AWSで Active Directory を利用
AWSでActive Directoryを利用する際に構築可能な3つのパターンが存在している。
| Active Directory Server on EC2 | AWS Directory Service Simple AD | AWS Directory Service Managed Microsoft AD | |
|---|---|---|---|
| ケース | オンプレミスWindows Server での運用とあまり変えたくない方 | 小規模なディレクトリやAWS 内で完結する方 | 高い可用性と耐久性が必要なActive Directory を新たに構築したい方 |
| 運用・保守 | 自身で設計 | AWS側で管理 Samba4 ベース | AWS側で管理 Windows Server 2019 ベース |
| セキュリティ | 自身で設計 | CloudTrailを利用して監査ログの取得 自動アップデート | CloudTrailを利用して監査ログの取得 自動アップデート |
| バックアップ | 自身で設計 | AWS側で設計 スナップショットを利用 | AWS側で設計 スナップショットを利用 |
| ユースケース | ・Active Directory 最新版の機能を使う ・ハイブリッド構成かつシングルドメイン | ・小規模なユーザ管理、高度なグループポリシーを使用しない ・AWS 内で完結 | ・高い可用性と耐久性が必要 ・オンプレとは信頼関係を維持 |
① Active Directory サーバー on EC2
オンプレミスWindows ServerをAmazon EC2で立てる為、ほとんど変えることなく使うことが出来る。
メリット
・Windows Server の標準機能が利用可能 ・操作手順はオンプレミスとほとんど同じ
デメリット
・OS 以上のレイヤは運用保守の検討が必要 (Windows Update など) ・冗長化も可能。(EC2 を複数台立てた上で冗長化設計が必要) ・高額な料金になる場合がある
② AWS Directory Service (Simple AD)
小規模なディレクトリやAWS 内で完結する場合
Simple AD - AWS Directory Service
Simple AD、そのサイズ、機能、利点、サポートされていないサービスの詳細をご覧ください。
docs.aws.amazon.com
Simple AD
Samba 4 Active Directory Compatible Server を使用するスタンドアロンのマネージドディレクトリです
・スモール – 最大 500 ユーザー (ユーザー、グループ、コンピュータを含めて約 2,000 オブジェクト) をサポートします。
・ラージ – 最大 5,000 ユーザー (ユーザー、グループ、コンピュータを含めて約 20,000 オブジェクト) をサポートします。
メリット
・手軽に可用性や対障害性を向上させることができる ・従量課金で利用可能
デメリット
・AWS 外のコンポーネントの管理ができない ・既存ドメインとの信頼関係の設定不可 ・ユーザ管理用に別途 EC2 インスタンスが必要
③AWS Directory Service (Managed Microsoft AD)
高い可用性と耐久性が必要なActive Directory を新たに構築する際に
Active Directory – AWS Directory Service – AWS
Active Directory を AWS リソースに接続するか、またはディレクトリ対応ワークロード用に AWS で新しいディレクトリを設定します。
aws.amazon.com
Active Directory ユーザーの AWS Managed Microsoft AD への移行 - AWS Directory Service
Active Directory ユーザーを AWS Managed Microsoft AD に移行する方法について説明します。
docs.aws.amazon.com
Managed Microsoft AD
・Windows Server 2019 を使用
・Standard:最大 30,000* のディレクトリオブジェクト (ユーザー、グループ、コンピュータなど) をサポート、Enterprise:最大 500,000* のディレクトリオブジェクトを有する企業組織をサポート
メリット
・手軽に可用性や対障害性を向上させることができ、大規模な運用が可能 ・既存の Microsoft AD 認証情報を使用して AWS リソースにアクセスすることで、よりスムーズなユーザーエクスペリエンスを提供できます
デメリット
・シングルフォレスト・シングルドメイン構成が必須 ・WindowsのAdministrator 権限は利用不可。別途AdminがAWSから付与される ・Simple ADと比較すると料金やや高
③-1 AWSのドメインと、オンプレミスのドメインを2つ作り、信頼関係の構築の場合
・2つのドメインを作成することで、信頼関係を構築するというような形を取ることが出来る。 ・- 拠点のコンピューターの管理はオンプレミスのActive Directoryで行う ・- AWSに移行したサーバーの管理はAWSのクラウドの方での管理を行う
③-2 ドメインを変えなく場合、EC2で構築する方法
Active DirectoryにManaged Microsoft ADを使わずにActive Directoryサーバーon EC2を使用する。この際、冗長化のため2台作成する。3台(オンプレミス1台、AWS2台)で1つのドメインとして構築。どちらかの拠点が使えなくなってしまった場合でも相互にリレーションとなり保管が可能となる。
コメント