WorkSpaces プールディレクトリの Active Directory の詳細を指定する - Amazon WorkSpaces
AD の組織単位とディレクトリドメイン名を指定するAD のサービスアカウントを指定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

WorkSpaces プールディレクトリの Active Directory の詳細を指定する

このトピックでは、 WorkSpaces コンソールの WorkSpaces 「プールの作成」ディレクトリページ内で Active Directory (AD) の詳細を指定する方法について説明します。 WorkSpaces プールディレクトリを作成するときに、プールで AD を使用する予定がある場合は、AD WorkSpaces の詳細を指定する必要があります。 WorkSpaces プールディレクトリの作成後に、そのディレクトリの Active Directory Config を編集することはできません。以下は、 WorkSpaces プールの作成ディレクトリページの Active Directory Config セクションの例です。

プールの作成ディレクトリページの Active Directory Config セクション WorkSpaces
注記

WorkSpaces プールディレクトリを作成する完全なプロセスについては、2.0 SAML を設定し、 WorkSpaces プールディレクトリを作成する「」トピックで概説しています。このページで説明されている手順は、 WorkSpaces プールディレクトリを作成する完全なプロセスのステップのサブセットのみを表します。

AD の組織単位とディレクトリドメイン名を指定する

次の手順を実行して、 WorkSpaces 「プールの作成」ディレクトリページで AD の組織単位 (OU) とディレクトリドメイン名を指定します。

  1. 組織単位 には、プールが属する OU を入力します。 WorkSpace マシンアカウントは WorkSpaces 、プールディレクトリに指定した組織単位 (OU) に配置されます。

    注記

    OU 名にスペースを含めることはできません。スペースを含む OU 名を指定した場合、Active Directory ドメインに再参加しようとすると、コンピュータオブジェクトを正しくサイクル WorkSpaces できず、ドメインの再参加は機能しません。

  2. ディレクトリドメイン名 には、Active Directory ドメインの完全修飾ドメイン名 (FQDN) を入力します (例: corp.example.com)。各 AWS リージョンは、特定のディレクトリ名を持つディレクトリ設定値を 1 つだけ持つことができます。

    • WorkSpaces プールディレクトリを Microsoft Active Directory のドメインに参加させることができます。既存の Active Directory ドメインをクラウドベースのものでもオンプレミスのものでも、ドメインに参加している を起動できます WorkSpaces。

    • を使用することもできます。 AWS Directory Service for Microsoft Active Directory、別名 AWS Managed Microsoft AD、Active Directory ドメインを作成します。その後、そのドメインを使用して WorkSpaces リソースをサポートできます。

    • Active Directory ドメイン WorkSpaces に参加することで、次のことが可能になります。

      • ユーザーとアプリケーションが、ストリーミングセッションからプリンターやファイル共有などの Active Directory リソースにアクセスできるようにします。

      • グループポリシー管理コンソール (GPMC) で使用できるグループポリシー設定を使用して、エンドユーザーエクスペリエンスを定義します。

      • アクティブディレクトリログイン認証情報を使用した認証をユーザーに義務付けるアプリケーションをストリーミングする。

      • エンタープライズコンプライアンスポリシーとセキュリティポリシーを WorkSpaces ストリーミングインスタンスに適用します。

  3. サービスアカウント については、このページのAD のサービスアカウントを指定する次のセクションに進みます。

AD のサービスアカウントを指定する

ディレクトリ作成プロセスの一環として WorkSpaces プールの Active Directory (AD) を設定する場合は、AD の管理に使用する AD サービスアカウントを指定する必要があります。そのためには、サービスアカウントの認証情報を指定する必要があります。これは、 に保存する必要があります。 AWS Secrets Manager および を使用して暗号化 AWS Key Management Service (AWS KMS) カスタマーマネージドキー。このセクションでは、 AWS KMS AD サービスアカウントの認証情報を保存するための カスタマーマネージドキーと Secrets Manager シークレット。

ステップ 1: を作成する AWS KMS カスタマーマネージドキー

を作成するには、次の手順を実行します。 AWS KMS カスタマーマネージドキー

  1. を開く AWS KMS https://console.aws.amazon.com/kms の コンソール。

  2. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクタを使用します。

  3. キーの作成 を選択し、次へ を選択します。

  4. キータイプに対称 を選択し、キーの使用法に暗号化と復号してから、次へ を選択します。

  5. などのキーのエイリアスを入力しWorkSpacesPoolDomainSecretKey次へ を選択します。

  6. キー管理者を選択しないでください。[次へ] を選択して続行します。

  7. キー使用権限を定義しないでください。[次へ] を選択して続行します。

  8. ページのキーポリシーセクションで、以下を追加します。

            {
            "Sid": "Allow access for Workspaces SP",
            "Effect": "Allow",
            "Principal": {
                "Service": "workspaces.amazonaws.com"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }

    結果は次の例のようになります。

    の例 AWS KMS キーポリシー。

  9. [Finish] を選択します。

    の AWS KMS カスタマーマネージドキーを Secrets Manager で使用する準備ができました。このページの ステップ 2: AD サービスアカウントの認証情報を保存する Secrets Manager シークレットを作成するセクションに進みます。

ステップ 2: AD サービスアカウントの認証情報を保存する Secrets Manager シークレットを作成する

AD サービスアカウントの認証情報を保存する Secrets Manager シークレットを作成するには、次の手順を実行します。

  1. を開く AWS Secrets Manager の コンソールhttps://console.aws.amazon.com/secretsmanager/

  2. [新しいロールの作成] を選択します。

  3. [他の種類のシークレット] を選択します。

  4. 最初のキーと値のペアService Account Nameについては、キーに を入力し、値にサービスアカウントの名前を入力しますdomain\username。例: 。

  5. 2 番目のキーと値のペアService Account Passwordには、キーに を入力し、値にサービスアカウントのパスワードを入力します。

  6. 暗号化キーで、 AWS KMS 前に作成した カスタマーマネージドキー を選択し、次へ を選択します。

  7. シークレットの名前を入力します。例: WorkSpacesPoolDomainSecretAD

  8. ページの「リソース許可」セクションで「アクセス許可の編集」を選択します。

  9. 次のアクセス許可ポリシーを入力します。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "workspaces.amazonaws.com"
                ]
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "*"
        }
    ]
}

  10. 保存 を選択して、アクセス許可ポリシーを保存します。

  11. [次へ] を選択して続行します。

  12. 自動ローテーションを設定しないでください。[次へ] を選択して続行します。

  13. 保存を選択して、シークレットの保存を完了します。

これで、AD サービスアカウントの認証情報が Secrets Manager に保存されました。このページの ステップ 3: AD サービスアカウントの認証情報を含む Secrets Manager シークレットを選択するセクションに進みます。

ステップ 3: AD サービスアカウントの認証情報を含む Secrets Manager シークレットを選択する

次の手順を実行して、 WorkSpaces プールディレクトリの Active Directory 設定で作成した Secrets Manager シークレットを選択します。

  • サービスアカウント で、 AWS Secrets Manager サービスアカウントの認証情報を含む シークレット。シークレットをまだ作成していない場合は、次の手順を実行してシークレットを作成します。シークレットは、 を使用して暗号化する必要があります。 AWS Key Management Service カスタマーマネージドキー。

これで、 WorkSpaces 「プールの作成」ディレクトリページの「Active Directory Config」セクション内のすべてのフィールドが完成しました。プール WorkSpaces ディレクトリの作成を続行できます。に移動ステップ 4: WorkSpace プールディレクトリを作成するし、手順のステップ 9 を開始します。