AWS Directory Service を使用して Microsoft Active Directory を設定する
AWS Managed Microsoft AD は、Windows Server 2019 を搭載した AWS でフルマネージドの Microsoft Active Directory を作成し、2012 R2 フォレストおよびドメインの機能レベルで動作します。AWS Directory Service は Amazon VPC 内の複数の異なるサブネットにドメインコントローラーを作成し、障害が発生した場合でもディレクトリを高可用性にします。
AWS Managed Microsoft AD を使用してディレクトリを作成するには、「AWS Directory Service 管理ガイド」の「AWS Managed Microsoft AD の開始」を参照してください。
ネットワーク接続の設定
ディレクトリと DB インスタンスの間のクロス VPC トラフィックを有効にする
同じ VPC 内にディレクトリと DB インスタンスを配置するには、このステップをスキップして「ネットワーク設定ポートルール」の次のステップに進みます。
ディレクトリと DB インスタンスを別の VPC に配置するには、VPC ピアリング接続または AWS Transit Gateway を使用してクロス VPC トラフィックを設定します。VPC ピアリング接続の詳細については、「Amazon VPC ピアリング接続ガイド」の「VPC ピア機能とは」および「Amazon VPC Transit Gateways」の「AWS Transit Gateway とは」を参照してください。
VPC ピアリング接続を使用してクロス VPC トラフィックを有効にするには
適切な VPC ルーティングを設定し、ネットワークトラフィックが双方向にフローするようにします。
DB インスタンスのセキュリティグループが、ディレクトリのセキュリティグループからインバウンドトラフィックを受信できるようにします。詳細については、「ネットワーク設定ポートルール」を参照してください。
ネットワークのアクセスコントロールリスト (ACL) はトラフィックをブロックしてはなりません。
別の AWS アカウントがディレクトリを所有している場合は、ディレクトリを共有する必要があります。RDS Custom for SQL Server インスタンスが含まれているディレクトリを AWS アカウント と共有するには、「AWS Directory Service 管理ガイド」の「チュートリアル: シームレスな EC2 ドメイン結合のための AWS Managed Microsoft AD の共有」に従います。
ディレクトリを AWS アカウント間で共有する
-
DB インスタンスのアカウントを使用して AWS Directory Service コンソールにサインインし、ドメインのステータスが
SHAREDであることを確認してから、続行します。 DB インスタンスのアカウントを使用して AWS Directory Service コンソールにサインインした後で、[ディレクトリ ID] の値を書き留めておきます。この ID は、DB インスタンスをドメインに参加させるために使用します。
DNS 解決を設定する
AWS Managed Microsoft AD でディレクトリを作成すると、ユーザーに代わって AWS Directory Service が 2 つのドメインコントローラーを作成し、DNS サービスを追加します。
VPC に既存の AWS Managed Microsoft AD があるか、RDS Custom for SQL Server DB インスタンス以外の AD を起動する予定がある場合は、Route 53 アウトバウンドルールとリゾルバールールを使用して特定のドメインのクエリを転送するように VPC DNS リゾルバーを設定します。詳細については、DNS レコードを解決するように Route 53 Resolver のアウトバウンドエンドポイントを設定する
