AWS Directory Service 完全ガイド - マネージドActive Directoryサービス
AWS Directory Serviceは、クラウド環境でActive Directoryやその他のディレクトリサービスを利用するためのマネージドサービスです。オンプレミス環境との連携や、クラウドネイティブなアプリケーションでの認証基盤として活用でき、企業の既存IT基盤をクラウドへ効率的に拡張できます。
AWS Directory Serviceの基本概念
ディレクトリサービスとは
ディレクトリサービスは、ネットワーク上のリソースやユーザー情報を一元管理するためのシステムです。主に以下の機能を提供します:
AWS Directory Serviceの種類
AWS Directory Serviceは、組織の要件に応じて3つの主要オプションを提供しています:
| サービス種類 | 適用場面 | 特徴 |
|---|---|---|
| AWS Managed Microsoft AD | 企業レベルの本格運用 | フル機能のMicrosoft Active Directory |
| AD Connector | 既存オンプレミスAD活用 | プロキシサービス、データ同期なし |
| Simple AD | 軽量な認証要件 | Samba 4ベース、基本的なLDAP機能 |
AWS Managed Microsoft AD
概要と特徴
AWS Managed Microsoft ADは、AWS上で動作するフル機能のMicrosoft Active Directoryです。
主要機能:
認証・認可:
- Kerberos認証
- NTLM認証
- LDAP over SSL
グループポリシー:
- Windows GPO適用
- セキュリティポリシー管理
- アプリケーション配布
信頼関係:
- オンプレミスADとの信頼関係
- フォレスト信頼
- 外部信頼アーキテクチャ構成
セキュリティ機能
高可用性設計
- 複数のAZ(Availability Zone)に自動配置
- 自動バックアップとスナップショット
- 自動パッチ適用とメンテナンス
暗号化
- 転送中データの暗号化(LDAPS)
- 保存データの暗号化
- KMS統合による暗号化キー管理
AD Connector
概要と使用場面
AD Connectorは、オンプレミスのActive Directoryへのプロキシサービスとして機能します。
AD Connector の特徴:
プロキシ機能:
- オンプレミスADへの認証転送
- データの複製・同期なし
- 軽量な接続サービス
適用場面:
- 既存AD環境の活用
- データ複製を避けたい場合
- クラウドサービスとの認証統合のみ必要接続アーキテクチャ
必要なネットワーク要件
AD Connectorの適切な動作には、以下のネットワーク設定が必要です:
| プロトコル | ポート | 方向 | 用途 |
|---|---|---|---|
| LDAP | 389 | 双方向 | ディレクトリクエリ |
| LDAPS | 636 | 双方向 | 暗号化LDAP |
| Kerberos | 88 | 双方向 | 認証 |
| DNS | 53 | 双方向 | 名前解決 |
Simple AD
概要と特徴
Simple ADは、Samba 4をベースとしたLDAP対応ディレクトリサービスです。
Simple AD の特徴:
基本機能:
- LDAP認証
- 基本的なユーザー・グループ管理
- Linux/UNIXシステム統合
制限事項:
- 信頼関係非対応
- グループポリシー非対応
- 複雑なAD機能は利用不可
適用場面:
- 軽量な認証要件
- Linux中心の環境
- 単純なディレクトリサービスのみ必要導入と設定
AWS Managed Microsoft ADの設定手順
1. 基本設定
AWSマネジメントコンソールから以下の手順で設定します:
Directory Service コンソールへのアクセス
- AWSコンソールでDirectory Serviceを検索
- 「ディレクトリを設定」をクリック
ディレクトリタイプの選択
- AWS Managed Microsoft ADを選択
- エディション(Standard/Enterprise)を選択
基本パラメータの設定
- ディレクトリDNS名(例:corp.example.com)
- NetBIOS名(例:CORP)
- 管理者パスワード
2. ネットワーク設定
ネットワーク設定のポイント:
VPC選択:
- ディレクトリを配置するVPC
- 2つ以上のサブネットが必要
- 異なるAZに配置推奨
セキュリティグループ:
- 必要なポート開放
- 最小限のアクセス許可
- 送信元IPアドレス制限オンプレミス連携の設定
信頼関係の構築
信頼関係構築の手順:
- VPN または Direct Connect による接続確立
- DNS フォワーディング設定
- セキュリティグループでの通信許可
- 信頼関係の作成(双方向)
AWSサービスとの統合
Amazon WorkSpaces
AWS Directory Serviceは、Amazon WorkSpacesの認証基盤として活用できます:
WorkSpaces 統合のメリット:
ユーザー体験:
- シングルサインオン
- 既存の認証情報利用
- グループポリシー適用
管理効率:
- 一元的なユーザー管理
- 既存ADポリシーの活用
- セキュリティ統制の継続Amazon RDS for SQL Server
SQL Server の Windows 認証機能との統合:
RDS for SQL Server 統合:
認証機能:
- Windows認証の利用
- AD グループベースのアクセス制御
- 統合ログイン環境
セキュリティ強化:
- パスワード不要の認証
- 既存の権限管理活用
- 監査ログの一元化Amazon FSx for Windows File Server
Windows ファイルサーバー機能との連携:
FSx 統合機能:
ファイルアクセス制御:
- NTFSアクセス許可
- ADユーザー・グループベース制御
- 共有フォルダアクセス管理
運用の簡素化:
- 既存のファイル権限継承
- グループポリシー適用
- DFS(分散ファイルシステム)対応監視と管理
ログ管理
AWS Directory Service の活動は以下の方法で監視できます:
CloudWatch Logs
- 認証イベント
- システムイベント
- エラーログ
CloudTrail
- API呼び出し履歴
- 設定変更ログ
- 管理操作の追跡
パフォーマンス監視
監視対象メトリクス:
可用性:
- ドメインコントローラーの稼働状況
- レプリケーション状態
- バックアップ状況
パフォーマンス:
- 認証応答時間
- LDAP クエリ応答時間
- 接続数セキュリティ監査
定期的な監査項目:
| 監査項目 | 頻度 | 確認内容 |
|---|---|---|
| ユーザーアカウント | 月次 | 不要アカウントの削除 |
| グループメンバーシップ | 月次 | 権限の適切性確認 |
| 信頼関係 | 四半期 | 信頼関係の妥当性 |
| パスワードポリシー | 四半期 | ポリシー遵守状況 |
運用とベストプラクティス
高可用性設計
可用性向上のポイント:
冗長化:
- 複数AZでの自動配置
- ドメインコントローラー冗長化
- バックアップの自動実行
災害復旧:
- 定期的なバックアップ
- ポイントインタイム復旧
- 異なるリージョンでの複製検討コスト最適化
AWS Directory Serviceの料金最適化:
コスト要素:
基本料金:
- ディレクトリタイプによる月額
- インスタンスサイズ選択
- データ転送料金
最適化ポイント:
- 適切なエディション選択
- 不要なディレクトリの削除
- ネットワーク転送量の最小化セキュリティベストプラクティス
アクセス制御
- 最小権限の原則
- 定期的な権限レビュー
- 特権アカウントの管理
暗号化
- 転送中データの暗号化(LDAPS使用)
- VPN/Direct Connect による安全な通信
- 適切な証明書管理
トラブルシューティング
一般的な問題と対処法
1. 認証失敗
確認項目:
- DNS設定の確認
- セキュリティグループ設定
- 信頼関係の状態確認
- 時刻同期の確認2. 接続問題
ネットワーク診断:
- VPN/Direct Connect接続状態
- ルーティング設定
- ファイアウォール設定
- DNSフォワーディング設定3. パフォーマンス問題
パフォーマンス改善:
- インスタンスサイズの見直し
- ネットワーク帯域の確認
- クエリ最適化
- キャッシュ設定の調整まとめ
AWS Directory Serviceは、既存のActive Directory環境をクラウドに拡張し、ハイブリッド環境での認証基盤を構築するための重要なサービスです。組織の要件に応じて適切なオプションを選択し、セキュリティとパフォーマンスのバランスを取ることで、効率的なクラウド認証環境を実現できます。
適切な監視と定期的な見直しにより、安定した運用を継続し、ビジネスの成長に合わせてスケールできる認証基盤として活用することが可能です。
参考資料: