Upload
nobuhiro-nakayama
View
228
Download
4
Embed Size (px)
Citation preview
JAWS-UG Arch Hybrid #2Directory Service
2016/2/8 Mon
Nobuhiro Nakayama
{
"name":"Nobuhiro Nakayama",
"company":"UCHIDAYOKO CO., LTD.",
"favorite aws services":[
"Storage Gateway",
"Directory Service",
"IAM",
"AWS CLI"
],
"certifications":[
"AWS Certified Solutions Architect-Professional",
"AWS Certified SysOps Administrator-Associate",
"Microsoft Certified Solutions Expert Server Infrastructure",
"Microsoft Certified Solutions Expert SharePoint",
"IPA Network Specialist", "IPA Information Security Specialist"
]
}
IDの集中管理、できてますか?
Directory Serviceとは?
• AWS Directory Service
• 名前解決、ディレクトリ管理、ユーザ認証などの機能を提供するマネージドサービス
• DNS、LDAP、Kerberos、SMB、など
• 以下の3種類のディレクトリを提供
• Simple AD(samba4)
• 【New!】Microsoft Active Directory(Microsoft Active Directory)
• AD Connector(既存(オンプレミス or VPC)のディレクトリのプロキシ)
• VPC上で動作する
• オンプレミスのドメインコントローラと連携可能
• AD Connector(プロキシ)
• Microsoft Active Directory(フォレスト間信頼)
• RADIUSサーバとの連携による多要素認証をサポート(AD Connector)
• スナップショット(バックアップ)機能の提供(Simple AD、Microsoft Active Directory)
利用例
1. (WorkSpaces、WorkDocs、WorkMailとの認証連携)
2. Management Consoleへの認証連携・権限制御
3. RDP(Windows)、SSH(Linux)ログイン時の認証連携
4. Route53のプライベートゾーンへのフォワード
WorkSpaces、WorkDocs、WorkMailとの認証連携
• セットアップ時にDirectory Serviceで作成した既存ディレクトリを指定もしくは新規作成
• WorkSpaces
• http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/prep_cloud.html
• http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/prep_connect.html
• http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/prep_microsoft.html
• WorkDocs
• http://docs.aws.amazon.com/ja_jp/workdocs/latest/adminguide/getting_started.html
• WorkMail
• http://docs.aws.amazon.com/ja_jp/workmail/latest/adminguide/add_new_organization.html
WorkSpaces、WorkDocs、WorkMailとの認証連携
Directory Service
WorkDocs WorkMailWorkSpaces
Management Consoleへの認証連携・権限制御
• Directory ServiceのユーザでAWSのリソースに対する権限を制御
• IAMロールを利用
• http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/manage_roles.html
• 専用のログイン画面が提供される
• ディレクトリ単位で有効化する必要がある
• http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/aws_console_access.html
Management Consoleへの認証連携・権限制御
AWS Management Console
Permissions
Role
Directory Service
Sign-inclient
Management Consoleへの認証連携・権限制御
• メリット
• SAMLに苦しまなくていい
• IAMユーザやグループを作らなくていい
• AD Connectorで既存のディレクトリを利用できる
• IAMロールをディレクトリ上のユーザやグループに割り当てる必要がある
• 考慮点
• AWS外の認証連携は、ADFS on EC2など
RDP、SSHログイン時の認証連携
• Directory Serviceで作成したドメインにサーバを参加、認証連携
• Windows
• http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/join_windows_instance.html
• Linux
• http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/join_linux_instance.html
• SSM(Simple Server Manager)によるドメイン参加の自動化も可能
• Windows
• http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/WindowsGuide/execute-remote-commands.html
• Linux
• http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/execute-remote-commands.html
RDP、SSHログイン時の認証連携
virtual private cloud
Instance
Directory Serviceclient
Instance
RDP
SSH
RDP、SSHログイン時の認証連携
• メリット
• ユーザIDの集中管理
• (SSMを併用することで)構築や運用の自動化できる
• 考慮点
• ?
Route53のプライベートゾーンへのフォワード
• オンプレミスからプライベートホストゾーンで名前解決
• オンプレミスのDNSサーバで、Directory Serviceのインスタンスをフォワーダーに設定
• http://aws.typepad.com/sajp/2016/02/how-to-set-up-dns-resolution-between-on-premises-networks-and-aws-using-aws-directory-service-and-am.html
• http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/dns_with_simple_ad.html
Route53のプライベートゾーンへのフォワード
Private Hosted Zone
Directory ServiceDirectory Service
Customer Gateway
VPN Gateway
corporate data center virtual private cloud
client DNS server
http://aws.typepad.com/sajp/2016/02/how-to-set-up-dns-resolution-between-on-premises-networks-and-aws-using-aws-directory-service-and-am.html
Route53のプライベートゾーンへのフォワード
• メリット
• bind使わなくていい(脆弱性祭りに巻き込まれない)
• 高い可用性
• Route53はSLA100%
• Diectory ServiceはMulti-AZ
• 考慮点
• オンプレミスとVPC間の接続が切れた場合の影響を許容できるか
Directory Service自体の課題
• ユーザ管理
• API経由(Management Console、SDK、CLI)では提供されていない
• Windows
• http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/install_ad_tools.html
• Linux
• http://aws.typepad.com/sajp/2015/08/how-to-manage-identities-in-simple-ad-directories.html
• マネージドサービス故の制約事項
• 自分でスキーマ拡張できない、など