AWS Directory Serviceについて勉強
AWS 認定ソリューションアーキテクト ? アソシエイトを受けるため、改めてAmazon Web Service(AWS)の勉強をする。
今回もこの本を一読したうえで機能単位で勉強していく。
AWS Directory Service
Active Directoryの互換サービス
標準で冗長化されており、バックアップが設定済みのため管理などが簡単。
時間単位で請求されるのに加え常時稼働サービス。
利用パターンにより3種類のサービスが用意されている。
AWS Managed Microsoft AD
マネージドのMicrosoftAD。IAMとMS Active Directoryとの統合したい場合などに利用する。
Simple AD
機能を限定したドメインコントローラドメインコントローラとは、LANなどのネットワーク環境におけるドメイン内で、ユーザアカウントのログオン認証や集中管理するソフトウェア(サーバ)であり、更にはそれを稼働させるコンピュータである。
ドメインコントローラ - Wikipedia
https://wa3.i-3-i.info/word12421.html
AD Connector
AD情報の参照のプロキシサービス。構築というよりはオンプレミス側との連携が主な役割。
EC2やオンプレミス側で構築したADサーバの情報を参照し、別サービスに受け渡すプロキシとしての役割がある。
IAMとオンプレミス側ADを併用したい場合などに利用できる。
アクティブディレクトリとはWindowsパソコンの機能やユーザー情報を管理するために、Windows Serverに設けられた機能のことです。Active Directoryはディレクトリサービスと呼ばれるものの1つで、Windows 2000から導入されています。
Active Directory(アクティブディレクトリ)とは?機能やメリットデメリットを徹底解説
ユースケース
以下のユースケースが考えられる。
マネージドなADサーバーの構築をする場合
利用サービス:AWS Managed Microsoft AD
複数AZや自動バックアップでドメインコントローラの管理負担を削減できるため、管理者はADの管理のみに専念可能。
ただし、新規に構築する場合のため、既存のAD資産を利用することができない。
オンプレミスADのID情報をAWS内で利用する場合
利用サービス:AWS Managed Microsoft AD、AD Connector
AWS Managed Microsoft ADは既存ドメインとの片方向、両方向の信頼関係を構築することが可能。
オンプレミス側のADのID情報をAWSで利用可能。
ADやサーバを増やしたくない場合は、AD Connectorを利用する。
具体的に明記されているドキュメントを見つけることはできなかったのですが、Microsoft ADはマネージドサービスである都合シングルフォレスト・シングルドメイン構成を強制されます。 このためMicrosoft ADと既存のドメインを連携させたい場合は信頼関係を構築する必要がでるわけです。
Microsoft ADでは「片方向」「双方向」の両方向の信頼関係を構築する事ができます。 信頼関係はドメインリソースへのアクセスに直結するため原則片方向とし必要の無い方向の信頼関係は構築しない様にするのが推奨されています。 (例外はAWS SSOで、AWS SSOを使用する際にMicrosft ADとオンプレADの信頼関係を構築する場合は双方向の信頼関係を結ぶ必要があります)
また、信頼関係の種類には「フォレスト信頼」と「外部信頼」の二種類ありますが、Microsoft ADでは両者の信頼関係をサポートしています。
AWS Managed Microsoft AD と オンプレAD で信頼関係を構築する (2020年5月版) | Developers.IO
AWSサービス限定で利用するドメインコントローラとして利用する場合
利用サービス:AWS Managed Microsoft AD、Simple AD
Simple ADを利用する場合、AWS Managed Microsoft ADよりも低コストで使用できる。
ただし、Windowsベースではないため、使用できないサービスが多いなどの制約も多い。
