476-AWS SAP AWS 「理論・実践・一問道場」AD Connector

type

status

date

slug

summary

理論

この問題に関連する汎用的な知識を簡潔にまとめます。

1. AWS Client VPN

AWS Client VPN は、ユーザーがインターネット経由で AWS の仮想プライベートクラウド（VPC）内のリソースにセキュアにアクセスできるようにする、フルマネージドなリモートアクセス VPN サービスです。これにより、リモートワークのユーザーが安全に企業のネットワークにアクセスすることができます。

特徴：

多要素認証（MFA）：AWS Client VPN は MFA をサポートしており、追加のセキュリティ層を提供します。
AD DSとの統合：Active Directory Domain Services（AD DS）と統合することで、ユーザーの認証と権限管理を一元化できます。
スケーラビリティ：必要に応じて自動的にスケールするため、大規模なリモートアクセス環境でも問題なく利用可能です。

2. AD Connector

AD Connector は、AWS のサービスと企業の Active Directory（AD DS） を接続するためのディレクトリサービスです。これにより、AWS リソース（例えば、AWS Client VPN、Amazon WorkSpaces など）で AD DS の認証情報を利用することができます。

特徴：

本番環境向け：オンプレミスの AD DS をそのまま利用することができ、完全に移行せずにクラウド環境と統合できます。
スムーズな統合：AWS 内のリソース（EC2、RDS、WorkSpaces など）と既存の AD DS を簡単に統合できます。

3. AWS VPN

Site-to-Site VPN：AWS とオンプレミスのネットワーク間で直接接続するための VPN 接続です。主に、AWS の VPC と企業のデータセンターなどとの間でセキュアな通信を確立する際に使用します。

Client VPN：リモートユーザーがインターネットを通じて AWS リソースにアクセスするための VPN です。AWS クラウドへのリモートアクセス用に最適化されています。

4. 多要素認証（MFA）

MFA は、ユーザーが VPN などのサービスにアクセスする際に、2つ以上の認証要素を要求するセキュリティ手法です。例えば、パスワードに加えて、モバイルデバイスやハードウェアトークンから生成されるワンタイムパスワード（OTP）などを使用します。

利点：

セキュリティ向上：MFA は単純なパスワードだけではアクセスできないようにするため、セキュリティが強化されます。
AWSサポート：AWSではMFAを複数のサービスに対応させることができ、特にAWS Client VPNやAWS Management Consoleでのアクセス制御に利用されます。

まとめ

AWS Client VPN を使うことで、リモートワーカーがインターネット経由で AWS の VPC 内のサービスに安全にアクセスできます。

AD Connector は、AWS 上のリソースとオンプレミスの Active Directory を統合し、ユーザー認証を一元化するために使われます。

MFA を使うことで、VPN へのアクセスを多層的に保護できます。

実践

略

一問道場

質問 #476

あるソフトウェア開発会社には、リモートで作業している複数のエンジニアがいます。会社はAmazon EC2インスタンス上でActive Directory Domain Services（AD DS）を実行しています。会社のセキュリティポリシーでは、VPC内にデプロイされるすべての内部・非公開サービスはVPNを介してアクセス可能でなければならず、VPNへのアクセスには多要素認証（MFA）を使用する必要があります。

これらの要件を満たすために、ソリューションアーキテクトは何をすべきですか？

AWS Site-to-Site VPN接続を作成し、VPNとAD DSの統合を設定します。MFAサポートが有効なAmazon WorkSpacesクライアントを使用してVPN接続を確立します。

AWS Client VPNエンドポイントを作成し、AD DSと統合するためにAD Connectorディレクトリを作成します。AD ConnectorにMFAを有効にし、AWS Client VPNを使用してVPN接続を確立します。

複数のAWS Site-to-Site VPN接続を作成し、AWS VPN CloudHubを使用して統合を設定します。AWS VPN CloudHubとAD DSの統合を構成し、AWS Copilotを使用してVPN接続を確立します。

Amazon WorkLinkエンドポイントを作成し、Amazon WorkLinkとAD DSの統合を設定します。Amazon WorkLinkでMFAを有効にし、AWS Client VPNを使用してVPN接続を確立します。

解説

この問題では、リモートワークのエンジニアが安全にAWS上の内部サービスにアクセスできるように、VPN接続を確立し、その接続には多要素認証（MFA）を使用する必要があります。解決策として最も適切な方法を選ぶ問題です。

問題の背景

会社にはリモートワークをしている複数のエンジニアがいます。

会社はAWSで Active Directory Domain Services (AD DS) を運用しており、そのサービスを使って内部の認証を行っています。

すべての内部サービスに対するアクセスはVPN経由で行う必要があります。

VPN接続に対して 多要素認証（MFA） を有効にする必要があります。

解答選択肢の分析

A. AWS Site-to-Site VPN 接続を作成し、VPNとAD DSを統合します。

Amazon WorkSpaces クライアントを使用してMFAを有効にし、VPN接続を確立する方法です。

Site-to-Site VPN は通常、オンプレミスとAWS間で使用されるもので、リモートワークには向いていません。

WorkSpacesクライアント はデスクトップ仮想化サービスですが、リモートVPN接続には適していません。

B. AWS Client VPN エンドポイントを作成し、AD DSと統合します。

AWS Client VPN はリモートアクセスVPNを提供するAWSのサービスで、ユーザーがインターネット経由でAWS VPC内のリソースにアクセスできるようにします。

AD Connector を使って、AWS Client VPNとAD DSを統合する方法です。

MFAを有効化でき、セキュリティ要件に合致しています。

最も適切な選択肢です。

C. 複数のAWS Site-to-Site VPN接続を作成し、AWS VPN CloudHubを使って統合します。

これはSite-to-Site VPN を複数作成し、VPN CloudHub を使って接続する方法です。

Site-to-Site VPNはリモートアクセス向けではなく、企業間接続に使用されることが多いため、リモートワークのエンジニアに対する接続方法としては不適切です。

D. Amazon WorkLink エンドポイントを作成し、AD DSとの統合を設定します。

Amazon WorkLink はモバイルデバイス向けのサービスで、ウェブアプリケーションにセキュアにアクセスするためのもので、VPNの代替にはなりません。

この選択肢もリモートワークのVPN接続には適していません。

最適な解決策

B. AWS Client VPN エンドポイントを作成し、AD DSと統合します。

AWS Client VPN はリモートアクセス向けであり、AD DSとの統合を簡単に実現できます。

MFAを有効化することも可能で、セキュリティ要件を満たします。

最も効率的かつセキュアな解決策です。

結論

選択肢 B は、リモートワークエンジニアのアクセス要件を満たし、MFAとAD DS統合を適切にサポートするため、最も適切な解決策です。