AWS Managed Microsoft AD

概要:

AWS Directory Service for Microsoft Active Directoryとも呼ばれるは AWS Managed Microsoft AD、Windows Server Active Directory を搭載し、によって管理されます AWS。 AWS Managed Microsoft AD を使用して、さまざまな Active Directory 対応アプリケーションをに移行できます AWS クラウド。 AWS Managed Microsoft AD は、さまざまなネイティブ Active Directory アプリケーションおよびサービスと連携します。また、AWS マネージドアプリケーションおよびサービスもサポートしています。サービスとその請求メカニズム AWS Managed Microsoft AD により、のコスト最適化の手段は多くありませんが、コストを最小限に抑えるのに役立ついくつかの設計原則があります。

コストへの影響

AWS Managed Microsoft AD は現在の SKUs に基づくマネージドサービスであるため、サイズ設定は比較的簡単なプロセスです。現在、Standard Edition と Enterprise Edition の 2 つのサイジング SKU を使用できます。その他の SKU には、ディレクトリ共有、ドメインコントローラーの追加 (追加のリージョンを含む)、クロスリージョンデータ転送などがあります。

コスト最適化の推奨事項

AWS Managed Microsoft AD Standard Edition と AWS Managed Microsoft AD Enterprise Edition には違いがあります。Enterprise Edition は、最大 500,000 個の Active Directory オブジェクト、500 個のアカウント共有 (ソフト制限) をサポートし、マルチリージョンをサポートしています。Standard Edition は、最大 30,000 個の Active Directory オブジェクト、5 個のアカウント共有 (ソフト制限は最大約 25 個) をサポートし、マルチリージョンはサポートしていません。

注記

Active Directory オブジェクトの上限は近似値です。ディレクトリでサポートできるオブジェクトの数は、オブジェクトのサイズ、アプリケーションの動作やパフォーマンスニーズに応じて増減する場合があります。

ディレクトリタイプを選択する前に考慮すべき質問は次のとおりです。

マルチリージョンのサポートは必要ですか。
ディレクトリは 25 を超えるアカウントと共有されますか。
Active Directory オブジェクトの数は 30,000 を超えますか。

上記の質問のいずれかに対する回答が「はい」の場合は、Enterprise Edition が必要です。すべての質問に対する回答が「いいえ」の場合は、Standard Edition から始めることをお勧めします。

注記

ディレクトリは Standard Edition から Enterprise Edition にアップグレードできますが、ダウングレードすることはできません。Standard Edition をデプロイすることは、一方通行の扉を通ることではありません。ディレクトリを Enterprise Edition にアップグレードする場合は、にお問い合わせください AWS。

AWS Managed Microsoft AD Enterprise Edition でディレクトリを共有する場合は、共有ごとにコストが発生します。これは、各アカウントにディレクトリをデプロイするコストよりも安くなりますが、チェックしないと共有コストが徐々に増加する可能性があることに注意してください。Amazon Relational Database Service (Amazon RDS) および Amazon FSx for Windows File Server を含むアカウントとのみディレクトリを共有することをお勧めします。これらのサービスのみがこの機能をサポートしているためです。FSx for Windows File Server を AWS Managed Microsoft ADなどのセルフマネージド Active Directory と統合するオプションがあることに注意してください。別のアカウントで Amazon FSx のみが必要な場合は、ディレクトリを共有しなくても、 AWS Managed Microsoft AD に対してセルフマネージド Amazon FSx デプロイを実行できます。

追加のドメインコントローラーをデプロイするタイミングを決定するときは、 AWS Managed Microsoft AD が同じ VPC 内の別々のアベイラビリティーゾーンで 2 つのサブネットのみをサポートすることに注意してください。ドメインコントローラーを追加しても、サブネットを追加することはできません。パフォーマンスの問題によりドメインコントローラーを追加する必要があるかどうかを判断するには、CloudWatch でドメインコントローラーのパフォーマンスメトリクスを確認します。これにより、1 つまたはすべてのドメインコントローラーが過負荷になっているかどうかがわかります。1 つのドメインコントローラーだけが過負荷になっていると判断した場合は、ドメインコントローラーを追加しても負荷は軽減されません。現在利用可能なドメインコントローラー間で負荷分散されていないアプリケーションをさらに詳しく調べる必要があります。すべてのドメインコントローラーが頻繁に使用されている場合は、ドメインコントローラーを追加すると、既存のドメインコントローラーの負荷が軽減される可能性があります。スケーリングを自動化する方法については、 AWS セキュリティブログの「使用率メトリクスに基づいて AWS Managed Microsoft AD スケーリングを自動化する方法」を参照してください。

ディレクトリを複数のリージョンに拡張する場合は、ファイルストレージにディレクトリ NETLOGON 共有も SYSVOL 共有も使用しないことをお勧めします。すべてのドメインコントローラーは、それらの共有の内容をレプリケートします。ファイルストレージに共有を使用しないと、データ転送コストを最小限に抑えることができます。

また、とのエンタープライズ契約に登録することもできます AWS。エンタープライズ契約では、ニーズに最適な契約を調整できます。詳細については、「Enterprise Customers」を参照してください。

その他のリソース

AWS Managed Microsoft AD クォータ (AWS Directory Service ドキュメント)
AWS Directory Service 料金表 (AWS ウェブサイト)
「Active Directory Domain Services on AWS」(AWS ホワイトペーパー)

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Amazon EC2 上のセルフマネージド Active Directory

AD Connector