#AWS初心者の自己学習。適宜、情報を修正/追記します。

サービスの利点

サービスの利点を以下に記載する。

• マネージド型サービスの為、ディレクトリ管理タスクの多くをAWSに任せられる

• 利用した分だけの課金体系 (使用したディレクトリ時間に対してのみ料金発生)

• Microsoft AD、Simple ADの場合、スナップショットバックアップ、レプリケーションモニタリング、およびポイントインタイムの復元が可能

• 各ディレクトリは選択されたリージョン内で複数のAZにデプロイされるため可用性が高められる

• 高可用性実現のためにディレクトリトポロジーを自分で構築する必要がない

• ホスト置換の自動化をサポートしている為、ホストレベルでの障害発生時にはディレクトリサーバーを即座に置き換えるよう設計されている

• Amazon EC2のLinuxインスタンスとWindowsインスタンスを1つのドメインに参加させることが可能

• インスタンスは Microsoft ADとSimple ADの両方のディレクトリに参加させることが可能

• AD Connectorを使用すれば既存のオンプレミスMicrosoft Active Directoryにも参加可能

• AWSマネジメントコンソールを使用して、EC2 Windowsインスタンス作成時にシームレスにドメイン参加が可能

• EC2 APIを使用することで、作成時に加えて、既存のEC2 LinuxインスタンスとWindowsインスタンスをドメイン参加させることが可能

• シングルサインオンを実現可能

サービス詳細

以下の3種類のディレクトリがある。

1. Microsoft AD/AWS Directory Service for Microsoft Active Directory (Enterprise Edition)

• マネージド型のMicrosoft Active Directory

• Windows Server 2012 R2を利用

• 最大50,000 ユーザー (ユーザー、グループ、およびコンピューターを含め約 200,000 ディレクトリオブジェクト) を想定して設計

• 以下の機能をサポート

  • ユーザーアカウント
  • グループメンバーシップの管理
  • グループポリシーの作成と適用
  • Amazon EC2インスタンスのドメイン参加
  • Kerberosベースのシングルサインオン (SSO)

• 以下の事を実現可能

  • Microsoft Active Directoryサポートを必要とするアプリケーションとツールのデプロイ
  • SharePoint、カスタム.NETおよびSQL Serverベースのアプリケーションといったディレクトリ対応型WindowsワークロードをAWSクラウド内で運用可能
  • AWSクラウド内のMicrosoft ADドメイン間、オンプレミスのMicrosoft Active Directoryドメイン間で信頼関係を作成可能
  • 信頼関係を使用して、オンプレミスのユーザーをAWSクラウド内のアプリケーションとワークロードに対して認証可能
  • ユーザーの企業内認証情報を使用したAWSアプリケーションへの認証アクセス (Amazon WorkSpaces、Amazon WorkDocs、Amazon WorkMail)
  • ユーザーの企業内認証情報を使用したAWS Identity and Access Managemen (IAM) ロールベースでの AWS マネジメントコンソールへのアクセス、AWSリソースの管理
  • データレプリケーションの自動実行
  • 日次の自動スナップショットを実行
  • ソフトウェアのインストール不要
  • AWSがすべてのパッチ適用、およびソフトウェアの更新を処理
    
    

2. Simple AD

• スタンドアロンのマネージド型ディレクトリ

• Samba 4 Active Directory Compatible Serverを利用

• SmallとLargeの2サイズ有り

  • Smallは最大500ユーザーをサポート (ユーザー、グループおよびコンピューターを含め約20,000オブジェクト)
  • Largeは最大5,000ユーザーをサポート (ユーザー、グループおよびコンピューターを含め約 20,000 オブジェクト)

• 以下の機能をサポート

  • ユーザーアカウント管理
  • グループメンバーシップの管理
  • グループポリシーの作成と適用
  • Amazon EC2 インスタンスのドメイン参加
  • Kerberos ベースのシングルサインオン (SSO)

• 以下の拡張機能は未サポート

  • 他のドメインとの信頼関係
  • AD Administrative Center
  • PowerShellサポート
  • AD ゴミ箱
  • きめ細かなパスワードポリシー
  • グループマネージド型サービスアカウント
  • POSIXとMicrosoft用のスキーマ拡張

• 以下の事を実現可能

  • Linux および Windows が動作する Amazon EC2インスタンスの管理
  • Microsoft Active Directoryサポートを必要とするアプリケーションとツールのデプロイ
  • Simple ADのユーザーを利用したAWSアプリケーションへのアクセス (Amazon WorkSpaces、Amazon WorkDocs、Amazon WorkMail)
  • Simple ADのユーザーを利用したAWS Identity and Access Managemen (IAM) ロールベースでの AWS マネジメントコンソールへのアクセス、AWSリソースの管理

• デフォルトで日次の自動スナップショットを実行
  
  

3. AD Connector

• クラウド上の情報のキャッシュはまったく行わずにオンプレミスの Microsoft Active Directoryへの代理リクエストが可能なディレクトリゲートウェイ

• SmallとLargeの2サイズ有り

  • Smallは500 ユーザーまでサポート
  • Largeは5,000 ユーザーまでサポート

• 以下の事を実現可能

  • 既存の認証情報を使用したAWSアプリケーションへの認証アクセス (Amazon WorkSpaces、Amazon WorkDocs、Amazon WorkMail)
  • 既存の認証情報を使用したAWS Identity and Access Managemen (IAM) ロールベースでの AWS マネジメントコンソールへのアクセス、AWSリソースの管理
  • AWSクラウド内のリソースアクセスに既存のセキュリティポリシーを利用可能
  • 既存のRADIUS ベースのMFAインフラストラクチャとの統合による多要素認証が可能