319-AWS SAP AWS 「理論・実践・一問道場」AD Connect SSO

type

status

date

slug

summary

理論

AWS Directory Service (AD Connector): オンプレミスのActive DirectoryとAWS環境を接続し、ユーザー情報を提供。

AWS IAM Identity Center: オンプレミスのADから同期したユーザー情報を使ってAWS内でのアクセス権限を管理し、シングルサインオンを提供。

このように、AWS Directory Serviceが「接続」する役割を担い、AWS IAM Identity Centerが「同期」とその後の「アクセス管理」を行うという役割分担になります。

1. AWS Directory Service

AWS Directory Serviceは、AWS上でActive Directory環境を提供するサービスです。主に以下の2つのタイプがあります：

AWS Managed Microsoft AD: AWS上でフルマネージドのActive Directoryを提供。オンプレミスのActive Directoryと連携可能。

AD Connector: オンプレミスのActive DirectoryとAWSを統合するためのハイブリッドソリューション。

これにより、ユーザーはAWS環境内で統一されたユーザー認証、アクセス制御を実現できます。

2. リモートデスクトップ接続 (RDP)

AWS EC2インスタンスへのリモートデスクトップ接続を管理するために、以下の方法がよく使用されます：

バスチオンホスト: セキュリティを高めるために、特定のインスタンス（バスチオンホスト）を経由してリモート接続を実行します。これにより、インスタンスへの直接的なアクセスを制限します。

Remote Desktop Gateway: RDP接続を集中的に管理するゲートウェイとして利用し、インスタンスへのアクセスをセキュアに保つ手法です。

3. AWS Systems Manager

AWS Systems Managerは、EC2インスタンスの管理を簡素化するツールで、リモート接続を行うためのセッションマネージャー機能を提供します。これを使用することで、インターネット経由で直接EC2インスタンスにアクセスでき、SSHやRDPを使わずに管理が可能です。これにより、セキュリティを向上させ、インスタンスに対するアクセスコントロールを強化できます。

4. VPN接続とセキュリティ

AWSでのリモート接続に際して、VPN接続を使用することで、オンプレミスのネットワークとAWS環境間にセキュアな通信経路を確立できます。これにより、データ転送がインターネットを経由せず、セキュリティが強化されます。

5. コスト管理と最適化

リモートデスクトップ接続のインフラ（例えば、バスチオンホストやRDPゲートウェイ）を維持する際、コスト最適化が重要です。適切なインスタンスタイプを選択し、必要に応じてスケーリングを行うことが推奨されます。また、AWSのコスト管理ツール（AWS Cost Explorerなど）を使って、リソースの使用状況をモニタリングし、無駄なコストを避けることができます。

6. セキュリティベストプラクティス

リモートデスクトップ接続に関しては、以下のセキュリティ対策を講じることが重要です：

最小権限の原則: ユーザーやサービスに最低限必要な権限のみを付与します。

多要素認証（MFA）: セキュリティを強化するため、RDP接続やAWS管理コンソールへのアクセスにMFAを導入します。

ログ管理: CloudTrailやCloudWatch Logsを使用して、アクセスログやセキュリティイベントを監視し、異常を検知します。

これらの知識を活用することで、AWS環境でのリモートデスクトップ接続をセキュアに、効率的に管理することができます。

実践

略

一問道場

問題 #319

ある企業のソリューションアーキテクトは、Amazon EC2 Windowsインスタンスに対してリモートデスクトップ接続を安全に提供する必要があります。インスタンスはVPC内にホストされています。ソリューションは、企業のオンプレミスActive Directoryと集中管理されたユーザー管理を統合する必要があります。VPCへの接続はインターネット経由です。企業には、AWS Site-to-Site VPN接続を確立するためのハードウェアがあります。

どのソリューションが最もコスト効果の高い方法でこの要件を満たしますか？

A. AWS Directory Service for Microsoft Active Directoryを使用して管理されたActive Directoryを展開し、オンプレミスのActive Directoryと信頼関係を確立します。VPCにEC2インスタンスをバスチオンホストとして展開し、そのEC2インスタンスをドメインに参加させます。バスチオンホストを使用してターゲットインスタンスにRDP経由でアクセスします。

B. AWS IAM Identity Center (AWS Single Sign-On) を設定して、AWS Directory Service for Microsoft Active Directory AD Connector を使用してオンプレミスのActive Directoryと統合します。ユーザーグループに対してアクセス権限セットを設定し、AWS Systems Managerを使用してターゲットインスタンスにRDP経由でアクセスします。

C. オンプレミス環境とターゲットVPC間でVPNを実装し、VPN接続を介してターゲットインスタンスをオンプレミスのActive Directoryドメインに参加させます。VPN経由でRDPアクセスを設定し、企業のネットワークからターゲットインスタンスにアクセスします。

D. AWS Directory Service for Microsoft Active Directoryを使用して管理されたActive Directoryを展開し、オンプレミスのActive Directoryと信頼関係を確立します。AWS Quick Startを使用してAWS上にリモートデスクトップゲートウェイを展開し、リモートデスクトップゲートウェイをドメインに参加させます。リモートデスクトップゲートウェイを使用してターゲットインスタンスにRDP経由でアクセスします。

解説

この問題では、Amazon EC2 Windowsインスタンスへのリモートデスクトップ接続を安全に提供し、オンプレミスのActive Directoryと統合する方法を求めています。最もコスト効果の高いソリューションを選択する必要があります。

選択肢の分析:

A. AWS Directory Service for Microsoft Active Directoryを使用して管理されたActive Directoryを展開し、オンプレミスのActive Directoryと信頼関係を確立します。VPCにEC2インスタンスをバスチオンホストとして展開し、そのEC2インスタンスをドメインに参加させます。バスチオンホストを使用してターゲットインスタンスにRDP経由でアクセスします。

評価: この方法では、バスチオンホストを使用してターゲットインスタンスにアクセスしますが、バスチオンホスト自体の管理やセキュリティの維持が必要です。

B. AWS IAM Identity Center (AWS Single Sign-On)を設定して、AWS Directory Service for Microsoft Active Directory AD Connectorを使用してオンプレミスのActive Directoryと統合します。ユーザーグループに対してアクセス権限セットを設定し、AWS Systems Managerを使用してターゲットインスタンスにRDP経由でアクセスします。

評価: AWS Systems Managerを使用することで、バスチオンホストを使用せずに直接ターゲットインスタンスにアクセスできます。

C. オンプレミス環境とターゲットVPC間でVPNを実装し、VPN接続を介してターゲットインスタンスをオンプレミスのActive Directoryドメインに参加させます。VPN経由でRDPアクセスを設定し、企業のネットワークからターゲットインスタンスにアクセスします。

評価: VPN接続を使用することで、オンプレミスのActive Directoryと直接統合できますが、VPNの設定や管理が必要です。

D. AWS Directory Service for Microsoft Active Directoryを使用して管理されたActive Directoryを展開し、オンプレミスのActive Directoryと信頼関係を確立します。AWS Quick Startを使用してAWS上にリモートデスクトップゲートウェイを展開し、リモートデスクトップゲートウェイをドメインに参加させます。リモートデスクトップゲートウェイを使用してターゲットインスタンスにRDP経由でアクセスします。