ユーザ用ツール

サイト用ツール


aws:directoryservice:ad-connector

AWS Directory Serviceの「AD Connector」の説明と設定手順

AD Connectorとは

既存のオンプレミス Microsoft Active Directory を使用して、AWS のアプリケーションやサービスにアクセス
情報をキャッシュせずにオンプレミスの Microsoft Active Directory へリダイレクトするのに使用するディレクトリゲートウェイ

AD Connectorの利用例

  • AWS管理コンソールのユーザとパスワードをオンプレのADと連携する
  • WorkSpaceのログイン情報をADと連携する


AD Connectorの作成手順

  1. AWS管理コンソールから「Directory Service」を選択
  2. 「ディレクトリのセットアップ」をクリック
  3. ディレクトリタイプ「AD Connector」を選択
  4. ディレクトリのサイズ「スモール」か「ラージ」を選択
  5. ネットワーキングで、「VPC」1つと「サブネット」2つを選択します
  6. Active Directory 情報を入力します
設定項目
ディレクトリの DNS 接続先のディレクトリの完全修飾ドメイン名。
例:example.comやtest.local
ディレクトリの NetBIOS 名 - 任意 接続先のディレクトリの NetBIOS 名
DNS IP アドレス 接続先の DNS サーバーの IP アドレス。
これは前のページで選択した VPC 内からアクセスできる必要があります。
サービスアカウントのユーザー名 既存の Active Directory で作成したサービスアカウントのユーザー名を指定してください。
サービスアカウントのパスワード


アプリケーションアクセスURLを設定

アクセスURLを設定し、「有効化」しましょう。

アクセスURL xxxx.awsapps.com

AWSマネジメントコンソールへのログインなら、 「https://xxxx.awsapps.com/console」になります。


利用例:AD Connector を使用して、AWS管理コンソールユーザーを Active Directory 認証情報で認証

  1. 作成したAD ConnectのAWSアプリおよびサービスで、「AWS 管理コンソール」を有効にします。
  2. 有効にした「AWS 管理コンソール」で、ユーザー/グループとIAMロールのマッピングを行います。
IAM ロール ADユーザー or グループ
Admin-Role AdminGroup
ReadOnly-Role Domain Users


IAM ロールのアクセス権限(ポリシー)

IAM ロール IAMポリシー
Admin-Role AdministratorAccess (デフォルトである)
SourceIPRestriction_xxxx (作成する必要がある)
ReadOnly-Role


IAM ロールの信頼関係

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "ds.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}


参考

aws/directoryservice/ad-connector.txt · 最終更新: 2020/01/28 18:40 by kurihara

ページ用ツール