Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

JAWS-UG アーキテクチャ専門支部 ハイブリッド分科会 #2 - AWS Directory Service

379 views

Published on

JAWS-UG アーキテクチャ専門支部 ハイブリッド分科会 #2 - AWS Directory Service
議論の肴

Published in: Technology
  • Be the first to comment

JAWS-UG アーキテクチャ専門支部 ハイブリッド分科会 #2 - AWS Directory Service

  1. 1. JAWS-UG Arch Hybrid #2 Directory Service 2016/2/8 Mon Nobuhiro Nakayama
  2. 2. { "name":"Nobuhiro Nakayama", "company":"UCHIDAYOKO CO., LTD.", "favorite aws services":[ "Storage Gateway", "Directory Service", "IAM", "AWS CLI" ], "certifications":[ "AWS Certified Solutions Architect-Professional", "AWS Certified SysOps Administrator-Associate", "Microsoft Certified Solutions Expert Server Infrastructure", "Microsoft Certified Solutions Expert SharePoint", "IPA Network Specialist", "IPA Information Security Specialist" ] }
  3. 3. IDの集中管理、できてますか?
  4. 4. Directory Serviceとは? • AWS Directory Service • 名前解決、ディレクトリ管理、ユーザ認証などの機能を提供するマネージドサービス • DNS、LDAP、Kerberos、SMB、など • 以下の3種類のディレクトリを提供 • Simple AD(samba4) • 【New!】Microsoft Active Directory(Microsoft Active Directory) • AD Connector(既存(オンプレミス or VPC)のディレクトリのプロキシ) • VPC上で動作する • オンプレミスのドメインコントローラと連携可能 • AD Connector(プロキシ) • Microsoft Active Directory(フォレスト間信頼) • RADIUSサーバとの連携による多要素認証をサポート(AD Connector) • スナップショット(バックアップ)機能の提供(Simple AD、Microsoft Active Directory)
  5. 5. 利用例 1. (WorkSpaces、WorkDocs、WorkMailとの認証連携) 2. Management Consoleへの認証連携・権限制御 3. RDP(Windows)、SSH(Linux)ログイン時の認証連携 4. Route53のプライベートゾーンへのフォワード
  6. 6. WorkSpaces、WorkDocs、WorkMailとの認証連携 • セットアップ時にDirectory Serviceで作成した既存ディレクトリを指定もしくは新規作 成 • WorkSpaces • http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/prep_cloud.html • http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/prep_connect.html • http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/prep_microsoft.html • WorkDocs • http://docs.aws.amazon.com/ja_jp/workdocs/latest/adminguide/getting_started.html • WorkMail • http://docs.aws.amazon.com/ja_jp/workmail/latest/adminguide/add_new_organization.html
  7. 7. WorkSpaces、WorkDocs、WorkMailとの認証連携 Directory Service WorkDocs WorkMailWorkSpaces
  8. 8. Management Consoleへの認証連携・権限制御 • Directory ServiceのユーザでAWSのリソースに対する権限を制御 • IAMロールを利用 • http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/manage_roles.html • 専用のログイン画面が提供される • ディレクトリ単位で有効化する必要がある • http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin- guide/aws_console_access.html
  9. 9. Management Consoleへの認証連携・権限制御 AWS Management Console Permissions Role Directory Service Sign-inclient
  10. 10. Management Consoleへの認証連携・権限制御 • メリット • SAMLに苦しまなくていい • IAMユーザやグループを作らなくていい • AD Connectorで既存のディレクトリを利用できる • IAMロールをディレクトリ上のユーザやグループに割り当てる必要がある • 考慮点 • AWS外の認証連携は、ADFS on EC2など
  11. 11. RDP、SSHログイン時の認証連携 • Directory Serviceで作成したドメインにサーバを参加、認証連携 • Windows • http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin- guide/join_windows_instance.html • Linux • http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/join_linux_instance.html • SSM(Simple Server Manager)によるドメイン参加の自動化も可能 • Windows • http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/WindowsGuide/execute-remote- commands.html • Linux • http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/execute-remote-commands.html
  12. 12. RDP、SSHログイン時の認証連携 virtual private cloud Instance Directory Service client Instance RDP SSH
  13. 13. RDP、SSHログイン時の認証連携 • メリット • ユーザIDの集中管理 • (SSMを併用することで)構築や運用の自動化できる • 考慮点 • ?
  14. 14. Route53のプライベートゾーンへのフォワード • オンプレミスからプライベートホストゾーンで名前解決 • オンプレミスのDNSサーバで、Directory Serviceのインスタンスをフォワーダーに設定 • http://aws.typepad.com/sajp/2016/02/how-to-set-up-dns-resolution-between-on-premises- networks-and-aws-using-aws-directory-service-and-am.html • http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin- guide/dns_with_simple_ad.html
  15. 15. Route53のプライベートゾーンへのフォワード Private Hosted Zone Directory ServiceDirectory Service Customer Gateway VPN Gateway corporate data center virtual private cloud client DNS server http://aws.typepad.com/sajp/2016/02/how-to-set-up-dns-resolution-between-on-premises-networks-and-aws-using-aws-directory-service-and-am.html
  16. 16. Route53のプライベートゾーンへのフォワード • メリット • bind使わなくていい(脆弱性祭りに巻き込まれない) • 高い可用性 • Route53はSLA100% • Diectory ServiceはMulti-AZ • 考慮点 • オンプレミスとVPC間の接続が切れた場合の影響を許容できるか
  17. 17. Directory Service自体の課題 • ユーザ管理 • API経由(Management Console、SDK、CLI)では提供されていない • Windows • http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/install_ad_tools.html • Linux • http://aws.typepad.com/sajp/2015/08/how-to-manage-identities-in-simple-ad-directories.html • マネージドサービス故の制約事項 • 自分でスキーマ拡張できない、など

×