AWS Directory Service: 新製品の「Microsoft AD」を試す

2015.12.04

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

あれ?

Bildschirmfoto 2015-12-04 um 10.04.29

なんか増えてますね!

Ohne Titel

お値段としてはこのくらい。(2015年12月4日現在)

Bildschirmfoto 2015-12-04 um 18.03.57

いってまえー

Bildschirmfoto 2015-12-04 um 10.05.51

はじめに

Bildschirmfoto 2015-12-04 um 13.21.42

こんにちは、ももんが大好きの小山です。AWS Directory Serviceをお使いの方って、どれくらいいらっしゃるんでしょうか? これまでのDirectory Serviceには、2つのコンポーネントがありました。1つは、VPCにあたらしいディレクトリ (Active Directory互換) をつくってEC2インスタンスから参加したりWorkDocsを始めとしたマネージドアプリケーションの資格情報を提供したりできるSimple AD。もう1つは、VPCやオンプレに既存のADドメインをEC2インスタンスやマネージドアプリーションで活用したいひとのためのAD Connectorです。

AWS Directory Service(Simple AD)のみでユーザ管理(AWS Management Console編) | Developers.IO

AWS Directory Service(Simple AD)のみでユーザ管理(OSログイン編) | Developers.IO

Active Directoryを活用したAWS Management ConsoleへのSSO(AD Connector編) | Developers.IO

今回利用可能になったのは、これらに続くMicrosoft ADという製品です。Microsoft ADは、Windows Server 2012 R2のActive Directory ドメイン サービスで提供されるマネージドなディレクトリ製品です。ひとつで5万までのユーザー、20個までのオブジェクトを管理することができます。

やってみるまえに

Microsoft ADの作成には多少時間がかかるので、とりあえずAdministration Guideなんかを読みながら待つことにします。ちゃんとMicrosoft ADの説明も追加されていますよ!

What Is AWS Directory Service? - AWS Directory Service

純正のActive Directory、互換品でないActive Directoryというと、気になることがあります。配置されるドメインコントローラはWindows Serverごと仮想化されているのか、むしろEC2で建てるのと何が違うのか、ということです。こういったことを明らかにしたいとき、起動時に作成される「admin」アカウントについて書かれたページが参考になります。

Admin Account Permissions (Microsoft AD) - AWS Directory Service

AWS Domain Administrators have full administrative access to all domains hosted on AWS. See your agreement with AWS and the AWS Data Protection FAQ for more information about how AWS handles content, including directory information, that you store on AWS systems.

AWSの「Domain Administrators」は、AWS (Directory Serviceと読み替えて問題ないでしょう) でホストされるすべてのドメインに対する「full administrative access」を持っているといいます。どういうことなんでしょうか? Microsoft ADのインスタンスにRDPすることはできない、しなくてよい?

やってみる

何はともあれ実践です。今回は、Launchを押してから完成まで25分でした。

Bildschirmfoto 2015-12-04 um 10.33.47

取り急ぎ、同じVPCにあったWindows Serverから参加してみます。

Bildschirmfoto 2015-12-04 um 11.02.21

できました!

Bildschirmfoto 2015-12-04 um 11.07.10

ドメインとフォレストの機能レベルです。

Bildschirmfoto 2015-12-04 um 11.27.32

ひとつめDCと、

Bildschirmfoto 2015-12-04 um 11.29.48

ふたつめDCです。

Bildschirmfoto 2015-12-04 um 11.30.09

ここまで、つまずきどころなしで来てしまいました。これがマネージド製品の威力なのか...

おたのしみ

Bildschirmfoto 2015-12-04 um 11.37.42

そういうことで、おたのしみのコーナーです。こんなのはどうでしょう? もし「admin」アカウントにその権限があるとすれば、ドメインコントローラを検索してサーバーマネージャーに追加することができるはずです。

Bildschirmfoto 2015-12-04 um 11.39.08

そらそっか。「admin」アカウントには、Active Directory ドメイン サービスが実行されているコンピュータを管理する権限(責務)はなさそうです。

Bildschirmfoto 2015-12-04 um 11.42.37

どんどんいきます。Microsoft ADのために作成されたセキュリティグループに、InboundでRDP(TCP:3389)を追加してみましょう。

Bildschirmfoto 2015-12-04 um 11.47.59

ドメインコントローラのひとつにリモートデスクトップしてみます。ここが繋がるかどうかに、Active Directory ドメイン サービスを実行するWindows Serverを「マネージド」と呼んでよいのかがかかっています。

Bildschirmfoto 2015-12-04 um 11.44.42

やりました!! 「admin」はそういう権限(責務)を持っていないことがはっきりしました。

おわりに

このたび、ついにマイクロソフト製品で構成されたマネージドなADドメインコントローラが誕生しました。Windows ServerビルトインのAdministratorアカウントに対するアクセスはAWSが保持し、頭の痛い脆弱性対策とか設定の最適化とかを引き受けてくれます。Launch画面でパスワードを指定した「admin」アカウントは、ドメインの組織単位(OU)に対する管理操作に必要な権限だけが付与されたアカウントだったわけです。さようなら月例アップデート!

こうなってくると、これからAWSにはフルマネージドなマイクロソフト製品がもっと増えるのかもしれません。ほんっとうに目が離せませんね!