JAWS-UG Arch Hybrid #2Directory Service

2016/2/8 Mon

Nobuhiro Nakayama

{

"name":"Nobuhiro Nakayama",

"company":"UCHIDAYOKO CO., LTD.",

"favorite aws services":[

"Storage Gateway",

"Directory Service",

"IAM",

"AWS CLI"

],

"certifications":[

"AWS Certified Solutions Architect-Professional",

"AWS Certified SysOps Administrator-Associate",

"Microsoft Certified Solutions Expert Server Infrastructure",

"Microsoft Certified Solutions Expert SharePoint",

"IPA Network Specialist", "IPA Information Security Specialist"

]

}

IDの集中管理、できてますか？

Directory Serviceとは？

• AWS Directory Service

• 名前解決、ディレクトリ管理、ユーザ認証などの機能を提供するマネージドサービス

• DNS、LDAP、Kerberos、SMB、など

• 以下の3種類のディレクトリを提供

• Simple AD（samba4）

• 【New！】Microsoft Active Directory（Microsoft Active Directory）

• AD Connector（既存（オンプレミス or VPC）のディレクトリのプロキシ）

• VPC上で動作する

• オンプレミスのドメインコントローラと連携可能

• AD Connector（プロキシ）

• Microsoft Active Directory（フォレスト間信頼）

• RADIUSサーバとの連携による多要素認証をサポート（AD Connector）

• スナップショット（バックアップ）機能の提供（Simple AD、Microsoft Active Directory）

利用例

1. （WorkSpaces、WorkDocs、WorkMailとの認証連携）

2. Management Consoleへの認証連携・権限制御

3. RDP（Windows）、SSH（Linux）ログイン時の認証連携

4. Route53のプライベートゾーンへのフォワード

WorkSpaces、WorkDocs、WorkMailとの認証連携

• セットアップ時にDirectory Serviceで作成した既存ディレクトリを指定もしくは新規作成

• WorkSpaces

• http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/prep_cloud.html

• http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/prep_connect.html

• http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/prep_microsoft.html

• WorkDocs

• http://docs.aws.amazon.com/ja_jp/workdocs/latest/adminguide/getting_started.html

• WorkMail

• http://docs.aws.amazon.com/ja_jp/workmail/latest/adminguide/add_new_organization.html

WorkSpaces、WorkDocs、WorkMailとの認証連携

Directory Service

WorkDocs WorkMailWorkSpaces

Management Consoleへの認証連携・権限制御

• Directory ServiceのユーザでAWSのリソースに対する権限を制御

• IAMロールを利用

• http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/manage_roles.html

• 専用のログイン画面が提供される

• ディレクトリ単位で有効化する必要がある

• http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/aws_console_access.html

Management Consoleへの認証連携・権限制御

AWS Management Console

Permissions

Role

Directory Service

Sign-inclient

Management Consoleへの認証連携・権限制御

• メリット

• SAMLに苦しまなくていい

• IAMユーザやグループを作らなくていい

• AD Connectorで既存のディレクトリを利用できる

• IAMロールをディレクトリ上のユーザやグループに割り当てる必要がある

• 考慮点

• AWS外の認証連携は、ADFS on EC2など

RDP、SSHログイン時の認証連携

• Directory Serviceで作成したドメインにサーバを参加、認証連携

• Windows

• http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/join_windows_instance.html

• Linux

• http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/join_linux_instance.html

• SSM（Simple Server Manager）によるドメイン参加の自動化も可能

• Windows

• http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/WindowsGuide/execute-remote-commands.html

• Linux

• http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/execute-remote-commands.html

RDP、SSHログイン時の認証連携

virtual private cloud

Instance

Directory Serviceclient

Instance

RDP

SSH

RDP、SSHログイン時の認証連携

• メリット

• ユーザIDの集中管理

• （SSMを併用することで）構築や運用の自動化できる

• 考慮点

• ？

Route53のプライベートゾーンへのフォワード

• オンプレミスからプライベートホストゾーンで名前解決

• オンプレミスのDNSサーバで、Directory Serviceのインスタンスをフォワーダーに設定

• http://aws.typepad.com/sajp/2016/02/how-to-set-up-dns-resolution-between-on-premises-networks-and-aws-using-aws-directory-service-and-am.html

• http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/dns_with_simple_ad.html

Route53のプライベートゾーンへのフォワード

Private Hosted Zone

Directory ServiceDirectory Service

Customer Gateway

VPN Gateway

corporate data center virtual private cloud

client DNS server

http://aws.typepad.com/sajp/2016/02/how-to-set-up-dns-resolution-between-on-premises-networks-and-aws-using-aws-directory-service-and-am.html

Route53のプライベートゾーンへのフォワード

• メリット

• bind使わなくていい（脆弱性祭りに巻き込まれない）

• 高い可用性

• Route53はSLA100％

• Diectory ServiceはMulti-AZ

• 考慮点

• オンプレミスとVPC間の接続が切れた場合の影響を許容できるか

Directory Service自体の課題

• ユーザ管理

• API経由（Management Console、SDK、CLI）では提供されていない

• Windows

• http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/install_ad_tools.html

• Linux

• http://aws.typepad.com/sajp/2015/08/how-to-manage-identities-in-simple-ad-directories.html

• マネージドサービス故の制約事項

• 自分でスキーマ拡張できない、など