AWS管理コンソールにActiveDirectoryユーザーでログインする

AWS
この記事は約3分で読めます。
スポンサーリンク

個人的にはIAMユーザーを使用するべきと考えているのですが、ActiveDirectoryをすでに使っている場合は「ユーザーアカウントを一元管理したい」という要望が出てくるときもあるでしょう。

ActiveDirectoryとの連携について

こういう要望が出てくる場合はすでにActiveDirectoryを運用しているケースがほとんどだと思います。
わざわざAcitveDirectoryを新規に構築するパターンは「ほぼ無い」と考えています。

また、すでにActiveDirectoryが存在しているパターンとしては「オンプレミス環境として以前から運用していた」か「AzureにActiveDirectoryを移行した」のどちらかが多いと思います。
餅は餅屋ということわざの通り、クラウドに移行するのであればAzureを選択する人が多いでしょう。

その為、AWS上にActiveDirectoryを作成するということはほとんどしません。
「AD Connector」を使用してAWSとActiveDirectoryを接続するパターンが多いと思います。

AD Connectorとは

正式名称は Active Directory Connector です。AWSのサービスとActiveDirectoryの間を取り持つゲートウェイサービスだと考えてください。
ActiveDirectoryにAD Connector接続用のユーザーアカウントを作成し、そのユーザーアカウントを使用して認証を取り持ちます。

作成自体は迷う部分はありませんが、AD Connector の前提条件 をきちんと読むことが大切です。
また、AD Connector接続用ユーザーについても最低限の権限で作成する手順が記載しています。こちらもきちんと理解しましょう。

AD Connector作成について

いろいろなサイトで手順は書かれているので省略。
上司に説明する場合はオフィシャル情報の方が説明しやすいでしょう。
以下のページは簡潔で分かりやすい内容でした。
オンプレミスの Active Directory ユーザーに AWS マネジメントコンソールへのアクセス権を付与するにはどうすればよいですか?

特に迷う部分はありませんが、AWS環境内にActiveDirectoryを作成してテストをする場合、ActiveDirectoryとAD Connectorを「同じサブネット」に登録したらDNSとの通信が上手くできずエラーになりました。(私だけ?)
セキュリティグループ設定も問題無いのになぜか「DNS unavailable (TCP port 53) for IP」のエラーが表示される状態になりました。
理由は不明ですが、ActiveDirectoryとAD Connectorを別サブネットにすることにより成功しました。

アカウント運用について

IAMロールとActiveDirectoryのグループをマッピングしてしまえば、あとはActiveDirectoryのユーザー/グループ管理だけで制御できるようになります。

注意点としては、ユーザー/グループに割り当てるIAMロールは1つにしたほうが良いです。複数割り当ても可能ですが管理コンソールにログインするときはIAMロールは「1つ」しか適用されないので「どのIAMロールを使用するのか」を聞かれます。

そういう運用でもOKならば良いですが、必ず混乱を招くので管理者側で設定してしまう方が良いと思います。

コメント

タイトルとURLをコピーしました