AWS Directory Service
# AWS Directory Service
https://d1.awsstatic.com/webinars/jp/pdf/services/20151021_aws-blackbelt-directory-service.pdf
## ディレクトリとは
- ユーザに関わる各種情報を保管する仕組み
- ユーザー名
- 姓・名・部署・電話番号
- メールアドレス
- グループ
- パスワードなど
- ツリー状の構成をすることからディレクトリと呼ばれる
- LDAP、AD、OpenLDAP
- Active Directory とは
- Windows ネットワークの基本的な認証とセキュリティ基盤
- Windows 2000から標準機能として実装されたディレクトリサービス
- Active Directory の必要性
- Active Directory ドメインサービス
## AWS Directory Service
- Active Directory on AWS
- フルマネージド型のディレクトリサービス
- 既存のAD認証を利用して
- ディレクトリタイプの選択(ディレクトリのサイズ選択によって最大ユーザー数の上限が決まっている)
- Simple AD
- AWS上の新規ディレクトリ
- フルマネージドのディレクトリサービス
- AWS上に独立したドメインを作成
- Samba 4 互換
- AD Connector
- Simple AD
- Microsoft AD
## AWS Management Console との認証フェデレーション
- Active Directory フェデレーションサービス(ADFS)
- SSOの提供
- AC Connector によるフェデレーション
- ADユーザーはaccess URL 経由でコンソールにログイン
- MFAを設定できる
- ログイン先からさらにクロスアカウントアクセスでSwitch Role できる
## AWS アプリケーションとの連携
- シングルサインオンの有効化
## 雑感
AWSのAD統合サービス。フルマネージドなSimple AD か、AD Connectorで既存のADと連携させるかを選べる。社内システムやアプリケーションをSSOで管理できるようになり、セキュリティや効率が上がる。Linux の場合でもツールをインストールすることによってADドメインに入ることができる。
Azure AD と競合している。Azure AD とAWS Single Sign-On でAWSアクセス許可を一元管理することができる。Azure AD は標準の規格に加えて様々なカスタマイズができるようになっているようなので、シンプルに運用してAWSに寄せたいのであればAWS Directory Service 、それ以上に柔軟に設定・運用したい場合はAzure AD が選ばれるのではないかな。