インフラストラクチャ OU - 共有サービスアカウント - AWS 規範ガイダンス
AWS Systems ManagerAWS Managed Microsoft ADIAM Identity Center

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インフラストラクチャ OU - 共有サービスアカウント

セキュリティ AWS リファレンスアーキテクチャ (AWS SRA) の未来に影響を与えるには、簡単なアンケートに回答してください。

次の図は、共有サービスアカウントで設定されている AWS セキュリティサービスを示しています。

共有サービスアカウントのセキュリティサービス

共有サービスアカウントは、インフラストラクチャ OU の一部であり、その目的は、複数のアプリケーションやチームが成果を達成するために使用するサービスをサポートすることです。例えば、ディレクトリサービス (Active Directory)、メッセージングサービス、メタデータサービスがこのカテゴリに含まれます。AWS SRA では、セキュリティコントロールをサポートする共有サービスが強調表示されます。ネットワークアカウントもインフラストラクチャ OU の一部ですが、職務の分離をサポートするために、共有サービスアカウントから削除されています。これらのサービスを管理するチームには、ネットワークアカウントへのアクセス許可やアクセス許可は必要ありません。

AWS Systems Manager

AWS Systems Manager (組織管理アカウントとアプリケーションアカウントにも含まれる) は、AWS リソースの可視性と制御を可能にする機能のコレクションを提供します。これらの機能の 1 つである Systems Manager Explorer は、AWS リソースに関する情報をレポートするカスタマイズ可能なオペレーションダッシュボードです。AWS Organizations と Systems Manager Explorer を使用して、AWS 組織内のすべてのアカウント間でオペレーションデータを同期できます。Systems Manager は、AWS Organizations の委任管理者機能を通じて共有サービスアカウントにデプロイされます。

Systems Manager は、マネージドインスタンスをスキャンし、検出されたポリシー違反を報告 (または是正措置を講じる) することで、セキュリティとコンプライアンスを維持するのに役立ちます。Systems Manager を個々のメンバー AWS アカウント (アプリケーションアカウントなど) の適切なデプロイと組み合わせることで、インスタンスインベントリデータ収集を調整し、パッチ適用やセキュリティ更新などの自動化を一元化できます。

AWS Managed Microsoft AD

AWS Managed Microsoft AD とも呼ばれる Word Directory Service for Microsoft Active Directory を使用すると、ディレクトリ対応のワークロードと AWS リソースで、マネージド Active Directory on AWS を使用できます。 AWSAWS Managed Microsoft AD を使用して、Amazon EC2 for Windows ServerAmazon EC2 for Linuxおよび Amazon RDS for SQL Server インスタンスをドメインに結合し、Active Directory ユーザーおよびグループで Amazon WorkSpaces などの AWS エンドユーザーコンピューティング (EUC) サービスを使用できます。 

AWS Managed Microsoft AD は、既存の Active Directory を AWS に拡張し、既存のオンプレミスユーザー認証情報を使用してクラウドリソースにアクセスするのに役立ちます。また、オンプレミスのユーザー、グループ、アプリケーション、システムを、オンプレミスの高可用性 Active Directory の実行と維持の複雑さなしに管理することもできます。既存のコンピュータ、ラップトップ、プリンターを AWS Managed Microsoft AD ドメインに参加させることができます。 

AWS Managed Microsoft AD は Microsoft Active Directory 上に構築されており、既存の Active Directory からクラウドにデータを同期またはレプリケートする必要はありません。グループポリシーオブジェクト (GPOs)、ドメインの信頼、きめ細かなパスワードポリシー、グループマネージドサービスアカウント (gMSAs)、スキーマ拡張、Kerberos ベースのシングルサインオンなど、使い慣れた Active Directory 管理ツールと機能を使用できます。Active Directory セキュリティグループを使用して管理タスクを委任し、アクセスを許可することもできます。 

マルチリージョンレプリケーションを使用すると、1 つの AWS Managed Microsoft AD ディレクトリを複数の AWS リージョンにデプロイして使用できます。これにより、Microsoft Windows および Linux のワークロードをグローバルにデプロイして管理し、より簡単で費用対効果の高いものにすることができます。自動マルチリージョンレプリケーション機能を使用すると、アプリケーションが最適なパフォーマンスを得るためにローカルディレクトリを使用している間、耐障害性が向上します。 

AWS Managed Microsoft AD は、クライアントロールとサーバーロールの両方で、SSL とも呼ばれる LDAP/TLS 経由の Lightweight Directory Access Protocol (LDAPS) をサポートしています。サーバーとして機能する場合、AWS Managed Microsoft AD はポート 636 (LDAPS) および 389 (SSL) 経由の TLS をサポートします。サーバー側の LDAPS 通信を有効にするには、Word AWSベースの Active Directory Certificate Services (AD CS) 認証局 (CA) から AWS Managed Microsoft AD ドメインコントローラーに証明書をインストールします。クライアントとして機能する場合、AWS Managed Microsoft AD はポート 636 (LDAPS) 経由の SSL をサポートします。サーバー証明書発行者から LDAPS に CA 証明書を登録し、ディレクトリで LDAPS を有効にすることで、クライアント側の AWS 通信を有効にできます。 

AWS SRA では、AWS Directory Service は共有サービスアカウント内で使用され、複数の AWS メンバーアカウントにわたる Microsoft 対応ワークロードにドメインサービスを提供します。 

設計上の考慮事項

  • AWS Identity Center を使用し、Word Managed Microsoft AD を ID ソースとして選択することで、既存の Active Directory 認証情報を使用して Word マネジメントコンソールと IAM AWS コマンドラインインターフェイス (AWS AWSCLI) にサインインするためのアクセス権をオンプレミスの Active Directory ユーザーに付与できます。これにより、ユーザーはサインイン時に割り当てられたロールの 1 つを引き受け、ロールに定義されたアクセス許可に従ってリソースにアクセスしてアクションを実行できます。別のオプションとして、AWS Managed Microsoft AD を使用して、ユーザーが AWS Identity and Access Management (IAM) ロールを引き受けることを有効にすることもできます。

IAM Identity Center

AWS SRA は、IAM Identity Center でサポートされている委任管理者機能を使用して、IAM Identity Center の管理のほとんどを共有サービスアカウントに委任します。これにより、組織管理アカウントへのアクセスを必要とするユーザーの数を制限できます。組織管理アカウント内でプロビジョニングされるアクセス許可セットの管理など、特定のタスクを実行するには、引き続き組織管理アカウントで IAM Identity Center を有効にする必要があります。

IAM Identity Center の委任管理者として共有サービスアカウントを使用する主な理由は、Active Directory の場所です。Active Directory を IAM Identity Center の ID ソースとして使用する場合は、IAM Identity Center の委任された管理者アカウントとして指定したメンバーアカウント内のディレクトリを見つける必要があります。AWS SRA、共有サービスアカウントが AWS Managed Microsoft AD をホストするため、アカウントは IAM Identity Center の委任管理者になります。 

IAM Identity Center は、委任された管理者として一度に 1 つのメンバーアカウントを登録することをサポートしています。メンバーアカウントは、管理アカウントの認証情報を使用してサインインする場合にのみ登録できます。委任を有効にするには、IAM Identity Center ドキュメントに記載されている前提条件を考慮する必要があります。委任管理者アカウントは、ほとんどの IAM Identity Center 管理タスクを実行できますが、いくつかの制限があります。これらの制限については、IAM Identity Center ドキュメントに記載されています。IAM Identity Center の委任管理者アカウントへのアクセスは、厳密に制御する必要があります。 

設計上の考慮事項

  • IAM Identity Center の ID ソースを他のソースから Active Directory に変更する場合、または Active Directory から他のソースに変更する場合、ディレクトリは IAM Identity Center の委任された管理者メンバーアカウント ( が所有する) に存在する必要があります。存在しない場合は、管理アカウントに存在する必要があります。

  • AWS Managed Microsoft AD を別のアカウントの専用 VPC 内でホストし、AWS Resource Access Manager (AWS RAM) を使用して、この他のアカウントから委任された管理者アカウントにサブネットを共有できます。これにより、AWS Managed Microsoft AD インスタンスは委任された管理者アカウントで制御されますが、ネットワークの観点からは、別のアカウントの VPC にデプロイされているかのように動作します。これは、複数の AWS Managed Microsoft AD インスタンスがあり、ワークロードが実行されている場所にローカルにデプロイし、1 つのアカウントで一元管理する場合に役立ちます。

  • 定期的な ID およびアクセス管理アクティビティを実行する専用の ID チームがある場合、または ID 管理機能を他の共有サービス機能から分離するための厳格なセキュリティ要件がある場合は、ID 管理専用の AWS アカウントをホストできます。このシナリオでは、このアカウントを IAM Identity Center の委任管理者として指定し、AWS Managed Microsoft AD ディレクトリもホストします。単一の共有サービスアカウント内できめ細かな IAM アクセス許可を使用することで、ID 管理ワークロードと他の共有サービスワークロードを同じレベルの論理的に分離できます。

  • IAM Identity Center は現在、マルチリージョンサポートを提供していません。(別のリージョンで IAM Identity Center を有効にするには、まず現在の IAM Identity Center 設定を削除する必要があります)。さらに、異なるアカウントの異なる ID ソースの使用をサポートしておらず、組織の異なる部分 (複数の委任された管理者) または異なる管理者グループに許可管理を委任することもできません。これらの機能のいずれかが必要な場合は、IAM フェデレーションを使用して、Word の外部にある ID プロバイダー (IdP) 内のユーザー ID を管理しAWS、これらの外部ユーザー ID にアカウント内の AWS リソースを使用するアクセス許可を付与できます。IAM supportsWord は、OpenID Connect ( IdPs ) または SAML 2.0 と互換性があります。 OpenID OIDC ベストプラクティスとして、Active Directory フェデレーションサービス (AD FS)、Okta、Azure Active Directory (Azure AD)、または Ping Identity などのサードパーティー ID プロバイダーと SAML 2.0 フェデレーションを使用して、ユーザーが AWS マネジメントコンソールにログインしたり、AWS API オペレーションを呼び出したりするためのシングルサインオン機能を提供します。IAM フェデレーションと ID プロバイダーの詳細については、Word IAMドキュメントのSAML 2.0 ベースのフェデレーションについて」およびAWS Identity フェデレーションワークショップ」を参照してください。