前提条件 - Amazon AppStream 2.0

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

前提条件

証明書ベースの認証を使用する前に、以下のステップを完了します。

  1. ドメイン参加フリートをセットアップし、2.0 SAML を設定します。SAML_Subject のusername@domain.comuserPrincipalName形式を使用していることを確認してくださいNameID。詳細については、「ステップ 5: SAML Authentication Response のアサーションを作成する」を参照してください。

    注記

    証明書ベースの認証を使用する場合は、スタック内の Active Directory のスマートカードサインインを有効にしないでください。詳細については、「スマートカード」を参照してください。

  2. イメージには AppStream 2.0 エージェントバージョン 10-13-2022 以降を使用します。詳細については、「Amazon AppStream 2.0 イメージを保持する Up-to-Date」を参照してください。

  3. (オプション) SAMLアサーションで ObjectSid 属性を設定します。この属性を使用して、Active Directory ユーザーとの強力なマッピングを実行できます。ObjectSid 属性が SAML_Subject で指定されたユーザーの Active Directory セキュリティ識別子 (SID) と一致しない場合、証明書ベースの認証は失敗しますNameID。詳細については、「ステップ 5: SAML Authentication Response のアサーションを作成する」を参照してください。

  4. 2.0 SAML 設定で使用するIAMロール信頼ポリシーに sts:TagSession アクセス許可を追加します。詳細については、「AWS STSでのセッションタグの受け渡し」を参照してください。この権限は、証明書ベースの認証を使用する場合に必要です。詳細については、「ステップ 2: SAML2.0 フェデレーションIAMロールを作成する」を参照してください。

  5. Active Directory で設定されていない場合は、 AWS Private CA を使用してプライベート認証局 (CA) を作成します。証明書ベースの認証を使用するには AWS 、プライベート CA が必要です。詳細については、「AWS Private CA デプロイの計画」を参照してください。証明書ベースの認証の多くのユースケースでは、次の AWS プライベート CA 設定が一般的です。

    • CA タイプオプション

      • 使用期間が短い証明書 CA 使用モード – CA が証明書ベースの認証のためにエンドユーザー証明書のみを発行する場合に推奨されます。

      • ルート CA を含む単一レベルの階層 – 下位 CA を選択して既存の CA 階層と統合します。

    • 主要なアルゴリズムオプション – RSA 2048

    • サブジェクト識別名オプション – 最も適切なオプションを使用して、Active Directory の信頼されたルート証明機関ストアでこの CA を識別します。

    • 証明書失効オプション – CRLディストリビューション

      注記

      証明書ベースの認証には、 AppStream 2.0 フリートインスタンスとドメインコントローラーの両方からアクセスできるオンラインCRLディストリビューションポイントが必要です。これには、プライベート CA CRLエントリ用に AWS 設定された Amazon S3 バケットへの認証されていないアクセス、またはパブリックアクセスをブロックする場合は Amazon S3 バケットにアクセスできる CloudFront ディストリビューションが必要です。これらのオプションの詳細については、「証明書失効リストの計画 (CRL)」を参照してください。

  6. プライベート CA に、 AppStream 2.0 証明書ベースの認証で使用する CA euc-private-caを指定する権限を持つキーをタグ付けします。このキーには値は必要ありません。詳細については、「プライベート CA のタグ管理」を参照してください。 AppStream 2.0 で リソースへのアクセス許可を付与するために使用する AWS マネージドポリシーの詳細については AWS アカウント、「」を参照してくださいAWS AppStream 2.0 リソースへのアクセスに必要な管理ポリシー

  7. 証明書ベースの認証では、仮想スマートカードを使用してログオンします。詳細については、「サードパーティーの証明機関でスマートカードオンを有効にするためのガイドライン」を参照してください。以下のステップに従います。

    1. スマートカードユーザーを認証するには、ドメインコントローラー証明書を使用してドメインコントローラーを設定します。Active Directory 証明書サービスのエンタープライズ CA が Active Directory に設定されている場合、スマートカードによるログオンを可能にするドメインコントローラーが証明書に自動的に登録されます。Active Directory 証明書サービスがない場合は、「サードパーティーの CA からのドメインコントローラー証明書の要件」を参照してください。 は、ドメインコントローラー証明書の登録を自動的に管理するために Active Directory エンタープライズ証明書機関 AWS を推奨します。

      注記

      AWS Managed Microsoft AD を使用する場合は、ドメインコントローラー証明書の要件を満たす Amazon EC2インスタンスで証明書サービスを設定できます。Active Directory 証明書サービスで設定された Managed Microsoft AD のデプロイの例については、「新しい Amazon Virtual Private Cloud に Active Directory をデプロイする」を参照してください。 AWS

      AWS Managed Microsoft AD と Active Directory Certificate Services では、コントローラーVPCのセキュリティグループから Certificate Services を実行する Amazon EC2インスタンスへのアウトバウンドルールも作成する必要があります。証明書の自動登録を有効にするには、TCPポート 135、およびポート 49152 から 65535 へのアクセスをセキュリティグループに提供する必要があります。Amazon EC2インスタンスは、ドメインコントローラーを含むドメインインスタンスからのこれらの同じポートへのインバウンドアクセスも許可する必要があります。 AWS Managed Microsoft AD のセキュリティグループの検索の詳細については、VPC「サブネットとセキュリティグループの設定」を参照してください。

    2. AWS プライベート CA コンソールで、または SDKまたは を使用してCLI、プライベート CA 証明書をエクスポートします。詳細については、「プライベート証明書のエクスポート」を参照してください。

    3. プライベート CA を Active Directory に公開します。ドメインコントローラーまたはドメイン結合マシンにログオンします。プライベート CA 証明書を任意の <path>\<file> にコピーし、ドメイン管理者として次のコマンドを実行します。グループポリシーと Microsoft PKI Health Tool (PKIView) を使用して CA を発行することもできます。詳細については、「設定手順」を参照してください。

      certutil -dspublish -f <path>\<file> RootCA
      certutil -dspublish -f <path>\<file> NTAuthCA

      コマンドが正常に完了したことを確認してから、プライベート CA 証明書ファイルを削除します。Active Directory レプリケーション設定によっては、CA がドメインコントローラーと AppStream 2.0 フリートインスタンスに発行するまでに数分かかる場合があります。

      注記

      Active Directory は、ドメインに参加するときに、 AppStream 2.0 フリートインスタンスの信頼されたルート認証機関とエンタープライズNTAuthストアに CA を自動的に配布する必要があります。

Windows オペレーティングシステムの場合、CA (認証機関) のディストリビューションは自動的に行われます。ただし、Red Hat Enterprise Linux の場合は、 AppStream 2.0 Directory Config で使用される CA からルート CA 証明書 (複数可) をダウンロードする必要があります。KDC ルート CA 証明書が異なる場合は、それらをダウンロードする必要があります (複数可)。証明書ベースの認証を使用する前に、これらの証明書をイメージまたはスナップショットにインポートする必要があります。

イメージには、/ という名前のファイルが必要ですetc/sssd/pki/sssd_auth_ca_db.pem。次のようになります。

-----BEGIN CERTIFICATE-----
Base64-encoded certificate chain from ACM Private CA 
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded certificate body from ACM private CA
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded root CA KDC certificate chain
-----END CERTIFICATE-----
注記

リージョンやアカウント間でイメージをコピーする場合、またはイメージを新しい Active Directory に再関連付けする場合は、このファイルを Image Builder の関連する証明書で再設定し、使用前に再度スナップショットを作成する必要があります。

ルート CA 証明書をダウンロードする手順は次のとおりです。

  1. Image Builder で、 という名前のファイルを作成します/etc/sssd/pki/sssd_auth_ca_db.pem

  2. AWS プライベート CA コンソール を開きます。

  3. AppStream 2.0 Directory Config で使用されるプライベート証明書を選択します。

  4. CA 証明書タブを選択します。

  5. 証明書チェーンと証明書本文を Image Builder /etc/sssd/pki/sssd_auth_ca_db.pem の にコピーします。

で使用されるルート CA 証明書KDCsが AppStream 2.0 Directory Config で使用されるルート CA 証明書と異なる場合は、以下の手順に従ってダウンロードします。

  1. Image Builder と同じドメインに参加している Windows インスタンスに接続します。

  2. certlm.msc を開きます。

  3. 左側のペインで、信頼されたルート証明書の権限 を選択し、証明書 を選択します。

  4. ルート CA 証明書ごとに、コンテキスト (右クリック) メニューを開きます。

  5. すべてのタスク を選択し、エクスポート を選択して証明書エクスポートウィザードを開き、次へ を選択します。

  6. Base64-encodedされた X.509 (.CER) を選択し、次へ を選択します。

  7. 参照 を選択し、ファイル名を入力し、次へ を選択します。

  8. [Finish] を選択します。

  9. エクスポートされた証明書をテキストエディタで開きます。

  10. ファイルの内容を Image Builder /etc/sssd/pki/sssd_auth_ca_db.pem の にコピーします。