とは AWS Directory Service

AWS Managed Microsoft AD とも呼ばれる AWS Directory Service for Microsoft Active Directory は、 クラウド AWS で によって管理される実際の Microsoft Windows Server Active Directory (AD) AWS を使用します。これにより、さまざまな Active Directory対応アプリケーションを AWS クラウドに移行できます。 AWS マネージド Microsoft AD はMicrosoft SharePoint、、Microsoft SQL ServerAlways On 可用性グループ、および多くの .NET アプリケーションで動作します。また、「Amazon WorkSpaces」、「Amazon WorkDocs」、「Amazon QuickSight」、「Amazon Chime」、「Amazon Connect」、「Amazon Relational Database Service for Microsoft SQL Server」（Amazon RDS for SQL Server、Amazon RDS for Oracle、および Amazon RDS for PostgreSQL）などの AWS 管理アプリケーションおよびサービスもサポートしています。

AWS Managed Microsoft AD は、ディレクトリのコンプライアンスを有効にする際に、米国の医療保険の相互運用性と説明責任に関する法律 (HIPAA) または Payment Card Industry Data Security Standard (PCI DSS) に準拠 AWS する クラウド内のアプリケーションに対して承認されています。 https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_compliance.html

互換性のあるすべてのアプリケーションは、 AWS Managed Microsoft AD に保存されたユーザー認証情報を使用して動作します。または、信頼された「既存の AD インフラストラクチャに接続して」、オンプレミスや EC2 Windows で実行される Active Directory からの認証情報を使用することもできます。EC2 インスタンスを AWS Managed Microsoft AD に結合すると、ユーザーはオンプレミスネットワークのワークロードにアクセスする場合と同じ Windows シングルサインオン (SSO) エクスペリエンスで、 AWS クラウド内の Windows ワークロードにアクセスできます。

AWS Managed Microsoft AD は、 Active Directory認証情報を使用したフェデレーティッドユースケースもサポートしています。Managed AWS Microsoft AD を使用すると、 にサインインできますAWS Management Console。ではAWS IAM Identity Center、 AWS SDK および CLI で使用するための短期的な認証情報を取得し、事前設定された SAML 統合を使用して多くのクラウドアプリケーションにサインインすることもできます。Microsoft Entra Connect (以前は と呼ばれていましたAzure Active Directory Connect) と、オプションで Active Directory Federation Service (AD FS) を追加することで、 AWS Managed Microsoft AD に保存されている認証情報を使用して Microsoft Office 365や他のクラウドアプリケーションにサインインできます。

このサービスには、スキーマの拡張やパスワードポリシーの管理、Secure Socket Layer (SSL)/Transport Layer Security (TLS) 経由の安全な LDAP 通信の有効化といった主要な機能が含まれています。AWS Managed Microsoft AD の多要素認証 (MFA) を有効にして、ユーザーがインターネットから AWS アプリケーションにアクセスするときにセキュリティレイヤーを追加することもできます。Active Directory は LDAP ディレクトリであるため、Linux Secure Shell (SSH) 認証や他の LDAP 対応アプリケーションにも、 AWS Managed Microsoft AD を使用できます。

AWS は、サービスの一部としてモニタリング、日次スナップショット、リカバリを提供します。 Managed Microsoft AD にユーザーとグループを追加し、 AWS Managed Microsoft AD AWS ドメインに参加しているWindowsコンピュータで実行されている使い慣れたActive Directoryツールを使用してグループポリシーを管理します。また、ドメインコントローラーを追加でデプロイしてディレクトリをスケールし、より多くのドメインコントローラー間でリクエストを分散させることで、アプリケーションのパフォーマンスを向上させることもできます。

AWS Managed Microsoft AD は、Standard と Enterprise の 2 つのエディションで利用できます。

* 上限数は概数です。ディレクトリでサポートできるディレクトリオブジェクトの数は、オブジェクトのサイズ、アプリケーションの動作やパフォーマンスニーズに応じて増減する場合があります。

どのようなときに使うか

AWS Managed Microsoft AD は、Amazon Relational Database Service for など、 AWS アプリケーションやWindowsワークロードをサポートするために実際のActive Directory機能が必要な場合に最適ですMicrosoft SQL Server。また、Office 365 をサポートするスタンドアロン を AWS クラウドActive Directoryで使用する場合や、Linux アプリケーションをサポートする LDAP ディレクトリが必要な場合にも最適です。詳細については、「AWS Managed Microsoft AD」を参照してください。

AD Connector は、Amazon WorkSpaces、Amazon QuickSight、Windows Serverインスタンス用の Amazon EC2 などの互換性のある AWS アプリケーションを既存のオンプレミス Microsoft に簡単に接続できるプロキシサービスですActive Directory。AD Connector によって、Active Directory に簡単に1 つのサービスアカウントを追加できます。AD Connector を使用すると、ディレクトリを同期化する必要がなくなり、フェデレーションインフラストラクチャをホストするコストや複雑さからも解放されます。

Amazon QuickSight などの AWS アプリケーションにユーザーを追加すると、AD Connector は既存の を読み取りActive Directory、選択するユーザーとグループのリストを作成します。ユーザーが AWS アプリケーションにログインすると、AD Connector はサインインリクエストをオンプレミスのActive Directoryドメインコントローラーに転送して認証を行います。AD Connector は、Amazon WorkSpaces、Amazon WorkDocs、Amazon Amazon QuickSight Chime、Amazon Connect、Amazon WorkMail など、多くの AWS アプリケーションやサービスと連携します。「シームレスなドメイン結合」により、AD Connector 経由で、オンプレミスの Active Directory ドメインに「EC2 Windows インスタンスを結合させる」こともできます。AD Connector では、ユーザーは既存のActive Directory認証情報でログインして にアクセスし AWS Management Console 、 AWS リソースを管理できます。AD Connector は RDS SQL Server との互換性はありません。

AD Connector を使用して、既存の RADIUS ベースの MFA インフラストラクチャに接続することで、 AWS アプリケーションユーザーの多要素認証 (MFA) を有効にすることもできます。これにより、ユーザーが AWS アプリケーションにアクセスするときに、別のセキュリティレイヤーが追加されます。

AD Connector を使用すると、Active Directory を、引き続き現在と同じ方法で管理できます。例えば、新しいユーザーとグループの追加、パスワードの更新は、すべてのオンプレミス Active Directory で標準の Active Directory 管理ツールを使用して行います。これにより、ユーザーがオンプレミスまたは AWS クラウドのリソースにアクセスしているかどうかにかかわらず、パスワードの有効期限、パスワード履歴、アカウントロックアウトなどのセキュリティポリシーを一貫して適用できます。

どのようなときに使うか

AD Connector は、互換性のある AWS サービスで既存のオンプレミスディレクトリを使用する場合に最適です。詳細については、「AD Connector」を参照してください。

Simple AD は、Samba 4 にサポートされた AWS Directory Service からの、Microsoft Active Directory との互換性があるディレクトリです。Simple AD は、ユーザーアカウント、グループメンバーシップ、Linux ドメインまたはWindowsベースの EC2 インスタンスの結合、Kerberos ベースの SSO、グループポリシーなどの基本的なActive Directory機能をサポートしています。 は、サービスの一部としてモニタリング、毎日のスナップショット、リカバリ AWS を提供します。

Simple AD はクラウド内のスタンドアロンなディレクトリです。ユーザー ID の作成や管理、アプリケーションへのアクセスの管理を行います。基本的な Active Directory の機能が必要な、多くの使い慣れた Active Directory 対応のアプリケーションやツールを使用できます。Simple AD は、Amazon WorkSpaces、Amazon Amazon WorkDocs Amazon QuickSight、Amazon WorkMail の各 AWS アプリケーションと互換性があります。Simple AD ユーザーアカウント AWS Management Console を使用して にサインインし、 AWS リソースを管理することもできます。

Simple AD は、Multi-Factor·Authentication (MFA)、信頼関係、DNS 動的更新、スキーマ拡張、LDAPS を介した通信、PowerShell AD コマンドレット、または FSMO ロールの転送は、サポートしていません。Simple AD は RDS SQL Server との互換性はありません。実際の Microsoft の機能が必要な場合Active Directory、または RDS SQL Server でディレクトリを使用することを想定しているお客様は、代わりに AWS Managed Microsoft AD を使用する必要があります。Simple AD を使用するときは、必要なアプリケーションが Samba 4 と完全な互換性があることを、事前に確認してください。詳細については、https://www.samba.org を参照してください。

どのようなときに使うか

Simple AD をクラウドのスタンドアロンディレクトリとして使用して、基本Active Directory機能や互換性のある AWS アプリケーションを必要とするWindowsワークロードをサポートしたり、LDAP サービスを必要とする Linux ワークロードをサポートしたりできます。詳細については、「Simple AD」を参照してください。