AWS Managed Microsoft AD Administrator アカウントのアクセス許可 - AWS Directory Service
エンタープライズおよびドメイン管理者の特権のあるアカウント

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Managed Microsoft AD Administrator アカウントのアクセス許可

AWS Directory Service for Microsoft Active Directory ディレクトリを作成すると、 は組織単位 (OU) AWS を作成して AWS 、関連するすべてのグループとアカウントを保存します。この OU の詳細については、「AWS Managed Microsoft AD で作成される内容」を参照してください。これには管理者アカウントも含まれます。管理者アカウントには、OU に対して次の一般的な管理アクティビティを実行するためのアクセス許可があります。

  • ユーザー、グループ、コンピュータを追加、更新、または削除する。詳細については、「AWS Managed Microsoft AD でのユーザーとグループの管理」を参照してください。

  • ファイルやプリントサーバーなどのドメインにリソースを追加して、追加したリソースへのアクセス許可を OU のユーザーとグループに割り当てる。

  • 追加の コンテナOUsと コンテナを作成します。

  • 追加コンテナOUsとコンテナの権限を委任します。詳細については、「AWS Managed Microsoft AD のディレクトリ結合権限の委任」を参照してください。

  • グループポリシーを作成し、リンクする。

  • 削除されたオブジェクトを Active Directory のごみ箱から元に戻す。

  • Active Directory と を実行する DNS Windows PowerShell Active Directory Web Service の モジュール。

  • グループ管理サービスアカウントを作成して設定する。詳細については、「グループ管理サービスアカウント」を参照してください。

  • Kerberos の制約付き委任を設定する。詳細については、「Kerberos の制約付き委任」を参照してください。

管理者アカウントには、ドメイン全体に関係する次のアクティビティを実行する権限もあります。

  • DNS 設定の管理 (レコード、ゾーン、フォワーダーの追加、削除、更新)

  • DNS イベントログの表示

  • セキュリティイベントログを参照する

ここにリストされているアクションのみが、管理者アカウントに許可されます。また、管理者アカウントには、親 OU 上など、特定の OU 以外のディレクトリ関連のアクションに対するアクセス許可はありません。

重要

AWS ドメイン管理者は、 でホストされているすべてのドメインへの完全な管理アクセスを持ちます AWS。が AWS システムに保存しているディレクトリ情報を含むコンテンツ AWS を処理する方法の詳細については、 との契約 AWS とAWS データ保護FAQを参照してください。

注記

このアカウントを削除したり、名前を変更したりしないでください。アカウントが不要になった場合は、長いパスワード (64 個以上のランダムな文字) を設定して、アカウントを無効にすることをお勧めします。

エンタープライズおよびドメイン管理者の特権のあるアカウント

AWS は、組み込みの管理者パスワードを 90 日ごとにランダムなパスワードに自動的にローテーションします。人間が使用するために組み込みの管理者パスワードがリクエストされるたびに、 AWS チケットが作成され、 AWS Directory Service チームに記録されます。アカウントの認証情報は暗号化され、安全なチャネルで処理されます。また、管理者アカウントの認証情報は、 AWS Directory Service 管理チームによってのみリクエストできます。

ディレクトリの運用管理を実行するために、 AWS はエンタープライズ管理者とドメイン管理者の権限を持つアカウントを排他的に制御します。これには、Active Directory 管理者アカウントの排他的制御が含まれます。 は、パスワードボールトを使用してパスワード管理を自動化することで、このアカウント AWS を保護します。管理者パスワードの自動ローテーション中に、 は一時的なユーザーアカウント AWS を作成し、ドメイン管理者権限を付与します。この一時アカウントは、管理者アカウントでパスワードのローテーションが失敗した場合のバックアップとして使用されます。が管理者パスワードを AWS 正常にローテーションすると、 は一時管理者アカウント AWS を削除します。

通常、 ディレクトリは完全に自動化によって AWS 動作します。自動化プロセスで運用上の問題を解決できない場合は、サポートエンジニアがドメインコントローラー (DC) にサインインして診断を実行 AWS する必要があります。このようなまれなケースでは、 はアクセスを許可するリクエスト/通知システム AWS を実装します。このプロセスでは、 AWS オートメーションは、ドメイン管理者のアクセス許可を持つ時間制限付きユーザーアカウントをディレクトリに作成します。 は、ユーザーアカウントを、ディレクトリで作業するように割り当てられたエンジニアに AWS 関連付けます。 は、この関連付けをログシステムに AWS 記録し、エンジニアに使用する認証情報を提供します。エンジニアによるアクションはすべて、Windows のイベントログに記録されます。割り当てられた時間が経過すると、ユーザーアカウントはオートメーションによって削除されます。

管理者アカウントアクションをモニタリングするには、ディレクトリのログ転送機能を使用します。この機能を使用すると、AD Security イベントをシステムに転送し CloudWatch、モニタリングソリューションを実装できます。詳細については、「AWS Managed Microsoft AD の Amazon CloudWatch Logs ログ転送の有効化」を参照してください。

セキュリティイベント IDs 4624、4672、4648 はすべて、誰かが DC にインタラクティブにログインするときにログに記録されます。各 DC の Windows Security イベントログは、ドメインに参加している Windows コンピュータの Event Viewer Microsoft マネジメントコンソール (MMC) を使用して表示できます。またAWS Managed Microsoft AD の Amazon CloudWatch Logs ログ転送の有効化、すべてのセキュリティイベントログをアカウントの CloudWatch ログに送信することもできます。

AWS リザーブド OU 内で作成および削除されたユーザーが表示される場合があります。 AWS は、この OU 内のすべてのオブジェクト、およびアクセスおよび管理のアクセス許可を委任していない他の OU またはコンテナの管理とセキュリティを担当します。その OU 内の作成と削除が表示される場合があります。これは、 AWS Directory Service が自動化を使用してドメイン管理者パスワードを定期的にローテーションするためです。パスワードがローテーションされると、ローテーションが失敗した場合にバックアップが作成されます。ローテーションが成功すると、バックアップアカウントは自動的に削除されます。また、DCsトラブルシューティングの目的で にインタラクティブアクセスが必要な場合も、 AWS Directory Service エンジニアが使用する一時ユーザーアカウントが作成されます。エンジニアが作業を完了すると、一時的なユーザーアカウントは削除されます。ディレクトリに対してインタラクティブ認証情報がリクエストされるたびに、 AWS Directory Service 管理チームに通知されることに注意してください。