組織の作成 - Amazon WorkMail
Managed AD の重要な変更組織の作成Managed AD 統合組織の詳細の表示WorkSpaces ディレクトリの統合組織の状態と説明

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

組織の作成

Amazon WorkMail を使用するには、まず組織を作成する必要があります。1 つのAWSアカウントに複数の Amazon WorkMail 組織を含めることができます。組織を作成する際は、組織のドメインも選択し、ユーザーディレクトリと暗号化の設定を行います。

新しい Amazon WorkMail ディレクトリを作成して WorkMail 組織で使用するか、Amazon WorkMail を既存のディレクトリと統合できます。Amazon WorkMail は、以下のタイプの既存のディレクトリで使用できます。

オンプレミスディレクトリと統合することで、既存のユーザーとグループを Amazon WorkMail で再利用できます。これにより、ユーザーは既存の認証情報でログインできるようになります。オンプレミスディレクトリを使用している場合は、まず AWS Directory Service で AD Connector をセットアップする必要があります。AD Connector を使用して、ユーザーとグループを Amazon WorkMail アドレス帳に同期させ、ユーザーの認証リクエストを実行します。詳細については、Directory Service 管理ガイドアクティブディレクトリコネクター を参照してください。

Amazon WorkMail AWS KMS keyがメールボックスコンテンツの暗号化に使用する を選択することもできます。Amazon WorkMail のデフォルトのAWSマネージドマスターキーを選択するか、 AWS Key Management Service() で既存の KMS キーを使用できますAWS KMS。詳細については、AWS Key Management Service デベロッパーガイド の 「キーの作成」 を参照してください。AWS Identity and Access Management(IAM) ユーザーとしてサインインしている場合は、自分を KMS キーのキー管理者にします。詳細については、AWS Key Management Service デベロッパーガイド の「キーの有効化と無効化」を参照してください。

考慮事項

Amazon WorkMail 組織を作成するときは、次の点に注意してください。

  • Amazon WorkMail は現在、複数のアカウントで共有されているマネージド型の Microsoft アクティブディレクトリサービスをサポートしていません。

  • Microsoft Exchange と AD Connector を備えたオンプレミスのアクティブディレクトリを使用している場合は、組織の相互運用性設定を構成することをお勧めします。これにより、メールボックスを Amazon WorkMail に移行したり企業メールボックスのサブセットに Amazon WorkMail を使用する場合に、ユーザーへの負担を最小限に抑えることができます。詳細については、「Amazon WorkMail と Microsoft Exchange の間の相互運用性」を参照してください。

  • [無料のテストドメイン] オプションを選択すると、提供されたテストドメインで Amazon WorkMail 組織の使用を開始できます。テストドメインの形式は example.awsapps.com です。Amazon WorkMail 組織で有効なユーザーを維持している限り、Amazon WorkMail およびその他のサポートされているAWSサービスでテストメールドメインを使用できます。ただし、テストドメインを他の目的で使用することはできません。Amazon WorkMail 組織で 1 人以上の有効なユーザーを維持していない場合、テストドメインは他の顧客による登録と使用が可能になります。

  • Amazon WorkMail はマルチリージョンディレクトリをサポートしていません。

  • Amazon WorkMail は、4 時間ごとにディレクトリデータを AWSManaged Active Directory、Simple AD、AD Connector と同期します。

AWSManaged Active Directory を使用する際の重要な変更点

Amazon WorkMail は、 AWSManaged Active Directory (マネージド AD) を使用する組織の認可モデルを更新しています。この変更は、Amazon WorkMail がディレクトリデータを操作する方法に影響するため、継続的な機能を確保するための特定のアクションが必要になります。

以前は、Amazon WorkMail 組織が AWSManaged Active Directory を使用して作成されたとき、Amazon WorkMail はサービスレベルのアクセス許可を使用して Managed AD とやり取りしていました。ディレクトリ管理とメールボックス管理のロールをさらに柔軟に分離するために、WorkMail の API とコンソールでは、AWS Directory Service Data (DS-Data) API を使用して、AWS Managed Active Directory 内のユーザーとグループを作成または更新するようになりました。これらのオペレーションを WorkMail コンソールまたは API で実行する IAM プリンシパルにも、WorkMail 組織と関連する Managed AD に対して同等の DS-Data アクションを使用する許可が必要です。これにより、より詳細な制御と IAM ポリシーとのより緊密な統合が可能になります。

Managed AD で新しい組織を作成する場合でも、Managed AD を使用している既存の組織がある場合でも、WorkMail コンソールまたは API を使用してユーザーとグループを引き続き作成、更新、または削除するには、更新された認可モデルで適切に機能するように、追加の設定手順を完了する必要があります。これは「AWS Managed Active Directory 統合の設定」で説明されています。

組織の作成

Amazon WorkMail コンソールで新しい組織を作成します。

組織を作成するには

  1. Amazon WorkMail コンソール (https://console.aws.amazon.com/workmail/) を開きます。

    必要に応じて AWS リージョンを変更します。コンソールウィンドウの上部にあるバーで、[リージョンを選択] リストを開き、リージョンを選択します。詳細については、 Amazon Web Services 全般のリファレンス の「リージョンとエンドポイント」を参照してください。

  2. ナビゲーションバーで [組織] を選択します。

    [組織] ページが表示され、組織があれば表示されます。

  3. [組織を作成]を選択します。

  4. [Eメールドメイン]で、組織内の E メールアドレスに使用するドメインを選択します。

    • 既存の Route 53 ドメイン — Amazon Route 53 (Route 53) ホストゾーンで管理する既存のドメインを選択します。

    • 新しい Route 53 ドメイン — Amazon WorkMail で使用する新しい Route 53 ドメイン名を登録します。

    • 外部ドメイン — 外部ドメインネームシステム(DNS)プロバイダで管理する既存のドメインを入力します。

    • 無料テストドメイン — Amazon WorkMail が提供する無料のテストドメインを使用します。テストドメインを使用して Amazon WorkMail を試し、後で組織にドメインを追加できます。

  5. (オプション) ドメインが Amazon Route 53 を介して管理されている場合は、Route 53 ホストゾーンに Route 53 ドメインを選択します。

  6. [エイリアス] では、組織の一意のエイリアスを入力します。

  7. [詳細設定] を選択し、[ユーザーディレクトリ] で、次のいずれかのオプションを選択します。

    • 新しい Amazon WorkMail ディレクトリを作成する — ユーザーを追加および管理するための新しいディレクトリを作成します。

    • 既存のディレクトリを使用する — 既存のディレクトリを使用して、オンプレミスの Microsoft アクティブディレクトリ、AWS マネージドアクティブディレクトリ、または Simple AD などのユーザーを管理します。

  8. [暗号化] で、次のいずれかのオプションを選択します。

    • Amazon WorkMail マネージドキーを使用する — アカウントに新しい暗号化キーを作成します。

    • 既存のKMS キーを使用する — AWS KMSで作成済みの既存の KMS キーを使用します。

  9. [組織を作成]を選択します。

外部ドメインを使用する場合は、適切な テキスト(TXT)とメールエクスチェンジャー(MX) レコードを DNS サービスに追加して検証します。TXT レコードでは、DNS サービスに関するメモを入力できます。MX レコードは、受信メールサーバーを指定します。

ドメインを組織のデフォルトとして設定してください。詳細については、「ドメインの検証」および「デフォルトのドメインの選択」を参照してください。

お客様の組織が [アクティブ] の場合に、ユーザーを追加し、E メールクライアントを設定できます。詳細については、「ユーザーの追加」および 「Amazon WorkMail 用の E メールクライアントの設定」を参照してください。

AWS Managed Active Directory 統合の設定

AWS Managed Active Directory を Amazon WorkMail 組織で使用する場合、追加の設定手順を実行することで、更新された認可モデルでの適切な機能が確保されます。

新しい組織向けに Managed AD 統合を設定するには

  1. Directory Serviceコンソールで Managed AD (Microsoft AD) に移動するか、Amazon WorkMail コンソールから左側のナビゲーションパネルでユーザーまたはグループを選択し、ページ上部のメモボックスにあるディレクトリリンクをクリックします。

  2. [ユーザーとグループの管理][有効化] を選択します。この設定はデフォルトで無効になっており、ユーザーとグループへの書き込みオペレーションを実行するには、有効にする必要があります。

  3. 以下のアクションを含むポリシーをアタッチして、IAM プリンシパルに必要なアクセス許可を付与します。

    ds:AccessDSData
ds:ResetUserPassword
ds-data:CreateGroup
ds-data:DeleteGroup
ds-data:AddGroupMember
ds-data:RemoveGroupMember
ds-data:CreateUser
ds-data:DeleteUser
ds-data:UpdateUser
既存の Managed AD 組織を移行するには

  1. Amazon WorkMail コンソールの [ユーザー] または [グループ] ページをモニタリングして、移行通知を確認します。

  2. 通知が表示されたら、[更新されたディレクトリオペレーションを有効にする] をオンにして、新しい Directory Service API に移行します。

  3. 最後に、Directory Serviceコンソールでユーザーとグループの管理を有効にし、前のセクションで説明したように、必要な DS-Data アクセス許可で IAM ポリシーを更新していることを確認します。

ユーザーを作成、更新、削除するための AWSDirectory Service Data (DS-Data) APIs の使用は、以前に有効になっていない Managed AD を使用する残りの Amazon WorkMail 組織に対して有効になります。

組織の詳細の表示

Amazon WorkMail の各組織は、組織の詳細ページを表示できます。このページには、AWS Command Line Interface で使用できる ID など、組織の情報が表示されます。ページ上のメッセージには、未確認のドメインやユーザー不足など、セットアップと組織化の完了に必要な手順も表示されます。このメッセージは、特定の E メールクライアントを設定するための最初のステップも提供します。

組織の詳細を表示するには

  1. ナビゲーションバーで、[組織] を選択します。

    [組織] ページが表示され、組織が表示されます。

  2. 表示する組織を選択します。

WorkSpaces ディレクトリの統合

Amazon WorkMail を WorkSpaces で使用するには、次の手順に従って、互換性のあるディレクトリを作成します。

互換性のある WorkSpaces ディレクトリを追加するには

  1. WorkSpaces を使用して互換性のあるディレクトリを作成します。WorkSpaces の手順については、 Amazon WorkSpaces 管理ガイド の「WorkSpaces 高速セットアップを開始する」を参照してください。

  2. Amazon WorkMail コンソールで、Amazon WorkMail 組織を作成し、既存のディレクトリを使用するように選択します。詳細については、「組織の作成」を参照してください。

組織の状態と説明

組織を作成したら、その組織は以下のいずれかの状態になります。

状態 説明

[アクティブ]

組織は正常で、使用準備ができています。

[作成中]

組織の作成ワークフローを実行中です。

[失敗]

組織を作成できませんでした。

[障害]

組織は正しく機能していないか、問題が検出されました。

無効

組織は非アクティブです。

[リクエスト済み]

組織の作成リクエストがキューに入っており、作成待ちです。

検証しています

組織のすべての設定のヘルスチェックを実行中です。