FSx for Windows File ServerでセルフマネージドなActive Directoryが利用可能になりました。
FSx for Windowsのディレクトリに既存のActive Directoryを指定することができるようになりました。まいど、大阪の市田です。
これまではAWSのDirectory Serviceである「Microsoft AD」が必須でしたが、このアップデートによりオンプレやEC2で作成されたActive Directoryを利用することができるようになりました!
Amazon FSx for Windows File Server により組織の自己管理型 Active Directory で直接ファイルシステムを使用できるようになりました
やってみた
それでは早速試してみたいと思います。 今回は、FSxと同じVPC上にEC2でActive Directoryを構築しています。(手順は割愛させていただきます)
公式ドキュメントは下記になります。
前提条件
セルフマネージドなActive Directoryを利用する場合には、先程のドキュメントページにある条件(Prerequisitesの箇所)をクリアしている必要があります。
主にネットワーク構成とFSxに接続するための権限を持ったアカウント設定に関するものになります。今回は同じVPC上にActive Directoryを配置しているので、ネットワークに関する作業はセキュリティグループの設定のみです。
セキュリティグループ
FSxのセキュリティグループはインバウンドに次のルールを持ったものを作成しました。接続元はFSxが利用するインスタンスです。今回はインスタンスが配置されるサブネットのCIDRに対して許可する設定を入れました。
(アウトバウンドはデフォルトのままとしています。)
- TCP / UDP 445(SMB)
- TCP 135(RPC)
- TCP / UDP 1024-65535(RPC用の一時ポート)
参考:File System Access Control with Amazon VPC - Amazon FSx for Windows File Server
Active Directoryのセキュリティグループは、下記ページにある内容で作成しています。接続元はFSxのあるサブネットCIDRとしました。
ステップ 2: AWS Managed Microsoft AD を準備する - AWS Directory Service
FSx用アカウントへの権限委任
権限委任用のアカウント設定は、下記ページにあるベストプラクティスに則ったユーザを作成しておきます。
上記ベストプラクティスにあるようにFSx用のユーザに権限の委任を行います。前提として、今回は下記の内容で作成します。
- ドメイン:cmtest.local
- ドメインコントローラはEC2で作成済みとします
- OU:myfsx
- 委任先のユーザ:fsxadmin
- fsxadminはグループ「fsxgroup」のメンバーとします
委任用ユーザの作成
ドメインコントローラにログオンしてサーバマネージャより、「Active Directory ユーザとコンピュータ」をクリックします。
対象のドメイン「cmtest.local」に対して、OU「myfsx」を作成します。
次にグループ「fsxgroup」を作成します。これはFSxの管理権限を持つグループ用です。
同様に、権限の委任用ユーザとして「fsxadmin」ユーザを作成します。
パスワードを無期限として作成します。
作成できたらグループに追加しましょう。
以上で専用ユーザの作成は完了です。
権限の委任
次に作成したグループに対して権限の委任を行います。 先程と同じようにサーバマネージャより「Active Directory ユーザとコンピュータ」を開きます。
次に、対象のOU「myfsx」を右クリックして「制御の委任」をクリックしてください。
ウィザードが開くので「次へ」をクリックします。
「ユーザーまたはグループ」で「追加」をクリックして、制御を委任するユーザを追加します。
先に作成しておいたユーザ「fsxgroup」を追加します。
追加できたら「次へ」をクリック
「委任するタスク」では「委任するカスタムタスクを作成する」を選択します。
「Active Directoryオブジェクトの種類」では「フォルダー内の次のオブジェクトのみ」を選択します。
また、対象オブジェクトは「コンピュータオブジェクト」のみ選択します。最後に「選択された〜」の2つにチェックを入れて「次へ」進みましょう。
「アクセス許可」では次の4つを許可します。
- パスワードのリセット
- アカウントの制限の読み取りと書き込み
- DNSホスト名への検証された書き込み
- サービスプリンシパル名への検証された書き込み
最後に「完了」をクリックして終了です。
FSxの作成
準備ができましたので、FSxを作成していきます。FSxの作成ウィザードより作成してみたところ、新たに「Windows authentication」に自前のActive Directoryを選択できるようになっていました。
今回はもちろん「Self-managed Microsoft Active Directory」を選択して作成してみます。
| 項目名 | 設定内容 | 備考 |
|---|---|---|
| Fully qualified domain name | Active Directoryのドメイン名 | 作成したドメイン名 |
| DNS server IP addresses | ドメインコントローラのIP | 今回はEC2のプライベートIPを指定 |
| Service account username | FSxがADに参加するサービスアカウント名 | 別途作成したものを指定 |
| Service account password | 上記のパスワード | 上記アカウントのパスワード |
| Confirm password | パスワード確認用 | |
| Organizational Unit (OU) within which you want to join your file system | FSxを参加させるOU | 作成したOU名(オプションです) |
| Delegated file system administrators group | メンバーにFSxの管理権限を持つグループ | 作成したグループ名(オプションです) |
FSxの作成完了まで30分ほどかかるので気長に待ちます。
確認
作成できたら確認してみます。ドメインコントローラとは別のWindows Serverを作成しドメイン参加させてから、FSxに接続してみます。
異なる2つのインスタンスからそれぞれFSxに接続して、ファイル共有できました。
OU「myfsx」には、作成したFSxがコンピュータとして登録されていました。
また、マネジメントコンソール上では、ドメインコントローラのIPと委任したユーザ情報(ユーザとパスワード)を更新できるようになっていました。
最後に
これまではMicrosoft ADの利用が必須だった為、オンプレミスのADを利用する場合、信頼関係を結ぶ必要がありました。
今回のアップデートによりADの配置場所を気にせず利用できるようになったので、FSxを導入しやすくなりました!
以上です。
![[アップデート] Amazon FSx for Windows File ServerのIOPSが最大400,000まで引き上げられました](https://devio2023-media.developers.io/wp-content/uploads/2023/08/amazon-fsx-for-windows-file-server.png)
