Cloud Service
AWS Directory Service
Active Directory の構築運用から解放。マネージドな Microsoft AD や AD 連携機能を提供し、ドメイン参加・認証・ディレクトリ統合を AWS 上で実現する。Azure の Entra Domain Services に相当。
- 1.実体は Microsoft Active Directory をマネージドに運用するサービスで、ドメインコントローラーの構築や冗長化を AWS が肩代わりする。
- 2.用途に応じて Managed Microsoft AD・AD Connector・Simple AD などの方式を選び分け、既存のオンプレ AD とも連携できる。
- 3.EC2 のドメイン参加、RDS や WorkSpaces など AWS サービスの認証、社内 AD の認証情報の再利用に使える。
解決する課題
- オンプレミスで運用してきた Active Directory(AD)の認証情報を、AWS 上のリソースでもそのまま使いたい
- ドメインコントローラーの構築・冗長化・パッチ適用・バックアップといった運用負荷から解放されたい
- EC2 や RDS、Amazon WorkSpaces などのAWS サービスをドメインに参加させて統合認証を実現したい
- 既存の社内 AD を直接 AWS へ展開せず、認証だけをプロキシして既存 AD を再利用したい
AWS Directory Service は、Active Directory を中心としたディレクトリ機能をマネージドに提供するサービス群です。代表格の AWS Managed Microsoft AD は、実体として Microsoft Active Directory のドメインコントローラーを AWS が冗長構成で運用し、ユーザーは AD サーバーを自前で立てて守る運用から解放されます。
主要概念と用語
- AWS Managed Microsoft AD: 実物の Microsoft Active Directory をマネージドに運用する方式。複数のアベイラビリティーゾーンにドメインコントローラーを配置し、グループポリシーや信頼関係など AD 本来の機能を使える。
- AD Connector: AWS 上にディレクトリを持たず、オンプレミスの既存 AD への認証要求を中継(プロキシ)するゲートウェイ。ユーザーやパスワードを AWS 側に複製せず、既存 AD をそのまま認証元として使う。
- Simple AD: Samba をベースにした小規模・低コスト向けのディレクトリ。基本的なユーザー管理やドメイン参加には対応するが、Microsoft AD の高度な機能や信頼関係には対応しない。
- ドメインコントローラー: 認証とディレクトリ情報を担う AD のサーバー。Managed Microsoft AD ではこれを AWS が複数 AZ で冗長運用する。
- ドメイン参加: EC2 インスタンスなどをディレクトリのメンバーにすること。参加すると AD のユーザーでログインでき、グループポリシーが適用される。
- 信頼関係(トラスト): 別の AD ドメインとの間で認証を相互に認め合う設定。Managed Microsoft AD とオンプレ AD の間に信頼を張り、片方のユーザーがもう片方のリソースへアクセスできる。
- シームレスなドメイン参加: EC2 起動時に自動でドメインへ参加させる仕組み。手動のドメイン参加作業を省ける。
- ディレクトリ ID: 作成したディレクトリを一意に識別する識別子。各種 API や CLI で対象を指定するときに使う。
仕様・制限・クォータ
- 3 つの方式から選ぶ: 完全な AD 機能が要るなら Managed Microsoft AD、既存 AD を認証元に使うなら AD Connector、小規模で基本機能のみなら Simple AD、という使い分けが基本になる。
- マルチ AZ 冗長: Managed Microsoft AD は複数のアベイラビリティーゾーンにドメインコントローラーを配置し、高可用性が確保される。ドメインコントローラーの台数は需要に応じて増やせる。
- エディション: Managed Microsoft AD には規模に応じた複数のエディションがあり、扱えるオブジェクト数やドメインコントローラーの上限などが異なる。
- VPC 内に配置: ディレクトリは指定した VPC のサブネットに配置され、オンプレと接続する場合は VPN や Direct Connect 経由でネットワーク疎通が前提になる。
- AD Connector は認証の中継のみ: AD Connector 自体はユーザーやパスワードを保持せず、認証や検索を既存 AD へ転送する。既存 AD が落ちると認証もできなくなる点に注意する。
- Simple AD の制約: 信頼関係、スキーマ拡張、多要素認証、PowerShell による高度な管理などには対応しない。本格的な AD 機能が必要なら Managed Microsoft AD を選ぶ。
- ディレクトリ数やオブジェクト数などにはクォータがあり、一部は引き上げ申請が可能だが固定のものもある。
AWS Directory Service の肝は「どの方式を選ぶか」です。Managed Microsoft AD は本物の AD、AD Connector は既存 AD への中継、Simple AD は簡易ディレクトリと役割が大きく異なります。後からの方式変更は移行を伴うため、信頼関係やスキーマ拡張の要否を含めて要件を先に固めてください。
内部の仕組み
AWS Managed Microsoft AD の場合、AWS は指定された VPC の複数のアベイラビリティーゾーンに実物の Microsoft Active Directory ドメインコントローラーをデプロイし、レプリケーション・パッチ適用・スナップショットによるバックアップ・監視といった日常運用をマネージドに引き受けます。利用者はドメイン管理用の権限を持つアカウントを受け取り、その範囲でユーザーやグループ、グループポリシーを管理します。基盤の OS や AD サービス自体の運用には触れません。
EC2 インスタンスをこのディレクトリに参加させると、インスタンスは AD のメンバーとなり、AD ユーザーでのログインやグループポリシーの適用が可能になります。RDS や Amazon WorkSpaces、Amazon FSx for Windows File Server などの AWS サービスも、このディレクトリを認証基盤として利用できます。
AD Connector はこれと対照的に、AWS 側にディレクトリの実体を置きません。AWS サービスからの認証や検索の要求を受け取り、ネットワーク越しに接続されたオンプレミスの AD へ中継します。ユーザーやパスワードは既存 AD に置かれたままで、AWS 側には複製されません。Managed Microsoft AD とオンプレ AD の間に信頼関係を張る構成では、両ドメインのユーザーが互いのリソースへアクセスできるようになり、既存の ID 資産を活かしつつ AWS 側のリソースを統合できます。
既存 AD の認証情報を AWS でそのまま使いたいだけなら AD Connector の中継が手軽です。AWS 側で独立した AD を運用したい、信頼関係やスキーマ拡張を使いたいといった場合は Managed Microsoft AD を選びます。
設計パターン / ベストプラクティス
- 要件で方式を選ぶ: 完全な AD 機能と AWS 内での独立運用が要るなら Managed Microsoft AD、既存 AD を認証元として再利用するなら AD Connector を選ぶ。
- オンプレ AD との信頼関係: 既存 AD を活かしつつ AWS 側にも AD を持つ場合は、両者に信頼関係を張ってユーザーを二重管理しない設計にする。
- マルチ AZ を前提にする: Managed Microsoft AD は複数 AZ にドメインコントローラーを置き、可用性を確保する。負荷や規模に応じてドメインコントローラーを追加する。
- シームレスなドメイン参加を活用: EC2 を起動時に自動でドメイン参加させ、手動参加の手間と参加漏れをなくす。
- 最小権限のサービスアカウント: AD Connector や各種連携で使うサービスアカウントは、必要最小限の権限に絞る。
- 共有でマルチアカウント展開: 1 つの Managed Microsoft AD を組織内の複数アカウントへ共有し、アカウントごとにディレクトリを乱立させない。
運用・監視
- ディレクトリの状態を把握する: ディレクトリは作成中・稼働中・障害などの状態を持つ。状態を監視し、異常時に気づける体制を作る。
- ログとイベントを確認する: ドメインコントローラーのセキュリティイベントログを CloudWatch Logs へ転送し、認証失敗や不審な操作を監視できる。
- スナップショットで保護する: Managed Microsoft AD は自動スナップショットに加え手動スナップショットを取得でき、誤操作からの復元に備える。
- API 操作を監査する: ディレクトリの作成・削除・信頼関係の設定といった操作は CloudTrail に記録され、誰がいつ何を変更したかを追跡できる。
- オンプレ接続の健全性: AD Connector や信頼関係を使う構成では、オンプレとの VPN や Direct Connect の疎通を監視し、認証経路が切れていないか確認する。
AD Connector は認証を既存 AD へ中継するだけなので、オンプレの AD やネットワーク経路が落ちると AWS 側の認証も止まります。可用性が重要な場合は、オンプレ AD 側の冗長化と接続経路の冗長化を併せて設計してください。
コスト
- 方式と規模で料金が変わる: Managed Microsoft AD はエディション(規模)に応じた時間課金が中心で、AD Connector や Simple AD はより安価な体系になる。要件に合う最小の方式を選ぶことが節約につながる。
- ドメインコントローラーの追加分: Managed Microsoft AD で可用性や負荷のためドメインコントローラーを追加すると、その分の費用が増える。
- 周辺コスト: オンプレ接続に使う VPN や Direct Connect、ログ転送先の CloudWatch Logs など、関連サービスの料金も合わせて見積もる。
- 料金体系は変動しうるため、総コストは公式の料金ページで確認する。
扱うユーザー数やオブジェクト数に対して大きすぎるエディションを選ぶと、使わない容量に課金され続けます。要件に見合うエディションを選び、本当に AD の高度機能が要らないなら AD Connector や Simple AD も検討してください。
セキュリティ
- ドメインコントローラーをマネージドに保護: パッチ適用や監視を AWS が担うことで、自前運用にありがちなパッチ漏れや構成不備のリスクを下げられる。
- 既存 ID 資産の再利用: AD Connector や信頼関係により既存 AD の認証を活かし、ID の二重管理による失効漏れを防ぐ。
- 多要素認証の活用: Managed Microsoft AD は RADIUS を介した多要素認証に対応し、認証を強化できる。
- 最小権限のアクセス: ディレクトリ管理権限やサービスアカウントの権限を絞り、強い権限の利用範囲を限定する。
- ネットワークの隔離: ディレクトリは VPC 内に配置し、セキュリティグループでアクセス元を制限する。オンプレ接続は VPN や Direct Connect で保護する。
- CloudTrail で証跡を残す: ディレクトリ操作を記録し、監査と異常検知に使う。
AD ドメイン間の信頼関係は、片方のドメインのユーザーへもう片方のリソースへの到達経路を開きます。不要に広い信頼や双方向の信頼を安易に張ると、攻撃の横展開を許す恐れがあります。信頼の方向と範囲は最小限に設計してください。
関連サービス・比較
ID 管理という言葉で AWS IAM Identity Center と混同されやすいですが、扱う対象が異なります。Directory Service は Active Directory そのものを提供するのに対し、IAM Identity Center は AWS アカウントや業務アプリへの SSO を担います。両者は連携でき、Managed Microsoft AD を IAM Identity Center の ID ソースとして使うこともできます。
| 観点 | AWS Directory Service | IAM Identity Center |
|---|---|---|
| 主な役割 | Active Directory をマネージドに提供 | AWS アカウントや業務アプリへの SSO |
| 提供するもの | ドメイン・認証基盤としての AD 機能 | 権限セットによるアクセス管理 |
| 主なユースケース | EC2 のドメイン参加・WorkSpaces・RDS 認証 | 複数アカウントへの一元的なサインイン |
| 既存 AD の扱い | 中継や信頼関係で直接活用 | 外部 IdP として連携できる |
AD の機能そのものが要る場面では Directory Service、AWS アカウント横断の SSO が要る場面では IAM Identity Center、という使い分けが基本です。
ハンズオン / CLI例
CLI で AWS Managed Microsoft AD を作成し、ディレクトリの一覧を確認する例です。ディレクトリは指定した VPC とサブネットに配置されるため、事前に VPC とサブネットを用意しておきます。
# Managed Microsoft AD を作成する(Edition と VPC・サブネットを指定)
aws ds create-microsoft-ad \
--name corp.example.com \
--password 'ReplaceWithStrongPassword!' \
--description "Example managed AD" \
--vpc-settings VpcId=vpc-xxxxxxxx,SubnetIds=subnet-aaaa,subnet-bbbb \
--edition Standard
# 作成したディレクトリの一覧と状態を確認する
aws ds describe-directories \
--query 'DirectoryDescriptions[].[DirectoryId,Name,Stage]' \
--output table
# EC2 をシームレスにドメイン参加させるためのスナップショットや
# ログ転送設定など、運用に必要な情報を取得する
aws ds describe-directories \
--directory-id d-xxxxxxxxxx
AWS Service
AWS Directory Serviceを実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
セキュリティ・ID
比較で見る軸
クラウド: AWS / カテゴリ: セキュリティ・ID / 難易度: intermediate
導入後に効く点
用途に応じて Managed Microsoft AD・AD Connector・Simple AD などの方式を選び分け、既存のオンプレ AD とも連携できる。
先に潰すリスク
サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。
- クラウド
- AWS
- カテゴリ
- セキュリティ・ID
- 難易度
- intermediate
- 関連資格
- SAA-C03 / SCS-C02 / SOA-C02
- 設計柱
- security / operational / reliability
判断チェックリスト
- 自社の用途が「セキュリティ・ID / security」に近いか確認する。
- 強みである「実体は Microsoft Active Directory をマネージドに運用するサービスで、ドメインコントローラーの構築や冗長化を AWS が肩代わりする。」が本当に評価軸になるか確認する。
- 注意点の「サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。