなユーザーはフェデレーティッドユーザーと呼ばれます。AWS では、IDプロバイダーを通じてアクセスがリクエストされたとき、フェデレーティッドユーザーにロールを割り当てます。フェデレーティッドユーザーの詳細については、IAM ユーザーガイドの「フェデレーティッドユーザーとロール」を参照してください。
• AWS のサービスのアクセス – サービスロールは、サービスがお客様に代わってお客様のアカウントで
アクションを実行するために引き受ける IAM ロールです。一部の AWS のサービス環境を設定するときに、サービスが引き受けるロールを定義する必要があります。このサービスロールには、サービスが必要とする AWS のリソースにサービスがアクセスするために必要なすべてのアクセス権限を含める必要があります。サービスロールはサービスによって異なりますが、多くのサービスロールでは、そのサービスの文書化された要件を満たしている限り、アクセス権限を選択することができます。サービスロールは、お客様のアカウント内のみでアクセスを提供します。他のアカウントのサービスへのアクセス権を付与するためにサービスロールを使用することはできません。IAM 内部からロールを作成、修正、削除できます。たとえば、Amazon Redshift がお客様に代わって Amazon S3 バケットにアクセスし、バケットからデータを Amazon Redshift クラスターにロードすることを許可するロールを作成できます。詳細については、IAM ユーザーガイドのAWS サービスにアクセス権限を委任するロールの作成を参照してください。
• Amazon EC2 で実行中のアプリケーション – IAM ロールを使用して、EC2 インスタンスで実行さ
れ、AWS CLI または AWS API リクエストを作成しているアプリケーションの一時的な認証情報を管理できます。これは、EC2 インスタンス内でのアクセスキーの保存に推奨されます。AWS ロールを EC2 インスタンスに割り当て、そのすべてのアプリケーションで使用できるようにするには、インスタンスにアタッチされたインスタンスプロファイルを作成します。インスタンスプロファイルにはロールが含まれ、EC2 インスタンスで実行されるプログラムは一時認証情報を取得することができます。詳細については、IAM ユーザーガイドの「Amazon EC2 インスタンスで実行されるアプリケーションに IAM ロールを使用してアクセス権限を付与する」を参照してください。
アクセスコントロール有効な認証情報があればリクエストを認証できますが、アクセス許可が付与されている場合を除き、AWSDirectory Service リソースの作成やアクセスはできません。たとえば、AWS Directory Service ディレクトリやディレクトリスナップショットを作成するアクセス許可が必要です。
以下のセクションでは、AWS Directory Service のアクセス許可を管理する方法について説明します。最初に概要のセクションを読むことをお勧めします。
• AWS Directory Service リソースへのアクセス許可の管理の概要 (p. 221)
Version 1.0220
AWS Directory Service 管理ガイドアクセス管理の概要
• AWS Directory Service でアイデンティティベースのポリシー (IAM ポリシー) を使用する (p. 224)• AWS Directory Service API のアクセス権限: アクション、リソース、条件リファレンス (p. 230)
AWS Directory Service リソースへのアクセス許可の管理の概要すべての AWS リソースは AWS アカウントによって所有され、リソースの作成またはアクセスは、アクセス許可のポリシーによって管理されます。アカウント管理者は、アクセス権限ポリシーを IAM アイデンティティ (ユーザー、グループ、ロール) にアタッチできます。一部のサービス (AWS Lambda など) でもリソースにアクセス権限ポリシーをアタッチできます。
Note
アカウント管理者 (または管理者ユーザー) は、管理者権限を持つユーザーです。詳細については、『IAM ユーザーガイド』の「IAM のベストプラクティス」を参照してください。
アクセス権限を付与する場合、アクセス権限を取得するユーザー、取得するアクセス権限の対象となるリソース、およびそれらのリソースに対して許可される特定のアクションを決定します。
トピック• AWS Directory Service リソースおよびオペレーション (p. 221)• リソース所有権について (p. 221)• リソースへのアクセスの管理 (p. 222)• ポリシー要素の指定 : アクション、効果、リソース、プリンシパル (p. 223)• ポリシーでの条件の指定 (p. 224)
AWS Directory Service リソースおよびオペレーションAWS Directory Service では、プライマリリソースはディレクトリです。AWS Directory Service は、ディレクトリのスナップショットリソースもサポートしています。ただし、既存のディレクトリのコンテキストでのみスナップショットのみを作成できます。そのため、スナップショットはサブリソースと呼ばれます。
これらのリソースには、次の表に示すとおり、一意の Amazon リソースネーム (ARN) が関連付けられています。
リソースタイプ ARN 形式
ディレクトリ arn:aws:ds:region:account-id:directory/external-directory-id
スナップショット arn:aws:ds:region:account-id:snapshot/external-snapshot-id
AWS Directory Service には、適切なリソースを操作するための一連のオペレーションが用意されています。使用可能なオペレーションのリストについては、「Directory Service のアクション」を参照してください。
リソース所有権についてリソース所有者は、リソースを作成した AWS アカウントです。つまり、リソース所有者は、リソースの作成リクエストを認証するプリンシパルエンティティ (ルートアカウント、IAM ユーザー、または IAMロール) の AWS アカウントです。以下の例では、このしくみを示しています。
Version 1.0221
AWS Directory Service 管理ガイドアクセス管理の概要
• AWS アカウントのルートアカウントの認証情報を使用して、ディレクトリなどの AWS DirectoryService リソースを作成する場合、AWS アカウントはそのリソースの所有者です。
• IAM アカウントに AWS ユーザーを作成し、そのユーザーに AWS Directory Service リソースを作成するためのアクセス許可を付与する場合、そのユーザーも AWS Directory Service リソースを作成できます。ただし、ユーザーが属する AWS アカウントはそのリソースを所有しているとします。
• IAM リソースを作成するためのアクセス許可のある AWS アカウントに AWS Directory Service ロールを作成する場合は、そのロールを引き受けるいずれのユーザーも AWS Directory Service リソースを作成できます。ロールが属する AWS アカウントは、AWS Directory Service リソースを所有しています。
リソースへのアクセスの管理アクセスポリシーでは、誰が何にアクセスできるかを記述します。以下のセクションで、アクセス権限のポリシーを作成するために使用可能なオプションについて説明します。
Note
このセクションでは、AWS Directory Service の場合の IAM の使用について説明します。これは、IAM サービスに関する詳細情報を取得できません。完全な IAM ドキュメントについては、『IAM ユーザーガイド』の「IAM とは」を参照してくださいIAM ポリシー構文の詳細および説明については、IAM ユーザーガイド の「IAMJSON ポリシーの参照」を参照してください。
IAM アイデンティティにアタッチされたポリシーはアイデンティティベースのポリシー (IAM ポリシー) と呼ばれ、リソースにアタッチされたポリシーはリソースベースのポリシーと呼ばれます。AWS DirectoryService では、アイデンティティベースのポリシー (IAM ポリシー) がサポートされています。
トピック• アイデンティティベースのポリシー (IAM ポリシー) (p. 222)• リソースベースのポリシー (p. 223)
アイデンティティベースのポリシー (IAM ポリシー)
ポリシーを IAM アイデンティティにアタッチできます。たとえば、次の操作を実行できます。
• アカウントのユーザーまたはグループにアクセス許可ポリシーをアタッチする – アカウント管理者は、特定のユーザーに関連付けられるアクセス許可ポリシーを使用して、そのユーザーに AWS DirectoryService リソース (新しいディレクトリなど) の作成を許可するアクセス許可を付与することができます。
• アクセス許可ポリシーをロールにアタッチする (クロスアカウントのアクセス許可を付与する) – アイデンティティベースのアクセス許可ポリシーを IAM ロールにアタッチして、クロスアカウントのアクセス許可を付与することができます。たとえば、アカウント A の管理者は、次のように別の AWS アカウント (たとえば、アカウント B) または AWS サービスにクロスアカウントアクセス許可を付与するロールを作成できます。1. アカウント A の管理者は、IAM ロールを作成して、アカウント A のリソースに権限を付与するロー
ルに権限ポリシーをアタッチします。2. アカウント A の管理者は、アカウント B をそのロールを引き受けるプリンシパルとして識別する
ロールに、信頼ポリシーをアタッチします。3. アカウント B の管理者は、アカウント B のユーザーにロールを引き受ける権限を委任できるように
なります。これにより、アカウント B のユーザーにアカウント A のリソースの作成とアクセスが許可されます。AWS サービスのアクセス許可を付与してロールを引き受けさせたい場合は、信頼ポリシー内のプリンシパルも、AWS サービスのプリンシパルとなることができます。
IAM を使用したアクセス権限の委任の詳細については、IAM ユーザーガイド の「アクセス管理」を参照してください。
Version 1.0222
AWS Directory Service 管理ガイドアクセス管理の概要
以下のアクセス権限ポリシーは、Describe で始まるすべてのアクションを実行するためのアクセス権限をユーザーに付与します。これらのアクションは、ディレクトリまたはスナップショットなどの、AWSDirectory Service リソースに関する情報を表示します。Resource 要素内のワイルドカード文字(*)は、アカウントによって所有されるすべての AWS Directory Service リソースに対してそれらのアクションが許可されることを示します。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ds:Describe*", "Resource":"*" } ]}
AWS Directory Service でアイデンティティベースのポリシーを使用する方法の詳細については、「AWSDirectory Service でアイデンティティベースのポリシー (IAM ポリシー) を使用する (p. 224)」を参照してください。ユーザー、グループ、ロール、アクセス権限の詳細については、IAM ユーザーガイド の「アイデンティティ (ユーザー、グループ、ロール)」を参照してください。
リソースベースのポリシーAmazon S3 などの他のサービスでは、リソースベースのアクセス権限ポリシーもサポートされています。たとえば、ポリシーを S3 バケットにアタッチして、そのバケットに対するアクセス許可を管理できます。AWS Directory Service はリソースベースのポリシーをサポートしていません。
ポリシー要素の指定 : アクション、効果、リソース、プリンシパルサービスは、AWS Directory Service リソースごとに一連の API オペレーションを定義します。詳細については、「AWS Directory Service リソースおよびオペレーション (p. 221)」を参照してください。使用可能な API オペレーションのリストについては、「Directory Service のアクション」を参照してください。
これらの API オペレーションを実行するためのアクセス権限を付与するために、AWS Directory Serviceではポリシーに一連のアクションを定義できます。API オペレーションを実行する場合には、複数のアクションに対するアクセス権限が必要になることがあります。
以下は、基本的なポリシーの要素です。
• リソース – ポリシーで Amazon Resource Name (ARN) を使用して、ポリシーを適用するリソースを識別します。AWS Directory Service リソースが対象の場合、IAM ポリシーでは必ずワイルドカード文字 (*) を使用します。詳細については、「AWS Directory Service リソースおよびオペレーション (p. 221)」を参照してください。
• アクション – アクションのキーワードを使用して、許可または拒否するリソースオペレーションを識別します。たとえば、ds:DescribeDirectories アクセス許可は、AWS Directory ServiceDescribeDirectories オペレーションの実行をユーザーに許可します。
• 効果 – ユーザーが特定のアクションをリクエストするときの効果を指定します。これは許可または拒否とすることができます。リソースへのアクセスを明示的に許可していない場合、アクセスは暗黙的に拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってアクセスが許可されている場合でも、ユーザーはそのリソースにアクセスできなくなります。
• プリンシパル – アイデンティティベースのポリシー (IAM ポリシー) で、ポリシーがアタッチされているユーザーが黙示的なプリンシパルとなります。リソースベースのポリシーでは、リソースに対するアクセス権限 (リソースベースのポリシーにのみ適用) が付与されるエンティティ (ユーザー、アカウント、サービスなど) を指定します。AWS Directory Service はリソースベースのポリシーをサポートしていません。
Version 1.0223
AWS Directory Service 管理ガイドアイデンティティベースのポリシー (IAM ポリシー) を使用する
IAM ポリシーの構文と説明についての詳細については、IAM ユーザーガイド の「IAM JSON ポリシーのリファレンス」を参照してください。
すべての AWS Directory Service API アクションとそれらが適用されるリソースの表については、「AWSDirectory Service API のアクセス権限: アクション、リソース、条件リファレンス (p. 230)」を参照してください。
ポリシーでの条件の指定アクセス権限を付与するとき、アクセスポリシー言語を使用して、ポリシーが有効になる必要がある条件を指定できます。たとえば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、『IAM ユーザーガイド』の「条件」を参照してください。
条件を表すには、あらかじめ定義された条件キーを使用します。AWS Directory Service に固有の条件キーはありません。ただし、AWS の条件キーを必要に応じて使用できます。すべての AWS キーのリストについては、IAM ユーザーガイド の「使用できるグローバル条件キー」を参照してください。
AWS Directory Service でアイデンティティベースのポリシー (IAM ポリシー) を使用するこのトピックでは、アカウント管理者が識別 IAM アイデンティティ (ユーザー、グループ、ロール) へのアクセス権限ポリシーをアタッチする、アイデンティティベースのポリシーの例を示します。
Important
初めに、AWS Directory Service リソースへのアクセスを管理するための基本概念と使用可能なオプションについて説明する概要トピックをお読みになることをお勧めします。詳細については、「AWS Directory Service リソースへのアクセス許可の管理の概要 (p. 221)」を参照してください。
このセクションでは、次のトピックを対象としています。
• AWS Directory Service コンソールを使用するために必要なアクセス権限 (p. 225)• AWS Directory Service に関する AWS 管理 (事前定義) ポリシー (p. 226)• お客様が管理するポリシーの例 (p. 226)• IAM ポリシーでのタグの使用 (p. 227)
以下に示しているのは、アクセス権限ポリシーの例です。
{ "Version" : "2012-10-17", "Statement" : [ { "Action" : [ "ds:CreateDirectory" ], "Effect" : "Allow", "Resource" : "*" }, { "Action" : [ "iam:PassRole", "iam:GetRole", "iam:CreateRole",
Version 1.0224
AWS Directory Service 管理ガイドアイデンティティベースのポリシー (IAM ポリシー) を使用する
"iam:PutRolePolicy" ], "Effect" : "Allow", "Resource" : "*" }, { "Action" : [ "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:CreateSecurityGroup", "ec2:DeleteSecurityGroup", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress" ], "Effect" : "Allow", "Resource" : "*" } ]}
ポリシーには以下のものが含まれています。
• 最初のステートメントでは、AWS Directory Service ディレクトリを作成することを許可します。AWSDirectory Service は、この特定のアクションに対するリソースレベルでのアクセス許可をサポートしていません。したがって、ポリシーでは Resource の値としてワイルドカード文字 (*) を指定します。
• 2 番目のステートメントは、特定の IAM アクションに対するアクセス許可を付与します。IAM アクションへのアクセスは、AWS Directory Service がお客様に代わって IAM ロールの読み取りと作成を行うために必要です。このステートメントで Resource 値の末尾のワイルドカード文字 (*) は、任意の IAMロールに IAM アクションを実行するためのアクセス許可を付与することを意味します。このアクセス権限を特定のロールに制限するには、リソース ARN 内のワイルドカード文字 (*) を特定のロール名に置き換えます。詳細については、「IAM Actions」を参照してください。
• 3 番目のステートメントは、AWS Directory Service がそのディレクトリの作成、設定、破棄に必要とする一連の Amazon EC2 リソースに対するアクセス許可を付与します。このステートメントで Resource値の末尾のワイルドカード文字 (*) は、任意の EC2 リソースおよびサブリソースに対して EC2 アクションを実行するアクセス権限を付与することを意味します。このアクセス権限を特定のロールに制限するには、リソース ARN 内のワイルドカード文字 (*) を特定のリソースまたはサブリソースに置き換えます。詳細については、「Amazon EC2 アクション」を参照してください。
アイデンティティベースのポリシーでアクセス権限を得るプリンシパルを指定していないため、ポリシーでは Principal 要素を指定していません。ユーザーにポリシーをアタッチすると、そのユーザーが暗黙のプリンシパルになります。IAM ロールにアクセス権限ポリシーをアタッチすると、ロールの信頼ポリシーで識別されたプリンシパルがアクセス権限を得ることになります。
すべての AWS Directory Service API アクションとそれらが適用されるリソースの表については、「AWSDirectory Service API のアクセス権限: アクション、リソース、条件リファレンス (p. 230)」を参照してください。
AWS Directory Service コンソールを使用するために必要なアクセス権限AWS Directory Service コンソールを使用して作業するユーザーの場合、そのユーザーは、上記のポリシーに指定されたアクセス許可を持っているか、「AWS Directory Service に関する AWS 管理 (事前定義) ポリ
Version 1.0225
AWS Directory Service 管理ガイドアイデンティティベースのポリシー (IAM ポリシー) を使用する
シー (p. 226)」で説明されている Directory Service のフルアクセスロールまたは読み取り専用ロールによって付与されるアクセス許可を持っている必要があります。
これらの最小限必要なアクセス権限よりも制限された IAMIAM ポリシーを作成している場合、その IAM ポリシーを使用するユーザーに対してコンソールは意図したとおりには機能しません。
AWS Directory Service に関する AWS 管理 (事前定義) ポリシーAWS は、AWS によって作成され管理されるスタンドアロンの IAM ポリシーが提供する多くの一般的ユースケースに対応します。管理ポリシーは、一般的ユースケースに必要なアクセス権限を付与することで、どの権限が必要なのかをユーザーが調査する必要をなくすることができます。詳細については、『IAMユーザーガイド』の「AWS 管理ポリシー」を参照してください。
以下の AWS 管理ポリシーは、AWS Directory Service に固有のものであり、アカウントのユーザーにアタッチできます。
• AWSDirectoryServiceReadOnlyAccess – ユーザーまたはグループに、ルート AWS アカウントのすべての AWS Directory Service リソース、EC2 サブネット、EC2 ネットワークインターフェイスへの読み取り専用アクセス、さらに Amazon Simple Notification Service (Amazon SNS) トピックおよびサブスクリプションへの読み取り専用アクセスを許可します。詳細については、「AWS Directory Service で AWS管理ポリシーを使用する (p. 98)」を参照してください。
• AWSDirectoryServiceFullAccess – ユーザーまたはグループに次のものを付与します。• AWS Directory Service へのフルアクセス• Amazon EC2 の使用に必要な主要な AWS Directory Service サービスへのアクセス• Amazon SNS トピックを一覧表示する機能• 「DirectoryMonitoring」で始まる名前を使用して Amazon SNS トピックを作成、管理、削除する機能
詳細については、「AWS Directory Service で AWS 管理ポリシーを使用する (p. 98)」を参照してください。
また、他の IAM ロールとの使用に適している AWS 管理ポリシーもあります。これらのポリシーは、AWSDirectory Service ディレクトリ内のユーザーに関連付けられているロールに割り当てられます。これらのポリシーは、それらのユーザーが Amazon EC2 などの他の AWS リソースにアクセスするために必要です。詳細については、「AWS リソースへのユーザーおよびグループに対するアクセス権限の付与 (p. 95)」を参照してください。
また、ユーザーが必要な API アクションおよびリソースにアクセスできるようにするカスタム IAM ポリシーを作成できます。これらのカスタムポリシーは、それらのアクセス許可が必要な IAM ユーザーまたはグループにアタッチできます。
お客様が管理するポリシーの例このセクションでは、さまざまな AWS Directory Service アクションのアクセス権限を付与するユーザーポリシー例を示しています。
Note
すべての例で、米国西部 (オレゴン) リージョン (us-west-2) を使用し、架空のアカウント ID を含めています。
例• 例 1: AWS Directory Service リソースに対する Describe アクションの実行をユーザーに許可す
る (p. 227)• 例 2: ディレクトリを作成することをユーザーに許可する (p. 227)
Version 1.0226
AWS Directory Service 管理ガイドアイデンティティベースのポリシー (IAM ポリシー) を使用する
例 1: AWS Directory Service リソースに対する Describe アクションの実行をユーザーに許可する
以下のアクセス権限ポリシーは、Describe で始まるすべてのアクションを実行するためのアクセス権限をユーザーに付与します。これらのアクションは、ディレクトリまたはスナップショットなどの、AWSDirectory Service リソースに関する情報を表示します。Resource 要素内のワイルドカード文字(*)は、アカウントによって所有されるすべての AWS Directory Service リソースに対してそれらのアクションが許可されることを示します。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ds:Describe*", "Resource":"*" } ]}
例 2: ディレクトリを作成することをユーザーに許可する
以下のアクセス権限ポリシーによって、ユーザーはディレクトリおよびスナップショットおよび信頼などの、関連するすべての他のリソースの作成が許可されます。そのために、特定の Amazon EC2 サービスに対するアクセス許可も求められます。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": [ "ds:Create*", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateNetworkInterface", "ec2:CreateSecurityGroup", "ec2:DeleteNetworkInterface", "ec2:DeleteSecurityGroup", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress" ], "Resource":"*" ] } ]}
IAM ポリシーでのタグの使用ほとんどの AWS Directory Service API アクションに対して使用する IAM ポリシーで、タグベースのリソースレベルアクセス許可を適用できます。これにより、ユーザーがどのリソースを作成、変更、または使用できるかを制御しやすくなります。IAM ポリシーの以下の条件コンテキストのキーと値とともにCondition 要素 (Condition ブロックとも呼ばれる) を使用して、リソースのタグに基づいてユーザーアクセス (アクセス許可) を制御できます。
Version 1.0227
AWS Directory Service 管理ガイドアイデンティティベースのポリシー (IAM ポリシー) を使用する
• 特定のタグを持つリソースに対してユーザーアクションを許可または拒否するには、aws:ResourceTag/tag-key:tag-value を使用します。
• タグが許可されているリソースを作成または変更する API リクエストを作成する場合に、特定のタグが使用されている (または、使用されていない) ことを要求するには、aws:ResourceTag/tag-key:tag-value を使用します。
• タグが許可されているリソースを作成または変更する API リクエストを作成する場合に、特定の一連のタグが使用されている (または、使用されていない) ことを要求するには、aws:TagKeys: [tag-key、...] を使用します。
Note
IAM ポリシーの条件コンテキストのキーと値は、タグ付け可能なリソースの ID が必須パラメータである AWS Directory Service アクションにのみ適用されます。
IAM ユーザーガイド の「タグを使用したアクセスのコントロール」には、タグの使用に関する追加の情報があります。そのガイドの「IAM JSON ポリシーリファレンス」セクションには、IAM での JSON ポリシーの要素、変数、および評価ロジックの詳細な構文、説明、および例が記載されています。
以下のタグポリシーの例では、タグとキーのペア「fooKey」と「fooValue」が含まれている限り、dsの呼び出しはすべて許可されます。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"VisualEditor0", "Effect":"Allow", "Action":[ "ds:*" ], "Resource":"*", "Condition":{ "StringEquals":{ "aws:ResourceTag/fooKey":"fooValue" } } }, { "Effect":"Allow", "Action":[ "ec2:*" ], "Resource":"*" } ]}
次のリソースポリシーの例では、リソースにディレクトリ ID 「d-1234567890」が含まれている限り、ds の呼び出しはすべて許可されます。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"VisualEditor0", "Effect":"Allow", "Action":[ "ds:*" ], "Resource":"arn:aws:ds:us-east-1:123456789012:directory/d-1234567890" },
Version 1.0228
AWS Directory Service 管理ガイドアイデンティティベースのポリシー (IAM ポリシー) を使用する
{ "Effect":"Allow", "Action":[ "ec2:*" ], "Resource":"*" } ]}
ARN の詳細については、「Amazon リソースネーム (ARN) と AWS のサービスの名前空間」を参照してください。
以下の AWS Directory Service API オペレーションのリストでは、タグベースのリソースレベルのアクセス許可がサポートされています。
• AcceptSharedDirectory• AddIpRoutes• AddTagsToResource• CancelSchemaExtension• CreateAlias• CreateComputer• CreateConditionalForwarder• CreateSnapshot• CreateLogSubscription• CreateTrust• DeleteConditionalForwarder• DeleteDirectory• DeleteLogSubscription• DeleteSnapshot• DeleteTrust• DeregisterEventTopic• DescribeConditionalForwarders• DescribeDomainControllers• DescribeEventTopics• DescribeSharedDirectories• DescribeSnapshots• DescribeTrusts• DisableRadius• DisableSso• EnableRadius• EnableSso• GetSnapshotLimits• ListIpRoutes• ListSchemaExtensions• ListTagsForResource• RegisterEventTopic• RejectSharedDirectory• RemoveIpRoutes• RemoveTagsFromResource
Version 1.0229
AWS Directory Service 管理ガイドAWS Directory Service API アクセス許可リファレンス
• ResetUserPassword• RestoreFromSnapshot• ShareDirectory• StartSchemaExtension• UnshareDirectory• UpdateConditionalForwarder• UpdateNumberOfDomainControllers• UpdateRadius• UpdateTrust• VerifyTrust
AWS Directory Service API のアクセス権限: アクション、リソース、条件リファレンスアクセスコントロール (p. 220) をセットアップし、IAM アイデンティティにアタッチできる書き込みのアクセス許可ポリシー(アイデンティティベースのポリシー)を作成するときは、以下の表をリファレンスとして使用できます。こののリストには、以下が含まれます。
• AWS Directory Service API の各オペレーション• 対応するアクションを実行するためのアクセス許可• アクセス許可を付与できる AWS リソース
ポリシーの Action フィールドでアクションを指定し、ポリシーの Resource フィールドでリソースの値を指定します。
Note
AWS アプリケーションによっては、そのポリシーにds:AuthorizeApplication、ds:CheckAlias、ds:CreateIdentityPoolDirectory、ds:UnauthorizeApplicationなどの非公開の AWS Directory Service API オペレーションを使用することが必要になる場合があります。
AWS Directory Service ポリシーで AWS グローバル条件キーを使用して、条件を表すことができます。すべての AWS キーのリストについては、IAM ユーザーガイド の「使用できるグローバル条件キー」を参照してください。
Note
アクションを指定するには、API オペレーション名 ( ds:CreateDirectoryなど) の前に ds: プレフィックスを使用します。
関連トピック• アクセスコントロール (p. 220)
AWS Directory Service でのログ記録とモニタリング
ベストプラクティスとして、変更がログに記録されることを確実にするために組織を監視する必要があります。これにより、予期しない変更を調査でき、不要な変更をロールバックできます。AWS Directory
Version 1.0230
AWS Directory Service 管理ガイドコンプライアンス検証
Service では現在、組織とその内部で発生するアクティビティをモニタリングできる以下の 2 つの AWS のサービスをサポートしています。
• Amazon CloudWatch Events - CloudWatch イベント は AWS Managed Microsoft AD ディレクトリタイプで使用できます。詳細については、「ログ転送の有効化 (p. 40)」を参照してください。
• AWS CloudTrail - CloudTrail はすべての AWS Directory Service ディレクトリタイプで使用できます。詳細については、「CloudTrail による AWS Directory Service API コールのログ記録」を参照してください。
AWS Directory Service のコンプライアンス検証サードパーティーの監査者は、複数の AWS コンプライアンスプログラムの一環として AWS DirectoryService のセキュリティとコンプライアンスを評価します。AWS Managed Microsoft AD と共に、このプログラムには SOC、PCI、FedRAMP、HIPAA などが含まれます。詳細については、「AWS ManagedMicrosoft AD のコンプライアンスを管理する (p. 35)」を参照してください。
特定のコンプライアンスプログラムの範囲内の AWS サービスのリストについては、「コンプライアンスプログラムによる AWS 対象範囲内のサービス」を参照してください。一般的な情報については、「AWSコンプライアンスプログラム」を参照してください。
AWS Artifact を使用して、サードパーティーの監査レポートをダウンロードできます。詳細については、「AWS Artifact にレポートをダウンロードする」を参照してください。
AWS Directory Service サービスを使用する際のお客様のコンプライアンス責任は、データの機密性、企業のコンプライアンス目的、適用法規や規則によって決まります。AWS ではコンプライアンスに役立つ以下のリソースを用意しています。
• セキュリティおよびコンプライアンスのクイックスタートガイド – これらのデプロイメントガイドでは、アーキテクチャ上の考慮事項について説明し、セキュリティとコンプライアンスに重点を置いたベースライン環境を AWS にデプロイするための手順を説明します。
• HIPAA のセキュリティとコンプライアンスに関するホワイトペーパーを作成する – このホワイトペーパーでは、企業が AWS を使用して HIPAA 準拠のアプリケーションを作成する方法について説明します。
• AWS コンプライアンスのリソース – このワークブックとガイドのコレクションは、お客様の業界や場所に適用される場合があります。
• AWS Config – この AWS サービスでは、自社プラクティス、業界ガイドライン、および規制に対するリソースの設定の準拠状態を評価します。
• AWS Security Hub – この AWS サービスでは、AWS 内のセキュリティ状態を包括的に表示しており、セキュリティ業界の標準およびベストプラクティスへの準拠を確認するのに役立ちます。
AWS Directory Service でのレジリエンスAWS のグローバルインフラストラクチャは AWS リージョンとアベイラビリティーゾーンを中心として構築されます。AWS リージョンには、低レイテンシー、高いスループット、そして高度の冗長ネットワークで接続されている複数の物理的に独立・隔離されたアベイラビリティーゾーンがあります。アベイラビリティーゾーンでは、アベイラビリティーゾーン間で中断することなく自動的にフェイルオーバーするアプリケーションとデータベースを設計および運用することができます。アベイラビリティーゾーンは、従来の単一または複数のデータセンターインフラストラクチャよりも可用性、耐障害性、および拡張性が優れています。
AWSのリージョンやアベイラビリティーゾーンの詳細については、AWSグローバルインフラストラクチャを参照してください。
Version 1.0231
AWS Directory Service 管理ガイドインフラストラクチャセキュリティ
AWS グローバルインフラストラクチャに加えて、AWS Directory Service には、データのレジリエンスとバックアップのニーズに対応するために、任意の時点でデータの手動スナップショットを作成する機能が用意されています。詳細については、「ディレクトリのスナップショットまたは復元 (p. 94)」を参照してください。
AWS Directory Service でのインフラストラクチャのセキュリティ
マネージド型サービスとして、AWS Directory Service は、ホワイトペーパー「Amazon Web Services: セキュリティプロセスの概要」に記載されている AWS グローバルネットワークセキュリティの手順で保護されています。
AWS が公開している API コールを使用して、ネットワーク経由で AWS Directory Service にアクセスします。クライアントで Transport Layer Security (TLS) 1.0 以降がサポートされている必要があります。TLS1.2 以降が推奨されています。また、Ephemeral Diffie-Hellman (DHE) や Elliptic Curve Ephemeral Diffie-Hellman (ECDHE) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートもクライアントでサポートされている必要があります。これらのモードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。
また、リクエストは、アクセスキー ID と、IAM プリンシパルに関連付けられているシークレットのアクセスキーを使用して署名する必要があります。または、AWS Security Token Service (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。
Version 1.0232
AWS Directory Service 管理ガイド
AWS Directory Service のサービスレベルアグリーメント (SLA)
AWS Directory Service は、非常に可用性が高いサービスであり、AWS が管理するインフラストラクチャ上に構築されています。また、当社のサービス可用性ポリシーを定義するサービスレベルアグリーメントによってバックアップされています。
詳細については、「Service Level Agreement for AWS Directory Service」を参照してください。
Version 1.0233
AWS Directory Service 管理ガイド
AWS Directory Service が利用可能なリージョン
次の表に、ディレクトリタイプでサポートされているリージョン固有のエンドポイントを示します。
リージョン名
リージョン
エンドポイント プロトコル
AWSManagedMicrosoftAD
ADConnector
SimpleAD
米国東部 (オハイオ)
us-east-2
ds.us-east-2.amazonaws.com HTTPS X X 該当なし
米国東部(バージニア北部)
us-east-1
ds.us-east-1.amazonaws.com HTTPS X X X
米国西部 (北カリフォルニア)
us-west-1
ds.us-west-1.amazonaws.com HTTPS X X 該当なし
米国西部 (オレゴン)
us-west-2
ds.us-west-2.amazonaws.com HTTPS X X X
アジアパシフィック (香港) *
ap-east-1
ds.ap-east-1.amazonaws.com HTTPS X X 該当なし
アジアパシフィック (ムンバイ)
ap-south-1
ds.ap-south-1.amazonaws.com HTTPS X X 該当なし
アジアパシフィック (ソウル)
ap-northeast-2
ds.ap-northeast-2.amazonaws.com HTTPS X X 該当なし
アジアパシフィック (シンガポール)
ap-southeast-1
ds.ap-southeast-1.amazonaws.com HTTPS X X X
Version 1.0234
AWS Directory Service 管理ガイド
リージョン名
リージョン
エンドポイント プロトコル
AWSManagedMicrosoftAD
ADConnector
SimpleAD
アジアパシフィック (シドニー)
ap-southeast-2
ds.ap-southeast-2.amazonaws.com HTTPS X X X
アジアパシフィック (東京)
ap-northeast-1
ds.ap-northeast-1.amazonaws.com HTTPS X X X
カナダ(中部)
ca-central-1
ds.ca-central-1.amazonaws.com HTTPS X X 該当なし
中国 (北京)
cn-north-1
ds.cn-north-1.amazonaws.com.cn HTTPS X X 該当なし
中国 (寧夏)
cn-northwest-1
ds.cn-northwest-1.amazonaws.com.cn HTTPS X X 該当なし
欧州 (フランクフルト)
eu-central-1
ds.eu-central-1.amazonaws.com HTTPS X X 該当なし
欧州 (アイルランド)
eu-west-1
ds.eu-west-1.amazonaws.com HTTPS X X X
欧州 (ロンドン)
eu-west-2
ds.eu-west-2.amazonaws.com HTTPS X X 該当なし
欧州 (パリ)
eu-west-3
ds.eu-west-3.amazonaws.com HTTPS X X 該当なし
欧州 (ストックホルム)
eu-north-1
ds.eu-north-1.amazonaws.com HTTPS X X 該当なし
南米 (サンパウロ)
sa-east-1
ds.sa-east-1.amazonaws.com HTTPS X X 該当なし
AWSGovCloud(US-West)
us-gov-west-1
ds.us-gov-west-1.amazonaws.com HTTPS X X 該当なし
AWSGovCloud(米国東部)
us-gov-east-1
ds.us-gov-east-1.amazonaws.com HTTPS X X 該当なし
Version 1.0235
AWS Directory Service 管理ガイド
* 以下の AWS Managed Microsoft AD の機能は、現在 アジアパシフィック (香港) リージョンではサポートされていません。
• ディレクトリのアクセス URL• AWS マネジメントコンソール へのアクセスのための、ユーザーの IAM ロールへのマッピング• クライアント側のセキュア LDAP (LDAPS)
AWS GovCloud (US-West) リージョンでの AWS Directory Service の利用については、「AWS GovCloud(US-West) エンドポイント」を参照してください。
中国 (北京) リージョンでの AWS Directory Service の利用については、「中国 (北京) リージョンのエンドポイント」を参照してください。
Version 1.0236
AWS Directory Service 管理ガイド
ブラウザの互換性AWS のすべてのアプリケーションおよびサービス (Amazon WorkSpaces、Amazon WorkMail、AmazonConnect、Amazon Chime、Amazon WorkDocs、AWS シングルサインオン など) では、アクセス前に互換性のあるブラウザの有効なサインイン用認証情報が必要となります。次の表ではサインイン用に互換性のあるブラウザとブラウザバージョンのみを示しています。
ブラウザ バージョン 互換性あり
デスクトップ IE バージョン 7 以前 互換性なし
デスクトップ IE バージョン 8、9、10 Windows 7 以降を実行し、TLS 1.1 が有効な場合にのみ互換性があります。詳細については、「TLS とは何ですか ? (p. 238)」を参照してください。
デスクトップ IE バージョン 11 以降 互換性あり
Mobile IE バージョン 10 以前 互換性なし
Microsoft Internet Explorer
Mobile IE バージョン 11 以降 互換性あり
Microsoft Edge すべてのバージョン 互換性あり
Firefox 23 以前 互換性なし
Firefox 24~26 互換性あり、ただしデフォルトではありません。
Mozilla Firefox
Firefox 27 以降 互換性あり
Google Chrome 21 以前 互換性なし
Google Chrome 22~37 互換性あり、ただしデフォルトではありません。
Google Chrome
Google Chrome 38 以降 互換性あり
OS X 10.8 (Mountain Lion) 以前向けのデスクトップ Safari バージョン 6 以前
互換性なし
OS X 10.9 (Mavericks) 以降向けのデスクトップ Safari バージョン 7 以降
互換性あり
Mobile Safari for iOS 4 以前 互換性なし
Apple Safari
iOS 5 以降向け Mobile Safari バージョン 5以降
互換性あり
サポートされるバージョンのブラウザを使用していることが検証できたので、次のセクションを参照してブラウザが AWS で必要な Transport Layer Security (TLS) 設定を使用していることも検証することが推奨されます。
Version 1.0237
AWS Directory Service 管理ガイドTLS とは何ですか ?
TLS とは何ですか ?TLS は、ネットワークを介してデータを安全にやり取りするためのプロトコルウェブブラウザおよび他のアプリケーション使用法です。TLS によって、リモートエンドポインントへの接続が暗号化およびエンドポイントアイデンティティ検証による意図されたエンドポイントであることを確実にします。TLS のバージョンは、現在のところ、TLS 1.0、1.1、1.2、1.3 です。
AWS SSO ではどの TLS バージョンがサポートされているか
AWS のアプリケーションとサービスでは、安全なサインインのために TLS 1.1、1.2 および 1.3 がサポートされています。2019 年 10 月 30 日をもって TLS 1.0 はサポートされなくなります。そのため、すべてのブラウザが TLS 1.1 以降をサポートするように設定されていることが重要です。つまり、TLS 1.0 を有効にしたアクセスでは、AWS のアプリケーションおよびサービスにサインインすることはできなくなります。上述の変更については、管理者にお問い合わせください。
サポートされている TLS バージョンを使用するブラウザで有効にする方法
これはブラウザによって異なります。通常は、ブラウザの設定の高度な設定内でこの設定を見つけることができます。たとえば Internet Explorer では、インターネットオプションの詳細設定タブのセキュリティセクションに複数の TLS オプションが見つかります。具体的な手順については、ブラウザメーカーのヘルプウェブサイトを確認します。
Version 1.0238
AWS Directory Service 管理ガイド
ドキュメント履歴次の表は、AWS Directory Service 管理者ガイドの前回リリースからの重要な変更点をまとめたものです。
• 最新のドキュメンテーションの更新: 2019 年 1 月 2 日
update-history-change update-history-description update-history-date
パスワードのリセット AWS マネジメントコンソール、Windows PowerShell、および AWS CLI を使用して、ユーザーパスワードをリセットする方法に関するコンテンツを追加しました。
January 2, 2019
ディレクトリ共有 AWS Managed Microsoft AD におけるディレクトリの共有の使用に関するドキュメントを追加しました。
September 25, 2018
新しい Amazon Cloud Directory開発者ガイドにコンテンツを移行
このガイドのこれまでの AmazonCloud Directory のコンテンツは、新しい Amazon CloudDirectory開発者ガイドに移行されました。
June 21, 2018
管理者ガイドの目次の全面改訂 お客様のニーズにより合うように目次を再編成し、必要に応じて新しい項目を追加しました。
April 5, 2018
AWS 委任グループ オンプレミスユーザーに割り当てることのできる AWS 委任グループのリストを追加しました。
March 8, 2018
きめ細かいパスワードポリシー パスワードポリシーに関する新しいコンテンツを追加しました。
July 5, 2017
追加のドメインコントローラー AWS Managed Microsoft AD へのドメインコントローラーの追加に関する情報を追加しました。
June 30, 2017
チュートリアル AWS Managed Microsoft AD ラボ環境のテストに関する新しいチュートリアルを追加しました。
June 21, 2017
AWS Managed Microsoft AD での MFA
AWS Managed Microsoft AD でMFA の使用に関するドキュメントを追加しました。
February 13, 2017
Amazon Cloud Directory 新しいディレクトリタイプが導入されました。
January 26, 2017
スキーマ拡張 AWS Directory Service forMicrosoft Active Directory とのスキーマ拡張に関するドキュメントを追加しました。
November 14, 2016
Version 1.0239
AWS Directory Service 管理ガイド
Directory Service 管理者ガイドの大幅な再編成
お客様のニーズにより直接的に結びつくようにコンテンツを再編成しました。
November 14, 2016
認証と認可 ディレクトリサービスで IAM を使用する方法に関するドキュメントを追加しました。
February 25, 2016
SNS の通知 SNS 通知に関するドキュメントを追加しました。
February 25, 2016
AWS Managed Microsoft AD AWS Managed Microsoft AD に関するドキュメントを追加し、ガイドを単一のガイドにまとめました。
November 17, 2015
Linux インスタンスの Simple ADディレクトリへの参加を許可しました。
Linux インスタンスの Simple ADディレクトリへの参加に関するドキュメントを追加しました。
July 23, 2015
ガイドの分離 AWS Directory Service 管理ガイド は、Simple AD ガイドと ADConnector ガイドに分割されました。
July 14, 2015
シングルサインオンサポート シングルサインオンに関するドキュメントが追加されました。
March 31, 2015
新規ガイド これは『AWS Directory ServiceAdministration Guide』の最初のリリースです。
October 21, 2014
Version 1.0240
