🦮

AWS Directory Serviceの概要とユースケースについて

3 min read

AWS Directory Service とは?

AWS Directory Service とは、Microsoft Active Directory (AD) を AWS の他のサービスと併用するための複数の方法を提供するマネージドサービスです。
予算に合わせたコストで必要な機能を備えた、以下3つのディレクトリサービスを選択できます。

  1. AWS Managed Microsoft Active Directory (Microsoft AD)
  2. Active Directory Connector(AD Connector)
  3. Simple Active Directory(Simple AD)

これからそれぞれのサービスの概要とユースケースを紹介させて頂きます。

AWS Managed Microsoft Active Directory (Microsoft AD)

AWS Managed Microsoft AD は、Windows Server 2012 R2 によって動作します。このディレクトリタイプを選択して起動すると、Virtual Private Cloud (VPC) に接続されたドメインコントローラーの可用性が高いペアとして作成されます。各ドメインコントローラーは、お客様が選択するリージョンの異なるアベイラビリティーゾーンで実行されます。ホストのモニタリングと復旧、データレプリケーション、スナップショット、およびソフトウェアの更新は自動的に設定、管理されます。

ユースケース

  • ユーザーとグループを管理する

  • アプリケーションとサービスにシングルサインオンを提供する

  • グループポリシーを作成し適用する

  • クラウドベースの Linux および Microsoft Windows ワークロードのデプロイメントと管理を簡素化する

  • Amazon EC2 Linux および Windows インスタンスに安全に接続する

Active Directory Connector(AD Connector)

AD Connector は、クラウドの情報をキャッシュせずにディレクトリリクエストをオンプレミスの Microsoft Active Directory へリダイレクトするのに使用するディレクトリゲートウェイです。
パフォーマンスのニーズに合わせてスケールし、複数の AD Connector 間でアプリケーションの負荷を分散させることができます。適用されるユーザー制限や接続制限はありません。

ユースケース

AD Connector は、ユーザー制限や接続制限がない為、基本的には、AWS Managed Microsoft Active Directory (AD)と同様に以下の幅広い用途で使用できます。(※複数アカウントとマルチVPCに制限あり)

  • ユーザーとグループを管理する

  • アプリケーションとサービスにシングルサインオンを提供する

  • グループポリシーを作成し適用する

  • クラウドベースの Linux および Microsoft Windows ワークロードのデプロイメントと管理を簡素化する

  • Amazon EC2 Linux および Windows インスタンスに安全に接続する

※ 制限されていること

  • 他のAWSアカウントへの対応制限
    他のAWSアカウントが要件に含まれている場合は、AWS Managed Microsoft Active Directory (AD)が持つディレクトリ共有サービスを使用する必要があります。
    https://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/ms_ad_directory_sharing.html

  • マルチVPCに対応していないこと
    つまり、実際に接続するWorkSpacesは、AC Connectorと同じVPCにプロビジョニングする必要があります。

Simple Active Directory(Simple AD)

一般的なディレクトリ機能を備えた低価格の Active Directory 互換のサービスです。多くの場合、ユーザーが 5,000 人以下で、より高度な Microsoft Active Directory 機能を必要としない場合は、Simple AD は最もコストの低いオプションであり、最善の選択です。

ユースケース

  1. ユーザーアカウントやグループメンバーの管理
  2. EC2インスタンスへの安全な接続
  3. Kerberos ベースのシングルサインオン (SSO) 時に使用

※ 制限されていること

  • 多要素認証 (MFA)
  • 他ドメインとの信頼関係
  • Active Directory 管理センター、PowerShell サポート、Active Directory のごみ箱
  • グループが管理するサービスアカウント、POSIX および Microsoft のスキーマ拡張

まとめ

AWS Directory Service とは、 Microsoft Active Directory を AWS の他のサービスと併用するための複数の方法を提供するマネージドサービスのことで、ユースケースとしては、ユーザーやグループの管理を外部と共有したり、 SSO(シングルサインオン) と組み合わせて、外部からログインしたりする用途で使用されたりします。
AWS Directory Serviceでは、予算に合わせたコストと必要な機能に応じて、3つのランクに分けてサービスを提供されています。(2021年8月時点)

AWS Managed Microsoft Active Directory (Microsoft AD)
こいつは、高価格だが一番機能が豊富なサービスで、複数AWSアカウントやマルチVPCも考慮された高機能かつ最も可用性の高い AWS Directory Service。

Active Directory Connector(AD Connector)
こいつは、中価格帯クラスで複数AWSアカウント・マルチVPC機能に制限があるものの幅広い用途で使用することができるサービス。

Simple Active Directory(Simple AD)
こいつは、低価格帯クラスでユーザーが5000人以下で、そこまで高機能を求めていない際に選択すべきサービス。

最後まで読んで頂きましてありがとうございました。

参考資料

AWS公式ドキュメント参照

https://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/what_is.html

Discussion

ログインするとコメントできます