326-AWS SAP AWS 「理論・実践・一問道場」AWS Managed Microsoft AD

type

status

date

slug

summary

理論

AWS Directory Service for Microsoft Active Directoryの概要と関連技術

AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD):

完全に管理されたサービスで、Windows Server 2019に基づいています。

AWS上でActive Directoryドメインを実行し、Microsoftのサービス（SharePointや.NETアプリケーションなど）をサポートします。

オンプレミスのActive DirectoryとAWS間で信頼関係を設定し、シームレスに統合できます。

多要素認証（MFA）をRADIUSベースでサポートし、セキュリティ強化が可能です。

Amazon WorkSpaces:

AWS上で提供される完全管理型のデスクトップサービスで、ユーザーがリモートで安全に作業できる環境を提供します。

Active Directoryの管理やセキュリティ設定を行うために利用できます。

多要素認証（MFA）:

セキュリティ強化のために、ユーザー認証において2段階認証を要求する技術です。

AWS Managed Microsoft ADでは、RADIUSを使用してMFAを有効化できます。

AWS Directory Serviceの他のバージョン:

AWS Directory Service Simple AD:

基本的なディレクトリサービスを提供し、小規模な環境に適していますが、Microsoft Active Directoryのフル機能を必要とする環境には不向きです。

AD Connector:

オンプレミスのActive DirectoryとAWS環境を統合するサービスです。既存のオンプレミスADをAWS上で利用する際に使用されます。

要点:

AWS Managed Microsoft ADは、企業のニーズに対応できる強力なディレクトリサービスであり、特にActive Directoryの統合やMFAの導入を必要とする環境に最適です。

Amazon WorkSpacesを利用して、AWS上でのドメイン参加やセキュリティ設定を行うことができます。

実践

略

一問道場

質問#326

ある企業がアプリケーションをAWSで実行するように再構築しています。企業のインフラストラクチャには複数のAmazon EC2インスタンスが含まれています。企業の開発チームには異なるレベルのアクセスが必要です。企業はすべてのWindows EC2インスタンスがAWSのActive Directoryドメインに参加することを要求するポリシーを実装したいと考えています。企業はさらに、マルチファクター認証（MFA）などの強化されたセキュリティプロセスも実施したいと考えています。企業は可能な限りAWSの管理されたサービスを使用したいと考えています。

この要件を満たすソリューションはどれですか？

A. AWS Directory Service for Microsoft Active Directoryを実装して、Amazon WorkSpaceを起動します。WorkSpaceに接続して、ドメインのセキュリティ設定タスクを実行します。

B. AWS Directory Service for Microsoft Active Directoryを実装して、EC2インスタンスを起動します。EC2インスタンスに接続して、ドメインのセキュリティ設定タスクを実行します。

C. AWS Directory Service Simple ADを実装して、EC2インスタンスを起動します。EC2インスタンスに接続して、ドメインのセキュリティ設定タスクを実行します。

D. AWS Directory Service Simple ADを実装して、Amazon WorkSpaceを起動します。WorkSpaceに接続して、ドメインのセキュリティ設定タスクを実行します。

解説

Aが正解の理由は、以下の通りです。

AWS Directory Service for Microsoft Active Directory（AWS Managed Microsoft AD）:

これは、完全に管理されたMicrosoft Active Directoryサービスで、Windows Server 2019を基盤にしており、AWS上でディレクトリ対応のワークロード（例えば、Microsoft SharePointや.NET、SQL Serverアプリケーションなど）を実行するために利用されます。

これにより、企業はAWSクラウド内でActive Directoryドメインを管理し、Windows EC2インスタンスをそのドメインに参加させることができます。

さらに、既存のオンプレミスのMicrosoft Active Directoryと信頼関係を構成することができ、オンプレミスとAWS間での統合が可能です。

MFA（マルチファクター認証）のサポート:

AWS Managed Microsoft ADは、RADIUSベースのMFAインフラストラクチャと統合することで、MFAをサポートします。これにより、セキュリティを強化するために、ユーザー認証時に2段階認証を利用できます。

Amazon WorkSpacesの使用:

ドメインのセキュリティ設定タスクを実行するために、Amazon WorkSpaceを利用します。WorkSpaceは、完全に管理されたデスクトップコンピューティングサービスで、AWS上で安全にデスクトップ環境を提供します。この環境に接続することで、Windows EC2インスタンスをAWS Active Directoryドメインに参加させるための設定作業を行うことができます。

このように、Aは企業が求める要件を満たす最適なソリューションであるため、正解となります。

他の選択肢に関しては以下の理由で不適切です：

Bは、EC2インスタンスを使用する方法ですが、AWS Managed Microsoft ADを利用してドメイン参加やセキュリティ設定を行うことが推奨されます。

CとDは、AWS Directory Service Simple ADを使用する方法ですが、Simple ADは、Microsoft Active Directoryのフル機能が必要なケースには適していません。AWS Managed Microsoft ADがより強力で柔軟な機能を提供します。

以上が、Aが正解である理由です。