AD Connector のベストプラクティス - AWS Directory Service
セットアップ: 前提条件アプリケーションをプログラミングするディレクトリを使用する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AD Connector のベストプラクティス

問題を回避し、AD Connector を最大限に活用するために考慮すべき推奨事項とガイドラインを次に示します。

セットアップ: 前提条件

ディレクトリを作成する前に、これらのガイドラインを考慮してください。

ディレクトリタイプが正しいことを確認する

AWS Directory Service は、他の AWS サービスで Microsoft Active Directory を使用する複数の方法を提供します。予算に合わせたコストで必要な機能を備えた、ディレクトリサービスを次のように選択できます。

  • AWS Directory Service for Microsoft Active Directory は、AWS クラウドでホストされる機能豊富なマネージド型の Microsoft Active Directory です。AWSManaged Microsoft AD が最適な選択となるのは、ユーザーが 5,000 人を超えていて、AWS でホストされるディレクトリとオンプレミスのディレクトリとの信頼関係を設定する必要がある場合です。

  • AD Connector は、単に、既存のオンプレミスの Active Directory を AWS に接続します。AD Connector は、AWS のサービスで既存のオンプレミスのディレクトリを使用する場合に最適な選択です。

  • Simple AD は、基本的な Active Directory 互換性を持つ低スケール、低コストのディレクトリです。5,000 人以下のユーザー、Samba 4 互換アプリケーション、LDAP 対応アプリケーションの LDAP 互換性をサポートします。

AWS Directory Service オプションの詳細な比較については、「オプションの選択」を参照してください。

VPC とインスタンスが正しく設定されていることを確認する

ディレクトリに接続して、管理および使用するためには、ディレクトリが関連付けられている VPC を適切に設定する必要があります。VPC セキュリティおよびネットワーク要件の詳細については、「AWS Managed Microsoft AD を作成するための前提条件」、「AD Connector の前提条件」、「Simple AD の前提条件」のいずれかを参照してください。

ドメインにインスタンスを追加する場合は、「Amazon EC2 インスタンスを AWS Managed Microsoft AD に結合する方法」に説明されているように、インスタンスへの接続およびリモートアクセスがあることを確認します。

制限を理解する

特定のディレクトリタイプのさまざまな制限について説明します。ディレクトリに保存できるオブジェクトの数については、使用可能なストレージとオブジェクトの集約サイズのみに制限があります。選択したディレクトリに関する詳細については、「AWS Managed Microsoft AD のクォータ」、「AD Connector クォータ」、「Simple AD のクォータ」のいずれかを参照してください。

ディレクトリの AWS セキュリティグループの設定と使用について理解する

AWS はセキュリティグループを作成して、それをピア接続されているかサイズが変更されている VPC 内からアクセス可能なディレクトリの Elastic Network Interface にアタッチします。AWS は、そのディレクトリへの不要なトラフィックをブロックし、必要なトラフィックが許可されるようにセキュリティグループを設定します。

ディレクトリのセキュリティグループを変更する

ディレクトリのセキュリティグループのセキュリティは、必要に応じて変更することができます。このような変更を行うのは、セキュリティグループのフィルタリング機能を完全に理解している場合に限ります。詳細については、「Amazon EC2 ユーザーガイド」の「Amazon EC2 security groups for Linux instances」(Linux インスタンス用の Amazon EC2 セキュリティグループ) を参照してください。不適切な変更を行うと、対象のコンピュータやインスタンスとの通信が失われる場合があります。ディレクトリのセキュリティが低下するため、AWS では、ディレクトリへの追加のポートを開かないようにすることをお勧めします。「AWS 責任共有モデル」をよくお読みください。

警告

技術的には、ディレクトリのセキュリティグループを、ユーザー作成した他の EC2 インスタンスと関連付けることができます。ただし、AWS ではこのプラクティスを推奨していません。AWS は、管理対象ディレクトリの機能上またはセキュリティ上のニーズに対処するために、予告なしにセキュリティグループを変更する場合があります。このような変更は、ディレクトリのセキュリティグループを関連付けるすべてのインスタンスに影響を及ぼすため、関連付けられたインスタンスのオペレーションが中断する場合があります。さらに、ディレクトリのセキュリティグループを EC2 インスタンスに関連付けると、EC2 インスタンスのセキュリティリスクが生じる可能性があります。

AD Connector を使用するときのオンプレミスのサイトとサブネットを正しく設定する

オンプレミスのネットワークに Active Directory のサイトが定義されている場合、AD Connector が存在する VPC 内のサブネットが Active Directory のサイトで定義されていること、および VPC 内のサブネットとその他のサイトのサブネットの間に競合が存在しないことを確認する必要があります。

ドメインコントローラーを検出するために、AD Connector はサブネット IP アドレス範囲が AD Connector を含む VPC 内の IP アドレス範囲に近い Active Directory のサイトを使用します。VPC 内の IP アドレス範囲と同じ IP アドレス範囲のサブネットを持つサイトがある場合、AD Connector はそのサイトのドメインコントローラーを検出します。これは物理的にユーザーのリージョンに近くない可能性があります。

AWS アプリケーションのユーザーネームの制限を理解する

AWS Directory Service は、ユーザーネームの作成に使用するほとんどの文字形式をサポートしています。ただし、AWS アプリケーション (例: WorkSpaces、Amazon WorkDocs、Amazon WorkMail、Amazon QuickSight) へのサインインに使用されるユーザーネームには、文字制限が適用されます。これらの制限により、以下の文字は使用できません。

  • スペース

  • マルチバイト文字

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

注記

@ 記号は、UPN サフィックスが後に続く場合に限り、使用できます。

アプリケーションをプログラミングする

アプリケーションをプログラミングする前に、以下の点を考慮してください。

本番稼働用環境にロールアウトする前の負荷テスト

本番稼働用環境のワークロードを表すアプリケーションとリクエストを使用してラボテストを行い、ディレクトリがアプリケーションの負荷に合わせてスケーリングされることを確認します。追加のキャパシティーが必要な場合は、複数の AD Connector ディレクトリに負荷を分散します。

ディレクトリを使用する

ここでは、ディレクトリを使用する場合に、留意すべき推奨事項をいくつか示します。

管理者の認証情報を定期的にローテーションする

AD Connector サービスアカウントの管理者パスワードは定期的に変更し、パスワードが既存の Active Directory パスワードポリシーに準拠していることを確認します。サービスアカウントのパスワードを変更する手順については、「AWS Management Console の AD Connector サービスアカウントの認証情報を更新する」を参照してください。

各ドメインの一意の AD Connector を使用する

AD Connector とオンプレミスの AD ドメインには 1 対 1 の関係があります。つまり、オンプレミスのドメインごとに (認証対象の AD フォレスト内の子ドメインを含む)、一意の AD Connector を作成する必要があります。作成する各 AD Connector は、同じディレクトリに接続されていても、別のサービスアカウントを使用する必要があります。

互換性を確認する

AD Connector を使用する場合、オンプレミスのディレクトリが AWS Directory Service と互換性があり、それが維持されていることを確認する必要があります。お客様の責任の詳細については、「責任共有モデル」を参照してください。