AWS Directory Service とは

AWS Managed Microsoft AD としても知られる AWS Directory Service for Microsoft Active Directory は、AWS クラウドで AWS が管理する、実際の Microsoft Windows Server Active Directory (AD) によってサポートされます。これを使用すると、さまざまな Active Directory 対応アプリケーションを AWS クラウドに移行できるようになります。AWSManaged Microsoft AD は、Microsoft SharePoint、Microsoft SQL Server Always On Availability Groups、および多くの .NET アプリケーションと連携できます。また、「Amazon WorkSpaces」、「Amazon WorkDocs」、「Amazon QuickSight」、「Amazon Chime」、「Amazon Connect」、「Amazon Relational Database Service for Microsoft SQL Server」（Amazon RDS for SQL Server、Amazon RDS for Oracle、および Amazon RDS for PostgreSQL）などの AWS 管理アプリケーションおよびサービスもサポートしています。

AWS Managed Microsoft AD は、ディレクトリのコンプライアンスを有効にする場合、米国の医療保険の相互運用性と説明責任に関する法律 (HIPAA) や、PCI データセキュリティスタンダード (PCI DSS) に準拠する必要のある AWS クラウド内のアプリケーション用としても承認されています。

互換性のあるすべてのアプリケーションは、AWS Managed Microsoft AD に保存されたユーザー認証情報を使用して動作します。または、信頼された「既存の AD インフラストラクチャに接続して」、オンプレミスや EC2 Windows で実行される Active Directory からの認証情報を使用することもできます。EC2 インスタンスを AWS Managed Microsoft AD に結合すると、ユーザーはオンプレミスネットワークのワークロードにアクセスする場合と同じ Windows Single Sign-On (SSO) の使い方で、AWS クラウドの Windows ワークロードにアクセスできます。

AWS Managed Microsoft AD では、Active Directory の認証情報を使用してフェデレーションされたユースケースもサポートしています。AWS Managed Microsoft AD では、単独で AWS Management Console にサインインできます。また AWS IAM Identity Center を使用して、AWS SDK および CLI で使用する短期間の認証情報を取得したり、事前設定済み SAML 統合を使用して多数のクラウドアプリケーションにサインインしたりすることもできます。Microsoft Entra Connect (旧称 Azure Active Directory Connect)、および選択可能な Active Directory Federation Service (AD FS) を追加することで、AWS Managed Microsoft AD に保存された認証情報を使用して　Microsoft Office 365 やその他のクラウドアプリケーションにサインインできます。

このサービスには、スキーマの拡張やパスワードポリシーの管理、Secure Socket Layer (SSL)/Transport Layer Security (TLS) 経由の安全な LDAP 通信の有効化といった主要な機能が含まれています。また AWS Managed Microsoft AD の Multi-Factor·Authentication (MFA) を有効にして、ユーザーがインターネットから AWS アプリケーションにアクセスする際に、追加のセキュリティレイヤーを提供できます。Active Directory は LDAP ディレクトリであるため、Linux Secure Shell (SSH) 認証や他の LDAP 対応アプリケーションにも、AWS Managed Microsoft AD を使用できます。

AWS は、このサービスの一環として、モニタリング、日常スナップショット、および復旧を提供します。AWS Managed Microsoft AD にユーザーおよびグループを追加し、AWS Managed Microsoft AD ドメインに結合された Windows コンピュータで実行されている、使い慣れた Active Directory ツールを使用して、グループポリシーを管理できます。また、ドメインコントローラーを追加でデプロイしてディレクトリをスケールし、より多くのドメインコントローラー間でリクエストを分散させることで、アプリケーションのパフォーマンスを向上させることもできます。

AWS Managed Microsoft AD は、スタンダードとエンタープライズの 2 つのエディションで利用できます。

* 上限数は概数です。ディレクトリでサポートできるディレクトリオブジェクトの数は、オブジェクトのサイズ、アプリケーションの動作やパフォーマンスニーズに応じて増減する場合があります。

どのようなときに使うか

AWS アプリケーションまたは Windows ワークロード (Amazon Relational Database Service for Microsoft SQL Server を含む) をサポートするために、実際の Active Directory の機能が必要な場合は、AWS Managed Microsoft AD が最適な選択肢です。また、AWS クラウドで Office 365 をサポートするスタンドアロンの Active Directory が必要な場合や Linux アプリケーションをサポートする LDAP ディレクトリが必要な場合にも最適です。詳細については、「AWS Managed Microsoft AD」を参照してください。

AD Connector は、互換性のある AWS アプリケーション (Amazon WorkSpaces、Amazon QuickSight、Windows Server インスタンス用の Amazon EC2 など) を、オンプレミスの既存の Microsoft Active Directory に簡単に接続する方法を提供するプロキシサービスです。AD Connector によって、Active Directory に簡単に1 つのサービスアカウントを追加できます。AD Connector を使用すると、ディレクトリを同期化する必要がなくなり、フェデレーションインフラストラクチャをホストするコストや複雑さからも解放されます。

Amazon QuickSight などの AWS アプリケーションにユーザーを追加すると、AD Connector は既存の Active Directory を読み取り、選択対象のユーザーやグループのリストを作成します。ユーザーが AWS アプリケーションにログインすると、AD Connector はサインインリクエストをオンプレミスの Active Directory ドメインコントローラーに転送して、認証を行います。AD Connector は、次のものを含む、多くの AWS のアプリケーションやサービスと連携します。Amazon WorkSpaces、Amazon WorkDocs、Amazon QuickSight、Amazon Chime、Amazon Connect、Amazon WorkMail。「シームレスなドメイン結合」により、AD Connector 経由で、オンプレミスの Active Directory ドメインに「EC2 Windows インスタンスを結合させる」こともできます。また AD Connector により、ユーザーが既存の Active Directory 認証情報を使用してログインすることで AWS Management Console にアクセスしたり、AWS リソースを管理したりすることも許可できます。AD Connector は RDS SQL Server との互換性はありません。

AD Connector を使用して、既存の RADIUS ベースの MFA インフラストラクチャに接続することで、AWS アプリケーションのユーザーの Multi-Factor·Authentication (MFA) を有効にすることもできます。これにより、ユーザーが AWS アプリケーションにアクセスするときに、別のセキュリティレイヤーが追加されます。

AD Connector を使用すると、Active Directory を、引き続き現在と同じ方法で管理できます。例えば、新しいユーザーとグループの追加、パスワードの更新は、すべてのオンプレミス Active Directory で標準の Active Directory 管理ツールを使用して行います。これにより、ユーザーがアクセスするリソースがオンプレミスまたは AWS クラウドのいずれにある場合でも、パスワードの有効期限、パスワード履歴、アカウントのロックアウトなどのセキュリティポリシーを、一貫して適用できます。

どのようなときに使うか

AD Connector は、既存のオンプレミスディレクトリを、互換性のある AWS のサービスと併用する場合に最適です。詳細については、「AD Connector」を参照してください。

Simple AD は、Samba 4 にサポートされた AWS Directory Service からの、Microsoft Active Directory との互換性があるディレクトリです。Simple AD は、ユーザーアカウント、グループメンバーシップ、Linux ドメインまたは Windows ベースの EC2 インスタンスの結合、Kerberos ベースの SSO、グループポリシーなどの、基本的な Active Directory の機能をサポートしています。AWS は、サービスの一環としてモニタリング、日次スナップショット、復旧を提供します。

Simple AD はクラウド内のスタンドアロンなディレクトリです。ユーザー ID の作成や管理、アプリケーションへのアクセスの管理を行います。基本的な Active Directory の機能が必要な、多くの使い慣れた Active Directory 対応のアプリケーションやツールを使用できます。Simple AD は次の AWS アプリケーションと互換性があります。Amazon WorkSpaces、Amazon WorkDocs、Amazon QuickSight、Amazon WorkMail。また、Simple AD のユーザーアカウントを使用して AWS Management Console にサインインし、AWS リソースを管理することもできます。

Simple AD は、Multi-Factor·Authentication (MFA)、信頼関係、DNS 動的更新、スキーマ拡張、LDAPS を介した通信、PowerShell AD コマンドレット、または FSMO ロールの転送は、サポートしていません。Simple AD は RDS SQL Server との互換性はありません。実際の Microsoft Active Directory の機能が必要なお客様や、RDS SQL Server でのディレクトリの使用を計画しているお客様は、代わりに AWS Managed Microsoft AD を使用します。Simple AD を使用するときは、必要なアプリケーションが Samba 4 と完全な互換性があることを、事前に確認してください。詳細については、https://www.samba.org を参照してください。

どのようなときに使うか

クラウド内で Simple AD をスタンドアロンのディレクトリとして使用すると、基本的な Active Directory の機能が必要な Windows ワークロード、互換性のある AWS アプリケーション、または LDAP サービスが必要な Linux ワークロードをサポートできます。詳細については、「Simple AD」を参照してください。

Amazon Cognito は、モバイルアプリケーションまたはウェブアプリケーションに対して、Amazon Cognito ユーザープールを使用してサインアップとサインインを追加するユーザーディレクトリです。

どのようなときに使うか

カスタム登録フィールドを作成し、そのメタデータをユーザーディレクトリに格納する必要があるときにも、Amazon Cognito を使用できます。このフルマネージド型のサービスは、何百万というユーザーをサポートするように拡張できます。詳細については、「Amazon Cognito デベロッパーガイド」の「Amazon Cognito user pools」を参照してください。