ディレクトリセキュリティ設定の構成 - AWS Directory Service
ディレクトリセキュリティ設定の編集ディレクトリセキュリティ設定が失敗したディレクトリセキュリティ設定のリスト

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ディレクトリセキュリティ設定の構成

AWS Managed Microsoft AD のディレクトリ設定をきめ細かく設定することで、運用ワークロードを増やすことなく、コンプライアンスやセキュリティの要件を満たすことができます。ディレクトリ設定では、ディレクトリで使用されるプロトコルと暗号のセキュアチャネル設定を更新できます。例えば、RC4 や DES などの個々のレガシーの暗号や、SSL 2.0/3.0 や TLS 1.0/1.1 などのプロトコルを無効にできる柔軟性があります。AWSManaged Microsoft AD は、ディレクトリ内のすべてのドメインコントローラーに設定をデプロイし、ドメインコントローラーの再起動を管理し、追加の AWS リージョン をスケールアウトまたはデプロイするときにこの構成を維持します。使用できるすべての設定については、「ディレクトリセキュリティ設定のリスト」を参照してください。

ディレクトリセキュリティ設定の編集

任意のディレクトリ設定を構成および編集することができます。

ディレクトリ設定を編集するには

  1. AWS マネジメントコンソールにサインインし、AWS で https://console.aws.amazon.com/directoryservicev2/ Directory Service コンソールを開きます。

  2. [Directories] (ディレクトリ) ページで、ディレクトリ ID を選択します。

  3. [Networking & security] (ネットワークとセキュリティ) で、[Directory settings] (ディレクトリ設定) を見つけ、[Edit settings] (設定の編集) を選択します。

  4. [Edit settings] (設定の編集) で、編集したい設定の [Value] (値) を変更します。設定を編集すると、そのステータスは [Default] (デフォルト) から [Ready to Update] (更新準備完了) に変わります。以前に設定を編集したことがある場合、そのステータスは [Updated] (更新済み) から [Ready to Update] (更新準備完了) に変わります。次に、[Review] (確認) を選択します。

  5. [Review and update settings] (設定の確認と更新) で、[Directory settings] (ディレクトリ設定) を調べ、新しい値がすべて正しいことを確認します。設定にその他の変更を加えたい場合は、[Edit settings] (設定の編集) を選択します。変更を加え、新しい値を実装する準備ができたら、[Update settings] (設定の更新) を選択します。次に、ディレクトリ ID ページに戻ります。

    注記

    [Directory settings] (ディレクトリ設定) で、更新された設定の [Status] (ステータス) を確認できます。設定が実装されている間、[Status] (ステータス) には [Updating] (更新中) と表示されます。設定で [Status] (ステータス) に [Updating] (更新中) と表示されている間は、他の設定を編集することができません。設定が編集内容で正常に更新された場合、[Status] (ステータス) に [Updated] (更新済み) と表示されます。設定が編集内容で更新されなかった場合、[Status] (ステータス) に [Failed] (失敗) と表示されます。

ディレクトリセキュリティ設定が失敗した

設定の更新中にエラーが発生した場合、[Status] (ステータス) に [Failed] (失敗) と表示されます。失敗ステータスでは、設定は新しい値に更新されず、元の値が実装されたままになります。これらの設定の更新を再試行するか、以前の値に戻すことができます。

更新が失敗した設定を解決するには

  • [Directory settings] (ディレクトリ設定) で、[Resolve failed settings] (失敗した設定を解決する) を選択します。次に、以下のいずれかを行います。

    • 設定を失敗状態の前の値に戻すには、[Revert failed settings] (失敗した設定を元に戻す) を選択します。次に、ポップアップモーダルで [Revert] (元に戻す) を選択します。

    • ディレクトリ設定の更新を再試行するには、[Retry failed settings] (失敗した設定を再試行する) を選択します。失敗した更新を再試行する前に、ディレクトリ設定にさらに変更を加える場合は、[Continue editing] (編集を続行) を選択します。[Review and retry failed updates] (失敗した更新を確認して再試行する) で、[Update settings] (設定の更新) を選択します。

ディレクトリセキュリティ設定のリスト

以下のリストは、使用可能なすべてのディレクトリセキュリティ設定のタイプ、設定名、API 名、可能性のある値、および設定の説明を示しています。

他のすべてのセキュリティ設定が無効な場合、TLS 1.2 と AAES 256/256 がデフォルトのディレクトリセキュリティ設定です。これらを無効にすることはできません。

タイプ 設定名 API 名 考えられる値 設定の説明
証明書ベースの認証 証明書バックデート補正 CERTIFICATE_BACKDATING_COMPENSATION

年: 0〜50

月: 0〜11

日: 0〜30

時間: 0〜23

分: 0~59

秒: 0~59

証明書が Active Directory のユーザーよりも古いものであり、引き続き Active Directory での認証に使用できる期間を示す値を指定します。デフォルト値は 10 分です。この値は 1 秒から 50 年の間で設定できます。

この設定を構成するには、「強力な証明書バインディングの強制」の「互換性」タイプを選択する必要があります。

詳細については、Microsoft Support ドキュメントの「KB5014754 - Windows ドメインコントローラーでの証明書ベースの認証の変更」を参照してください。
証明書の強力な強制 CERTIFICATE_STRONG_ENFORCEMENT 互換性、完全適用

次のいずれかの強制タイプを指定します。

  • 互換性 (デフォルト): 証明書をユーザーに強くマッピングできない場合に認証が許可されます。証明書が Active Directory のユーザーアカウントよりも前のものである場合は、証明書のバックデート補償も設定する必要があります。そうしないと、認証が失敗します。

  • 互換性: 証明書をユーザーに強くマッピングできない場合、認証は許可されません。この強制タイプを選択した場合、証明書バックデート補正は設定できません。

詳細については、Microsoft Support ドキュメントの「KB5014754 - Windows ドメインコントローラーでの証明書ベースの認証の変更」を参照してください。
セキュアチャネル: 暗号 AES 128/128 AES_128_128 Enable/Disable (有効/無効) ディレクトリ内のドメインコントローラー間の安全なチャネル通信のために AES 128/128 暗号による暗号化を有効または無効にします。
DES 56/56 DES_56_56 Enable/Disable (有効/無効) ディレクトリ内のドメインコントローラー間の安全なチャネル通信のために DES 56/56 暗号による暗号化を有効または無効にします。
RC2 40/128 RC2_40_128 Enable/Disable (有効/無効) ディレクトリ内のドメインコントローラー間の安全なチャネル通信のために RC2 40/128 暗号による暗号化を有効または無効にします。
RC2 56/128 RC2_56_128 Enable/Disable (有効/無効) ディレクトリ内のドメインコントローラー間の安全なチャネル通信のために RC2 56/128 暗号による暗号化を有効または無効にします。
RC2 128/128 RC2_128_128 Enable/Disable (有効/無効) ディレクトリ内のドメインコントローラー間の安全なチャネル通信のために RC2 128/128 暗号による暗号化を有効または無効にします。
RC4 40/128 RC4_40_128 Enable/Disable (有効/無効) ディレクトリ内のドメインコントローラー間の安全なチャネル通信のために RC4 40/128 暗号による暗号化を有効または無効にします。
RC4 56/128 RC4_56_128 Enable/Disable (有効/無効) ディレクトリ内のドメインコントローラー間の安全なチャネル通信のために RC4 56/128 暗号による暗号化を有効または無効にします。
RC4 64/128 RC4_64_128 Enable/Disable (有効/無効) ディレクトリ内のドメインコントローラー間の安全なチャネル通信のために RC4 64/128 暗号による暗号化を有効または無効にします。
RC4 128/128 RC4_128_128 Enable/Disable (有効/無効) ディレクトリ内のドメインコントローラー間の安全なチャネル通信のために RC4 128/128 暗号による暗号化を有効または無効にします。
Triple DES 168/168 3DES_168_168 Enable/Disable (有効/無効) ディレクトリ内のドメインコントローラー間の安全なチャネル通信のために Triple DES 168/168 暗号による暗号化を有効または無効にします。
セキュアチャネル: プロトコル PCT 1.0 PCT_1_0 Enable/Disable (有効/無効) ディレクトリ内のドメインコントローラーでの安全なチャネル通信 (サーバーとクライアント) のために PCT 1.0 プロトコルを有効または無効にします。
SSL 2.0 SSL_2_0 Enable/Disable (有効/無効) ディレクトリ内のドメインコントローラーでの安全なチャネル通信 (サーバーとクライアント) のために SSL 2.0 プロトコルを有効または無効にします。
SSL 3.0 SSL_3_0 Enable/Disable (有効/無効) ディレクトリ内のドメインコントローラーでの安全なチャネル通信 (サーバーとクライアント) のために SSL 3.0 プロトコルを有効または無効にします。
TLS 1.0 TLS_1_0 Enable/Disable (有効/無効) ディレクトリ内のドメインコントローラーでの安全なチャネル通信 (サーバーとクライアント) のために TLS 1.0 プロトコルを有効または無効にします。
TLS 1.1 TLS_1_1 Enable/Disable (有効/無効) ディレクトリ内のドメインコントローラーでの安全なチャネル通信 (サーバーとクライアント) のために TLS 1.1 プロトコルを有効または無効にします。