Microsoft AD(AWS Directory Service)を利用する上で注意すること
西澤です。まだまだ細かく触れていないAWS Directory ServiceのMicrosoft ADですが、Simple ADとは違って、実体がMicrosoft Windowsでできているから、ADでできるほとんどのことは実現できるだろうと思っていたら、少々注意が必要なようです。お客様向けにまとめる機会がありましたので、改めて整理しておきたいと思います。
Microsoft ADとは?
AWS Directory Serviceが何だかわからない、Simle ADとMicrosoft ADの違いは何?、という方は、koyamaさんが書いてくれた、AWS再入門 AWS Directory Service 編 | Developers.IO にまず目を通していただくことをお勧めします。
その他のスライド等の資料はMicrosoft ADがリリースされるタイミングよりも少し古いものしか見つからなかったので、公式ドキュメントをお読みいただくのが良いと思います。
Microsoft ADを利用する上での注意事項1(ユーザとコンピュータ)
昨年末に満を持してリリースされたMicrosoft ADですが、利用できる管理者アカウントは、Administratorユーザではありません。AWSにより権限を絞られたAdminユーザです。この権限制御は一体どのように実現されているのか、管理ツールを導入してADユーザとコンピュータから確認してみます。公式ドキュメントではこんな記載になっています。
- Admin Account Permissions (Microsoft AD) - AWS Directory Service
- activities for your OU:
- Create update, or delete users, groups, and computers
- Add resources to your domain such as file or print servers, and then assign permissions for those resources to users and groups in your OU
- Create additional OUs and containers
- Delegate authority
- Create and link group policies
- Restore deleted objects from the Active Directory Recycle Bin
- Run AD and DNS Windows PowerShell modules on the Active Directory Web Service
- domain-wide activities:
- Manage DNS configurations (Add, remove, or update records, zones,and forwarders)
- View DNS event logs
- View security event logs
- activities for your OU:
Actions not listed here are not allowed for the admin account. The admin account also lacks permissions for any directory-related actions outside of your specific OU, such as on the parent OU.
ここに記載が無い権限は許可されていませんよ、とはっきり書いてあります。詳しく見てみましょう。
まずは、デフォルトで作成されるOUやグループをご覧ください。AWS Reserved
というOUが作成されています。Adminユーザには、当然このOUに対する操作権限はありません。
Adminユーザの管理対象は、AWSが自動で作成してくれる専用のOU(下記画面の例では、msad.local/msad/)配下の、ComputersとUsersのみとなります。Adminユーザの権限でドメイン参加したコンピュータや作成されたドメインユーザは自動的にこちらのOU配下に作成されます。
Adminユーザが所属しているグループは下記となります。詳細は不明ですが、概ね管理対象はその名前から想像がつきますね。専用のOU(今回の例ではmsad.local/msad/Users/)配下のグループに対する操作は可能ですので、その他の作成したドメインユーザもこれらのグループに所属させれば、役割を分けて管理することができそうです。
- msad.local/msad/Domain Users
- msad.local/msad/Users/Admins
- msad.local/AWS Reserved/AWSAdministrators
- msad.local/msad/Users/DHCP Admins
- msad.local/msad/Users/DNS Admins
- msad.local/msad/Users/Policy Admins
- msad.local/msad/Users/Server Admins
※msad.local/msadと記載してあるものは、今回試した検証環境での例
Microsoft ADを利用する上での注意事項2(DNS)
DNSも同様にDNS管理ツールをインストールしてドメインコントローラに接続することで利用できます。こちらは概ねほとんどの操作を行うことができそうです。Simple ADでは利用できなかった、レコードの自動更新や条件付フォワーダ設定も動作確認ができました。DNSサーバのプロパティを参照しようとすると、動作がやけに重たいところだけご注意ください。
Microsoft ADを利用する上での注意事項3(グループポリシーの管理)
グループポリシーの管理(GPMC)も確認してみます。ADUCで確認した通り、特定のOUにしか操作権限無いところは同じですが、こちらはちょっと注意が必要です。デフォルトで、5つのポリシーオブジェクトが作成されており、下記画面の通り、各OUにリンクされています。
- Default Domain Policy
- AWS Managed Active Directory Policy
- Default Domain Controllers Policy
- Domain Group Policy
- ServerAdmins
用意されている管理ユーザであるAdminユーザがポリシー制御できるのは、特定OU配下のComputersとUsersのみです。Domain ControllersのOUに対しては変更権限がありませんので、ドメインアカウントのパスワードポリシーやロックアウトポリシーはDefault Domain Policyで設定済のものから変更する術がありません(今後のサービスアップデートで変更される可能性がありますが、少なくとも執筆時点ではできません)。その他、グループポリシーで制御したいポリシーの要件に合わせて細かく検証してみる必要がありそうです。
Microsoft ADを利用する上での注意事項4(バックアップとリストア)
こちらは、Simple ADとも共通なところですが、Managed Serviceならではの利点であり、制約ともなります。
スナップショット
バックアップとしては、AWS Directory Serviceが提供してくれるスナップショット機能を利用しましょう。注意すべきところは、スナップショットが5世代までという点と、本体を削除するとスナップショットも削除され、別リージョンや別アカウントに移行する機能が提供されていないという点です。
- 自動スナップショットは日次5世代(時間指定は不可)
- 手動スナップショットは任意のタイミングで最大5つまで作成可能(上限緩和申請の可否については)
- Directory本体を削除すると、スナップショット(自動/手動ともに)は全て削除される
- スナップショットを他のAWSアカウントと共有、エクスポートする手段は提供されていない
AWS Directory Serviceの制限については、下記公式ドキュメントをご確認ください。
- AWS Directory Service Limits - AWS Directory Service
- 上限緩和申請メニューから、Simple ADの手動スナップショットは選択できることを確認、Microsoft ADについてはメニューには存在しないが、申請可能かは未確認
リストア
そもそもDirectory削除と共にスナップショットも削除されてしまう為、起動済みDirectoryへの上書リストアのみ可能です。不整合が発生したり、ということは考える必要が無い代わりに、Directoryを削除してしまうと全て消えてしまうというところは注意が必要です。
Microsoft ADを利用する上での注意事項5(Security Group設定)
下記記事でもご紹介したのですが、AWS Directory ServiceコンソールからはSecurity Groupの操作はできません。VPC外との連携が必要となる場合には、作成されたENIを確認して、割り当てられたSecurity Groupに適切な権限が設定されているか確認し、必要に応じて修正して利用しましょう。
Microsoft ADを利用する上での注意事項6(起動時)
Microsoft ADの構築は非常に簡単ですが、利用できるようになるまで30分程度かかります。ご注意ください。
まとめ
せっかくなら運用を任せられるManaged Serviceを利用したいところですが、便利な反面、制約もあることもわかったので、要件に合わせて上手く選択したいですね。公式ドキュメントでは、管理対象のユーザ数を基準に使い分けるようなガイドになっていますが、Simple ADや、AD on EC2も視野に入れつつ、適切なサービスを選定して利用する必要がありそうです。
今回まとめた内容は執筆時点での情報となりますので、制約事項等は今後のリリースで、より利用しやすくなっていく可能性もあると思います。あくまで参考情報とお考えください。
この記事がどこかの誰かのお役に立てば嬉しいです。