AWS Directory Service のディレクトリ(ドメイン)ユーザーをちょっとした検証用にマネジメントコンソールから追加する

Simple AD や AWS Managed Microsoft AD にお手軽にドメインユーザーを追加したい、という時に使えるワザです。ちゃんとした管理の手法は別途ご検討ください。

コンバンハ、千葉(幸)です。

AWS Directory Service 、使ってますか?(はい。きっとそうでしょうね。)

AWS Directory Service では Simple ADAD ConnectorAWS Managed Microsoft AD といったディレクトリタイプが用意されており、用途に応じたものを選択できます。ディレクトリサービスをマネージドで提供してくれるほか、各種 AWS サービスと連携することで様々な恩恵を受けられる便利なサービスです。

ただ惜しむらくは、ディレクトリの中身はマネジメントコンソールからいじることができません。いわゆるドメインユーザーの作成や管理は、ドメインに参加したサーバやリモートサーバ管理ツール(RSAT)を導入したクライアントから、リモートで接続して行う必要があります。

ユーザーを追加した場合のちょっとした検証をしたいだけなのに、諸々の環境を整えなければいけないのか……とぐんなりしてしまったのですが、実は単純な追加程度であればマネジメントコンソール上の操作で完結できることを知りました。(Simple AD か AWS Managed Microsoft AD の場合のみ。AD Connector の場合は今回の手法は使えません。)

ちょっと裏技チックな手法でありこれだけでディレクトリ管理を行うことはできませんが、検証用にシンプルにユーザー追加だけしたい、といった際にお役立ていただければと思います。

目次

先にまとめ

  • 「 WorkSpaces の起動」時のコンソール操作でディレクトリ内のユーザーの参照と作成ができる
    • WorkSpaces を実際に起動する必要はない
  • パスワードの設定はディレクトリの「ユーザーパスワードのリセット」から行う
  • 削除はできませんのでご注意ください
  • 以下のブログから知りました。ありがとう 市田 さん。

Simple AD のセットアップ

ディレクトリの新規作成からやっていきます。既存のディレクトリがある方はこのステップはまるまる無視いただいて問題ありません。

今回はディレクトタイプのうち、Simple AD を使用します。

サクサク作っていきます。

デフォルトの管理ユーザー名は固定でAdministratorです。

ディレクトリサービスの足(ENI)が生えるサブネットを選択します。

確認して作成実行します。

数分で利用可能ステータスに遷移します。簡単ですね。

ちなみにデフォルトでは、各種サービスとの連携は無効になっています。

ディレクトリユーザーの参照

まずはディレクトリにどういったユーザーがいるかを参照します。

ここからは WorkSpaces のコンソールから作業していきます。

WorkSpaces 画面への遷移

今回操作したい画面にすぐたどりつけばいいのですが、 WorkSpaces でリソースを構築したことがないと以下のような画面が表示されるかもしれません。

そのまま進むとセットアップ画面に進むのですが、どちらもディレクトリを新規作成することになるので、今回操作したい箇所ではありません。

回避する方法はいくつかあると思いますが、先ほどのディレクトリの詳細画面から遷移するのがわかりやすいかと思います。

WorkSpaces のサービス画面の [ディレクトリ] 一覧に飛ばされるため、左ペインより [WorkSpaces] を選択します。

WorkSpaces を起動するフリをする

実際に WorkSpaces を起動する訳ではないのですが、 [ WorkSpaces の起動 ] を押下します。

中身を参照したいディレクトリを選択し、次に進みます。デフォルトだと、あわせて WorkDocs も有効化されます。

初回は、ディレクトリの WorkSpacesサービスへの登録処理が行われるため、画面が表示されるまでに数秒かかる場合があります。登録が終わると以下のような画面が表示されます。

[ すべてのユーザーの表示 ] を押下します。

ディレクトリに存在するユーザーの一覧が表示されます。

まだカスタマーによる明示的な追加は行なっていないため、AWS により自動的に追加されたユーザーが表示されています。ちょっと面白いですね。

「名前」や「E メール」は未設定であることも分かります。

ディレクトリユーザーの追加

参照ができたので、追加を行なっていきます。

操作する画面は先ほどの続きからです。WorkSpaces の起動の途中のステップで、ユーザーを作成します。

以下を入力し、[ ユーザーの作成 ] を押下します。

  • ユーザー名
  • E メール

(なお、ここでは日本語は入力できません。残念。)

ユーザー名、姓、名、E メールの各フィールドは英数字またはアンダースコア文字で始まる必要があり、その後に a~z、A~Z、0~9、スペース、および ._- # @ を使用できます。

作成が完了したら、再度 [ すべてのユーザーの表示 ] を押下し、追加されていることを確認します。

ここまで作業が済んだら、WorkSpaces の起動はキャンセルして問題ありません。

ディレクトリユーザーのパスワードの設定

ここまでの手順でユーザー作成した状態ではパスワードが未設定のままであるため、設定していきます。

今度は ディレクトリサービスの画面から操作します。

ディレクトリと連携する AWS サービス

手順には関係ありませんが、設定を確認しておきます。

WorkSpaces の起動を試みた際に自動的に連携が行われているため、 Amazon WorkSpaces が有効になっています。

Amazon WorkDocs は、WorkSpaces の起動時に指定していればあわせて有効化されます。 )

ユーザーパスワードのリセット

ディレクトリの詳細画面より、[ ユーザーパスワードのリセット ] を押下します。

先ほど作成したディレクトリユーザー名と、設定するパスワードを入力し [ パスワードのリセット ] を押下します。

正常にリセットされた旨のメッセージが表示されれば、パスワードの設定完了です。

ユーザーパスワードのリセット - AWS Directory Service

ディレクトリユーザーによるサインインの確認

ここまでで設定した内容が正しく反映されているかを確認します。

今回は Amazon WorkDocs と連携させているので、設定したユーザー情報でそのコンソールに問題なくサインインできるかを確認します。

まずは WorkDocs のサイトURLにアクセスします。WorkDocs のサービス画面から遷移してもよいですし、ディレクトリの詳細画面の URL からでもアクセス可能です。

サインイン画面に遷移したら、ディレクトリユーザー作成時に設定したメールアドレスを入力し、[ ログイン ] を押下します。

続いての入力画面で、ユーザー名パスワードを入力し [ サインイン ] を押下します。

問題なくサインインできました。はこの画面で確認できます。

マネジメントコンソール上の操作だけで、ディレクトリにユーザーを追加できました!

終わりに

AWS Directory Service のディレクトリユーザーをマネジメントコンソールから作成する方法でした。

WorkSpaces の起動の際にディレクトリユーザーを操作できるというのが、なかなか盲点でした。

ユーザーの参照や追加を AWS の API でできれば良かったのですが、特にそういったものは用意されていませんし、今回コンソールから行なった操作も Cloud Trail には記録されません。(パスワードのリセットは API が用意されています。惜しい。)

マネジメントコンソールからの作業時には、自動的に生成されるディレクトリユーザーが裏側でよしなにやってくれているのでしょうか。気になります。

裏技チックな手法ですが、ちょっとした検証の際にお役に立てば幸いです。

以上、千葉(幸)がお送りしました。

あわせて読みたい

WorkSpaces を AD Connector と連携させているエントリです。起動時にユーザーの追加ができないことがわかります。