1.
JAWS-UG Arch Hybrid #2
Directory Service
2016/2/8 Mon
Nobuhiro Nakayama

2.
{
"name":"Nobuhiro Nakayama",
"company":"UCHIDAYOKO CO., LTD.",
"favorite aws services":[
"Storage Gateway",
"Directory Service",
"IAM",
"AWS CLI"
],
"certifications":[
"AWS Certified Solutions Architect-Professional",
"AWS Certified SysOps Administrator-Associate",
"Microsoft Certified Solutions Expert Server Infrastructure",
"Microsoft Certified Solutions Expert SharePoint",
"IPA Network Specialist", "IPA Information Security Specialist"
]
}

3.
IDの集中管理、できてますか？

4.
Directory Serviceとは？
• AWS Directory Service
• 名前解決、ディレクトリ管理、ユーザ認証などの機能を提供するマネージドサービス
• DNS、LDAP、Kerberos、SMB、など
• 以下の3種類のディレクトリを提供
• Simple AD（samba4）
• 【New！】Microsoft Active Directory（Microsoft Active Directory）
• AD Connector（既存（オンプレミス or VPC）のディレクトリのプロキシ）
• VPC上で動作する
• オンプレミスのドメインコントローラと連携可能
• AD Connector（プロキシ）
• Microsoft Active Directory（フォレスト間信頼）
• RADIUSサーバとの連携による多要素認証をサポート（AD Connector）
• スナップショット（バックアップ）機能の提供（Simple AD、Microsoft Active Directory）

5.
利用例
1. （WorkSpaces、WorkDocs、WorkMailとの認証連携）
2. Management Consoleへの認証連携・権限制御
3. RDP（Windows）、SSH（Linux）ログイン時の認証連携
4. Route53のプライベートゾーンへのフォワード

6.
WorkSpaces、WorkDocs、WorkMailとの認証連携
• セットアップ時にDirectory Serviceで作成した既存ディレクトリを指定もしくは新規作
成
• WorkSpaces
• http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/prep_cloud.html
• http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/prep_connect.html
• http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/prep_microsoft.html
• WorkDocs
• http://docs.aws.amazon.com/ja_jp/workdocs/latest/adminguide/getting_started.html
• WorkMail
• http://docs.aws.amazon.com/ja_jp/workmail/latest/adminguide/add_new_organization.html

7.
WorkSpaces、WorkDocs、WorkMailとの認証連携
Directory Service
WorkDocs WorkMailWorkSpaces

8.
Management Consoleへの認証連携・権限制御
• Directory ServiceのユーザでAWSのリソースに対する権限を制御
• IAMロールを利用
• http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/manage_roles.html
• 専用のログイン画面が提供される
• ディレクトリ単位で有効化する必要がある
• http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-
guide/aws_console_access.html

9.
Management Consoleへの認証連携・権限制御
AWS Management
Console
Permissions
Role
Directory Service
Sign-inclient

10.
Management Consoleへの認証連携・権限制御
• メリット
• SAMLに苦しまなくていい
• IAMユーザやグループを作らなくていい
• AD Connectorで既存のディレクトリを利用できる
• IAMロールをディレクトリ上のユーザやグループに割り当てる必要がある
• 考慮点
• AWS外の認証連携は、ADFS on EC2など

11.
RDP、SSHログイン時の認証連携
• Directory Serviceで作成したドメインにサーバを参加、認証連携
• Windows
• http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-
guide/join_windows_instance.html
• Linux
• http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/join_linux_instance.html
• SSM（Simple Server Manager）によるドメイン参加の自動化も可能
• Windows
• http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/WindowsGuide/execute-remote-
commands.html
• Linux
• http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/execute-remote-commands.html

12.
RDP、SSHログイン時の認証連携
virtual private cloud
Instance
Directory Service
client
Instance
RDP
SSH

13.
RDP、SSHログイン時の認証連携
• メリット
• ユーザIDの集中管理
• （SSMを併用することで）構築や運用の自動化できる
• 考慮点
• ？

14.
Route53のプライベートゾーンへのフォワード
• オンプレミスからプライベートホストゾーンで名前解決
• オンプレミスのDNSサーバで、Directory Serviceのインスタンスをフォワーダーに設定
• http://aws.typepad.com/sajp/2016/02/how-to-set-up-dns-resolution-between-on-premises-
networks-and-aws-using-aws-directory-service-and-am.html
• http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-
guide/dns_with_simple_ad.html

15.
Route53のプライベートゾーンへのフォワード
Private
Hosted
Zone
Directory ServiceDirectory Service
Customer
Gateway
VPN
Gateway
corporate data center virtual private cloud
client DNS server
http://aws.typepad.com/sajp/2016/02/how-to-set-up-dns-resolution-between-on-premises-networks-and-aws-using-aws-directory-service-and-am.html

16.
Route53のプライベートゾーンへのフォワード
• メリット
• bind使わなくていい（脆弱性祭りに巻き込まれない）
• 高い可用性
• Route53はSLA100％
• Diectory ServiceはMulti-AZ
• 考慮点
• オンプレミスとVPC間の接続が切れた場合の影響を許容できるか

17.
Directory Service自体の課題
• ユーザ管理
• API経由（Management Console、SDK、CLI）では提供されていない
• Windows
• http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/install_ad_tools.html
• Linux
• http://aws.typepad.com/sajp/2015/08/how-to-manage-identities-in-simple-ad-directories.html
• マネージドサービス故の制約事項
• 自分でスキーマ拡張できない、など