とは AWS Directory Service

AWS Managed Microsoft AD とも呼ばれる AWS Directory Service for Microsoft Active Directory は、 AWS クラウド AWS で によって管理される実際の Microsoft Windows Server Active Directory (AD) を利用しています。これにより、幅広い Active Directory 対応アプリケーションを AWS クラウドに移行できます。 AWS マネージド Microsoft AD は、Microsoft SharePoint、Microsoft SQL ServerAlways On 可用性グループ、および多くの .NET アプリケーションで動作します。また、Amazon WorkSpaces、Amazon 、Amazon WorkDocs、Amazon Chime 、Amazon Connect 、Amazon Relational Database Service for Microsoft SQL Server (Amazon RDS for 、Amazon RDS for SQL Server、Amazon RDS for PostgreSQL ) などの AWS マネージドアプリケーションOracleとサービスもサポートしています。 QuickSight

AWS Managed Microsoft AD は、ディレクトリ のコンプライアンスを有効にすると、米国の医療保険の相互運用性と説明責任に関する法律 (HIPAA) または Payment Card Industry Data Security Standard (PCI DSS) に準拠する AWS クラウド内のアプリケーションに対して承認されます。 https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_compliance.html

互換性のあるすべてのアプリケーションは、 AWS Managed Microsoft AD に保存したユーザー認証情報で動作します。または、信頼して既存の AD インフラストラクチャに接続し、オンプレミスまたは EC2 Windows でActive Directory実行されている の認証情報を使用できます。EC2 インスタンスを AWS Managed Microsoft AD に参加させると、ユーザーはオンプレミスネットワークのワークロードにアクセスする場合と同じ Windows シングルサインオン (SSO) エクスペリエンスで AWS クラウドの Windows ワークロードにアクセスできます。

AWS Managed Microsoft AD は、 Active Directory認証情報を使用したフェデレーションユースケースもサポートしています。Managed AWS Microsoft AD を使用すると、 にサインインできますAWS Management Console。ではAWS IAM Identity Center、 AWS SDK および CLI で使用するための短期認証情報を取得したり、事前設定された SAML 統合を使用して多くのクラウドアプリケーションにサインインしたりすることもできます。Microsoft Entra Connect (以前は と呼ばれていましたAzure Active Directory Connect) とオプションActive Directoryで Federation Service (AD FS) を追加することで、 AWS Managed Microsoft AD に保存されている認証情報を使用して Microsoft Office 365や他のクラウドアプリケーションにサインインできます。

このサービスには、スキーマの拡張やパスワードポリシーの管理、Secure Socket Layer (SSL)/Transport Layer Security (TLS) 経由の安全な LDAP 通信の有効化といった主要な機能が含まれています。Managed Microsoft AD の多要素認証 (MFA) AWS を有効にして、ユーザーがインターネットから AWS アプリケーションにアクセスするときにセキュリティを強化することもできます。Active Directory は LDAP ディレクトリであるため、Linux Secure Shell (SSH) 認証やその他の LDAP 対応アプリケーションに AWS Managed Microsoft AD を使用することもできます。

AWS は、モニタリング、日次スナップショット、リカバリをサービスの一部として提供します。ユーザーとグループを AWS Managed Microsoft AD に追加し、 Managed Microsoft AD AWS ドメインに参加しているWindowsコンピュータで実行されている使い慣れたActive Directoryツールを使用してグループポリシーを管理します。また、ドメインコントローラーを追加でデプロイしてディレクトリをスケールし、より多くのドメインコントローラー間でリクエストを分散させることで、アプリケーションのパフォーマンスを向上させることもできます。

AWS Managed Microsoft AD は、Standard と Enterprise の 2 つのエディションで利用できます。

* 上限数は概数です。ディレクトリでサポートできるディレクトリオブジェクトの数は、オブジェクトのサイズ、アプリケーションの動作やパフォーマンスニーズに応じて増減する場合があります。

どのようなときに使うか

AWS Managed Microsoft AD は、Amazon Relational Database Service for など、 AWS アプリケーションやWindowsワークロードをサポートする実際のActive Directory機能が必要な場合に最適ですMicrosoft SQL Server。また、Office 365 をサポートするスタンドアロンActive Directoryの AWS クラウドが必要な場合や、Linux アプリケーションをサポートする LDAP ディレクトリが必要な場合にも最適です。詳細については、「AWS Managed Microsoft AD」を参照してください。

AD Connector は、Windows Serverインスタンス用の Amazon 、Amazon WorkSpaces、 QuickSightAmazon EC2 などの互換性のある AWS アプリケーションを既存のオンプレミス Microsoft に簡単に接続できるプロキシサービスですActive Directory。AD Connector を使用すると、 に 1 つのサービスアカウントを追加するだけで済みますActive Directory。AD Connector を使用すると、ディレクトリを同期化する必要がなくなり、フェデレーションインフラストラクチャをホストするコストや複雑さからも解放されます。

Amazon などの AWS アプリケーションにユーザーを追加すると QuickSight、AD Connector は既存の を読み取りActive Directory、選択するユーザーとグループのリストを作成します。ユーザーが AWS アプリケーションにログインすると、AD Connector はサインインリクエストをオンプレミスのActive Directoryドメインコントローラーに転送して認証を行います。AD Connector は、Amazon WorkSpaces、Amazon 、Amazon WorkDocs、Amazon Chime QuickSight、Amazon Connect 、および Amazon を含む多くの AWS アプリケーションとサービスで動作します。 Amazon Connect WorkMail シームレスなActive Directoryドメイン結合 を使用して、AD Connector を介して EC2 Windowsインスタンスをオンプレミスドメインに参加させることもできます。 https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_launching_instance.htmlAD Connector では、ユーザーは既存のActive Directory認証情報でログインして にアクセスし AWS Management Console 、 AWS リソースを管理できます。AD Connector は RDS SQL Server との互換性はありません。

AD Connector を使用して、既存の RADIUS ベースの MFA インフラストラクチャに接続することで、アプリケーションユーザーの多要素認証 (MFA) を有効にすることもできます。 AWS これにより、ユーザーが AWS アプリケーションにアクセスするときに、別のセキュリティレイヤーが追加されます。

AD Connector では、現在のActive Directoryように を管理し続けます。例えば、新しいユーザーとグループを追加し、オンプレミスの の標準Active Directory管理ツールを使用してパスワードを更新しますActive Directory。これにより、ユーザーがオンプレミスまたは AWS クラウドのリソースにアクセスしているかどうかにかかわらず、パスワードの有効期限、パスワード履歴、アカウントのロックアウトなどのセキュリティポリシーを一貫して適用できます。

どのようなときに使うか

AD Connector は、互換性のある AWS サービスで既存のオンプレミスディレクトリを使用する場合に最適です。詳細については、「AD Connector」を参照してください。

Simple AD は、Samba Microsoft Active Directory4 を搭載した からの互換性のあるディレクトリ AWS Directory Service です。Simple AD は、ユーザーアカウント、グループメンバーシップ、Linux ドメインまたはWindowsベースの EC2 インスタンスへの参加、Kerberos ベースの SSO、グループポリシーなどの基本Active Directory機能をサポートしています。 AWS は、サービスの一部としてモニタリング、毎日のスナップショット、リカバリを提供します。

Simple AD はクラウド内のスタンドアロンなディレクトリです。ユーザー ID の作成や管理、アプリケーションへのアクセスの管理を行います。基本的なActive Directory機能を必要とする、使い慣れた Active Directory対応のアプリケーションやツールを多数使用できます。Simple AD は、Amazon 、Amazon WorkSpaces 、Amazon WorkDocs、および Amazon QuickSightの AWS アプリケーションと互換性があります。 WorkMailSimple AD ユーザーアカウント AWS Management Console を使用して にサインインし、 リソースを管理する AWS こともできます。

Simple AD は、多要素認証 (MFA)、信頼関係、DNS 動的更新、スキーマ拡張、LDAPS 経由の通信、 PowerShell AD コマンドレット、または FSMO ロール転送をサポートしていません。Simple AD は RDS SQL Server との互換性はありません。実際の の機能を必要とするお客様MicrosoftActive Directory、または RDS SQL Server でディレクトリを使用することを想定しているお客様は、代わりに AWS Managed Microsoft AD を使用する必要があります。Simple AD を使用するときは、必要なアプリケーションが Samba 4 と完全な互換性があることを、事前に確認してください。詳細については、https://www.samba.org を参照してください。

どのようなときに使うか

Simple AD をクラウドのスタンドアロンディレクトリとして使用して、基本Active Directory機能、互換性のある AWS アプリケーションを必要とするWindowsワークロードをサポートしたり、LDAP サービスを必要とする Linux ワークロードをサポートしたりできます。詳細については、「Simple AD」を参照してください。

Amazon Cognito は、モバイルアプリケーションまたはウェブアプリケーションに対して、Amazon Cognito ユーザープールを使用してサインアップとサインインを追加するユーザーディレクトリです。

どのようなときに使うか

カスタム登録フィールドを作成し、そのメタデータをユーザーディレクトリに格納する必要があるときにも、Amazon Cognito を使用できます。このフルマネージド型のサービスは、何百万というユーザーをサポートするように拡張できます。詳細については、「Amazon Cognito デベロッパーガイド」の「Amazon Cognito user pools」を参照してください。