[レポート] Windows ワークロードをサポートするための Active Directory on AWS #WIN312 #reinvent

はじめに

みなさま Xin chao !

本記事は、AWS re:Invent 2019 のセッション 「WIN312 Active Directory on AWS to support Windows workloads」 のレポートです。

 

セッション概要

セッション概要を和訳したものです。

AWS で Microsoft Active Directory を実行するためのオプションを知りたいですか？ Microsoft ワークロードを AWS に移行する場合、グループポリシーの管理、認証、および承認をサポートするために、どのように Microsoft Active Directory を展開するかを検討することが重要です。 このセッションでは、AWS Directory Service for Microsoft Active Directory や Amazon Elastic Compute Cloud (Amazon EC2) 上の Windows への Active Directory のデプロイなど、Microsoft Active Directory を AWS にデプロイするための選択肢について説明します。 オンプレミスの Microsoft Active Directory 環境をクラウドに統合し、Office 365 などの SaaS アプリケーションを AWS シングルサインオンで活用するなどのトピックを扱います。

 

スピーカー

• Vinod Madabushi - Principal Solutions Architect, Amazon Web Services
• Peter Pereira - Senior Product Manager, Amazon Web Services

 

レポート

アジェンダ

• AWS で Active Directory を実行する際の選択肢
• AWS Managed Microsoft AD
• 一般的なデプロイパターン
• Active Directory デザイン

 

AWS で Active Directory を実行する際の選択肢

なぜ顧客は AWS に Active Directory を展開するのか？

• AWS 上の Windows ワークロードをサポートするため
• AWS のアプリケーション, サービスと統合するため
• アプリケーションに低レイテンシーを提供するため

AWS 上で Active Directory を実行させるための選択肢

• EC2 上のセルフセルフマネージド Active Directory
• AWS Managed Microsoft AD

2 つの選択肢からどのように選ぶのか？

EC2 上のセルフマネージド Active Directory を選択するケース

• 既存のフォレスト / ドメイン を AWS に拡張する必要がある
• ドメイン / エンタープライズドメイン権限が必要
• 既存のユーザー, グループ, OU (＝組織単位), GPO (＝グループポリシーオブジェクト) が必要
• オンプレミスと AWS 間の単一の統合環境が必要

AWS Managed Microsoft AD を選択するケース

• クラウドでの AD インフラストラクチャーの運用管理を最小限にしたい
• ユーザー管理のコントロールを維持しながら、別チームにクラウド AD 管理の委任を許可したい
• オンプレミス環境と AWS 環境を区別する必要がある
• AWS ネイティブの認証が必要

 

AWS Managed Microsoft AD

AWS Managed Microsoft AD : 中身は何なのか？

• Microsoft AD そのものが動いている (現時点では Windows Server 2012 R2 ベース)
• シングルテナント (ただし Dedicated Host ではない), マネージドサービス
• 既定で 2 台のドメインコントローラー (最大数はなし)
• OU のディレクトリオブジェクトに対する委任管理権限を提供
• 標準の AD 管理ツールをサポート
• AWS による可用性の確保, パッチ適用, バックアップを含む、マネージドなインフラストラクチャー
• AWS サービス (AWS SSO, Amazon RDS for SQL Server 他) とのシームレスな統合

 

一般的なデプロイパターン

EC2 で Active Directory を AWS に拡張する

 

AWS Managed Microsoft AD をリソースドメインとしてデプロイする

 

AWS Managed Microsoft AD をスタンドアローンでデプロイする

 

AWS アカウントの構成例

 

Active Directory のデザイン

一般的に Active Directory と共に使用される AWS サービス

 

シングルリージョンデザイン - Active Directory on EC2

 

マルチリージョンデザイン - Active Directory on EC2

 

シングルリージョンデザイン - AWS Managed Microsoft AD

 

マルチリージョンデザイン - AWS Managed Microsoft AD

 

AWS マネージドサービスを使用する利点

顧客の要望

• Active Directory とのシームレスな統合
• 管理コストの削減
• ワークロードの迅速なデプロイ
• API を使用したデプロイの自動化
• 高可用性
• セキュリティの向上

AWS Managed Microsoft AD と Amazon RDS, Amazon FSx の統合

 

Active Directory on EC2 と Amazon RDS, Amazon FSx の統合

 

AWS SSO 統合アプリケーションと AWS Managed Microsoft AD

 

AWS SSO 統合アプリケーションと Active Directory on EC2

 

AWS アプリケーションと AWS Managed Microsoft AD の統合

 

AWS アプリケーションと Active Directory on EC2 の統合

 

さいごに

以上、「WIN312 Active Directory on AWS to support Windows workloads」のセッション概要でした。

キーノートセッションでは、「Windows を×××」 のような過激なフリもありましたが (汗) AWS は Microsoft 製品のワークロードが数多く稼働する環境の 1 つとなっています。 Microsoft 製品に欠かせない Active Directory の展開方法について、様々なパターンが紹介されたセッションでした。

詳細については、ぜひとも、いずれ公開されるであろう本セッションの動画でご確認ください！