AWS Directory Services

• AWS Directory Services は、管理されたサービス提供であり、ユーザー、グループ、コンピュータ、およびその他のリソースを含む、組織に関する情報を含むディレクトリを提供します。
• AWS Directory Services は、複数の方法を含む
  • スタンドアロンディレクトリサービスとしての Simple AD
  • 他の AWS サービスと共にオンプレミスの Microsoft Active Directory を使用するための AD コネクタ
  • Microsoft Active Directory (エンタープライズエディション) の AWS Directory Services (Microsoft AD とも呼ばれます)

Simple AD

• Samba 4 によって供給されている AWS Directory Services の Microsoft Active directory 互換のディレクトリサービス
• 5000以下のユーザーがいる場合は、最も安価なオプションと最良の選択です & より高度な Microsoft Active Directory の機能を必要としない
• ユーザーアカウント、グループメンバーシップ、Linux と Windows を実行するドメイン参加型 EC2 インスタンス、kerberos ベースのシングルサインオン (SSO)、グループポリシーなど、一般的に使用されるアクティブディレクトリ機能をサポートします。
• DNS 動的更新、スキーマ拡張、多要素認証、LDAPS 経由の通信、PowerShell AD コマンドレット、および FSMO 役割の転送などの機能をサポートしていません。
• 毎日の自動スナップショットを提供して、ポイント・イン・タイム・リカバリを実現
• ただし、Simple AD と他の Active Directory ドメイン間では、信頼関係を設定することはできません。

AD コネクタ

• 既存のオンプレミスの Active Directory に AWS への接続を支援
• 既存のオンプレミスディレクトリを AWS サービスで活用するのに最適です。
• 複雑なディレクトリ同期テクノロジや、フェデレーションインフラストラクチャをホストするコストと複雑さを必要とせずに、オンプレミスの Microsoft Active Directory を AWS に接続するためのプロキシサービスです。
• 認証のために Active directory ドメインコントローラにサインイン要求を転送し、アプリケーションがディレクトリにデータを問い合わせる機能を提供します。
• ユーザーが社内または AWS クラウドでリソースにアクセスしているかどうかにかかわらず、パスワードの有効期限、パスワードの履歴、アカウントのロックアウトなど、既存のセキュリティポリシーの一貫した適用を有効にします。

Microsoft Active Directory (エンタープライズエディション)

• AWS でホストされている機能が豊富な管理対象の Microsoft Active Directory です。
• 5000以上のユーザーが存在し、AWS ホストディレクトリとオンプレミスディレクトリの間に信頼関係を設定する必要がある場合に最適です。
• Microsoft Active Directory によって提供される機能の多くと AWS アプリケーションとの統合を提供します。

マイクロソフトの AD 接続オプション

• オンプレミス AD への接続に使用される VGW が安定していないか、接続の問題がある場合は、次のオプションを検討できます。
  • Simple AD
    • 最も安価なオプション
    • AWS の Microsoft AD のスタンドアロンインスタンスを提供します。
    • 個別のコピーが維持されるため、認証または承認の単一ポイントがない
    • 単純な AD と他の Active Directory ドメイン間で信頼関係をセットアップできない
  • 読み取り専用ドメインコントローラー (RODC)
    • 読み取り専用のアクティブディレクトリとして動作する
    • Active Directory ドメインサービス (AD DS) データベースのコピーを保持し、認証要求に応答します。
    • 通常、物理的なセキュリティを保証できない場所に配置されます。
    • アプリケーションまたは他のサーバーによって書き込むことはできません。
    • 1つのポイントを認証および承認コントロールに維持することができますが、同期する必要があります。
  • 書き込み可能なドメインコントローラ
    • セットアップにコストがかかる
    • マルチマスターモデルで動作します。変更は、フォレスト内の任意の書き込み可能なサーバーで行うことができ、それらの変更はフォレスト全体のサーバーにレプリケートされます。

---

AWS認定試験の練習問題

• 質問はインターネットから収集され、答えは自分の知識と理解に基づいてマークされます（これはあなたと異なる場合があります）。
• AWSサービスは毎日更新され、回答と質問はすぐに時代遅れになる可能性がありますので、それに応じて調査してください。
• AWSのアップデートのペースを追うためにAWS試験の質問は更新されないため、基礎となる機能が変更されても質問が更新されないことがあります。
• さらなるフィードバック、ディスカッション、修正を可能にします。

1. インフラストラクチャの大部分は敷地内にあり、AWS には小さなフットプリントがあります。あなたの会社は、認証のための LDAP への低レイテンシ接続に大きく依存する新しいアプリケーションをロールアウトすることにしました。セキュリティポリシーでは、会社の既存のアプリケーションユーザー管理プロセスに対する変更を最小限に抑える必要があります。このアプリケーションを正常に起動するには、どのようなオプションを実装しますか。
   1. アプリケーションが認証に使用するために AWS に2つ目の独立した LDAP サーバを作成します (独立した認証には別のコピーでは動作しません)
   2. アプリケーションが既存のオンプレミス LDAP サーバーに対して認証できるように VPN 接続を確立する (低レイテンシソリューションではない)
   3. データセンターと AWS の間に VPN 接続を確立し、AWS に LDAP レプリカを作成し、LDAP レプリカを認証に使用するようにアプリケーションを構成します (RODC の低レイテンシおよび最小セットアップ)
   4. AWS で2番目の LDAP ドメインを作成する VPN 接続を確立して、新しいドメインと既存のドメインの間の信頼関係を確立し、認証に新しい領域を使用します (最小限の労力ではありません)
2. 会社は、開発者に AWS マネジメントコンソールへのアクセスを提供する準備を進めています。会社のポリシー義務付け IDフェデレーションとロールベースのアクセス制御。ロールは現在、企業の Active Directory のグループを使用して割り当てられます。次のどのような組み合わせを使用すると、開発者は AWS コンソールにアクセスできますか。(2 を選択)2つの回答を選択
   1. AWS ディレクトリサービスの AD コネクタ (企業のアクティブディレクトリ用)
   2. AWS ディレクトリサービスの Simple AD
   3. AWS ID およびアクセス管理グループ
   4. AWS ID およびアクセス管理のロール
   5. AWS ID およびアクセス管理ユーザー
3. エンタープライズの顧客はクラウドへの移行を開始していますが、移行の主な理由は敏捷性であり、AWS上で動作するアプリケーションで社内のMicrosoft Active Directoryを利用できるようにすることです。 これは、内部ユーザーが1組の資格情報を記憶し、退去者と参加者のためのユーザーコントロールの中心点として覚えておく必要があるためです。 オンプレミスのインフラストラクチャの変更を最小限に抑えながら、コストと時間効率の高い方法で、Active Directoryをどのようにして安全かつ高可用性にすることができましたか？ 最も適切なものを選択する。
   1. Amazon Elastic コンピューティングクラウド (EC2) を使用すると、セキュリティグループを使用して DMZ を作成します。セキュリティグループ内では、弾力性のある IPSEC トンネル用に Openswan を実行している2つの小さい Amazon EC2 インスタンスと、ドメインコントローラである2つの大きなインスタンスをプロビジョニングできます。彼らは、複数のアベイラビリティーゾーンを使用します。
   2. VPC を使用すると、データセンターの拡張機能を作成し、復元力のあるハードウェア IPSEC トンネルを利用できます。 既存のドメインに参加し、異なるサブネット内に存在する2つのドメインコントローラインスタンスを、異なるアベイラビリティゾーン（2つのAZで高可用性、VPN接続で安全、最小限の変更）
   3. お客様の既存のインフラストラクチャ内で、新しいハードウェアをプロビジョニングして Active Directory フェデレーションサービスを実行することができます。これは、インターネット上の SAML2 エンドポイントとしてアクティブなディレクトリを提示する。AWS 上の新しいアプリケーションは、SAML2 を使用して認証するように記述できます (オンプレミスハードウェアの変更は最小限ではありません)
   4. お客様は、独自の Active Directory ドメインコントローラを持つスタンドアロン VPC を作成できます。2つのドメインコントローラインスタンスは、各アベイラビリティーゾーンに1つずつ構成できます。新しいアプリケーションは、それらのドメインコントローラで認証されます。 (中央の場所ではなく、コピー)
4. 企業は、仮想プライベートクラウド内の顧客に仮想デスクトップを展開し、既存のセキュリティコントロールを活用する必要があります。会社の要件を満たす AWS サービスと機能のセットはどれですか。
   1. 仮想プライベートネットワーク接続。AWS ディレクトリサービスおよび ClassicLink (ClassicLink では、EC2-クラシックインスタンスを同じリージョン内のアカウントの VPC にリンクすることができます)
   2. 仮想プライベートネットワーク接続。AWS　ディレクトリサービス、および Amazon ワークスペース (仮想デスクトップ用のワークスペース、および VPN 経由で既存のオンプレミス AD に認証するための AWS ディレクトリサービス)
   3. AWS ディレクトリサービス、Amazon ワークスペース、および aAWS ID およびアクセス管理 (ADサービスは、オンプレミス AD ディレクトリと対話するための VPN 接続を必要とします)
   4. Amazon Elastic Computing Cloud および AWS ID とアクセス管理 (仮想デスクトップ用のワークスペースが必要)
5. 2000 エンジニアの組織を実行します。初めて大規模で AWS の使用を開始しようとしています。組織は Active Directory のパワーユーザーであるため、Microsoft Active Directory で実行されている既存の ID 管理システムと統合する必要があります。最も簡単な方法で AWS ID を管理する方法を教えてください。
   1. 大規模な AWS ディレクトリサービスの Simple AD を使用します。
   2. 大規模な AWS ディレクトリサービスの AD コネクタを使用します。(AD コネクタは、Microsoft Active Directory のパワーユーザーとして使用できます。シンプル広告は広告機能のサブセットでのみ動作します)
   3. AWS ディレクトリサービスで実行されている同期ドメインを使用します。
   4. AWS Lambda で実行されている AWS ディレクトリ同期ドメインを使用します。

リファレンス

• AWS Directory Services 管理ガイド
• AWS Black Belt Tech シリーズ 2015 – AWS Directory Service (SlideShare)

• AWS Black Belt Online Seminar 2016 AWS上でのActive Directory構築 (SlideShare / オンデマンドセミナー）

---

Jayendra’s Blog

この記事は自己学習用に「AWS Directory Services – Certification（Jayendra’s Blogより）」を日本語に訳した記事です。