Zenn
📝

Active Directory Connectorってなんだろ?

2021/04/24に公開
AWS
ad
idea

AWSのActive Directory Connectorというサービスについて調べてみました。

アクティブディレクトリ (Active Directory)とは|「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典

アクティブディレクトリ (Active Directory)とは

  • Windowsの元締めコンピュータさんによる縄張り制度のこと。
  • Windowsのサーバさんに搭載されている、ネットワークにつながっているパソコンとかをまとめて管理するための仕組み
  • 元締めコンピュータは、ネットワーク上で好き勝手やってる奴等を統括的に管理するのが使命
  • 元締めコンピュータに対する1回の認証で、いろいろなパソコンとやり取りができるようになる(シングルサインオン)
  • Active Directoryにおいては、元締めコンピュータを「ドメインコントローラ」、元締めコンピュータの持つ縄張りを「ドメイン」と呼ぶ
  • 元締めコンピュータ同士で業務提携をすることもできる

Active Directory Connector - AWS Directory Serviceより

Active Directory Connectorとは?

  • 略してAD Connector
  • クラウドの情報をキャッシュせずにディレクトリリクエストをオンプレミスの Microsoft Active Directory へリダイレクトするのに使用するディレクトリゲートウェイ
  • スモールとラージの 2 つのサイズがある
  • ユーザー制限や接続制限はない
  • 他の AWS アカウントと共有することはできない

メリット

  • エンドユーザーと IT 管理者は、既存の会社の認証情報を使用してAWSサービスにアクセスできる
  • 既存のセキュリティポリシーを一貫して適用することができる
  • 既存の RADIUS ベースの MFA インフラストラクチャと統合し、多要素認証を有効にして、ユーザーが AWS アプリケーションにアクセスするときに追加のセキュリティレイヤーを提供できる

Active Directory Connector(AD Connector)を試してみた | DevelopersIOより

Active Directory Connectorとは

  • AWS環境からオンプレ環境にあるドメインコントローラーに対する通信を中継するためのプロキシサービスである
  • 汎用プロキシではなく例えばWorkSpaces、WorkDocs、WorkMailといったAWSのサービス向けの専用プロキシである
  • 既存RADIUSサーバーと組み合わせて多要素認証を有効にできる

AWSの特定サービス ⇔ AD Connector ⇔ オンプレの元締めマシン
というかんじで、AWSとオンプレをつなぐような役割、つまりConnectorというわけですね。

利用するための前提条件

  • 少なくとも 2 つのサブネット。各サブネットはそれぞれ異なるアベイラビリティーゾーンに設置
  • VPC は、仮想プライベートネットワーク (VPN) 接続または AWS Direct Connect を通じて既存のネットワークに接続されている必要がある
  • VPC にはデフォルトのハードウェアテナンシーが必要

要は複数サブネットにわたる冗長構成である必要があるということです。 これは他のAWSサービスでも良くあるパターンですね。

  • Active Directory ドメインを持つ既存のネットワークに接続する必要がある
  • ドメインの機能レベルは Windows Server 2003 以上
  • EC2 インスタンスでホストされているドメインへの接続にも対応している

要は機能レベルWindows Server 2003以降のドメインコントローラーと疎通できる環境にある必要があるということです。

  • ユーザーおよびグループの読み取り * コンピュータのオブジェクトの作成 * コンピュータのドメインへの結合の権限が委任されている既存のディレクトリのサービスアカウントの認証情報が必要

AD Connector作成時に専用のドメインユーザーが必要になります。 権限をサービスアカウントに委任するに従い専用のグループとユーザーを用意します。

まとめ

今回はAWSのActive Directory Connectorについて調べてみました。
以下がポイントでした。

  • ADはWindowsサーバーでネットワークにつながっている機器を管理するための仕組み
  • 既存の会社の認証情報を使用してAWSサービスにアクセスできる
  • 既存のセキュリティポリシーを一貫して適用することができる
  • AWS環境からオンプレ環境にあるドメインコントローラーに対する通信を中継するためのプロキシサービス
  • 複数サブネットにわたる冗長構成が必須や、Windows Server 2003以上など利用条件がある

参考になれば幸いです。

Discussion