Mais conteúdo relacionado
Mais de Nobuhiro Nakayama (16)
JAWS-UG アーキテクチャ専門支部 ハイブリッド分科会 #2 - AWS Directory Service
- 2. {
"name":"Nobuhiro Nakayama",
"company":"UCHIDAYOKO CO., LTD.",
"favorite aws services":[
"Storage Gateway",
"Directory Service",
"IAM",
"AWS CLI"
],
"certifications":[
"AWS Certified Solutions Architect-Professional",
"AWS Certified SysOps Administrator-Associate",
"Microsoft Certified Solutions Expert Server Infrastructure",
"Microsoft Certified Solutions Expert SharePoint",
"IPA Network Specialist", "IPA Information Security Specialist"
]
}
- 4. Directory Serviceとは?
• AWS Directory Service
• 名前解決、ディレクトリ管理、ユーザ認証などの機能を提供するマネージドサービス
• DNS、LDAP、Kerberos、SMB、など
• 以下の3種類のディレクトリを提供
• Simple AD(samba4)
• 【New!】Microsoft Active Directory(Microsoft Active Directory)
• AD Connector(既存(オンプレミス or VPC)のディレクトリのプロキシ)
• VPC上で動作する
• オンプレミスのドメインコントローラと連携可能
• AD Connector(プロキシ)
• Microsoft Active Directory(フォレスト間信頼)
• RADIUSサーバとの連携による多要素認証をサポート(AD Connector)
• スナップショット(バックアップ)機能の提供(Simple AD、Microsoft Active Directory)
- 6. WorkSpaces、WorkDocs、WorkMailとの認証連携
• セットアップ時にDirectory Serviceで作成した既存ディレクトリを指定もしくは新規作
成
• WorkSpaces
• http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/prep_cloud.html
• http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/prep_connect.html
• http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/prep_microsoft.html
• WorkDocs
• http://docs.aws.amazon.com/ja_jp/workdocs/latest/adminguide/getting_started.html
• WorkMail
• http://docs.aws.amazon.com/ja_jp/workmail/latest/adminguide/add_new_organization.html
- 8. Management Consoleへの認証連携・権限制御
• Directory ServiceのユーザでAWSのリソースに対する権限を制御
• IAMロールを利用
• http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/manage_roles.html
• 専用のログイン画面が提供される
• ディレクトリ単位で有効化する必要がある
• http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-
guide/aws_console_access.html
- 11. RDP、SSHログイン時の認証連携
• Directory Serviceで作成したドメインにサーバを参加、認証連携
• Windows
• http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-
guide/join_windows_instance.html
• Linux
• http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/join_linux_instance.html
• SSM(Simple Server Manager)によるドメイン参加の自動化も可能
• Windows
• http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/WindowsGuide/execute-remote-
commands.html
• Linux
• http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/execute-remote-commands.html
- 17. Directory Service自体の課題
• ユーザ管理
• API経由(Management Console、SDK、CLI)では提供されていない
• Windows
• http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/install_ad_tools.html
• Linux
• http://aws.typepad.com/sajp/2015/08/how-to-manage-identities-in-simple-ad-directories.html
• マネージドサービス故の制約事項
• 自分でスキーマ拡張できない、など