AWS再入門 AWS Directory Service 編

特集

トラン

2015.12.11

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

当エントリはDevelopers.IOで弊社AWSチームによる『AWS サービス別 再入門アドベントカレンダー 2015』の11日目のエントリです。昨日10日目のエントリは、西澤による『Amazon EC2 (Linux編)』と『Amazon EC2 (Windows編)』の2本立てでした。 このアドベントカレンダー企画は、普段AWSサービスについて最新のネタ・深い/細かいテーマを主に書き連ねてきたメンバーの手によって、今一度初心に返って、基本的な部分を見つめ直してみよう、解説してみようというコンセプトが含まれています。

本日11日目のテーマは『AWS Directory Service』です。

はじめに

Bildschirmfoto 2015-12-07 um 14.01.28

こんにちは、ももんが大好きの小山です。きょうは、アドベントカレンダーということで AWS Directory Service をご紹介したいと思います。AWS Directory Service は、用途に合わせて3つのコンポーネントが用意されるディレクトリ製品です。利用者は選択するサービスに応じて、既存の AD ドメインを AWS のサービスで活用したり、新しいドメインを作成したりすることができます。ここでは、それぞれのコンポーネントの要点について見ていきたいと思います。

AWS Directory Service(クラウド上の管理型ディレクトリ) | アマゾン ウェブ サービス (AWS 日本語)

AD Connector

Untitled-2

既存の AD ドメインを活用したいとき、AD Connector が便利です。Windows Server 2003 以降で実行されるドメインコントローラを VPC にプロキシすることで、以下のような機能をシームレスに実現できます。

  • AD ドメインのログイン情報で AWS の Management Console にシングルサインオン (SSO) する
  • EC2 Simple Systems Manager を利用して、AD ドメインに参加した状態で EC2 インスタンスを起動 (launch) する*
  • 管理すべきログイン情報を増やすことなく WorkDocs、WorkSpaces、WorkMail 等のマネージドアプリケーションを利用する

*現時点 (2015年12月11日) でSSMがサポートされるリージョンは、US East (N. Virginia)、US West (Oregon)、EU (Ireland) の3つです。

ただし既存の AD ドメインがさほど重要な役割を果たしていない場合、Simple AD や Microsoft AD のようにマネージドなディレクトリ製品への移行を検討すべきかもしれません。AD Connector の実体は Samba (Amazon Linux) ベースの Active Directory プロキシであるため、ドメインコントローラをこれまで通り維持しなければならないからです。

Active Directoryを活用したAWS Management ConsoleへのSSO(AD Connector編) | Developers.IO

Simple AD

Untitled

VPC 上にまったく新しいディレクトリを作成したいとき、Simple AD は手頃なソリューションです。VPC から2つのサブネットを指定し、Active Directory 互換の Samba (Amazon Linux) ディレクトリを新規で使い始めることができます。以下に挙げる通り、Simple AD では既存の AD ドメインを AD Connector でプロキシする場合と同じ機能が利用できます。

  • 作成したドメインのログイン情報で AWS の Management Console にシングルサインオン (SSO) する
  • EC2 Simple Systems Manager を利用して、作成したドメインに参加した状態で EC2 インスタンスを起動 (launch) する*
  • 作成したドメインのログイン情報で WorkDocs、WorkSpaces、WorkMail 等のマネージドアプリケーションを利用する

AWS Directory Service(Simple AD)のみでユーザ管理(AWS Management Console編) | Developers.IO

AWS Directory Service(Simple AD)のみでユーザ管理(OSログイン編) | Developers.IO

Microsoft AD

Untitled-3

Microsoft AD は、ごく最近利用可能になったサービスです。Simple AD と同じように簡単に使い始めることができますが、作成されるのは Active Directory 互換のドメインコントローラではなく Windows Server 2012 R2 で実行される AD ドメインサービスそのものです。EC2 の Windows Server 上に自分で AD ドメインサービスを構成する場合と異なるのは、ドメインコントローラが AWS により維持されるということです。Windows Server にビルトインの Administrator アカウントは AWS によって所有され、利用者は最適化された環境で AD ドメインの運用に専念することができます。AD Connector、Simple AD と同じように以下の機能が利用できます。

  • 作成したドメインのログイン情報で AWS の Management Console にシングルサインオン (SSO) する
  • EC2 Simple Systems Manager を利用して、作成したドメインに参加した状態で EC2 インスタンスを起動 (launch) する*
  • 作成したドメインのログイン情報で WorkDocs、WorkSpaces、WorkMail 等のマネージドアプリケーションを利用する

AWS Directory Service: 新製品の「Microsoft AD」を試す | Developers.IO

比較

では、3つのサービスをお値段と最大収容数の観点で比較してみます。Microsoft AD の Enterprise サイズは、Simple AD の Large サイズと比べて10倍ものキャパシティを備えるにも関わらず費用を抑えられていることがわかります。いずれにせよ、2つのサブネットにそれぞれマネードなドメインコントローラが配置されていることを考えると圧倒的な対費用効果といえるのではないでしょうか。

料金 (ap-northeast-1)

Ohne Titel

最大収容数 (ディレクトリユーザ/ディレクトリオブジェクト)

Ohne Titel

おわりに

駆け足でご紹介してきましたが、AWS Directory Service に興味を持っていただけたでしょうか? ほとんどのサービスを1時間単位で試せるのが AWS の魅力でもありますから、今週末はぜひ AWS Directory Service を使ってみてください。あす、12月12日のアドベントカレンダーは Amazon Inspector (Preview)カジがお届けする予定です。おたのしみに!

ドキュメント

AWS Directory Service(クラウド上の管理型ディレクトリ) | アマゾン ウェブ サービス (AWS 日本語)

What Is AWS Directory Service? - AWS Directory Service (管理者ガイド)

Managing Your Microsoft Windows Server Fleet with AWS Directory Service (ホワイトペーパー)

AWS

関連記事

不要なDirectory Serviceを削除する際に「Cannot delete the directory because it still has authorized applications」とのエラーが出て削除が出来ません、対処方法を教えてください

Lei.Yang

2024.02.13

Simple AD から Microsoft Managed AD へ移行する際に、一時的に同一サイト名を使用することは可能か教えてください

片方 裕人

2023.10.14

AWS Directory Service คืออะไร? การแนะนำฟังก์ชันล่าสุดของ AWS ในปี 2023

Piyachart Temwipartsiri

2023.09.06

Directory Serviceにてステータス「障害」が発生しました、解消方法を教えてください。

Lei.Yang

2023.08.14