AWS Directory ServiceのAD ConnectorとSimple AD　#413

AWS Directory Serviceは、AWSクラウド内でMicrosoft Active Directory* (AD)の機能を利用するためのマネージドサービスです。これは、Windowsベースのアプリケーションや、ADに依存するワークロードやITリソースの管理、ユーザー認証、グループメンバーシップ、そしてポリシーの適用といった、多くの機能を提供します。

*Windows Server OSに組み込まれたディレクトリサービス。ネットワーク上のオブジェクト(ユーザー, コンピュータ, その他のリソース）の情報を保存・管理・提供する。

AWS Directory ServiceにはAD ConnectorとSimple ADの2つのメインオプションがあり、それぞれについてまとめます。

AD Connector

AWSリソースとオンプレミスまたはAWS上で稼働している既存のADドメインとの間のプロキシを提供するディレクトリゲートウェイです。

既存のADを利用

AD Connectorは既存のオンプレミスまたはAWS上のADドメインと連携し、AWSリソースへのアクセスに既存のADクレデンシャルを利用できます。つまりユーザーは新しいIDやパスワードを覚えなくてよくなります。

パスワードポリシーの流用

既存のADドメインのパスワードポリシーとセキュリティポリシーをそのまま利用できます。

フェデレーション

AWS Management ConsoleにADクレデンシャルを利用してサインインするためのフェデレーションがサポートされています。

マルチファクタ認証 (MFA)

既存のADドメインに統合されたMFAソリューションを利用できます。

IAMロールの割り当て

AD ConnectorでVPCと統合した後は、Active DirectoryのユーザーやグループにIAMロールを割り当てることができます。

Simple AD

AWSクラウド内で完全に稼働するスタンドアロンのマネージドディレクトリサービスです。Samba 4をベースにしており、Microsoft ADと互換性がある基本的な機能を提供します。

ユーザーとグループの管理

ユーザーアカウント、グループ、およびWindows work stationをディレクトリに参加させることができます。

ポリシーの適用

グループポリシーオブジェクト (GPO)を利用して、ポリシーを適用することができます。

シングルサインオン (SSO)

Simple AD内で管理されるユーザーは、ディレクトリに参加しているWindows work stationにKerberosベースのSSOでログインできます。

AWS Management Consoleへのアクセス

Simple ADユーザーは、AWS Management ConsoleにSimple ADクレデンシャルでサインインできます。

ただし、Simple ADはMicrosoft ADの一部の高度な機能をサポートしていない点に注意です（例：スキーマ拡張, トラストリレーション, ADFSを利用したフェデレーション）。

また、Amazon EC2インスタンスへのセキュアな接続もサポートしています。

まとめ

AD Connector

既存のADドメインと連携するためのプロキシサービスを提供

Simple AD

AWS上で完全に稼働するスタンドアロンのマネージドディレクトリサービスを提供

どちらのオプションもADの基本的な機能をサポートしていますが、既存のADを活かしたい場合は前者、新たにADをセットアップしたい場合は後者などの使い分けができそうです。

ここまでお読みいただきありがとうございました！