🏛️ 会社のセキュリティゲートで例えると超わかりやすい!
Directory Service = 会社の「社員証管理システム」
誰が社員か、どの部署か、どの部屋に入れるか...
すべての「身元確認」を一括管理するのがDirectory Serviceです。
AWSには
3つの選択肢
があり、
それぞれ
得意なこと
と
向いているケース
が違います🎯
❓ そもそもActive Directory(AD)とは?
ADを会社で例えると...
大きな会社には必ず 社員証 がありますよね?
• 社員証で入館ゲートを通過
• 社員証で会議室を予約
• 社員証でプリンターを使用
• 社員証で社食で精算
この「社員証システム」がAD!
• 誰が社員か (ユーザー情報)
• どの部署か (グループ情報)
• どの部屋に入れるか (アクセス権限)
• どのPCを使えるか (コンピューター管理)
• 共通のルール (グループポリシー)
技術的に言うと...
Active Directory(AD)は Microsoft が開発した
ディレクトリサービス です。
企業のIT環境で:
• ユーザー認証(ログイン)
• アクセス制御(誰が何にアクセスできるか)
• 一元管理(全PCの設定を統一)
を実現します。
• シングルサインオン(SSO)
1回のログインで複数サービスにアクセス
• グループポリシー
全PCに同じセキュリティ設定を適用
• ドメイン管理
company.local のような社内ネットワーク構築
🎯 AWS Directory Service の3つの選択肢
AWS内に本格的なADを新規構築。すべての機能が使える!
- フル機能のMicrosoft AD
- AWS管理で運用負担軽減
- オンプレADと信頼関係構築可能
- グループポリシー完全対応
- マルチリージョン対応
既存のオンプレADをそのまま活用!新しいシステムは作らない。
- 既存ADをそのまま利用
- データはオンプレに保持
- 認証リクエストを転送
- AWS内にADデータなし
- コスト効率が良い
基本機能のみ。シンプルで安い!小規模向け。
- Samba 4ベース(非Microsoft)
- 基本的なAD機能のみ
- 低コスト
- 5,000ユーザーまで対応
- オンプレADとの信頼関係不可
🏰 AWS Managed Microsoft AD を深堀り
🏢 会社で例えると...
「新しい本社ビルに最新鋭の社員証システムを導入」
新しいオフィスビル(AWS)に引っ越しすることになりました。
最新の社員証システム(Managed AD)を導入して、
すべての従業員・すべての設備・すべての会議室
を
一元管理できるようにします。
しかも、ビル管理会社(AWS)が
システムのメンテナンス
を
全部やってくれるので、IT部門は楽ちん!
• マネージドサービス :パッチ適用・バックアップ自動
• 高可用性 :マルチAZ構成で冗長化
• 信頼関係 :オンプレADと連携可能
• グループポリシー :完全対応
• Amazon RDS :SQL Server認証
• Amazon WorkSpaces :仮想デスクトップ
• AWS SSO :シングルサインオン
• Amazon FSx :ファイルサーバー
• 最大30,000オブジェクト
• 小〜中規模向け
Enterprise Edition
• 最大500,000オブジェクト
• 大規模・信頼関係が必要な場合
• ドメインコントローラーへの 直接アクセス不可
• スキーマ拡張は 一部制限 あり
• 削除後の 復元不可 (要バックアップ)
🎈 Simple AD を深堀り
🏢 会社で例えると...
「小さなスタートアップオフィスの入退室管理」
従業員50人の小さな会社。
大げさなシステムは要らないけど、
誰がどの部屋に入れるか
は管理したい。
Simple ADは
必要最低限の機能
だけを備えた、
シンプルで安価
なソリューション。
Microsoft ADの全機能は不要!という会社にピッタリ。
• 低コスト :3つの中で最安
• 基本機能 :認証・ユーザー管理
• スタンドアロン :オンプレAD不要
• 簡単セットアップ :数クリックで構築
• 最大500ユーザー
• 最大2,000オブジェクト
Large
• 最大5,000ユーザー
• 最大20,000オブジェクト
• オンプレADがない 新規構築
• コスト重視
• 基本機能で十分
• 開発・テスト環境
• MFA :多要素認証非対応
• RADIUS :非対応
• スキーマ拡張 :不可
• 大規模環境 :5,000ユーザーが上限
🔄 認証の流れを比較
🏰 AWS Managed Microsoft AD の場合
(AWS内)
AWS内で認証が完結。オンプレとの通信は不要(信頼関係を作れば連携も可能)
🌉 AD Connector の場合
(プロキシ)
認証リクエストをオンプレADに転送。VPN/Direct Connect経由でオンプレと通信が必要
🎈 Simple AD の場合
(AWS内)
AWS内で認証が完結。シンプルで軽量。オンプレADとの連携は不可
📊 詳細比較表
| 項目 | 🏰 Managed Microsoft AD | 🌉 AD Connector | 🎈 Simple AD |
|---|---|---|---|
| ベース技術 | Microsoft Active Directory | プロキシ(転送のみ) | Samba 4 |
| オンプレAD必須 | ❌ 不要 | ✅ 必須 | ❌ 不要 |
| AWS内にADデータ | ✅ あり | ❌ なし | ✅ あり |
| 信頼関係(Trust) | ✅ 可能 | ❌ 不可 | ❌ 不可 |
| グループポリシー | ✅ 完全対応 | ⚠️ オンプレで管理 | ⚠️ 基本的なもののみ |
| MFA対応 | ✅ 対応 | ✅ 対応(RADIUS経由) | ❌ 非対応 |
| ユーザー数上限 | 〜500,000 | オンプレAD依存 | 〜5,000 |
| マルチリージョン | ✅ 対応 | ❌ 非対応 | ❌ 非対応 |
| コスト | 💰💰💰 高い | 💰💰 中程度 | 💰 安い |
| 推奨シナリオ | 本格的なAD環境をAWSで構築 | 既存ADをAWSで活用 | 小規模・シンプル・テスト |
💼 ユースケース別:どれを選ぶ?
AWSへの完全移行
• オンプレ依存から完全脱却
• グループポリシーも完全対応
ハイブリッド環境
• データはオンプレに保持
• 低コストで簡単導入
開発・テスト環境
• 基本的なAD機能で十分
• 本番前の検証に最適
スタートアップ企業
• 成長したらManaged ADへ移行
• 将来を見据えた計画を
セキュリティ重視
• オンプレで完全管理
• 認証リクエストの転送のみ
グローバル展開
• グローバルで統一されたID管理
• 低レイテンシーでローカル認証
🤔 3ステップで選ぶ!フローチャート
AD ConnectorはVPNまたはDirect Connect経由でオンプレADと通信が必要。ネットワーク接続なしでは動きません!
2. Simple ADで信頼関係を作ろうとする
Simple ADはオンプレADとの信頼関係(Trust)を構築できません。ハイブリッド環境にはManaged ADかAD Connectorを!
3. 小規模なのにManaged ADを選んでしまう
Managed ADは高機能ですが高コスト。5,000ユーザー以下ならSimple ADも検討を!
4. AD Connectorでグループポリシーを期待する
AD ConnectorはAWS側でのグループポリシー適用はできません。EC2へのポリシー適用が必要ならManaged ADを!
フル機能で将来の拡張性も高い。コストは高いが失敗が少ない。
2. 既存ADがあるならまずAD Connectorを検討:
既存資産を活かせる。データ移行不要で導入コストが低い。
3. Simple ADは「本当に小規模」な場合のみ:
5,000ユーザー以下、信頼関係不要、基本機能で十分な場合に限定。
4. 将来の成長を見越して選ぶ:
今は小規模でも、成長したらManaged ADへ移行が必要になるかも。最初から計画を。
5. ネットワーク設計を忘れずに:
AD ConnectorはVPN/DX必須。Managed ADもオンプレ連携するならネットワーク設計が重要!
🎓 まとめ
🏢 社員証システム = Directory Service
AWSで「誰が」「何に」アクセスできるかを管理するための
3つの選択肢があります
フル機能の
本格AD環境
本格運用向け
既存ADへの
橋渡し役
既存AD活用
シンプル&
低コスト
小規模向け
🎯 選び方のポイント:
既存ADあり + AWSにデータ置ける
→ Managed AD
既存ADあり + データはオンプレのみ
→ AD Connector
既存ADなし + フル機能必要
→ Managed AD
既存ADなし + シンプルでOK
→ Simple AD
Directory Serviceは
AWS利用の基盤
となる重要なサービス。
正しく選んで、セキュアなクラウド環境を構築しよう!🎉