AWS Directory Service AWS Black Belt Tech Webinar 2014 (旧マイスターシリーズ) アマゾンデータサービスジャパン株式会社ソリューションアーキテクト渡邉源太 Agenda •  Active Directory on AWS –  基礎からわかるActive Directory –  Active Directory on AWS構成のシナリオ –  ADFSとIAMによるID連携 •  AWS Directory Service –  ディレクトリタイプの選択 –  ディレクトリの管理理 –  多要素認証（MFA）の設定 Active Directory on AWS ディレクトリとは •  ユーザに関わる各種情報を保管する仕組み –  –  –  –  –  ユーザ名姓・名、部署、電話番号メールアドレスパスワードグループなど •  ツリー状の構成とする事が多いことから、ディレクトリと呼ばれる •  関連⽤用語：LDAP、Active Directory、OpenLDAP Active Directoryとは •  Windowsネットワークの基本的な認証とセキュリティ基盤 •  Windows 2000から標準機能として実装されたディレクトリサービス •  NTドメインからの反省省をふまえたアーキテクチャー –  ドメイン間の階層構造がとれない –  同⼀一ネットワーク上に同じコンピュータ名が共存できない –  Security Account Manager（SAM）データベースの最⼤大容量量が 40MBまで Active Directoryの必要性 •  IDとアクセス管理理 –  –  –  –  運⽤用効率率率の向上コンプライアンスの推進セキュリティの強化エクストラネットへの拡張 •  アプリケーションによる使⽤用 –  Exchange/SharePoint/SQL Server –  ファイル共有・パッチ管理理など Windowsシステムでは、Active Directoryがほぼ必須 Active Directoryサービス Active Directoryドメインサービス（AD DS） Active Directory フェデレーションサービス（ADFS） Active Directory 証明書サービス（AD CS） Active Directory ライトウェイトディレクトリサービス（AD LDS） •  Active Directory Rights Managementサービス（AD RMS） •  •  •  •  Active Directoryドメインサービス（AD DS） •  •  •  •  名前解決（DNS）ディレクトリサービス（LDAP）ユーザー認証（Kerberosバージョン5）クライアント管理理（SMB:ファイル共有）基本的な⽤用語 •  フォレスト –  DNSの名前階層に基づく1つ以上のドメインの階層的集合 •  ドメイン –  ユーザーとコンピュータの管理理単位 –  DNSの名前階層をLANに応⽤用したもの •  組織単位（OU） –  ユーザーとコンピュータを管理理する論論理理的な階層 •  サイト –  物理理ネットワークに基づく境界ドメインとフォレスト •  Active Directoryの論論理理構造 –  ドメイン・ツリー間で信頼関係を結んだものがフォレスト –  フォレスト内のドメインでは、「推移的な信頼関係」が結ばれるフォレスト信頼関係 domain.local jp.domain.local 信頼関係 us.domain.local ドメイン・ツリー信頼関係 domain.local jp.domain.local 信頼関係 us.domain.local ドメイン・ツリー OU（組織単位）の構造 •  OU（組織単位）の中にユーザー、コンピュータ、グループなどのオブジェクトが配置される •  グループポリシーの適⽤用範囲 Active Directoryドメイン営業部 OU 経理部 OU Member 001 Member 101 Member 002 Member 102 Member 003 Member 103 Member 004 Member 104 Flexible Single Master Operation（FSMO） •  Active Directoryドメインコントローラ（DC）には FSMOと呼ばれる特別な役割があります。 •  スキーマ・マスタ –  •  ドメイン名前付け操作マスタ –  •  オブジェクトの固有識識別に使⽤用するSIDの⼀一部、RIDを管理理 PDCエミュレータ –  •  フォレストにおけるドメインの追加/削除 RIDマスタ –  •  Active Directoryのデータベーススキーマを管理理 NTドメインのプライマリドメインコントローラをエミュレートインフラストラクチャ・マスタ –  グループに所属しているユーザーアカウントの情報を管理理ドメインコントローラー（DC）配置 •  新規のActive Directory ドメインサービスの構築 –  ドメインコントローラーをEC2上に構築 •  アプリケーションで集中化されたクラウドベースの認証が必要な場合 •  既存のActive Directory環境をAWSに拡張 –  既存（オンプレミス）のドメインコントローラーを利利⽤用 AWS 上に DC を配置する場合 •  新規のActive Directory ドメインサービスの構築 DC (FSMO1) DC (FSMO2) Direct Connect ・AZ を利利⽤用した冗⻑⾧長化・リストア⽅方法について要検討 Availability Zone Availability Zone VPN Connection クライアント既存DCを利利⽤用し、ハイブリッド運⽤用する場合 •  既存のActive Directory環境をAWSに拡張 DC (FSMO) DC Direct Connect DC (FSMO) AZ を利利⽤用した冗⻑⾧長化 Availability Zone Availability Zone VPN Connection クライアント FSMO の配置場所を選定（AWS もしくは⾃自社環境） DNS の配置 •  障害発⽣生時にも名前解決ができる状態を確保する DC (FSMO) DNS DNS DNS DC この障害の例例では、⾃自分⾃自⾝身に DNS がインストールされていないと名前解決ができ Availability Zone Availability Zone ない状態に陥る。名前解決ができる状態を確保することで DC の孤⽴立立を防ぐ。 Direct Connect VPN Connection DC (FSMO) クライアント参照先 DNS の指定 •  NIC の TCP/IP の設定 –  参照先 DNS には、DC 上の DNS を指定する –  AWS が提供する DNS は、（代替 DNS としても）参照しない •  DC の参照ができなくなり、ログオン障害が発⽣生する恐れ •  DC 間の複製障害が発⽣生する恐れ •  DC 上の DNS のフォワーダーに AWS が提供する DNS を設定インターネットの名前解決は AWS が提供する DNS にフォワード TCP/IP の詳細設定（DNS） •  既定で DNS サフィックスに AWS 関連のものが追加されている •  追加されているサフィックスの例例 –  –  –  –  –  ap-‐‑‒northeast-‐‑‒1.ec2-‐‑‒utilities.amazonaws.com us-‐‑‒east-‐‑‒1.ec2-‐‑‒utilities.amazonaws.com ec2-‐‑‒utilities.amazonaws.com ec2.internal ap-‐‑‒northeast-‐‑‒1.compute.internal DHCP Options Set の利利⽤用ドメインの FQDN を指定 DC 上の DNS を指定 NTP サーバーは設定しない（PDC エミュレーター同期） WINS を使⽤用する際に指定 WINS を使⽤用する際に 2 を設定バックアップ •  従来のバックアップの⼿手法を使⽤用 –  VSS (Volume Shadow Copy Service）に対応したバックアップツールを使⽤用する •  Windows Server バックアップ •  Wbadmin.exe –  Tombstone Lifetime の有効期限に注意 •  EC2 スナップショットの利利⽤用 –  バックアップツールによって取得されたバックアップデータが保管されているボリュームのスナップショットを取得し、データを保全 –  DC のシステム全体のスナップショットについては、次ページの留留意点について⼗十分考慮する必要があるリストア時の注意 •  DC のシステム全体のスナップショットをリストアに使⽤用しない –  USN ロールバックを誘発 –  ロールバックが発⽣生した DC はドメイン環境から隔離離され、複製パートナーとして⾒見見なされなくなる仮想化ドメインコントローラーのバックアップと復復元に関する考慮事項 http://technet.microsoft.com/ja-jp/library/dd363545%28v=ws.10%29.aspx Active Directoryフェデレーションサービス（ADFS） •  セキュリティで保護されたID連携（フェデレーション）とWebシングルサインオン（SSO）を提供 •  AD DS/AD LDSで認証されたユーザーに対してセキュリティトークンを発⾏行行（SAML 1.1/2.0） •  Oﬃce 365やGoogle Appsへのシングルサインオン（SSO）にも利利⽤用される –  http://community.oﬃce365.com/ja-‐‑‒jp/b/ oﬃce_̲365_̲community_̲blog/archive/2012/01/14/adfs-‐‑‒in-‐‑‒ oﬃce-‐‑‒365.aspx IAMと Active Directory の認証連携 •  •  AWS IAM の SAML 2.0 サポート Active Directory と SAML 2.0 による ID 連携が可能 –  Active Directoryフェデレーションサービスを利利⽤用 •  Active Directory のユーザーとグループを認証と認可に使⽤用参考情報：Enabling Federation to AWS using Windows Active Directory, ADFS, and SAML 2.0 http://blogs.aws.amazon.com/security/post/Tx71TWXXJ3UI14/Enabling-Federation-to-AWS-using-Windows-ActiveDirectory-ADFS-and-SAML-2-0 グループのマッピング •  AWS の操作権限の単位をセキュリティグループとして作成 •  IAM ロールを作成し、AWS の操作権限を IAM ポリシーで定義セキュリティグループ(AD)と IAM ロールをマッピングが可能 AWS Directory Service AWS Directory Serviceでできること •  AWSクラウド上にスタンドアロンのディレクトリを新規に作成 •  既存の企業内の認証を利利⽤用して： –  AWSアプリケーションへのアクセス(Amazon WorkSpaces, Amazon Zocaloなど) –  IAMロールによるAWS Management Consoleへのアクセスディレクトリタイプの選択 •  Simple AD –  フルマネージドのディレクトリサービス –  Samba 4 Active Directory互換サーバーを利利⽤用 –  AWS上に独⽴立立したドメインを作成 •  AD Connecter –  既存のディレクトリサービスへの接続 –  オンプレミスまたは VPC 上のドメインを指定 –  多要素認証（MFA）をサポートディレクトリのサイズ •  Simple AD –  Small:最⼤大で1,000のユーザー、コンピュータ、グループ、その他のオブジェクト –  Large:最⼤大で10,000のユーザー、コンピュータ、グループ、その他オブジェクト •  AD Connector –  Small:最⼤大で10,000のユーザー、コンピュータ、グループ、その他のオブジェクトへの接続 –  Large:最⼤大で100,000のユーザー、コンピュータ、グループなどのオブジェクトへの接続 Simple AD •  スタンドアロンのマネージド型ディレクトリ –  Samba 4 Active Directory互換サーバーを利利⽤用 –  AWSアプリケーション（Amazon WorkSpaces/Amazon Zocalo）の利利⽤用をサポート •  ⼀一般的なActive Directoryの機能をサポート –  ユーザーアカウント/グループのメンバーシップ/EC2 Windowsインスタンスのドメイン参加/KerberosベースのSSO/グループポリシー •  既存のActive Directory管理理ツールを利利⽤用した管理理が可能 –  Microsoft 管理理コンソール（MMC）スナップイン、Active Directory Services Interface (ADSI)、ADSIEdit、および dsadd や dsmod コマンドラインツール Simple ADの作成 •  ドメインと管理理者アカウントを作成する –  –  –  –  Directory DNS NetBIOS Name Administrator Password Directory Size •  ディレクトリを作成するVPCを選択 –  VPCには異異なる Availability Zoneに２つ以上の Subnet が存在する必要があるディレクトリを作成する •  アジアパシフィック（東京）リージョンに変更更してディレクトリを作成します。 1. リージョン選択メニュー 2. [Asia Paciﬁc (Tokyo)] を選択 3. [Get Started Now] を選択ディレクトリタイプの選択 •  Create a Simple ADを選択 [Create Simple AD] を選択 Simple ADの作成（1/2） 1. [Directory DNS] を⼊入⼒力力 2. [NetBIOS name] を⼊入⼒力力（オプション） 4. [Small] を選択 3. [Administrator password] を⼊入⼒力力 Simple ADの作成（2/2） •  既存のVPCを選択、または新規にVPCとSubnet を作成 1. [VPC] を選択 2.2つの [Subnets] を選択 3. [Next Step]をクリック⼊入⼒力力内容の確認 [Create Simple AD]をクリック Simple ADの確認（1/2） •  [Status]が[Active]になれば作成完了了 Simple ADの確認（2/2） •  [Directory ID]をクリックして[Directory Details]を確認作成されたSimple AD •  ドメインコントローラはMulti-‐‑‒AZ構成で複数のSubnetに展開される –  EC2インスタンスとしては表⽰示されない •  標準的なActive Directoryの管理理ツールから操作可能 –  イベントビューア –  Active Directoryユーザとコンピュータ Domain Controller Availability Zone Virtual Private Cloud Domain Controller Availability Zone ディレクトリの管理理 •  ドメインに参加させたEC2インスタンスにActive Directory管理理ツールをインストールすることによりディレクトリの管理理が可能 –  %SystemRoot%\system32\dsa.msc スナップショットの管理理 •  デフォルトで⽇日時のスナップショットによるバックアップを実⾏行行し、ポイントインタイムリカバリーが可能 –  5⽇日分のスナップショットが保存される –  マニュアルでのスナップショットにも対応 [Create Snapshot]をクリック Access URLの設定 •  Access URLはAWSアプリケーションとの連携のために利利⽤用される –  設定するURLはグローバルでユニーク（⼀一意）である必要がある –  ⼀一度度設定すると変更更・削除はできない 1. Access URLを設定 2. [Create Access URL]をクリック AWS Management Console連携の設定 •  作成したAccess URLを利利⽤用したAWS Management Consoleへのアクセスを設定 2. [Enable Access]をクリック 1. Manage Accessを選択ユーザー/グループとIAMロールのマッピング •  適切切な権限を設定するために、ユーザー/グループと IAMロールのマッピングを⾏行行う –  この例例ではEC2ReadOnlyロールとPowerUserロールにそれぞれグループとユーザーを割り当て [New Role]をクリック AWS Management Consoleへのシングルサインオン（SSO） •  https:// <access_̲url>.awsapps.co m/console/にアクセスしてログオンすることにより Management Consoleへの Webベースでのシングルサインオン（SSO）が可能 AD Connector •  オンプレミスのActive Directoryへの接続 –  既存のVPN接続、もしくはAWS Direct Connect経由 •  既存の認証によるAWSアプリケーションへのユーザーアクセス –  Amazon WorkSpaces/Amazon Zocalo •  AWS Identity & Access Management （IAM）との統合によるAWS Management Consoleへのアクセス •  多要素認証（MFA）をサポート AD Connectorの作成 •  既存のActive Directory ドメイン情報を⼊入⼒力力 –  –  –  –  –  Directory DNS NetBIOS Name Account username Account Password DNS Address •  ディレクトリを作成する VPC を選択 –  VPCには異異なる Availability Zone に２つ以上の Subnet が存在する必要がある作成されたAD Connector •  VPC 上に認証⽤用プロキシが作成される –  リクエストベースによりプロキシを経由してドメインコントローラーに対して接続 –  既存のユーザー認証およびポリシーを適⽤用可能 AD Connector Availability Zone Virtual Private Cloud AD Connector Availability Zone VPN Gateway Customer Domain Controller Gateway Corporate Data center 多要素認証 Multi-‐‑‒Factor Authentication（MFA） •  AD Connectorで利利⽤用可能 •  RADIUSサーバーを経由したMFAに対応 –  ワンタイムパスワード等に対応 –  スマートカードや証明書には未対応 –  Symantec Validation and ID Protection Service (VIP) および Microsoft RADIUS Serverでテスト済 •  既にお使いのワンタイムトークンがそのまま使える可能性もあり (例例) Google Authenticatorを使った⽅方法 •  スマートフォンに無料料でインストールできる Google Authenticator をソフトウェアトークンとして使⽤用する。 •  サーバ側は、オープンソースのFreeRADIUSと Google AuthenticatorのPAM（Pluggable Authentication Module）を連携させて実現させる。 •  http://aws.typepad.com/sajp/2014/10/google-‐‑‒ authenticator.html ※ユーザ登録時のGUIは無くコマンドライン操作が必要になります。 MFAの設定 •  [Multi-‐‑‒Factor Authentication]タブにRADIUSサーバーの情報を⼊入⼒力力して [Update Directory]を選択チェック RADIUSサーバーのIPアドレスポート番号パスワードパスワード（確認）プロトコルタイムアウト（秒）リトライ回数 [Update Directory]を選択 AWS Directory Serviceの料料⾦金金 •  作成したディレクトリのタイプとサイズにもとづいて課⾦金金アジアパシフィック（東京）ディレクトリのタイプサイズ時間料料⾦金金 AD Connector Small 0.08 USD（58.40 USD/⽉月*） AD Connector Large 0.24 USD（175.20 USD/⽉月*） Simple AD Small 0.08 USD（58.40 USD/⽉月*） Simple AD Large 0.24 USD（175.20 USD/⽉月*） * ⽉月ごとの利利⽤用料料⾦金金は、1 か⽉月を 730 時間として算出します。無料料利利⽤用枠 •  無料料トライアル –  ディレクトリをはじめて作成する場合は750時間分のSmallディレクトリ（Simple ADまたはAD Connector）が無料料 –  ディレクトリの作成後30⽇日間で無効になる •  Amazon WorkSpacesとAmazon Zocalo –  Smallディレクトリでは1アクティブユーザー、Largeディレクトリでは100アクティブユーザーが存在していればその⽉月の AWS Directory Serviceの料料⾦金金は無料料利利⽤用可能なリージョン •  利利⽤用可能なAWSリージョン: –  –  –  –  –  US East (N.Virginia) US West (Oregon) EU (Ireland) Asia Paciﬁc (Sydney) Asia Paciﬁc (Tokyo) •  その他のリージョンは今後予定まとめ •  Active DirectoryはWindowsシステムにおいてほぼ必須となるIDとアクセス管理理の基盤 •  適切切な設計と監理理により、Active DirectoryをAWS上で構築・運⽤用することが可能 •  AWS Directory Serviceは既存のActive Directoryとの連携、またはフルマネージドのディレクトリサービスを提供 –  AWSアプリケーション（Amazon WorkSpaces、Amazon Zocalo）およびAWS Management Consoleとの連携参考資料料 •  AWS Directory Service Administration Guide –  http://docs.aws.amazon.com/directoryservice/latest/ adminguide/what_̲is.html •  AWS Directory Serviceのよくある質問 –  http://aws.amazon.com/jp/directoryservice/faqs/ •  料料⾦金金表 –  http://aws.amazon.com/jp/directoryservice/pricing/