AWS Managed Microsoft AD を共有する

AWS Managed Microsoft AD は、複数の AWS アカウントの間でシームレスなディレクトリの共有ができるように、AWS Organizations と緊密に統合されています。同じ組織内で他の信頼された AWS アカウントと単一のディレクトリを共有したり、組織外の他の AWS アカウントとディレクトリを共有したりできます。また、使用する AWS アカウントが現在組織に属していない場合にも、ディレクトリを共有することができます。

主要なディレクトリ共有の概念

以下の主要な概念を理解すると、ディレクトリ共有機能をさらに活用できます。

ディレクトリ共有、ドメイン結合、Amazon VPC ピアリング機能を備えた 2 AWS つのマネージド Microsoft AD。

ディレクトリ所有者アカウント

ディレクトリの所有者とは、共有ディレクトリ関係において、元のディレクトリを所有している AWS アカウントの持ち主です。このアカウントの管理者は、ディレクトリを共有する AWS アカウントを指定して、ディレクトリ共有のワークフローを開始します。ディレクトリの所有者は、AWS Directory Service コンソールの、特定のディレクトリの [Scale & Share] (スケーリングと共有) タブを使用して誰とディレクトリを共有したのかを確認することができます。

ディレクトリコンシューマーアカウント

共有したディレクトリ関係では、ディレクトリコンシューマーは、ディレクトリ所有者がディレクトリを共有した AWS アカウントを表します。使用する共有メソッドによって、このアカウントの管理者は、共有ディレクトリの使用を開始する前に、ディレクトリ所有者が送信する招待を受理する必要がある場合もあります。

ディレクトリ共有プロセスでは、ディレクトリコンシューマーアカウント内に共有ディレクトリが作成されます。この共有ディレクトリには、EC2 インスタンスがシームレスにドメインを結合できるメタデータが含まれています。これは、ディレクトリ所有者アカウントの元のディレクトリにあります。ディレクトリコンシューマーアカウントの各共有ディレクトリには、一意の識別子 (共有ディレクトリ ID) があります。

共有メソッド

AWS Managed Microsoft AD は、次の 2 つのディレクトリ共有メソッドを用意しています。

AWS Organizations – このメソッドでは、ディレクトリコンシューマーアカウントを参照して検証できるため、組織内でのディレクトリの共有が容易になります。このオプションを組織で使用するには、[All features] (すべての機能) が有効であり、ユーザーのディレクトリが組織の管理アカウントにある必要があります。この共有メソッドではディレクトリコンシューマーアカウントがディレクトリの共有リクエストを受理する必要がないため、セットアップが簡素化されます。コンソールでは、このメソッドは [Share this directory with AWS アカウント inside your organization] (このディレクトリを組織内の AWS アカウントと共有) と表示されます。
ハンドシェイク – このメソッドでは、AWS Organizations を使用していない場合でもディレクトリの共有が可能です。ハンドシェイクメソッドでは、ディレクトリコンシューマーアカウントがディレクトリの共有リクエストを受理することが必要となります。コンソールでは、このメソッドは [Share this directory with other AWS アカウント] (このディレクトリを他の AWS アカウントと共有) と表示されます。

ネットワーク接続

ネットワーク接続は、AWS アカウント間でディレクトリ共有関係を使用するための前提条件です。AWS は、VPC を接続するための多くのソリューション (VPC ピアリング、Transit Gateway、VPN など) をサポートしています。開始するには、「チュートリアル: シームレスな EC2 ドメイン結合のための AWS Managed Microsoft AD ディレクトリ共有」を参照してください。

考慮事項

AWS Managed Microsoft AD でディレクトリ共有を使用する場合の考慮事項を次に示します:

料金

AWS ではディレクトリの共有に追加料金が発生します。共有 AWS Managed Microsoft AD を使用している AWS アカウントは、共有料金が請求されるアカウントです。詳細については、AWS Directory Service ウェブサイトの「料金」ページを参照してください。
ディレクトリの共有によって、AWS Managed Microsoft AD では、複数のアカウントおよび VPC で Amazon EC2 と統合する際のコスト効率が高くなります。

利用可能なリージョン

ディレクトリの共有は、AWS Managed Microsoft AD が提供されているすべての AWS リージョンで利用できます。
AWS 中国 (寧夏) リージョンでは、AWS Systems Manager (SSM) を使用している場合にのみ、この機能を使用して Amazon EC2 インスタンスにシームレスに結合することができます。

ディレクトリの共有に関する詳細と AWS Managed Microsoft AD ディレクトリが到達する範囲を AWS アカウント境界を超えて拡張する方法については、以下のトピックを参照してください。

トピック

その他のリソース

「ユースケース: AWS アカウント間でディレクトリを共有して、Amazon EC2 インスタンスをドメインにシームレスに結合する」
AWS セキュリティブログ記事: How to join Amazon EC2 instances from multiple accounts and VPCs to a single AWS Managed Microsoft AD directory
「Joining your Amazon RDS DB instances across accounts to a single shared domain」(アカウントをまたがった Amazon RDS DB インスタンスを単一の共有ドメインに結合する)

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

レプリケートされたリージョンの削除

チュートリアル: AWS Managed Microsoft AD ディレクトリを共有する