AWS Directory Serviceの「AD Connector」の説明と設定手順

AD Connectorとは

既存のオンプレミス Microsoft Active Directory を使用して、AWS のアプリケーションやサービスにアクセス
情報をキャッシュせずにオンプレミスの Microsoft Active Directory へリダイレクトするのに使用するディレクトリゲートウェイ

AD Connectorの利用例

AWS管理コンソールのユーザとパスワードをオンプレのADと連携する
WorkSpaceのログイン情報をADと連携する

AD Connectorの作成手順

AWS管理コンソールから「Directory Service」を選択
「ディレクトリのセットアップ」をクリック
ディレクトリタイプ「AD Connector」を選択
ディレクトリのサイズ「スモール」か「ラージ」を選択
ネットワーキングで、「VPC」１つと「サブネット」２つを選択します
Active Directory 情報を入力します

設定項目
ディレクトリの DNS 名	接続先のディレクトリの完全修飾ドメイン名。例：example.comやtest.local
ディレクトリの NetBIOS 名 - 任意	接続先のディレクトリの NetBIOS 名
DNS IP アドレス	接続先の DNS サーバーの IP アドレス。これは前のページで選択した VPC 内からアクセスできる必要があります。
サービスアカウントのユーザー名	既存の Active Directory で作成したサービスアカウントのユーザー名を指定してください。
サービスアカウントのパスワード

アプリケーションアクセスURLを設定

アクセスURLを設定し、「有効化」しましょう。

アクセスURL

xxxx.awsapps.com

AWSマネジメントコンソールへのログインなら、「https://xxxx.awsapps.com/console」になります。

利用例：AD Connector を使用して、AWS管理コンソールユーザーを Active Directory 認証情報で認証

作成したAD ConnectのAWSアプリおよびサービスで、「AWS 管理コンソール」を有効にします。
有効にした「AWS 管理コンソール」で、ユーザー/グループとIAMロールのマッピングを行います。

IAM ロール	ADユーザー or グループ
Admin-Role	AdminGroup
ReadOnly-Role	Domain Users

IAM ロールのアクセス権限(ポリシー)

IAM ロール	IAMポリシー
Admin-Role	AdministratorAccess （デフォルトである） SourceIPRestriction_xxxx (作成する必要がある)
ReadOnly-Role

IAM ロールの信頼関係

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "ds.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

参考

Active Directory のアカウントで AWSマネジメントコンソールにログインする - ablog

目次