AWS Directory ServiceのAD ConnectorとSimple AD #413
AWS Directory Serviceは、AWSクラウド内でMicrosoft Active Directory* (AD)の機能を利用するためのマネージドサービスです。これは、Windowsベースのアプリケーションや、ADに依存するワークロードやITリソースの管理、ユーザー認証、グループメンバーシップ、そしてポリシーの適用といった、多くの機能を提供します。
*Windows Server OSに組み込まれたディレクトリサービス。ネットワーク上のオブジェクト(ユーザー, コンピュータ, その他のリソース)の情報を保存・管理・提供する。
AWS Directory ServiceにはAD ConnectorとSimple ADの2つのメインオプションがあり、それぞれについてまとめます。
AD Connector
AWSリソースとオンプレミスまたはAWS上で稼働している既存のADドメインとの間のプロキシを提供するディレクトリゲートウェイです。
既存のADを利用
AD Connectorは既存のオンプレミスまたはAWS上のADドメインと連携し、AWSリソースへのアクセスに既存のADクレデンシャルを利用できます。つまりユーザーは新しいIDやパスワードを覚えなくてよくなります。
パスワードポリシーの流用
既存のADドメインのパスワードポリシーとセキュリティポリシーをそのまま利用できます。
フェデレーション
AWS Management ConsoleにADクレデンシャルを利用してサインインするためのフェデレーションがサポートされています。
マルチファクタ認証 (MFA)
既存のADドメインに統合されたMFAソリューションを利用できます。
IAMロールの割り当て
AD ConnectorでVPCと統合した後は、Active DirectoryのユーザーやグループにIAMロールを割り当てることができます。
Simple AD
AWSクラウド内で完全に稼働するスタンドアロンのマネージドディレクトリサービスです。Samba 4をベースにしており、Microsoft ADと互換性がある基本的な機能を提供します。
ユーザーとグループの管理
ユーザーアカウント、グループ、およびWindows work stationをディレクトリに参加させることができます。
ポリシーの適用
グループポリシーオブジェクト (GPO)を利用して、ポリシーを適用することができます。
シングルサインオン (SSO)
Simple AD内で管理されるユーザーは、ディレクトリに参加しているWindows work stationにKerberosベースのSSOでログインできます。
AWS Management Consoleへのアクセス
Simple ADユーザーは、AWS Management ConsoleにSimple ADクレデンシャルでサインインできます。
ただし、Simple ADはMicrosoft ADの一部の高度な機能をサポートしていない点に注意です(例:スキーマ拡張, トラストリレーション, ADFSを利用したフェデレーション)。
また、Amazon EC2インスタンスへのセキュアな接続もサポートしています。
まとめ
AD Connector
既存のADドメインと連携するためのプロキシサービスを提供
Simple AD
AWS上で完全に稼働するスタンドアロンのマネージドディレクトリサービスを提供
どちらのオプションもADの基本的な機能をサポートしていますが、既存のADを活かしたい場合は前者、新たにADをセットアップしたい場合は後者などの使い分けができそうです。
ここまでお読みいただきありがとうございました!
この記事が気に入ったらサポートをしてみませんか?