FSx for Windows File ServerでセルフマネージドなActive Directoryが利用可能になりました。

FSx for Windowsのディレクトリに既存のActive Directoryを指定することができるようになりました。まいど、大阪の市田です。
これまではAWSのDirectory Serviceである「Microsoft AD」が必須でしたが、このアップデートによりオンプレやEC2で作成されたActive Directoryを利用することができるようになりました!

Amazon FSx for Windows File Server により組織の自己管理型 Active Directory で直接ファイルシステムを使用できるようになりました

やってみた

それでは早速試してみたいと思います。 今回は、FSxと同じVPC上にEC2でActive Directoryを構築しています。(手順は割愛させていただきます)

公式ドキュメントは下記になります。

Using Amazon FSx with Your Self-Managed Microsoft Active Directory - Amazon FSx for Windows File Server

前提条件

セルフマネージドなActive Directoryを利用する場合には、先程のドキュメントページにある条件(Prerequisitesの箇所)をクリアしている必要があります。

主にネットワーク構成とFSxに接続するための権限を持ったアカウント設定に関するものになります。今回は同じVPC上にActive Directoryを配置しているので、ネットワークに関する作業はセキュリティグループの設定のみです。

セキュリティグループ

FSxのセキュリティグループはインバウンドに次のルールを持ったものを作成しました。接続元はFSxが利用するインスタンスです。今回はインスタンスが配置されるサブネットのCIDRに対して許可する設定を入れました。
(アウトバウンドはデフォルトのままとしています。)

  • TCP / UDP 445(SMB)
  • TCP 135(RPC)
  • TCP / UDP 1024-65535(RPC用の一時ポート)

参考:File System Access Control with Amazon VPC - Amazon FSx for Windows File Server

Active Directoryのセキュリティグループは、下記ページにある内容で作成しています。接続元はFSxのあるサブネットCIDRとしました。

ステップ 2: AWS Managed Microsoft AD を準備する - AWS Directory Service

FSx用アカウントへの権限委任

権限委任用のアカウント設定は、下記ページにあるベストプラクティスに則ったユーザを作成しておきます。

上記ベストプラクティスにあるようにFSx用のユーザに権限の委任を行います。前提として、今回は下記の内容で作成します。

  • ドメイン:cmtest.local
    • ドメインコントローラはEC2で作成済みとします
  • OU:myfsx
  • 委任先のユーザ:fsxadmin
    • fsxadminはグループ「fsxgroup」のメンバーとします

委任用ユーザの作成

ドメインコントローラにログオンしてサーバマネージャより、「Active Directory ユーザとコンピュータ」をクリックします。

100-user-and-computer

対象のドメイン「cmtest.local」に対して、OU「myfsx」を作成します。

101-make-new-ou 102-ou-name

次にグループ「fsxgroup」を作成します。これはFSxの管理権限を持つグループ用です。

120-make-group 121-new-object

同様に、権限の委任用ユーザとして「fsxadmin」ユーザを作成します。

123-new-user

124-new-fsx-admin

パスワードを無期限として作成します。

107-password 108-complete

作成できたらグループに追加しましょう。

127-add-user-group 128-select-group

以上で専用ユーザの作成は完了です。

権限の委任

次に作成したグループに対して権限の委任を行います。 先程と同じようにサーバマネージャより「Active Directory ユーザとコンピュータ」を開きます。

100-user-and-computer

次に、対象のOU「myfsx」を右クリックして「制御の委任」をクリックしてください。

129-delegate

ウィザードが開くので「次へ」をクリックします。

03-next-wizard

「ユーザーまたはグループ」で「追加」をクリックして、制御を委任するユーザを追加します。

04-select-user-group

先に作成しておいたユーザ「fsxgroup」を追加します。

05-new-add-group

追加できたら「次へ」をクリック

06-new-added-next

「委任するタスク」では「委任するカスタムタスクを作成する」を選択します。

07-make-custom-task

「Active Directoryオブジェクトの種類」では「フォルダー内の次のオブジェクトのみ」を選択します。
また、対象オブジェクトは「コンピュータオブジェクト」のみ選択します。最後に「選択された〜」の2つにチェックを入れて「次へ」進みましょう。

08-choose-object

「アクセス許可」では次の4つを許可します。

  • パスワードのリセット
  • アカウントの制限の読み取りと書き込み
  • DNSホスト名への検証された書き込み
  • サービスプリンシパル名への検証された書き込み

09-select-allow-01 10-select-allow-02

最後に「完了」をクリックして終了です。

11-new-complete

FSxの作成

準備ができましたので、FSxを作成していきます。FSxの作成ウィザードより作成してみたところ、新たに「Windows authentication」に自前のActive Directoryを選択できるようになっていました。

今回はもちろん「Self-managed Microsoft Active Directory」を選択して作成してみます。

12-new-fsx-settings

項目名 設定内容 備考
Fully qualified domain name Active Directoryのドメイン名 作成したドメイン名
DNS server IP addresses ドメインコントローラのIP 今回はEC2のプライベートIPを指定
Service account username FSxがADに参加するサービスアカウント名 別途作成したものを指定
Service account password 上記のパスワード 上記アカウントのパスワード
Confirm password パスワード確認用
Organizational Unit (OU) within which you want to join your file system FSxを参加させるOU 作成したOU名(オプションです)
Delegated file system administrators group メンバーにFSxの管理権限を持つグループ 作成したグループ名(オプションです)

FSxの作成完了まで30分ほどかかるので気長に待ちます。

確認

作成できたら確認してみます。ドメインコントローラとは別のWindows Serverを作成しドメイン参加させてから、FSxに接続してみます。
異なる2つのインスタンスからそれぞれFSxに接続して、ファイル共有できました。

133-client1-new

134-client2

OU「myfsx」には、作成したFSxがコンピュータとして登録されていました。

132-fsx-ou

また、マネジメントコンソール上では、ドメインコントローラのIPと委任したユーザ情報(ユーザとパスワード)を更新できるようになっていました。

131-update

最後に

これまではMicrosoft ADの利用が必須だった為、オンプレミスのADを利用する場合、信頼関係を結ぶ必要がありました。
今回のアップデートによりADの配置場所を気にせず利用できるようになったので、FSxを導入しやすくなりました!

以上です。