AWS認定資格 WEB問題集&徹底解説
CloudOpsエンジニア -アソシエイト
AWS Directory Service の概要と試験出題ポイントは?
AWSサービスの一つであるAWS Directory Serviceはどんな内容なのでしょうか?また、AWS認定資格のSysOpsアドミニストレーター -アソシエイト(SOA)に合格するためには、サービスのどんなポイントを押さえておけばよいのでしょうか?
ここでは、そんなあなたの疑問に回答していきたいと思います
1. サービス概要
AWS Directory Serviceは、クラウド上でMicrosoft Active Directory(AD)またはLDAPディレクトリを利用するためのマネージドサービスです。オンプレミスのAD環境とAWS上のリソースを統合したり、AWS上に独立したADを構築したりできます。
主な利用ユースケースは、EC2インスタンスのドメイン参加・Windows認証・グループポリシー適用・RDS SQL ServerやAmazon WorkSpaces等のAWSサービスとのAD連携・IAM Identity CenterとのSSOです。
2. 主な特徴と機能
2.1 AWS Managed Microsoft AD(AWS Managed Microsoft Active Directory)
AWSが提供するフルマネージドのMicrosoft AD(Windows Server AD)。実際のMicrosoft ADエンジンで動作し、GPO・LDAP・Kerberos・RADIUS等を完全サポートします。
- マルチAZ構成でドメインコントローラーを複数のAZに自動配置し高可用性を確保。
- オンプレミスADとの信頼関係(Forest Trust)を構築してハイブリッドAD環境を実現。
- EC2のドメイン参加・RDS SQL Server・Amazon WorkSpaces・Amazon QuickSight・IAM Identity Center等のAWSサービスとネイティブ統合。
- Standardエディション(最大5,000オブジェクト)とEnterpriseエディション(最大500,000オブジェクト)を提供。
2.2 AD Connector
既存のオンプレミスMicrosoft ADへプロキシ接続するためのサービス。AD自体はオンプレに残し、AWSサービスの認証をオンプレADに委任します。
- ユーザー情報をAWSにコピーしない(プロキシとして動作)。
- Direct Connect / VPN経由でオンプレADに接続が前提。
- EC2ドメイン参加・WorkSpaces・IAM Identity Center等の認証に利用。
2.3 Simple AD
Sambaベースの軽量・低コストなLDAPディレクトリ。Microsoft AD互換の基本機能のみ提供。小規模環境向けで、GPO・RADIUS・信頼関係等は非サポート。
- Smallエディション(最大500オブジェクト)とLargeエディション(最大5,000オブジェクト)。
- 完全なAD機能が不要でシンプルなLDAPが必要な場合に選択。
2.4 主なAWSサービス統合
- EC2: Windows/LinuxインスタンスのADドメイン参加・グループポリシー適用。
- RDS (SQL Server / MySQL / Oracle): Windows認証でRDSへのアクセスを管理。
- Amazon WorkSpaces: 仮想デスクトップのAD認証・グループポリシー管理。
- IAM Identity Center: ADをIDソースとしてマルチアカウントSSOを実現。
3. アーキテクチャおよび技術要素
3.1 AWS Managed Microsoft AD の構成
- VPC内にAWS Managed Microsoft ADを作成(2つのAZにドメインコントローラーが自動配置)。
- EC2インスタンスからADに参加(ドメイン参加)→ GPO・Windows認証が利用可能。
- オンプレADとForest Trustを構成→ Direct Connect/VPN経由でハイブリッドAD統合。
3.2 AD Connectorの構成
- VPC内にAD Connectorを作成。
- Direct Connect / VPN経由でオンプレADに接続。
- AWSサービスからの認証リクエストをオンプレADにプロキシ。
3.3 3サービスの選択基準
- オンプレADを保持し認証を委任したい → AD Connector
- AWS上に本格的なAD環境が必要 / オンプレADと信頼関係を構築したい → AWS Managed Microsoft AD
- AD互換の簡易LDAP環境が必要(小規模・低コスト) → Simple AD
4. セキュリティと認証・認可
- Kerberos認証: AWS Managed Microsoft ADはKerberosによる標準AD認証をサポート。
- LDAPS (LDAPSoverTLS): ディレクトリ通信の暗号化。
- マルチAZ: ドメインコントローラーを複数AZに配置してSPOFを排除。
- VPC内配置: ディレクトリはVPC内に存在し、セキュリティグループで通信を制御。
- AWS Managed Microsoft ADの管理者権限: AWSはADの下位委任された管理者権限を持ち、ドメインコントローラーのOSには直接アクセスできない(マネージド)。
5. 料金形態
- AWS Managed Microsoft AD: ディレクトリサイズ(Standard/Enterprise)と稼働時間で課金。
- AD Connector: コネクタサイズ(Small/Large)と稼働時間で課金。
- Simple AD: ディレクトリサイズと稼働時間で課金(最も安価)。
6. よくあるアーキテクチャ・設計パターン
- ハイブリッドAD(Forest Trust): AWS Managed Microsoft ADとオンプレADの間にForest Trustを構築。オンプレユーザーがAWSリソースにシームレスにアクセス。
- AD Connectorによる認証プロキシ: オンプレADをそのまま活用しEC2・WorkSpaces・IAM Identity Centerの認証をプロキシ。AD情報の移行不要。
- IAM Identity Center + Managed AD: Managed ADをIDソースにIAM Identity Centerを設定→組織内全アカウントにAD認証でSSOアクセス。
7. 設定・デプロイ手順(ハンズオン例)
- Directory Serviceコンソール→「ディレクトリの設定」→タイプを選択(AWS Managed Microsoft AD推奨)。
- エディション(Standard/Enterprise)・ドメイン名・管理者パスワード・VPC/サブネット(2つのAZ)を設定。
- ディレクトリが作成されたら(数十分)、DNSアドレスを確認。
- EC2インスタンスのDNSをADのDNSに向け、ドメイン参加(Windows: システムプロパティ / Linux: realmd/sssd)。
- オンプレADとの信頼関係が必要な場合は、Forest Trustを追加設定。
8. 試験で問われやすいポイント
8.1 3サービスの使い分け
- Q: オンプレADをそのまま維持しつつAWSサービスの認証をADに委任するには?
A: AD Connector(オンプレADへのプロキシ。ADデータをAWSにコピーしない)。 - Q: AWS上に本格的なMicrosoft ADを構築してGPO・KerberosをフルサポートするAWSサービスは?
A: AWS Managed Microsoft AD(実際のMicrosoft ADエンジンでマルチAZ高可用性構成)。 - Q: 小規模環境向けの低コストなAD互換LDAP環境が欲しい場合は?
A: Simple AD(Sambaベース。GPO・RADIUSなど高度なAD機能は非サポート)。
8.2 Forest Trust(信頼関係)
- Q: AWS Managed Microsoft ADとオンプレADを統合する方法は?
A: Forest Trustを構築(Direct Connect/VPN経由)。オンプレユーザーがAWSリソースにシームレスにアクセス可能。
8.3 IAM Identity Centerとの連携
- Q: ADユーザーでAWSマルチアカウントSSOを実現するには?
A: IAM Identity CenterのIDソースにAWS Managed Microsoft AD(またはAD Connector)を設定してSSO認証にADを使用。
8.4 AD Connectorの前提条件
- Q: AD Connectorを使うための前提条件は?
A: Direct ConnectまたはVPNでオンプレADに接続できること(インターネット経由不可)。接続が切断されるとAWS側の認証も停止するためDirect Connect推奨。
広告