AWS Lambda オートメーションを使用して AWS アカウント から同じ の Amazon EC2 AWS Managed Microsoft AD エントリを削除する - AWS 規範ガイダンス
概要前提条件と制限事項アーキテクチャツールベストプラクティスエピックトラブルシューティング関連リソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Lambda オートメーションを使用して AWS アカウント から同じ の Amazon EC2 AWS Managed Microsoft AD エントリを削除する

Amazon Web Services、Dr. Rahul Sharad Gaikwad、Tamilselvan P

概要

Active Directory (AD) は、ドメイン情報とネットワークサービスとのユーザーインタラクションを管理する Microsoft スクリプトツールです。これは、従業員の認証情報とアクセス許可を管理するために、マネージドサービスプロバイダー (MSP) の間で広く使用されています。AD 攻撃者は非アクティブなアカウントを使用して組織をハッキングしようとするため、非アクティブなアカウントを見つけて定期的なメンテナンススケジュールで無効にすることが重要です。を使用すると AWS Directory Service for Microsoft Active Directory、Microsoft Active Directory をマネージドサービスとして実行できます。

このパターンは、非アクティブなアカウントをすばやく見つけて削除するように AWS Lambda 自動化を設定するのに役立ちます。このパターンを使用すると、次のような利点があります。

  • データベースとサーバーのパフォーマンスを向上させ、非アクティブなアカウントのセキュリティの脆弱性を修正します。

  • AD サーバーがクラウドでホストされている場合、非アクティブなアカウントを削除すると、パフォーマンスを向上させながらストレージコストを削減することもできます。帯域幅料金とコンピューティングリソースの両方が下がることがあるため、月額請求額が減る可能性があります。

  • クリーンな Active Directory を使用して、潜在的な攻撃者を阻止しましょう。

前提条件と制限事項

前提条件

  • アクティブ AWS アカウント。

  • ローカルワークステーションにインストールおよび設定されている Git。

  • ローカルワークステーションにインストールおよび設定されている Terraform。

  • Active Directory モジュール (ActiveDirectory) を搭載した Windows コンピュータ。

  • パラメータストアの パラメータに保存されている AWS Managed Microsoft AD および 認証情報のディレクトリ。 AWS Systems Manager

  • AWS Identity and Access Management 「 ツール」に AWS のサービス リストされている へのアクセス許可を持つ (IAM) ロールIAM の詳細については、「関連リソース」を参照してください。

制限事項

  • このパターンは、クロスアカウント設定をサポートしていません。

  • 一部の AWS のサービス は では使用できません AWS リージョン。利用可能なリージョンについては、「AWS のサービス (リージョン別)」を参照してください。特定のエンドポイントについては、「Service endpoints and quotas」で、サービスのリンクを選択してご確認ください。

製品バージョン

アーキテクチャ

次の図表は、このパターンのアプリケーションのワークフローとアーキテクチャコンポーネントを示しています。

Lambda オートメーションを使用して Managed Microsoft AD から EC2 エントリを削除するプロセス。

この図表は、次のワークフローを示しています:

  1. Amazon EventBridge は、cron 式に基づいて AWS Lambda 関数をトリガーします。(このパターンでは、cron 式スケジュールは 1 日に 1 回です)。

  2. 必要な IAM ロールとポリシーが作成され、Terraform AWS Lambda を介して にアタッチされます。

  3. AWS Lambda 関数が実行され、Python boto モジュールを使用して Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling Groups を呼び出します。Lambda 関数はランダムなインスタンス ID を取得します。インスタンス ID は AWS Systems Manager コマンドの実行に使用されます。

  4. AWS Lambda は、boto モジュールを使用して Amazon EC2 に別の呼び出しを行い、実行中の Windows サーバーのプライベート IP アドレスを取得し、そのアドレスを一時変数に保存します。

  5. AWS Lambda は、Systems Manager をもう一度呼び出して、接続されているコンピュータ情報を取得します Directory Service。

  6. AWS Systems Manager ドキュメントは、Amazon EC2 Windows サーバーで PowerShell スクリプトを実行して、AD に接続されているコンピュータのプライベート IP アドレスを取得するのに役立ちます。

  7. AD ドメインのユーザー名とパスワードは Parameter Store AWS Systems Manager に保存されます。 AWS Lambda Systems Manager は Parameter Store を呼び出し、AD の接続に使用するユーザー名とパスワードの値を取得します。

  8. Systems Manager ドキュメントを使用し、ステップ 3 で先ほど取得したインスタンス ID を使用して PowerShell スクリプトが Amazon EC2 Windows サーバーで実行されます。

  9. Amazon EC2 Directory Service は PowerShell コマンドを使用して接続し、使用されていないコンピュータや非アクティブのコンピュータを削除します。

ツール

AWS サービス

  • AWS Directory Service は、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Relational Database Service (Amazon RDS) for SQL Server、Amazon FSx for Windows File Server AWS のサービス など、他の で Microsoft Active Directory (AD) を使用する複数の方法を提供します。

  • AWS Directory Service for Microsoft Active Directory は、ディレクトリ対応のワークロードと AWS リソースが で Microsoft Active Directory を使用できるようにします AWS クラウド。

  • Amazon Elastic Compute Cloud (Amazon EC2) は、 AWS クラウドでスケーラブルなコンピューティング容量を提供します。仮想サーバーを必要な数だけ起動して、迅速にスケールアップまたはスケールダウンができます。

  • Amazon EventBridge は、アプリケーションをさまざまなソースのリアルタイムデータに接続できるようにするサーバーレスイベントバスサービスです。例えば、 AWS Lambda 関数、API 送信先を使用する HTTP 呼び出しエンドポイント、その他のイベントバスなどです AWS アカウント。

  • AWS Identity and Access Management (IAM) は、誰を認証し、誰に使用する権限を付与するかを制御することで、 AWSリソースへのアクセスを安全に管理するのに役立ちます。IAM を使用すると、 のサービスとリソースにアクセスできるユーザーまたはユーザーを指定し AWS、きめ細かなアクセス許可を一元管理し、アクセスを分析してアクセス許可を絞り込むことができます AWS。

  • AWS Lambda は、サーバーのプロビジョニングや管理を行うことなくコードを実行できるコンピューティングサービスです。必要に応じてコードを実行し、自動的にスケーリングするため、課金は実際に使用したコンピューティング時間に対してのみ発生します。

  • AWS Systems Manager は、 AWS クラウドで実行されるアプリケーションとインフラストラクチャの管理に役立ちます。これにより、アプリケーションとリソースの管理が簡素化され、運用上の問題を検出して解決する時間を短縮し、 AWS リソースを大規模に安全に管理できます。

  • AWS Systems Manager ドキュメントは、Systems Manager がマネージドインスタンスで実行するアクションを定義します。Systems Manager には、ランタイムでパラメータを指定して使用できる事前設定済みのドキュメントが 100 件以上含まれています。

  • AWS Systems Manager Parameter Store は の機能であり、設定データ管理 AWS Systems Manager とシークレット管理のための安全な階層型ストレージを提供します。

その他のツール

  • HashiCorp Terraform は、コードを使用してクラウドインフラストラクチャとリソースをプロビジョニングして管理するのに役立つオープンソースの infrastructure as code (IaC) ツールです。

  • PowerShell は Windows、Linux、および macOS で動作するMicrosoft の自動化および構成管理プログラムです。

  • Python」は汎用のコンピュータプログラミング言語です。

ードリポジトリ

このパターンのコードは、GitHub 内の「カスタム AD クリーンアップオートメーションソリューション」リポジトリで利用できます。

ベストプラクティス

  • 自動的にドメインを結合します。 Directory Service ドメインの一部となる Windows インスタンスを起動する場合は、後でインスタンスを手動で追加するのではなく、インスタンスの作成プロセス中にドメインに参加します。自動的にドメインを結合するには、新しいインスタンスを起動するときに、ドメイン結合ディレクトリの適切なディレクトリを選択します。詳細については、 Directory Service 管理ガイドのAmazon EC2 Windows インスタンスを AWS Managed Microsoft AD Active Directory にシームレスに結合する」を参照してください。

  • 未使用のアカウントを削除します。AD では、使用されたことがないアカウントがよく見られます。システム内に残っている無効または非アクティブなアカウントと同様に、未使用のアカウントを無視すると、AD システムが遅くなったり、組織がデータ侵害に対して脆弱になる可能性があります。

  • Active Directory のクリーンアップを自動化します。セキュリティリスクを軽減し、古いアカウントが AD のパフォーマンスに影響を与えないようにするには、AD クリーンアップを定期的に実行する必要があります。スクリプトを記述することで、ほとんどの AD 管理タスクとクリーンアップタスクを実行できます。タスクの例としては、無効なアカウントと非アクティブなアカウントの削除、空のグループと非アクティブなグループの削除、期限切れのユーザーアカウントとパスワードの特定などがあります。

エピック

タスク説明必要なスキル

プロジェクトフォルダを作成し、ファイルを追加します。

リポジトリを複製し、プロジェクトフォルダを作成するには、次の手順を実行します。

  1. このパターンの GitHub リポジトリを開きます。

  2. [コード] ボタンを選択して、[クローン] ドロップダウンでクローンを作成するオプションを表示します。

  3. [HTTPS] タブで、「ウェブ URL を使用してクローンを作成する」で提供された URL をコピーします。

  4. マシンにフォルダを作成し、プロジェクト名を使用して名前を付けます。

  5. ローカルマシンでターミナルを開き、このフォルダに移動します。

  6. Git リポジトリのクローンを作成するには、次のコマンドを実行します。

    git clone <repository-URL>.git

  7. リポジトリのクローンを作成したら、次のコマンドを使用してクローンのディレクトリに移動します。

    cd <directory name>

  8. クローンのリポジトリでは、選択した統合開発環境 (IDE) でこのプロジェクトを開きます。

DevOps エンジニア
タスク説明必要なスキル

Terraform の設定を初期化する

Terraform ファイルを含む作業ディレクトリを初期化するには、次のコマンドを実行します。

terraform init

DevOps エンジニア

変更のプレビュー

インフラストラクチャがデプロイされる前に、Terraform がインフラストラクチャに加える変更をプレビューできます。Terraform が必要に応じて変更を行うことを確認するには、次のコマンドを実行します。

terraform plan

DevOps エンジニア

提案されたアクションを実行します。

terraform plan コマンドの結果が期待どおりであることを確認するには、以下を実行します。

  1. 以下のコマンドを実行してください。

    terraform apply

  2. にサインインし AWS マネジメントコンソール、リソースが存在することを確認します。

DevOps エンジニア

インフラストラクチャをクリーンアップします。

作成したインフラストラクチャをクリーンアップするには、次のコマンドを使用します。

terraform destroy

destroy コマンドを確認するには、「yes」と入力します。

DevOps エンジニア
タスク説明必要なスキル

Lambda 関数を実行およびテストします。

デプロイが正常に行われたことを確認するには、以下を実行します。

  1. にサインイン AWS マネジメントコンソール し、 コンソールを開きます。関数ページを開き、ADcleanup-Lambda-* で始まる関数名を選択します。

  2. 関数の概要ページで、コードソースセクションの [コード] タブで[テスト] を選択します。

  3. テストイベントを保存するには、イベントの名前を指定し、[保存] を選択します。その後、イベントをテストするには、再び [テスト] を選択します。

実行結果には、関数の出力が表示されます。

DevOps エンジニア

Lambda 関数の結果を表示します。

このパターンでは、EventBridge ルールは Lambda 関数を 1 日に 1 回実行します。Lambda 関数の結果を表示するには、以下の手順を実行します。

  1. にサインイン AWS マネジメントコンソール し、 AWS Lambda コンソールを開きます。関数ページを開き、ADcleanup-Lambda-* で始まる関数名を選択します。

  2. [モニタリング] タブから、[CloudWatch のログを表示] を選択します。

CloudWatch コンソールのロググループページには、Lambda 関数の結果が表示されます。

DevOps エンジニア
タスク説明必要なスキル

インフラストラクチャをクリーンアップします。

作成したインフラストラクチャをクリーンアップするには、次のコマンドを使用します。

terraform destroy

destroy コマンドを確認するには、「yes」と入力します。

DevOps エンジニア

クリーンアップ後に確認します。

リソースが正常に削除されたことを確認します。

DevOps エンジニア

トラブルシューティング

問題ソリューション

AD コンピュータを削除しようとすると、「アクセスが拒否されました」というメッセージが表示されます。デフォルトでは、アクションは AD サービスの一部として接続されている 2 つのプライベート IP アドレスを削除しようとするため、AD コンピュータを削除することはできません。

このエラーを回避するには、AD コンピュータ出力と Windows を実行しているマシンの出力の違いを一覧表示するときに、次の Python オペレーションを使用して最初の 2 つのコンピュータを無視します。

Difference = Difference[2:]

Lambda は Windows サーバーで PowerShell スクリプトを実行する場合、Active Directory モジュールがデフォルトで使用可能であることを想定します。モジュールが使用できない場合、Lambda 関数は「Get-AdComputer is not installed on instance」というエラーを作成します。

このエラーを回避するには、EC2 インスタンスのユーザーデータを使用して必要なモジュールをインストールします。このパターンの GitHub リポジトリにある EC2WindowsUserdata スクリプトを使用します。

関連リソース

AWS ドキュメント

その他のリソース