Simple ADでも管理用EC2インスタンスを簡単に作れるのか確認してみた

Simple ADでも管理用EC2インスタンスを簡単に作れるのか確認してみた

Clock Icon2023.06.11

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

しばたです。

前回の記事でAWS Managed Microsoft ADの管理用EC2インスタンスを簡単に作れる様になった件を解説しました。

https://dev.classmethod.jp/articles/aws-managed-microsoft-ad-directory-administrative-tools-access/

この更新ではSSMオートメーションを使いAWS-CreateDSManagementInstanceドキュメントを実行することでAWS Managed Microsoft ADと紐づくEC2インスタンスの作成を自動化してくれます。

ふとした疑問

動作検証の際にAWS-CreateDSManagementInstanceドキュメントの定義を読み込んだところ、引数に指定したディレクトリIDからディレクトリ情報を取得して利用しているもののディレクトリの種別に対するチェックはしてませんでした。
そこで「これ、Simple ADでも使えるのでは?」という点が気になったので実際に試してみました。

試してみた

今回私の検証用AWSアカウントの東京リージョンで新規にSimple AD環境を用意しました。
スモールサイズのcorp.contoso.comドメインを作成しています。

当然ですがSimple ADのコンソール画面には「ディレクトリ管理 EC2インスタンス」欄および「ディレクトリ管理EC2インスタンスの起動」アクションはありません。

そこでCLIから直接AWS-CreateDSManagementInstanceドキュメントを実行します。
コマンドの内容は前回の記事で使ったコマンドをよしなに改変しています。

# Simple ADのIDを指定してオートメーション実行のCLIを実行
aws ssm start-automation-execution --document-name "AWS-CreateDSManagementInstance" --document-version "\$DEFAULT" --parameters '{"DirectoryId":["d-xxxxxxxxxx(Simple ADのID)"],"Tags":["{\"Key\":\"Description\",\"Value\":\"Created by AWS Systems Manager Automation\"}","{\"Key\":\"Created By\",\"Value\":\"AWS Systems Manager Automation\"}"],"KeyPairName":["your-keypair"],"IamInstanceProfileName":["AmazonSSMDirectoryServiceInstanceProfileRole"],"SecurityGroupName":["AmazonSSMDirectoryServiceSecurityGroup"],"AmiId":["{{ssm:/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-Base}}"],"InstanceType":["t3.medium"],"RemoteAccessCidr":["10.0.0.0/16"]}' --region ap-northeast-1

オートメーションの実行自体は特に問題無くできました。

しばらく待つと特に問題無くあっさりと成功しました。

EC2インスタンスはこんな感じで期待通りの内容です。

いい感じですね。

これがAWSとして正式にサポートされている行為かは微妙ですが、SSMオートメーションでやっていることは一連の作業の自動化だけですので運用する分には特に問題無いでしょう。

余談 : AD Connectorの場合

「Simple ADがいけるならAD Connectorもどうよ?」という疑問が当然湧いてきます。

ということで簡単な環境を作って試したところAWS-CreateDSManagementInstanceドキュメントの実行が失敗しました。

AD ConnectorはAWS Managed Microsoft ADやSimple ADとVPC関連のプロパティが異なるため期待した情報(VPC ID)を取得できずにオートメーションが失敗します。

  • AWS Managed Microsoft AD/Simple ADのVPC ID (取得可能) : DirectoryDescriptions[0].VpcSettings.VpcId
  • AD ConnectorのVPD ID (取得失敗) : DirectoryDescriptions[0].ConnectSettings.VpcId

AD Connectorは既存Active Directory環境がある前提のサービスであり、わざわざこの仕組みを使って新規に管理インスタンスを作る必要性は皆無だと思います。
ということでAD Connectorで使えなくても何の問題も無いでしょう。

最後に

以上となります。

ふとした疑問から試してみましたがいい感じに動作してくれました。
検証作業でSimple ADを作る際に便利に使えそうですね。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.