目次

AWS Directory Serviceの「AD Connector」の説明と設定手順



AD Connectorとは

既存のオンプレミス Microsoft Active Directory を使用して、AWS のアプリケーションやサービスにアクセス
情報をキャッシュせずにオンプレミスの Microsoft Active Directory へリダイレクトするのに使用するディレクトリゲートウェイ

AD Connectorの利用例


AD Connectorの作成手順

  1. AWS管理コンソールから「Directory Service」を選択
  2. 「ディレクトリのセットアップ」をクリック
  3. ディレクトリタイプ「AD Connector」を選択
  4. ディレクトリのサイズ「スモール」か「ラージ」を選択
  5. ネットワーキングで、「VPC」1つと「サブネット」2つを選択します
  6. Active Directory 情報を入力します
設定項目
ディレクトリの DNS 接続先のディレクトリの完全修飾ドメイン名。
例:example.comやtest.local
ディレクトリの NetBIOS 名 - 任意 接続先のディレクトリの NetBIOS 名
DNS IP アドレス 接続先の DNS サーバーの IP アドレス。
これは前のページで選択した VPC 内からアクセスできる必要があります。
サービスアカウントのユーザー名 既存の Active Directory で作成したサービスアカウントのユーザー名を指定してください。
サービスアカウントのパスワード


アプリケーションアクセスURLを設定

アクセスURLを設定し、「有効化」しましょう。

アクセスURL xxxx.awsapps.com

AWSマネジメントコンソールへのログインなら、 「https://xxxx.awsapps.com/console」になります。


利用例:AD Connector を使用して、AWS管理コンソールユーザーを Active Directory 認証情報で認証

  1. 作成したAD ConnectのAWSアプリおよびサービスで、「AWS 管理コンソール」を有効にします。
  2. 有効にした「AWS 管理コンソール」で、ユーザー/グループとIAMロールのマッピングを行います。
IAM ロール ADユーザー or グループ
Admin-Role AdminGroup
ReadOnly-Role Domain Users


IAM ロールのアクセス権限(ポリシー)

IAM ロール IAMポリシー
Admin-Role AdministratorAccess (デフォルトである)
SourceIPRestriction_xxxx (作成する必要がある)
ReadOnly-Role


IAM ロールの信頼関係

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "ds.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}


参考