AMS Managed Active Directory - AMS Advanced ユーザーガイド

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AMS Managed Active Directory

AMS は、AMS が Active Directory (AD) インフラストラクチャオペレーションを処理できるようにする Managed Active Directory (別名 Managed AD) と呼ばれる新しいサービスを提供し、Active Directory 管理を制御できるようになりました。

Managed AD の AMS サポートは、Amazon Relational Database Service (Amazon RDS) の AMS サポートと似ています。いずれの場合も、 AWS (AMS を含む) はサービスを実行しているインフラストラクチャの作成と管理をサポートし、アクセスコントロールとすべての管理機能を実行します。このモデルには次の利点があります。

  • セキュリティリスクを制限します。 AWS AMS にはドメインに対する管理者権限は必要ありません。

  • 直接統合: 現在の認可モデルを使用し、AMS とインターフェイスすることなく AD と統合できます。

注意:

  • AMS もユーザーも Managed AD ドメインコントローラーにアクセスできないため、ドメインコントローラーにソフトウェアをインストールすることはできません。ドメインコントローラーにソフトウェアをインストールする必要があるサードパーティーソリューションは許可されていないため、これは重要です。

    アクセスは次のようになります。

    • AWS Directory Service チーム: ドメインコントローラーにアクセスできます。

    • AMS: Directory Service APIs にアクセスして、ドメインで特定のアクションを実行できます。これらのアクションには、AD スナップショットの作成、AD スキーマの変更、その他のアクションが含まれます。

    • ユーザー: ユーザー、グループなどを作成するためのドメイン (AD) にアクセスできます。

  • 従来の AD 環境のすべての機能が Managed AD 環境で利用できるわけではないため、企業 AD を移行する前に Managed AD で概念実証を実行することをお勧めします。

  • AMS は AD 管理を管理またはガイダンスしません。例えば、AMS は組織単位構造、グループポリシー構造、AD ユーザーの命名規則などに関するガイダンスを提供しません。

次のようになります。

  1. AMS は AWS アカウント 、AMS アカウントとは別の新しい をオンボードし、 AWS Directory Service を通じて Active Directory (AD) 環境をプロビジョニングします (AWS Directory Service とはも参照してください)。

    以下は、AMS が Managed AD にオンボードするために、システムインテグレーターがお客様から収集する必要がある情報です。

    • アカウント情報

      • AMS 管理 AD: AWS アカウント number 用に AWS アカウント 作成された のアカウント ID

      • Managed AD をオンボードするリージョン: AWS リージョン

    • マネージド Active Directory 情報:

      • Microsoft AD Edition: Standard/Enterprise。AWS Microsoft AD (Standard Edition) には、1 GB のディレクトリオブジェクトストレージが含まれています。この容量は、ユーザー、グループ、コンピュータなど、最大 5,000 ユーザーまたは 30,000 ディレクトリオブジェクトをサポートできます。AWS Microsoft AD (Enterprise Edition) には 17 GB のディレクトリオブジェクトストレージが含まれており、最大 100,000 ユーザーまたは 500,000 オブジェクトをサポートできます。

        詳細については、AWS Directory Service のFAQs」を参照してください。

      • ドメイン FQDN: AMS Managed AD ドメインの FQDN。

      • ドメイン NetBIOS 名: AMS Managed AD ドメインの NetBIOS 名。

      • Managed AD 統合先の AMS 標準アカウントのアカウント番号 (AMS は AMS 標準アカウントの AD から Managed AD への一方向の信頼を設定します)

      • Active Directory スキーマの変更が必要で、必要な場合はどのような変更が必要ですか?

      • デフォルトでは、2 つのドメインコントローラーがプロビジョニングされます。さらに が必要ですか? その場合は、必要な数と理由を教えてください。

    • Managed Active Directory 情報のネットワーク:

      • ドメインコントローラーの Managed AD VPC CIDR ( Managed AD ドメインコントローラーのプライベートサブネット範囲内の CIDR)。

        • ドメインコントローラーのサブネット CIDR 1: [CIDR、AMS Managed AD VPC CIDR の一部である必要があります〕

        • ドメインコントローラーのサブネット CIDR 2: [CIDR、AMS Managed AD VPC CIDR の一部である必要があります〕

        例:

        • マネージド AD VPC CIDR: 192.168.0.0/16

        • ドメインコントローラーの CIDR 1: 192.168.1.0/24

        • ドメインコントローラーの CIDR 2: 192.168.2.0/24

        IP アドレスの競合を回避するには、指定する Managed AD VPC CIDR が、企業ネットワークで使用している他のプライベートサブネット CIDR と競合しないことを確認してください。

      • VPN テクノロジー (オプション): [Direct Connect/Direct Connect と VPN]

        • ゲートウェイの BGP 自律システム番号 (ASN): [お客様が用意した ASN]

        • ゲートウェイの外部インターフェイスのインターネットルーティング可能な IP アドレス。アドレスは静的である必要があります: [お客様提供の IP アドレス〕

        • VPN 接続に静的ルートが必要かどうか: [はい/いいえ〕

  2. AMS は AD 環境の管理者アカウントのパスワードを提供し、AMS エンジニアが AD 環境にアクセスできなくなるようにパスワードをリセットするよう要求します。

  3. 管理者アカウントのパスワードをリセットするには、Active Directory ユーザーとコンピュータ (ADUC) を使用して Active Directory 環境に接続します。ADUC およびその他のリモートサーバー管理ツール (RSAT) は、AMS 以外のインフラストラクチャでプロビジョニングされた管理ホストにインストールして実行する必要があります。Microsoft には、このような管理ホストを保護するためのベストプラクティスがあります。詳細については、「安全な管理ホストの実装」を参照してください。これらの管理ホストを使用して Active Directory 環境を管理します。

  4. 日常業務では、AMS は、VPC 設定、AD バックアップ、AD 信頼の作成と削除など、 AWS Directory Service 側 AWS アカウント までの を管理します。AD 環境を使用および管理します。例えば、ユーザーの作成、グループの作成、グループポリシーの作成などです。

最新の RACI テーブルについては、「サービスの説明」の「役割と責任」セクションを参照してください。