- 製品›
- セキュリティ、アイデンティティ、コンプライアンス›
- AWS Directory Service›
- AWS Directory Service よくある質問
AWS Directory Service よくある質問
全般
AWS Directory Service とは何ですか?
AWS Directory Service は、ユーザー、グループ、コンピューター、およびその他のリソースといった組織についての情報を含むディレクトリ機能を提供するマネージド型サービスです。AWS Directory Service はマネージド型サービスであり、管理作業の削減を目指して設計されているため、より多くの時間とリソースをビジネスに集中させられます。高可用性のために込み入ったディレクトリトポロジーを自分で構築する必要はありません。各ディレクトリが複数のアベイラビリティーゾーンにデプロイされ、モニタリングによって障害の発生したドメインコントローラーを自動的に検出して置換することが可能なためです。さらに、データレプリケーションと自動化された日次のスナップショットが設定されます。ソフトウェアのインストールは不要で、AWS がすべてのパッチ適用、およびソフトウェアの更新を処理します。
AWS Directory Service を使用して何ができますか?
AWS Directory Service によって、AWS クラウド内にディレクトリをセットアップして運用することや、AWS リソースを既存のオンプレミス Microsoft Active Directory に接続することが簡単に行えます。作成したディレクトリは、ユーザーとグループの管理、アプリケーションとサービスへのシングルサインオン提供、グループポリシーの作成と適用、Amazon EC2 インスタンスのドメインへの参加、およびクラウドベースの Linux と Microsoft Windows ワークロードのデプロイと管理の簡素化に使用できます。AWS Directory Service によって、エンドユーザーは 、カスタム .NET および SQL Server ベースのアプリケーションといったディレクトリ対応型 Windows ベースのワークロードに加え、Amazon WorkSpaces、Amazon WorkDocs、および Amazon WorkMail といった AWS アプリケーションへのアクセスにも既存の企業内認証情報を使用できます。最後に、AWS Identity and Access Management (IAM) ロールベースでの AWS マネジメントコンソールを経由して、既存の企業内認証情報を使用した AWS リソースの管理が行えるため、ID フェデレーションインフラストラクチャを別途構築する必要がありません。
ディレクトリを作成するには、どうすればよいですか?
ディレクトリの作成には、AWS マネジメントコンソールまたは API を使用できます。ディレクトリの完全修飾ドメイン名 (FQDN)、管理者アカウント名とパスワード、ディレクトリを添付する VPC などのいくつかの基本情報を入力するだけで済みます。
既存の Amazon EC2 インスタンスを AWS Directory Service のディレクトリに参加させることができますか?
はい。AWS マネジメントコンソールまたは API を使用して、Linux または Windows を実行している既存の EC2 インスタンスを AWS Managed Microsoft AD ディレクトリに追加できます。
AWS Directory Service には API が用意されていますか?
ディレクトリを作成および管理するためのパブリック API が使用できます。このパブリック API を使用して、プログラムでディレクトリを管理できます。パブリック API は、AWS CLI および SDK を介して利用できます。API の詳細については、「AWS Directory Service のドキュメント」をご覧ください。
AWS Directory Service は CloudTrail ログに対応していますか?
はい。AWS Directory Service API またはマネジメントコンソールを使用して実行されるアクションは、CloudTrail 監査ログに記録されます。
自分のディレクトリのステータスが変更されるときに通知を受け取ることができますか?
はい。AWS Directory Service のステータスが変更されるときに電子メールやテキストメッセージを受信するように Amazon Simple Notification Service (SNS) を設定できます。Amazon SNS は、トピックを使用してメッセージを収集して受信者に配信します。AWS Directory Service がディレクトリのステータス変更を検出すると、関連するトピックにメッセージを発行し、トピック受信者にそれが送信されます。詳細については、「ドキュメント」をご覧ください。
AWS Directory Service の料金はいくらですか?
詳細については料金表ページを参照してください。
自分のディレクトリにタグを付けられますか?
はい。AWS Directory Service では、コスト配分タグ付けをサポートしています。タグを使用すると、AWS リソースの分類とグループ化によるコスト配分や経費の削減が簡単になります。例えば、タグを使用して、管理者、アプリケーション名、コストセンター、または特定のプロジェクトごとにリソースをグループ化できます。
どの AWS リージョンで AWS Directory Service を利用できますか?
AWS Directory Service のリージョン別の可用性の詳細については、製品およびサービス一覧 (リージョン別) を参照してください。
AWS Managed Microsoft AD はどのバージョンの Server Message Block (SMB) プロトコルをサポートしていますか?
2020 年 5 月 31 日時点、AWS Managed Microsoft AD ディレクトリ用のドメインコントローラーの SYSVOL と NETLOGON 共有に保存されたファイルにアクセスするには、クライアントのコンピューターでは SMB バージョン 2.0 (SMBv2) 以降のみを使用できます。しかし、すべての SMB ベースのファイルサービスで SMBv2 以降のみを使用することが推奨されます。
AWS Managed Microsoft AD
AWS Managed Microsoft AD ディレクトリを作成するには、どうすればよいですか?
AWS マネジメントコンソールから AWS Directory Service コンソールを起動して、AWS Managed Microsoft AD ディレクトリを作成することができます。別の方法として、AWS SDK または AWS CLI を使用できます。
AWS Managed Microsoft AD ディレクトリはどのようにデプロイされますか?
AWS Managed Microsoft AD ディレクトリは、デフォルトではリージョン内で 2 つのアベイラビリティーゾーンにデプロイされ、ご利用の Amazon Virtual Private Cloud (VPC) に接続されます。毎日 1 回自動的にバックアップが作成され、Amazon Elastic Block Store (EBS) ボリュームは保管中データのセキュリティのため暗号化されます。障害の発生したドメインコントローラーは自動的に同じアベイラビリティーゾーン内で同じ IP アドレスを使用して置き換えられ、最新のバックアップを使用した全面的な災害対策が実行できます。
AWS Managed Microsoft AD ディレクトリのストレージ、CPU、またはメモリといったパラメータは自分で設定できますか?
この機能は現時点ではサポートされていません。
AWS Managed Microsoft AD のユーザーとグループの管理はどのように行いますか?
既存の Active Directory ツール (AWS Managed Microsoft AD ドメインに参加している Windows コンピュータで実行されているもの) を使用して、AWS Managed Microsoft AD ディレクトリのユーザーとグループを管理できます。特別なツール、ポリシー、動作変更は必要ありません。
AWS Managed Microsoft AD と、自分の Amazon EC2 Windows インスタンス内での Active Directory の実行とでは、管理権限がどのように異なりますか?
マネージド型サービスのエクスペリエンスを実現するために、AWS Managed Microsoft AD では、サービスの管理を妨げるような操作をお客様が行えないようにする必要があります。そのため、AWS では、昇格した特権を必要とするディレクトリオブジェクト、ロール、およびグループへのアクセスを制限しています。AWS Managed Microsoft AD では、Windows のリモートデスクトップ接続、PowerShell Remoting、Telnet、Secure Shell (SSH) を使用したドメインコントローラーへのダイレクトホストアクセスは許可されません。お客様が AWS Managed Microsoft AD ディレクトリを作成する際、お客様には 1 つの組織単位 (OU) と、その OU に対する管理権限が委任された管理アカウントが割り当てられます。お客様は Active Directory ユーザーとグループ、または PowerShell ActiveDirectory モジュールなどの標準のリモートサーバー管理ツールを使用して、OU 内でユーザーアカウント、グループ、およびポリシーを作成できます。
Microsoft Network Policy Server (NPS) を AWS Managed Microsoft AD で使用できますか?
はい。AWS Managed Microsoft AD 設定時にお客様用に作成される管理アカウントでは、リモートアクセスサービス (RAS) およびインターネット認証サービス (IAS) セキュリティグループに対する管理権限が委任されています。このため、お客様は、NPS を AWS Managed Microsoft AD で登録し、ドメイン内のアカウントでネットワークアクセスポリシーを管理することができます。
AWS Managed Microsoft AD はスキーマ拡張をサポートしていますか?
はい。AWS Managed Microsoft AD は、LDAP Data Interchange Format (LDIF) ファイルの形式でサービスに送信されるスキーマ拡張をサポートします。スキーマ拡張は可能ですが、Active Directory のコアスキーマは変更できません。
AWS Managed Microsoft AD はどのアプリケーションと互換性がありますか?
Amazon Chime
Amazon Connect
Amazon EC2 インスタンス
Amazon FSx for Windows ファイルサーバー
Amazon QuickSight
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
Amazon シングルサインオン
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
AWS Client VPN
AWS マネジメントコンソール
これらのアプリケーションのすべての設定がサポートされているのではないことにご注意ください。
AWS Managed Microsoft AD はどのサードパーティーソフトウェアと互換性がありますか?
AWS Managed Microsoft AD は実際の Active Directory に基づいており、次のような幅広いネイティブ AD ツールとサードパーティーアプリのサポートを提供します。
Active Directory ベースのアクティベーション (ADBA)
Active Directory 認定サービス (AD CS): エンタープライズ認証機関
Active Directory フェデレーションサービス (AD FS)
Active Directory ユーザーおよびコンピュータ (ADUC)
アプリケーションサーバー (.NET)
Azure Active Directory (Azure AD)
Azure Active Directory (AD) Connect
分散ファイルシステムの複製 (DFSR)
分散ファイルシステムの名前空間 (DFSN)
Microsoft リモートデスクトップサービスのライセンスサーバー
Microsoft SharePoint Server
Microsoft SQL Server (SQL Server 常時稼動の可用性グループなど)
Microsoft System Center Configuration Manager (SCCM)
Microsoft Windows および Windows Server OS
Office 365
AWS Managed Microsoft AD と互換性のないサードパーティーソフトウェアは何ですか?
Active Directory 認定サービス (AD CS): 証明書登録ウェブサービス
Active Directory 認定サービス (AD CS): 証明書登録ポリシーウェブサービス
Microsoft Exchange Server
Microsoft Skype for Business Server
既存のオンプレミス Microsoft Active Directory を AWS Managed Microsoft AD に移行できますか?
AWS では、自己管理された Active Directory を AWS Managed Microsoft AD に移行するための移行ツールは提供していません。パスワードのリセットを含む移行の実行戦略を確立し、リモートサーバー管理ツールを使用して計画を実施する必要があります。
Directory Service コンソールで条件付きフォワーダーおよび信頼を設定することはできますか?
はい。Directory Service コンソールや API を使用して AWS Managed Microsoft AD の条件付きフォワーダーおよび信頼を設定することができます。
AWS Managed Microsoft AD にドメインコントローラーを手動で追加できますか?
はい。マネージドドメインには、AWS Directory Service コンソールまたは API を使用してドメインコントローラーを追加できます。Amazon EC2 インスタンスのドメインコントローラーへの手動昇格はサポートされていません。
AWS Managed Microsoft AD で管理されるユーザーアカウントで Microsoft Office 365 を使用できますか?
はい。AWS Managed Microsoft AD から Azure AD には、Azure AD Connect を使用してアイデンティティを同期できます。そして、Microsoft Active Directory Federation Services (AD FS) for Windows 2016 を AWS Managed Microsoft AD と共に使用して Office 365 ユーザーを認証できます。詳しい手順については、「AWS の Microsoft Active Directory 認証情報を使ってユーザーが Office 365 にアクセスできるようにする方法」 を参照してください。
AWS Managed Microsoft AD を使って、Security Assertion Markup Language (SAML) 2.0 ベースの認証をクラウドアプリケーションに使用できますか?
はい。Microsoft Active Directory Federation Services (AD FS) for Windows 2016 を AWS Managed Microsoft AD で管理されるドメインに使用して、SAML をサポートするクラウドアプリケーションにユーザーを認証できます。
LDAPS を使用して、アプリケーションと AWS Managed Microsoft AD 間の通信を暗号化できますか?
はい。AWS Managed Microsoft AD は、クライアントとサーバーの両方の役割で、Secure Socket Layer (SSL) / Transport Layer Security (TLS) 上の Lightweight Directory Access Protocol (LDAP)、または LDAPS をサポートしています。サーバーとして動作する場合、AWS Managed Microsoft AD は、ポート 636 (SSL) および 389 (TLS) での LDAPS をサポートします。AWS ベースの Active Directory Certificate Services 認証機関 (CA) から AWS Managed Microsoft AD ドメインコントローラーに証明書をインストールすることにより、サーバー側の LDAPS 通信を有効にします。詳細については、「安全な LDAP (LDAPS) の実現方法」を参照してください。
AWS Managed Microsoft AD を使用して、AWS アプリケーションとセルフマネージド AD 間の LDAP 通信を暗号化できますか?
はい。AWS Managed Microsoft AD は、クライアントとサーバーの両方の役割で、Secure Socket Layer (SSL) / Transport Layer Security (TLS) 上の Lightweight Directory Access Protocol (LDAP)、または LDAPS をサポートしています。クライアントとして動作する場合、AWS Managed Microsoft AD は、ポート 636 (SSL) での LDAPS をサポートします。サーバー証明書発行者からの認証機関 (CA) 証明書を AWS に登録することにより、クライアント側の LDAPS 通信を有効にします。詳細については、「安全な LDAP (LDAPS) の実現方法」を参照してください。
AWS Managed Microsoft AD は、Microsoft アドバイザリ ADV190023 にどのように対処しますか? ADV190023 は、AD ドメインコントローラのデフォルト LDAP セキュリティ設定の変更について説明していますか?
AWS Managed Microsoft AD は、セルフマネージド Active Directory と通信する LDAP クライアントとして機能する場合、LDAP 署名と SSL/TLS (LDAPS) を経由する LDAP の両方をサポートします。クライアント側の LDAP 署名では有効化するためのユーザーによるアクションは不要で、データに整合性をもたらします。クライアント側の LDAPS には設定が必要で、データに整合性と機密性をもたらします。詳細については、この「 AWS フォーラムの記事」を参照してください。
AWS Managed Microsoft AD がサポートしているユーザー数、グループ数、コンピュータ数、およびオブジェクトの総数は?
AWS Managed Microsoft AD (スタンダードエディション) には、1 GB のディレクトリオブジェクトストレージが含まれます。この容量により、最大で 5,000 ユーザー、またはユーザー、グループ、コンピュータなど 30,000 ディレクトリオブジェクトをサポートできます。AWS Managed Microsoft AD (エンタープライズエディション) には、17 GB のディレクトリオブジェクトストレージが含まれ、最大 100,000 ユーザーまたは 500,000 オブジェクトをサポートできます。
AWS Managed Microsoft AD をプライマリディレクトリとして使用できますか?
はい。クラウド内でユーザー、グループ、コンピュータ、グループポリシーオブジェクト (GPO) を管理するプライマリディレクトリとして使用できます。AWS のアプリケーションとサービス、および AWS クラウド内の Amazon EC2 インスタンスで実行中のサードパーティー製ディレクトリ対応アプリケーションに対して、アクセスの管理とシングルサインオン (SSO) を実現します。さらに、Azure AD Connect と AD FS を使用して、Office 365 を含むクラウドアプリケーションへの SSO をサポートできます。
AWS Managed Microsoft AD をリソースフォレストとして使用できますか?
はい。AWS Managed Microsoft AD を、プライマリコンピュータとグループから成る、オンプレミスディレクトリへの信頼関係を備えたリソースフォレストとして使用できます。これにより、ユーザーはオンプレミスの AD 認証情報を使用して AWS のアプリケーションとリソースにアクセスできます。
マルチリージョンでのレプリケーション
マルチリージョンでのレプリケーションとは何ですか?
マルチリージョンでのレプリケーションとは、単一の AWS Managed Microsoft AD ディレクトリを、複数の AWS リージョンでデプロイし使用するための機能のことです。この機能により、Microsoft Windows や Linux のワークロードでのグローバルなデプロイと管理が、より簡単に、コスト効率良く行えるようになります。自動化されたマルチリージョンレプリケーション機能を使用することで、より高い回復性が得られます。また、アプリケーションはローカルディレクトリを使用することになるので、パフォーマンスも最適化されます。この機能を利用できるのは、AWS Managed Microsoft AD (Enterprise Edition) のみです。この機能は、新規の、あるいは既存のディレクトリの両方で適用できます。
自分のディレクトリに AWS リージョンを追加するには、どうすればよいですか?
まず最初に、すでにディレクトリを立ち上げて実行中のリージョン (プライマリリージョン) で、AWS Directory Service コンソールを開きます。拡張したいディレクトリを選択し、[リージョンを追加] をクリックします。次に、拡張する対象となるリージョンを選択し、Amazon Virtual Private Cloud (VPC) を指定し、ディレクトリをデプロイするためのサブネットを指定します。また、ディレクトリの拡張には、API を使用することもできます。詳細については、「ドキュメント」を参照してください。
新しく AWS リージョンを追加した後、マルチリージョンでのレプリケーションはどの用に機能しますか?
AWS Managed Microsoft AD はリージョン間のネットワーク接続を自動的に設定し、ドメインコントローラーをデプロイした上で、ユーザー、グループ、グループポリシーオブジェクト (GPO)、スキーマを含むすべてのディレクトリデータを、選択したリージョン全体にレプリケートします。さらに、AWS Managed Microsoft AD は、リージョンごとに新しい AD サイトを設定します。これにより、リージョン内のユーザー認証とドメインコントローラーレプリケーションのパフォーマンスが向上すると同時に、リージョン間のデータ転送が最小限に抑えられるため、コストが削減されます。新しいリージョンにおいても、ご使用のディレクトリ識別子 (directory_id) はそのまま維持され、プライマリリージョンでのものと同じ名前の AWS アカウント内にデプロイされます。
新しい AWS リージョンにある他の AWS とディレクトリを共有することはできますか?
はい。マルチリージョンでのレプリケーションには、リージョン内で異なる AWS アカウント間のディレクトリの共有ができる柔軟性が備わっています。プライマリリージョンでのディレクトリの共有設定は、自動的にレプリケートされません。異なる AWS アカウント間でのディレクトリの共有の詳細については、「ドキュメント」を参照してください。
ドメインコントローラーを追加して、新しい AWS リージョンのディレクトリ用に使用することはできますか?
はい。マルチリージョンでのレプリケーションでは、ドメインコントローラーの数を、リージョンごとに柔軟に定義できます。ドメインコントローラーの追加の詳細についは、「ドキュメント」を参照してください。
複数の AWS リージョンにわたりディレクトリのステータスをモニタリングする方法は何ですか?
マルチリージョンでのレプリケーションでは、個別のリージョンごとに、ディレクトリのステータスをモニタリングできます。AWS Directory Service コンソールもしくは API を使用して、ディレクトリをデプロイしたリージョンの Amazon Simple Notification Service (SNS) を有効化する必要があります。詳細については、「ドキュメント」を参照してください。
複数の AWS リージョンでディレクトリのセキュリティログをモニタリングする方法は何ですか?
マルチリージョンでのレプリケーションでは、個別のリージョンごとに、ディレクトリのセキュリティログをモニタリングできます。AWS Directory Service コンソールもしくは API を使用して、ディレクトリをデプロイしたリージョンでの Amazon CloudWatch Logs の転送を、有効化する必要があります。詳細については、「ドキュメント」を参照してください。
ディレクトリ内の AD サイト名を変更することはできますか?
はい。標準的な AD ツールを使用して、リージョン単位で、AD サイトの名前を変更することができます。詳細については、「ドキュメント」を参照してください。
ディレクトリから AWS リージョンを削除することはできますか?
はい。AWS Managed Microsoft AD では、ディレクトリから AWS リージョンを削除することができます。この場合、ディレクトリに登録された AWS アプリケーションがないことと、そのディレクトリが同じリージョンで別の AWS アカウントと共有されていないことが必要です。プライマリリージョンの削除には、先だってディレクトリの削除が必要です。
マルチリージョンアプリケーションと互換性のある AWS のアプリケーションやサービスは何ですか?
マルチリージョンでのレプリケーションには、Amazon EC2、Amazon RDS (SQL Server、Oracle、MySQL、PostgreSQL、MariaDB)、Amazon Aurora (MySQL と PostgreSQL)、および Amazon FSx for Windows File Server との間の、ネイティブな互換性があります。また、リージョン単位で、AWS Managed Microsoft AD ディレクトリに対し AD Connector を設定することで、新しいリージョンのディレクトリに、AWS アプリケーションを統合できます。これらのアプリケーションには、Amazon WorkSpaces、AWS Single Sign-On、AWS Client VPN、Amazon QuickSight、Amazon Connect、Amazon WorkDocs、Amazon WorkMail、Amazon Chime などが含まれます。
シームレスなドメイン参加
シームレスなドメイン参加とはどのような意味ですか?
シームレスなドメイン参加は、起動時に AWS マネジメントコンソールから、Amazon EC2 for Windows Server および Amazon EC2 for Linux インスタンスをドメインにシームレスに参加させる機能です。AWS クラウド内で起動する AWS Managed Microsoft AD にインスタンスを参加させることができます。
インスタンスをドメインにシームレスに参加させるにはどうすればよいですか?
AWS マネジメントコンソールから EC2 for Windows または EC2 for Linux インスタンスを作成して起動する場合、インスタンスが参加するドメインを選択できます。詳細については、「ドキュメント」を参照してください。
既存の EC2 for Windows Server インスタンスをシームレスにドメイン参加させることはできますか?
既存の EC2 for Windows Server および EC2 for Linux インスタンスには AWS マネジメントコンソールのシームレスなドメイン参加機能を使用することはできませんが、EC2 API を使用するか、またはインスタンスで PowerShell を使用することで、既存のインスタンスをドメインに参加させることはできます。詳細については、「ドキュメント」を参照してください。
シームレスドメイン参加機能がサポートする Linux のディストリビューションとバージョンをは何ですか?
シームレスドメイン結合機能は現在、Amazon Linux、Amazon Linux 2、CentOS 7 以降、RHEL 7.5 以降、および Ubuntu 14〜18 で利用できます。
IAM 統合
AWS Directory Service は AWS マネジメントコンソールへのシングルサインオン (SSO) をどのように実現していますか?
AWS Directory Service によって、AWS クラウド内で IAM ロールを AWS Managed Microsoft AD または Simple AD のユーザーやグループに割り当てることができます。また、AD Connector を使用して、既存のオンプレミス Microsoft Active Directory のユーザーやグループにも割り当てることができます。これらのロールは、そのロールに割り当てられた IAM ポリシーに基づいてユーザーの AWS サービスへのアクセスを制御します。AWS Directory Service は、ユーザーが会社の既存の認証情報を用いたサインインに使用できる、AWS マネジメントコンソール用の顧客固有の URL を提供します。この機能の詳細については、「ドキュメント」を参照してください。
コンプライアンス
AWS Managed Microsoft AD は、コンプライアンス基準に従う必要のある AWS クラウドのワークロードに使用できますか?
はい。AWS Managed Microsoft AD は、お客様が 米国の医療保険の携行性と責任に関する法律 (HIPAA)の要件を満たすのに必要な制御を実装しています。また、クレジットカード業界のデータセキュリティ基準 (PCI DSS) の準拠と責任に関する証明書の対象サービスに含まれています。
コンプライアンスおよびセキュリティレポートにアクセスするには、どうしたらよいですか?
AWS クラウド内のコンプライアンスとセキュリティに関連したドキュメントの包括的なリストは、「AWS Artifact」 で確認してください。
AWS 責任共有モデルとは何ですか?
HIPAA や PCI DSS へのコンプライアンスを含め、セキュリティは AWS とお客様による責任共有モデルです。たとえば、AWS Managed Microsoft AD を使用するときに PCI DSS 要件を満たす AWS Managed Microsoft AD パスワードポリシーを設定するのは、お客様の責任です。HIPAA および PCI DSS のコンプライアンス要件を満たすためにお客様が取るべきアクションの詳細については、「AWS Managed Microsoft AD のコンプライアンスドキュメント」を参照し、Amazon Web Services のホワイトペーパーで 「Architecting for HIPAA Security and Compliance」を読み、さらに「AWS クラウドコンプライアンス、HIPAA Compliance、PCI DSS Compliance」を参照してください。