AWS Directory Service AWS  Black  Belt  Tech  Webinar  2014  (旧マイスターシリーズ)アマゾンデータサービスジャパン株式会社ソリューションアーキテクト渡邉源太  –  번역:  이우상  (AWS코리아  기술영업대표)  

Agenda

•  Active  Directory  on  AWS–  Active  Directory  기초부터  알아보기–  Active  Directory  on  AWS  구성  시나리오–  ADFS와  AWS  IAM  의  연계

•  AWS  Directory  Service–  디렉토리  유형  선택–  디렉토리  관리–  다중  요소  인증  (MFA)  설정

Active  Directory  on  AWS

Directory  는..

•  사용자의  각종  정보를  저장하는  구조–  ID–  성,  이름,  부서,  전화번호–  이메일  주소–  비밀번호–  그룹  등

•  트리  유형으로  구성하는  예가  많다•  관련용어：LDAP、Active  Directory、OpenLDAP

Active  Directory  는..

•  Windows  네트워크의  기본적인  인증과  보안의  기반•  Windows  2000  에서  표준  기능으로  구현됨•  NT  도메인에서의  취약점을  보완

–  도메인간의  계층구조를  취할  수  없었던..–  동일한  네트워크에  동일한  컴퓨터  이름이  공존할  수  없었던..–  Security  Account  Manager（SAM）데이터베이스의  최대용량이  40MB  까지였던..

Active  Directory  의  필요성

•  ID  및  액세스  관리–  운영  효율성의  향상–  규정  준수를  추진–  보안상  강화–  외부  인터넷으로  확장

•  응용  프로그램의  사용–  Exchange/SharePoint/SQL  Server–  파일  공유,  패치  관리  등

Windows  환경에서는  Active  Directory  사용이  필수

Active  Directory  서비스

•  Active  Directory  도메인  서비스  （AD  DS）•  Active  Directory  페더레이션  서비스（ADFS）•  Active  Directory  인증서  서비스  （AD  CS）•  Active  Directory  경량  디렉토리  서비스  （AD  LDS）•  Active  Directory  Rights  Management  서비스 　（AD  RMS）

Active  Directory  도메인  서비스  (AD  DS）

•  이름  확인（DNS）•  디렉토리  서비스（LDAP）•  사용자  인증（Kerberos  version.5）•  클라이언트  관리（SMB:  파일  공유）

기본적인  용어

•  포레스트–  DNS  이름  계층을  기반으로  한  하나  이상의  도메인의  계층  집합

•  도메인–  사용자  및  컴퓨터  관리의  단위–  DNS  이름  계층을  LAN  에  응용한  것

•  조직단위（OU）–  사용자와  컴퓨터를  관리하는  논리적인  계층  구조

•  사이트–  물리적인  네트워크를  기반으로  구분

도메인  및  포레스트•  Active  Directory  의  논리적  구조

–  도메인  트리  간의  신뢰  관계를  맺은것이  포레스트–  포레스트  안의  도메인  사이에는  ʻ‘신뢰  관계의  추이＇가  맺어진다

도메인  트리

domain.local

us.domain.local jp.domain.local

신뢰관계 신뢰관계

도메인  트리

domain.local

us.domain.local jp.domain.local

신뢰관계 신뢰관계

포레스트

OU（조직단위）의  구조•  OU（조직단위）속에  유저,  컴퓨터,  그룹  등의  오브젝트들이  배치된다

•  그룹  정책의  적용  범위Active  Directory  도메인

영업부 OU 경리부 OU

Member 001

Member 002

Member 003

Member 004

Member 101

Member 102

Member 103

Member 104

Flexible  Single  Master  Operation（FSMO）•  Active  Directory  도메인  컨트롤러는  FSMO  라는  역할을  수행함

•  스키마  마스터–  Active  Directory  의  데이터  베이스  스키마를  관리

•  도메인  이름  관리–  포레스트에  속한  도메인의  추가  /  삭제

•  RID  마스터–  오브젝트의  고유  식별에  사용되는  SID  의  일부  RID  를  관리

•  PDC  에뮬레이터–  NT  도메인의  프라이머리  도메인  컨트롤러를  에뮬레이팅

•  인프라스트럭쳐  마스터–  그룹에  소속된  사용자  계정의  정보를  관리

도메인  컨트롤러（DC）배치

•  신규  Active  Directory  도메인  서비스를  구축–  도메인  컨트롤러를  EC2  상에  구축

•  애플리케이션으로  집중화된  클라우드  기반의  인증이  필요한  경우  

•  기존의  Active  Directory  환경을  AWS  로  확장–  기존  (on-‐‑‒premise)  의  도메인  컨트롤러를  이용

AWS  에  DC  를  배치하는  경우•   신규  Active  Directory  도메인  서비스의  구축

Availability Zone Availability Zone

Direct Connect

VPN Connection

DC(FSMO1)

클라이언트

DC(FSMO2)

・AZ  를  이용한  이중화・복구  방법에  대한  검토  필요

 기존  DC  를  이용한  하이브리드  형  운영•  기존의  Active  Directory  환경을  AWS  로  확장

Availability Zone Availability Zone

Direct Connect

VPN Connection

DC(FSMO) DC DC

(FSMO)

클라이언트

AZ  를  이용한  이중화

FSMO  의  위치를  결정  (AWS    or  On-‐‑‒Premise）

DNS  배치•  장애발생시에도  도메인  네임  참조가  가능한  상태  확보

Availability Zone Availability Zone

Direct Connect

VPN Connection

DC(FSMO) DC DC

(FSMO)

클라이언트본  예시에서는  스스로에게  DNS가  설치되어  있지  않으면  네임  참조가  불가능해진다.  네임  참조가  가능한  상태를  확보함으로써  DC  의  고립을  방지한다.

DNSDNSDNS

참조할  DNS  를  지정•  NIC  의  TCP/IP  를  설정

–  참조할  DNS  는  On-‐‑‒Premise  로  지정–  AWS  가  제공하는  DNS  는  대체  DNS  로  지정하지  않는다

•  DC  를  참조할  수  없으면  로그온  장애가  발생할  우려•  DC  간  복제  문제  우려

•  DC  의  DNS  포워더에  AWS  가  제공하는  DNS  를  설정

인터넷에서의  네임  확인은  AWS  가  제공하는  DNS  에  전달

TCP/IP  고급  설정（DNS）

•  기본적으로  DNS  접미사에  AWS  관련  접미사가  추가되는  형태

•  추가되는  접미사의  예시–  ap-‐‑‒northeast-‐‑‒1.ec2-‐‑‒utilities.amazonaws.com–  us-‐‑‒east-‐‑‒1.ec2-‐‑‒utilities.amazonaws.com–  ec2-‐‑‒utilities.amazonaws.com–  ec2.internal–  ap-‐‑‒northeast-‐‑‒1.compute.internal

DHCP  Options  Set  을  이용

도메인의  FQDN  을  지정

DC  의  DNS  를  지정

NTP  서버는  설정하지  않는다（PDC  에뮬레이터  동기）

WINS  를  사용할  때  2  를  지정

WINS  를  사용할  때  지정

백업

•  기존의  백업  방법을  사용–  VSS  (Volume  Shadow  Copy  Service)  에  대응하는  백업도구를  사용

•  Windows  Server  백업•  Wbadmin.exe

–  Tombstone  Lifetime  의  유효기간에  주의•  EC2  스냅샷을  이용

–  백업  도구에  의하여  얻어진  백업  데이터를  EBS  스냅샷하여  보관–  DC  시스템  전체의  스냅샷  내용은  다음  페이지의  유의점들을  충분히  고려해야  한다

복구  시  주의  사항

•  DC  전체의  스냅샷을  복구에  사용하지  않는다–  USN  롤백을  유발–  롤백이  발생한  DC는  도메인  환경에서  격리되고  복제  대상  (파트너)  으로  간주되지  않는다

가상화된  도메인컨트롤러의  백업  및  복원에  관한  고려사항https://technet.microsoft.com/ko-kr/library/dd363545%28v=ws.10%29.aspx

Active  Directory  페더레이션  서비스（ADFS）

•  보안성이  고려된  ID  연계와（페더레이션）웹  싱글  사인온을  제공  (SSO）

•  AD  DS/AD  LDS  에서  인증된  사용자에게  보안  토큰을  발행  (SAML  1.1/2.0）

•  Office  365  와  Google  Apps  으로의  싱글사인온에도  이용된다  

IAM  과  Active  Directory  의  인증  연계

•  AWS  IAM  의  SAML  2.0지원•  Active  Directory  와  SAML  2.0  에  의한  ID  연계가  가능

–  Active  Directory  페더레이션  서비스를  이용

•  Active  Directory  의  사용자와  그룹을  인증과  인가에  이용

https://translate.google.com/translate?sl=en&tl=ko&js=y&prev=_̲t&hl=ko&ie=UTF-‐‑‒8&u=http%3A%2F%2Fblogs.aws.amazon.com%2Fsecurity%2Fpost%2FTx71TWXXJ3UI14%2FEnabling-‐‑‒Federation-‐‑‒to-‐‑‒AWS-‐‑‒using-‐‑‒Windows-‐‑‒Active-‐‑‒Directory-‐‑‒ADFS-‐‑‒and-‐‑‒SAML-‐‑‒2-‐‑‒0&edit-‐‑‒text=&act=url

그룹  매핑•  AWS  의  조작  권한의  단위를  보안그룹으로  작성

•  IAM  롤을  작성하고  AWS  의  조작권한을  IAM  정책에서  정의

보안그룹  (AD)  와  IAM  롤을  매핑할  수  있음

AWS  Directory  Service

AWS  Directory  Service  에서  할  수  있는  것들

•  AWS  클라우드에  독립형  디렉토리를  새로  작성

•  현재  사용중인  기업  내  인증을  이용한다면：–  AWS  어플리케이션  접근  (Amazon  WorkSpaces,  Amazon  Zocalo  등)

–  IAM  롤에  의한  AWS  Management  Console  접속

디렉토리  종류를  선택

•  Simple  AD–  관리형  디렉토리  서비스–  Samba  4  Active  Directory  호환  서버를  이용–  AWS  상에  독립된  도메인을  작성

•  AD  Connecter–  기존의  디렉토리  서비스  접속–  On-‐‑‒Premise  또는  VPC  에서  도메인을  지정–  다중요소인증（MFA）을  지원

디렉토리의  크기

•  Simple  AD–  Small:  최대  1,000  의  사용자,  컴퓨터,  그룹  및  기타  개체–  Large:  최대  10,000  의  사용자,  컴퓨터,  그룹  및  기타  개체

•  AD  Connector–  Small:  최대  10,000  의  사용자,  컴퓨터,  그룹  및  기타  개체에  연결–  Large:  최대  100,000  의  사용자,  컴퓨터,  그룹  및  기타  개체에  연결

Simple  AD

•  독립된  관리형  디렉토리–  Samba  4  Active  Directory  호환서버를  이용  –  AWS  응용  프로그램（Amazon  WorkSpaces/Amazon  Zocalo）의  이용을  지원

•  일반적인  Active  Directory  기능을  지원–  사용자  계정/그룹  구성원/EC2  Windows  인스턴스의  도메인  가입/Kerberos  기반의  SSO/그룹  정책

•  기존의  Active  Directory  관리  도구를  이용한  관리가  가능–  Microsoft  관리콘솔（MMC）스냅인、Active  Directory  Services  Interface  (ADSI)、ADSIEdit,  dsadd  및  dsmod  명령줄  도구

Simple  AD  만들기

•  도메인  관리자  계정  만들기–  Directory  DNS–  NetBIOS  Name–  Administrator  Password–  Directory  Size

•  디렉토리를  만들  VPC  를  선택–  VPC  는  다른  Availability  Zone  에  2개  이상의  subnet이  존재해야함

디렉토리  만들기•  Region  을  선택하고  데릭토리를  작성  (예:  Tokyo  region)

2.  [Asia  Pacific  (Tokyo)]  

1.  Region  을  선택

3.  [Get  Started  Now]  클릭

디렉토리  종류의  선택

•  Create  a  Simple  AD  를  선택

 [Create  Simple  AD]  클릭

Simple  AD  를  작성（1/2）

 1.  [Directory  DNS]  를  입력

 2.  [NetBIOS  name]  를  입력（optional）

 3.  [Administrator  password]  을  입력

4.  [Small]  을  선택

•  기존의  VPC  를  선택  or  신규  VPC  와  subnet  을  생성Simple  AD  를  작성（2/2）

 1.  [VPC]  선택

 2.  2개의  [Subnets]  을  선택

3.  [Next  Step]  을  클릭

입력한  내용을  확인

[Create  Simple  AD]  을  클릭

Simple  AD  확인（1/2）•  [Status]  가  [Active]  이  되면  생성  완료!

Simple  AD  확인  (2/2）•  [Directory  ID]  를  클릭하고  [Directory  Details]  를  확인

생성된  Simple  AD•  도메인  컨트롤러는  Multi-‐‑‒AZ  로  구성되어  복수개의  Subnet  에  적용

–  EC2로  표시되지  않는다•  표준의  Active  Directory  관리도구에서  조작  가능

–  이벤트  모니터–  Active  Directory  사용자와  컴퓨터

Availability Zone Availability Zone

Domain Controller

Domain Controller

Virtual Private Cloud

디렉토리  관리•  도메인안의  EC2  인스턴스에  Active  Directory  관리  툴을  설치하여  디렉토리를  관리–  %SystemRoot%\system32\dsa.msc

스냅샷을  관리

•  기본적으로  주기적인  스냅샷을  통해  백업을  수행하고  Point-‐‑‒In-‐‑‒Time  복구  가능

–  5일  분량의  스냅샷이  저장된다–  매뉴얼에서  스냅샷에도  대응

[Create  Snapshot]  을  클릭

Access  URL  을  설정•  Access  URL  은  AWS  애플리케이션과의  연계  목적으로  이용

–  설정하는  URL  은  Unique  한  값이어야  한다–  한  번  설정하면  변경  및  삭제할  수  없다

1.  Access  URL  을  설정 2.  [Create  Access  URL]  을  클릭

AWS  Management  Console  연계를  설정

•  작성한  Access  URL  을  이용한  AWS  Management  Console  접속을  설정

1.  Manage  Access  을  선택2.  [Enable  Access]  을  클릭

사용자/그룹과  IAM  을  매핑•  적절한  권한을  설정하기  위해서,  사용자/그룹과  IAM  account/그룹과  매핑

–  본  예시에서는  EC2ReadOnly  그룹과  PowerUser  롤  에  각각  그룹과  account  를  할당

[New  Role]  을  클릭

AWS  Management  Console  로  싱글사인온（SSO）

•  https://<access_̲url>.awsapps.com/console/  로  접속  및  로그인하여  Management  Console  에서  Web  베이스로  (SSO)  할  수  있다

AD  Connector

•  On-‐‑‒Premise  의  Active  Directory  에  접속–  기존의  VPN  접속  or  AWS  Direct  Connect  를  경유

•  기존의  인증에  의해  AWS  애플리케이션에  대한  사용자  접속–  Amazon  WorkSpaces/Amazon  Zocalo

•  AWS  Identity  &  Access  Management  （IAM)  과의  통합에  의한  AWS  Management  Console  로  접속

•  다중요소인증（MFA）을  지원

AD  Connector  생성

•  기존의  Active  Directory  도메인  정보를  입력–  Directory  DNS–  NetBIOS  Name–  Account  username–  Account  Password–  DNS  Address

•  디렉토리를  생성할  VPC  를  선택–  VPC  에는  다른  Availability  Zone  의  ２개  이상의  Subnet  이  존재할  필요가  있다

생성된  AD  Connector

•  VPC  에  인증용  프록시를  생성–  요청  베이스에  의해  프록시를  경유하여  도메인  컨트롤러에  접속–  기존  사용자  인증  및  정책을  적용할  수  있다

Availability Zone Availability Zone

AD Connector AD Connector

Virtual Private Cloud

VPN Gateway

Corporate Data center

Customer Gateway Domain Controller

다중요소인증 　Multi-‐‑‒Factor  Authentication（MFA）•  AD  Connector  에서  이용  가능•  RADIUS  서버를  경유한  MFA  를  지원

–  One-‐‑‒time  패스워드를  지원–  스마트카드/증명서는  미지원–  Symantec  Validation  and  ID  Protection  Service  (VIP)및  Microsoft  RADIUS  Server  에서  테스트  됨

•  사용되었던  On-‐‑‒time  패스워드가  재사용될  가능성이  있음

(예시)  Google  Authenticator  를  사용•  스마트폰에  무료로  설치할  수  있는Google  Authenticator를  소프트웨어  토큰으로  사용한다

•  서버쪽은  오픈소스인  FreeRADIUS  와  Google  Authenticator  의  PAM（Pluggable  Authentication  Module）을  연계시킨다

•  https://translate.google.com/translate?sl=ja&tl=ko&js=y&prev=_̲t&hl=ko&ie=UTF-‐‑‒8&u=http%3A%2F%2Faws.typepad.com%2Fsajp%2F2014%2F10%2Fgoogle-‐‑‒authenticator.html&edit-‐‑‒text=&act=url

※유저  등록을  할  때  GUI  는  이용불가능하며  Command  Line  을  이용해야  함

MFA  를  설정•  [Multi-‐‑‒Factor  Authentication]  탭에  RADIUS  서버의  정보를  입력하고  [Update  Directory]  를  선택

 RADIUS  서버의  IP  주소체크

 포트  번호

 [Update  Directory]  를  선택

패스워드

프로토콜타임아웃（초）재시도  횟수

패스워드  확인

AWS  Directory  Service  가격

디렉토리  타입 사이즈 시간당  가격

AD  Connector Small 0.08  USD（58.40  USD/⽉月*）

AD  Connector Large 0.24  USD（175.20  USD/⽉月*）

Simple  AD Small 0.08  USD（58.40  USD/⽉月*）

Simple  AD Large 0.24  USD（175.20  USD/⽉月*）

*  월별  이용요금은  1개월을  730시간으로  계산

일본  Region  사용  예

•  생성한  디렉토리의  유형과  크기에  따라  과금

무료  이용  한도

•  Free  Tier–  디렉토리를  처음  생성하는  경우  750시간  분량의  Small  디렉토리가  (Simple  AD  or  AD  Connector)  무료

–  디렉토리  생성  후  30일  간  무료

•  Amazon  WorkSpaces  와  Amazon  Zocalo–  Small  디렉토리에서는  1  active  user,  Large  디렉토리는  100  active  user  가  있으면  해당  월의  AWS  Directory  Service  요금이  무료

사용  가능한  지역

•  사용  가능한  AWS  Region:–  US  East  (N.Virginia)–  US  West  (Oregon)–  EU  (Ireland)–  Asia  Pacific  (Sydney)–  Asia  Pacific  (Tokyo)

•  타  Region  은  향후  지원

정리

•  Active  Directory  는  Windows  시스템에서  거의  필수이며,  ID  및  액세스  관리의  기초

•  적절한  설계  및  Auditing  을  통해    Active  Directory  를    AWS  상에서  구축  및  운영할  수  있다

•  AWS  Directory  Service  는  기존의  Active  Directory  와의  연계  혹은  관리형  디렉토리  서비스를  제공–  AWS  애플리케이션（Amazon  WorkSpaces,  Amazon  Zocalo）및  AWS  Management  Console  과  연계

참고  자료

•  AWS  Directory  Service  Administration  Guide–  http://docs.aws.amazon.com/directoryservice/latest/adminguide/what_̲is.html

•  AWS  Directory  Service  의  FAQ–  http://aws.amazon.com/ko/directoryservice/faqs/?nc2=h_̲ls

•  가격  안내–  http://aws.amazon.com/ko/directoryservice/pricing/?nc2=h_̲ls

Q&A