319-AWS SAP AWS 「理論・実践・一問道場」AD Connect SSO

 

理論

 
  • AWS Directory Service (AD Connector): オンプレミスのActive DirectoryとAWS環境を接続し、ユーザー情報を提供。
  • AWS IAM Identity Center: オンプレミスのADから同期したユーザー情報を使ってAWS内でのアクセス権限を管理し、シングルサインオンを提供。
このように、AWS Directory Serviceが「接続」する役割を担い、AWS IAM Identity Centerが「同期」とその後の「アクセス管理」を行うという役割分担になります。

1. AWS Directory Service

AWS Directory Serviceは、AWS上でActive Directory環境を提供するサービスです。主に以下の2つのタイプがあります:
  • AWS Managed Microsoft AD: AWS上でフルマネージドのActive Directoryを提供。オンプレミスのActive Directoryと連携可能。
  • AD Connector: オンプレミスのActive DirectoryとAWSを統合するためのハイブリッドソリューション。
これにより、ユーザーはAWS環境内で統一されたユーザー認証、アクセス制御を実現できます。

2. リモートデスクトップ接続 (RDP)

AWS EC2インスタンスへのリモートデスクトップ接続を管理するために、以下の方法がよく使用されます:
  • バスチオンホスト: セキュリティを高めるために、特定のインスタンス(バスチオンホスト)を経由してリモート接続を実行します。これにより、インスタンスへの直接的なアクセスを制限します。
  • Remote Desktop Gateway: RDP接続を集中的に管理するゲートウェイとして利用し、インスタンスへのアクセスをセキュアに保つ手法です。

3. AWS Systems Manager

AWS Systems Managerは、EC2インスタンスの管理を簡素化するツールで、リモート接続を行うためのセッションマネージャー機能を提供します。これを使用することで、インターネット経由で直接EC2インスタンスにアクセスでき、SSHやRDPを使わずに管理が可能です。これにより、セキュリティを向上させ、インスタンスに対するアクセスコントロールを強化できます。

4. VPN接続とセキュリティ

AWSでのリモート接続に際して、VPN接続を使用することで、オンプレミスのネットワークとAWS環境間にセキュアな通信経路を確立できます。これにより、データ転送がインターネットを経由せず、セキュリティが強化されます。

5. コスト管理と最適化

リモートデスクトップ接続のインフラ(例えば、バスチオンホストやRDPゲートウェイ)を維持する際、コスト最適化が重要です。適切なインスタンスタイプを選択し、必要に応じてスケーリングを行うことが推奨されます。また、AWSのコスト管理ツール(AWS Cost Explorerなど)を使って、リソースの使用状況をモニタリングし、無駄なコストを避けることができます。

6. セキュリティベストプラクティス

リモートデスクトップ接続に関しては、以下のセキュリティ対策を講じることが重要です:
  • 最小権限の原則: ユーザーやサービスに最低限必要な権限のみを付与します。
  • 多要素認証(MFA): セキュリティを強化するため、RDP接続やAWS管理コンソールへのアクセスにMFAを導入します。
  • ログ管理: CloudTrailやCloudWatch Logsを使用して、アクセスログやセキュリティイベントを監視し、異常を検知します。
これらの知識を活用することで、AWS環境でのリモートデスクトップ接続をセキュアに、効率的に管理することができます。

実践

一問道場

問題 #319
ある企業のソリューションアーキテクトは、Amazon EC2 Windowsインスタンスに対してリモートデスクトップ接続を安全に提供する必要があります。インスタンスはVPC内にホストされています。ソリューションは、企業のオンプレミスActive Directoryと集中管理されたユーザー管理を統合する必要があります。VPCへの接続はインターネット経由です。企業には、AWS Site-to-Site VPN接続を確立するためのハードウェアがあります。
どのソリューションが最もコスト効果の高い方法でこの要件を満たしますか?
A. AWS Directory Service for Microsoft Active Directoryを使用して管理されたActive Directoryを展開し、オンプレミスのActive Directoryと信頼関係を確立します。VPCにEC2インスタンスをバスチオンホストとして展開し、そのEC2インスタンスをドメインに参加させます。バスチオンホストを使用してターゲットインスタンスにRDP経由でアクセスします。
B. AWS IAM Identity Center (AWS Single Sign-On) を設定して、AWS Directory Service for Microsoft Active Directory AD Connector を使用してオンプレミスのActive Directoryと統合します。ユーザーグループに対してアクセス権限セットを設定し、AWS Systems Managerを使用してターゲットインスタンスにRDP経由でアクセスします。
C. オンプレミス環境とターゲットVPC間でVPNを実装し、VPN接続を介してターゲットインスタンスをオンプレミスのActive Directoryドメインに参加させます。VPN経由でRDPアクセスを設定し、企業のネットワークからターゲットインスタンスにアクセスします。
D. AWS Directory Service for Microsoft Active Directoryを使用して管理されたActive Directoryを展開し、オンプレミスのActive Directoryと信頼関係を確立します。AWS Quick Startを使用してAWS上にリモートデスクトップゲートウェイを展開し、リモートデスクトップゲートウェイをドメインに参加させます。リモートデスクトップゲートウェイを使用してターゲットインスタンスにRDP経由でアクセスします。

解説

この問題では、Amazon EC2 Windowsインスタンスへのリモートデスクトップ接続を安全に提供し、オンプレミスのActive Directoryと統合する方法を求めています。最もコスト効果の高いソリューションを選択する必要があります。
選択肢の分析:
  • A. AWS Directory Service for Microsoft Active Directoryを使用して管理されたActive Directoryを展開し、オンプレミスのActive Directoryと信頼関係を確立します。VPCにEC2インスタンスをバスチオンホストとして展開し、そのEC2インスタンスをドメインに参加させます。バスチオンホストを使用してターゲットインスタンスにRDP経由でアクセスします。
    • 評価: この方法では、バスチオンホストを使用してターゲットインスタンスにアクセスしますが、バスチオンホスト自体の管理やセキュリティの維持が必要です。
  • B. AWS IAM Identity Center (AWS Single Sign-On)を設定して、AWS Directory Service for Microsoft Active Directory AD Connectorを使用してオンプレミスのActive Directoryと統合します。ユーザーグループに対してアクセス権限セットを設定し、AWS Systems Managerを使用してターゲットインスタンスにRDP経由でアクセスします。
    • 評価: AWS Systems Managerを使用することで、バスチオンホストを使用せずに直接ターゲットインスタンスにアクセスできます。
  • C. オンプレミス環境とターゲットVPC間でVPNを実装し、VPN接続を介してターゲットインスタンスをオンプレミスのActive Directoryドメインに参加させます。VPN経由でRDPアクセスを設定し、企業のネットワークからターゲットインスタンスにアクセスします。
    • 評価: VPN接続を使用することで、オンプレミスのActive Directoryと直接統合できますが、VPNの設定や管理が必要です。
  • D. AWS Directory Service for Microsoft Active Directoryを使用して管理されたActive Directoryを展開し、オンプレミスのActive Directoryと信頼関係を確立します。AWS Quick Startを使用してAWS上にリモートデスクトップゲートウェイを展開し、リモートデスクトップゲートウェイをドメインに参加させます。リモートデスクトップゲートウェイを使用してターゲットインスタンスにRDP経由でアクセスします。
    • 評価: リモートデスクトップゲートウェイを使用することで、セキュアなRDPアクセスを提供できますが、ゲートウェイの管理やコストが増加します。
最適な選択肢:
Bが最もコスト効果が高いと考えられます。AWS Systems Managerを使用することで、バスチオンホストやVPN接続を使用せずに、直接ターゲットインスタンスにアクセスできます。これにより、管理の手間やコストを削減できます。
参考情報:
Relate Posts
00-AWS SAP「理論・実践・10問道場」
Lazy loaded image
01-AWS SAP「理論・実践・10問道場」
Lazy loaded image
02-AWS SAP「理論・実践・10問道場」
Lazy loaded image
03-AWS SAP「理論・実践・10問道場」
Lazy loaded image
04-AWS SAP 「理論・実践・10問道場」
Lazy loaded image
05-AWS SAP「理論・実践・10問道場」
Lazy loaded image
320-AWS SAP AWS 「理論・実践・一問道場」EBSボリュームの暗号化318-AWS SAP AWS 「理論・実践・一問道場」Amazon Neptune
Loading...
minami
minami
みなみの成長 🐝
Announcement

🎉 ブログへようこそ 🎉

名前: みなみ一人会社
性別:
国籍: China 🇨🇳
政治スタンス: 民主主義支持者
完全独学で基本情報技術者をはじめ、32個の資格を仕事をしながら取得。
現在はIT会社で技術担当として働きながら、ブログ執筆や学習支援にも取り組んでいます。
独学で合格できる学習法や勉強法、試験対策を発信中!

📚 発信内容

  • 💻 IT・システム開発
  • 🏠 不動産 × 宅建士
  • 🎓 MBA 学習記録
 
Catalog
0%