目次
- 初心者から実務者向けの包括的解説
- 概要
- Directory Service が解決する課題
- 主な特徴
- 3 つのオプション比較
- AWS Managed Microsoft AD の詳細
- AD Connector の詳細
- Simple AD の詳細
- アーキテクチャ
- IAM Identity Center との統合
- Forest Trust・オンプレ連携
- 主要ユースケース
- 設定・操作の具体例
- CLI 操作
- SDK 実装例
- IaC (CloudFormation/Terraform)
- 類似サービス比較表
- ベストプラクティス
- トラブルシューティング
- セキュリティ・コンプライアンス
- パフォーマンスチューニング
- コスト最適化
- 2025-2026 最新動向
- 学習リソース・参考文献
- 実装例・チェックリスト
- まとめ
AWS Directory Service 完全ガイド v2.0
初心者から実務者向けの包括的解説
AWS Directory Service は、Microsoft Active Directory(AD)をクラウドで管理・利用するためのマネージドサービスです。AWS Managed Microsoft AD・AD Connector・Simple AD の 3 つのオプションを提供し、Windows ワークロード(FSx・WorkSpaces・RDS SQL Server)の認証基盤となります。本ドキュメントは、Directory Service の概念・アーキテクチャ・設計パターン・エコシステム・2025-2026 の最新動向を体系的に解説する包括的ガイドです。
ドキュメントの目的
本ガイドは以下を対象としています。
- 初心者向け: Directory Service とは何か、3 つのオプションの違いを学びたい方
- 開発者向け: FSx for Windows・WorkSpaces・RDS SQL Server との統合実装
- インフラ向け: マルチリージョン・Trust Relationship・SSO 設計
- SRE / セキュリティ向け: AD 同期・MFA・IAM Identity Center との統合
- 意思決定者向け: Azure AD DS・GCP Managed Service for Microsoft AD・Okta との比較
2026 年の Directory Service エコシステム
- AWS Managed Microsoft AD 拡張: マルチリージョン冗長化・更なる SLA 強化
- IAM Identity Center との深い統合: AD 属性ベースのアクセス制御(ABAC)
- Lightweight Directory Access Protocol(LDAP)強化: LDAPS 対応・複合認証
- AWS Organizations との統合: 複数アカウント環境での統一 AD 管理
- Kerberos・NTLM の最適化: パフォーマンス向上・レイテンシ削減
- Hybrid AD 統合: オンプレ AD とのシームレスな同期
定義
AWS 公式による定義:
“AWS Directory Service provides multiple ways to use Microsoft Active Directory with other AWS services. It enables you to use existing on-premises AD or to create a completely cloud-based directory in AWS.”
特徴:
- フルマネージド: AWS が OS・パッチ・バックアップを管理
- 複数オプション: Managed AD / AD Connector / Simple AD から選択可能
- ハイブリッド対応: オンプレ AD との Forest Trust 構築
- エンタープライズグレード: HIPAA / PCI DSS コンプライアンス対応
目次
- 概要
- Directory Service が解決する課題
- 主な特徴
- 3 つのオプション比較
- AWS Managed Microsoft AD の詳細
- AD Connector の詳細
- Simple AD の詳細
- アーキテクチャ
- IAM Identity Center との統合
- Forest Trust・オンプレ連携
- 主要ユースケース
- 設定・操作の具体例
- CLI 操作
- SDK 実装例
- IaC (CloudFormation/Terraform)
- 類似サービス比較表
- ベストプラクティス
- トラブルシューティング
- セキュリティ・コンプライアンス
- パフォーマンスチューニング
- コスト最適化
- 2025-2026 最新動向
- 学習リソース・参考文献
- 実装例・チェックリスト
- まとめ
概要
初心者向けメモ: AWS Directory Service は「Windows ワークロードのための AD 認証基盤」です。FSx for Windows・WorkSpaces・RDS SQL Server は「ドメインに参加した」コンピュータとして動作する必要があり、Directory Service がそのドメイン・ユーザー・権限を管理します。
Directory Service は以下を実現します:
- オンプレ AD がない場合: AWS Managed Microsoft AD で完全な AD を AWS に構築
- オンプレ AD がある場合: AD Connector でプロキシしてオンプレ AD を利用
- 小規模環境: Simple AD で Samba ベースの軽量 AD を利用
- マルチアカウント SSO: IAM Identity Center と統合して複数 AWS アカウントへのシングルサインオン
- ハイブリッド環境: オンプレミス AD と AWS AD の Forest Trust で統一認証
Directory Service が解決する課題
1. Windows ワークロードの認証基盤がない
課題: FSx for Windows・WorkSpaces・RDS SQL Server は Windows ドメインに参加する必要があるが、オンプレミスの AD に依存したくない or オンプレ AD がない場合、どうするか?
Directory Service の解決:
AWS Managed Microsoft AD を AWS に構築
↓
FSx / WorkSpaces / RDS がドメイン参加
↓
AD ユーザー・グループ・グループポリシーで認証・管理
2. マルチアカウント IAM 管理が複雑
課題: 50 アカウント環境で各アカウントの IAM ユーザーを個別管理・削除は負担
Directory Service + IAM Identity Center の解決:
AD ユーザー ← (SCIM同期) ← Okta / Azure AD / オンプレ AD
↓
IAM Identity Center が 50 アカウント全体のアクセス管理
↓
1 クリックでユーザーの全アカウント アクセス削除
3. オンプレ AD との統合が困難
課題: オンプレミス AD を使い続けたいが、AWS リソースもアクセスしたい → VPN・AD Connector 構築が複雑
Directory Service の解決:
AD Connector を AWS 側に配置
↓ (VPN 経由でオンプレ AD に接続)
AWS の WorkSpaces・FSx が オンプレ AD ユーザーで認証
↓
オンプレ AD 一元管理を継続
4. Windows インスタンスのドメイン参加が手動
課題: EC2 Windows を立ち上げるたびに手動でドメイン参加?
Directory Service + Systems Manager の解決:
- EC2 Windows Instance → (Systems Manager) → AD 自動ドメイン参加
- ↓
- グループポリシー自動適用・デスクトップ設定統一
主な特徴
| 特徴 | 説明 |
|---|---|
| 3 つのオプション | Managed AD / AD Connector / Simple AD |
| FSx 連携 | FSx for Windows の認証基盤 |
| WorkSpaces 連携 | 仮想デスクトップの認証・管理 |
| RDS SQL Server | Windows 認証で DB アクセス |
| Kerberos / LDAP / NTLM | Windows 標準認証プロトコル対応 |
| IAM Identity Center | マルチアカウント SSO・統一認証 |
| Forest Trust | オンプレ AD との信頼関係・統合 |
| Systems Manager | EC2 Windows 自動ドメイン参加 |
| MFA | 多要素認証対応(Managed AD) |
| Secure LDAP | LDAPS での安全な通信 |
3 つのオプション比較
| 観点 | AWS Managed Microsoft AD | AD Connector | Simple AD |
|---|---|---|---|
| 実装 | 完全な Microsoft AD | プロキシサービス | Samba 4 互換 |
| インフラ管理 | AWS が完全管理 | AWS が管理 | AWS が管理 |
| AD 管理 | ユーザーが管理 | オンプレ AD が管理 | ユーザーが管理 |
| スケール | Standard: 30K / Enterprise: 500K | オンプレ依存 | Small: 2K / Large: 20K |
| Trust 関係 | オンプレ AD と Forest Trust 可能 | 必要なし(プロキシ) | 不可 |
| マルチリージョン | 可能(複数リージョン展開) | 不可 | 可能 |
| 推奨用途 | 大規模・新規構築 | 既存オンプレ AD 活用 | 小規模・Samba 対応 |
| コスト | $0.12/時(Standard) | $0.10/時(Small) | $0.05/時(Small) |
| RDS SQL Server | ✅ 対応 | ✅ 対応 | ❌ 非対応 |
| MFA | ✅ 対応 | ✅ 対応 | ❌ 非対応 |
| LDAPS | ✅ 対応 | ✅ 対応 | ❌ 非対応 |
AWS Managed Microsoft AD の詳細
構成
AWS VPC(複数 AZ)
├── Domain Controller 1(AZ-1)
│ └── OS・AD パッチ・バックアップ = AWS 管理
│
└── Domain Controller 2(AZ-2)
├─↔ レプリケーション
└─ DNS / LDAP / Kerberos 対応
ドメイン名: corp.example.com
ユーザー・グループ・OU・グループポリシー = ユーザー管理
エディション比較
| 観点 | Standard | Enterprise |
|---|---|---|
| ディレクトリオブジェクト数 | 最大 30,000 | 最大 500,000 |
| 社員規模(目安) | 最大 5,000 | 大規模エンタープライズ |
| 月額費用 | 約 $86 | 約 $166 |
| 推奨用途 | 中小企業・スタートアップ | 大企業 |
利用可能なサービス
- FSx for Windows - ドメイン参加したファイル共有
- WorkSpaces - ドメイン参加した仮想デスクトップ
- RDS for SQL Server - Windows 認証(Kerberos)
- EC2 Windows - Systems Manager で自動参加
- AWS Management Console - AD ユーザーでログイン
- IAM Identity Center - マルチアカウント SSO
AD Connector の詳細
アーキテクチャ
AWS 上の AD Connector
↓ (HTTPS / VPN)
オンプレミス Active Directory
↓
ユーザー・グループ・パスワードポリシー = オンプレ AD で一元管理
特徴
- プロキシ機能 - AWS リソースの認証をオンプレ AD に転送
- ディレクトリ同期なし - オンプレ AD が情報源(Sync のオーバーヘッドなし)
- オンプレ AD 依存 - オンプレ AD が利用不可だと AWS リソースも利用不可
- ユーザー管理一元化 - オンプレ AD で全社員を管理
前提条件
- ✅ VPN / AWS Direct Connect でオンプレ AD に接続可能
- ✅ オンプレミス AD が稼働中・安定
- ✅ ユーザー・グループがオンプレ AD で管理
Simple AD の詳細
構成
AWS VPC(マルチ AZ)
└── Simple AD(Samba 4)
├── ユーザー・グループ管理
├── LDAP / Kerberos サポート
└── Microsoft AD 機能の一部対応
制限事項
| 機能 | 対応状況 |
|---|---|
| 基本 AD 機能 | ✅ ユーザー・グループ・OU |
| グループポリシー | ⚠️ 限定的 |
| Schema 拡張 | ❌ 不可 |
| Trust 関係 | ❌ 不可 |
| MFA | ❌ 不可 |
| LDAPS | ❌ 不可 |
| RDS SQL Server | ❌ 非対応 |
| PowerShell AD cmdlets | ❌ 非対応 |
アーキテクチャ
Managed AD + FSx + WorkSpaces
graph TB
AD["AWS Managed<br/>Microsoft AD"]
FSx["FSx for Windows<br/>(ドメイン参加)"]
WS["WorkSpaces<br/>(ドメイン参加)"]
RDS["RDS SQL Server<br/>(Windows Auth)"]
EC2["EC2 Windows<br/>(Systems Manager)"]
Users["AD ユーザー・グループ<br/>グループポリシー"]
IAM_IC["IAM Identity Center"]
Multi["複数 AWS<br/>アカウント"]
AD -->|ドメイン| FSx
AD -->|ドメイン| WS
AD -->|Kerberos| RDS
AD -->|自動参加| EC2
Users -->|管理| AD
AD -->|SAML 2.0| IAM_IC
IAM_IC -->|SSO| Multi
AD Connector + オンプレ AD
graph TB
OnPrem["オンプレ<br/>Active Directory"]
Connector["AD Connector<br/>(AWS)"]
WS["WorkSpaces"]
Quick["QuickSight"]
Connector -->|VPN| OnPrem
WS -->|認証| Connector
Quick -->|認証| Connector
OnPrem -->|ユーザー管理| Connector
IAM Identity Center との統合
ワークフロー
オンプレ AD / Okta / Azure AD
↓ (SCIM 2.0 同期)
AWS Managed Microsoft AD or Identity Source
↓ (SAML 2.0)
IAM Identity Center
↓ (自動プロビジョニング)
複数 AWS アカウント + SaaS アプリ(Slack・GitHub)
メリット
- マルチアカウント SSO - 1 ログインで全アカウントアクセス
- 一元管理 - HR システムから自動プロビジョニング
- 安全な短期認証情報 - IAM ユーザーの長期キーなし
- 監査ログ - CloudTrail で実ユーザー単位の追跡
Forest Trust・オンプレ連携
Forest Trust の構築
オンプレ AD(corp.example.com)
↕ (双方向 Forest Trust)
AWS Managed Microsoft AD(aws.example.com)
→ オンプレユーザーが AWS リソースにアクセス可能
→ AWS ユーザーがオンプレリソースにアクセス可能
前提条件
- Managed Microsoft AD で AD 統合
- VPN / AWS Direct Connect 接続
- ドメイン間の信頼関係設定
主要ユースケース
-
エンタープライズ向け FSx + WorkSpaces
- 完全な Windows 環境(ファイル共有・仮想デスクトップ)
- ドメイン統一管理
- Managed AD でオンプレ AD の信頼関係構築
-
マルチアカウント環境の SSO
- Managed AD + IAM Identity Center
- 50+ アカウントへの統一ログイン
- SCIM で HR システムと連携・自動同期
-
既存オンプレ AD を活かす
- AD Connector で AWS リソースが認証
- オンプレ AD を一元管理ポイント
- VPN で接続
-
ハイブリッド AD
- オンプレ + AWS で双方向 Forest Trust
- スムーズなアプリケーション移行
- ユーザー認証の一貫性
-
スタートアップ向け Simple AD
- 小規模・低コスト
- LDAP 対応アプリケーション
- AWS ネイティブ(オンプレ依存なし)
-
RDS SQL Server Windows 認証
- Kerberos 認証で AD ユーザー・グループベース DB アクセス
- パスワード管理なし
-
EC2 Windows セルフマネージド インスタンスの自動化
- Systems Manager で自動ドメイン参加
- グループポリシー自動適用
- GPO で OS・ソフトウェア設定統一
-
Linux SSH 認証
- LDAP ディレクトリで Linux ユーザー認証
- Managed AD の LDAP サポート
設定・操作の具体例
AWS Management Console での作成
-
AWS Directory Service コンソール → Create Directory
Directory type: AWS Managed Microsoft AD Edition: Standard Directory DNS name: corp.example.com Admin password: (強力なパスワード) VPC: vpc-xxxxx Subnets: subnet-1, subnet-2 (2 AZ) -
Trust Relationship(オンプレ AD がある場合)
Outbound Trust Name: corp.example.com Conditional Forwarder: (オンプレ DNS IP) Trust Direction: Two-way / One-way -
ユーザー・グループ管理
- Active Directory Users and Computers で管理
- Windows PC から管理(AD admin アカウント)
CLI 操作
Directory 作成
aws ds create-microsoft-ad \
--name corp.example.com \
--password MyPassword123! \
--vpc-settings SubnetIds=subnet-xxxxx,subnet-yyyyy \
--edition Standard \
--region us-east-1
ユーザー作成
aws ds create-user \
--directory-id d-xxxxxxxxxx \
--username john.doe \
--email john.doe@example.com \
--first-name John \
--last-name Doe \
--password InitialPassword123!
グループ作成・ユーザー追加
aws ds create-group \
--directory-id d-xxxxxxxxxx \
--name Engineers \
--description "Engineering team"
aws ds add-user-to-group \
--directory-id d-xxxxxxxxxx \
--group-name Engineers \
--user-name john.doe
Describe Directory
aws ds describe-directories \
--directory-id d-xxxxxxxxxx
SDK 実装例
Python (Boto3)
import boto3
ds_client = boto3.client('ds', region_name='us-east-1')
# Directory 情報取得
response = ds_client.describe_directories(DirectoryIds=['d-xxxxxxxxxx'])
for directory in response['DirectoryDescriptions']:
print(f"Name: {directory['Name']}")
print(f"Status: {directory['Stage']}")
print(f"Type: {directory['Type']}")
# ユーザー作成(API では限定的、PowerShell or 管理 PC での ADUC を推奨)
# Note: Directory Service API にはユーザー管理 API が限定的なため、
# AD ユーザーの管理は通常、Windows PC の Active Directory Users and Computers で実施
# Trust Relationship 取得
response = ds_client.describe_trusts(DirectoryId='d-xxxxxxxxxx')
for trust in response['Trusts']:
print(f"Trust name: {trust['TrustDirection']}")
print(f"Remote domain name: {trust['RemoteDomainName']}")
Java
import software.amazon.awssdk.services.ds.DirectoryServiceClient;
import software.amazon.awssdk.services.ds.model.*;
public class DirectoryServiceExample {
public static void main(String[] args) {
DirectoryServiceClient dsClient = DirectoryServiceClient.builder().build();
// Directory 情報取得
DescribeDirectoriesRequest request = DescribeDirectoriesRequest.builder()
.directoryIds("d-xxxxxxxxxx")
.build();
DescribeDirectoriesResponse response = dsClient.describeDirectories(request);
response.directoryDescriptions().forEach(dir -> {
System.out.println("Name: " + dir.name());
System.out.println("Status: " + dir.stage());
System.out.println("Type: " + dir.type());
});
// Trust 情報取得
DescribeTrustsRequest trustRequest = DescribeTrustsRequest.builder()
.directoryId("d-xxxxxxxxxx")
.build();
DescribeTrustsResponse trustResponse = dsClient.describeTrusts(trustRequest);
trustResponse.trusts().forEach(trust -> {
System.out.println("Trust: " + trust.remoteDomainName());
System.out.println("Direction: " + trust.trustDirection());
});
dsClient.close();
}
}
PowerShell (AD ユーザー管理)
# AD に接続(admin アカウントで実行)
$directoryId = "d-xxxxxxxxxx"
$domainName = "corp.example.com"
# ユーザー作成
New-ADUser -Name "John Doe" `
-SamAccountName "john.doe" `
-UserPrincipalName "john.doe@corp.example.com" `
-EmailAddress "john.doe@example.com" `
-AccountPassword (ConvertTo-SecureString -AsPlainText "InitialPassword123!" -Force) `
-Enabled $true
# グループ作成
New-ADGroup -Name "Engineers" -GroupScope Global -GroupCategory Security
# ユーザーをグループに追加
Add-ADGroupMember -Identity "Engineers" -Members "john.doe"
# グループポリシー確認
Get-GPInheritance -Target "OU=Engineers,DC=corp,DC=example,DC=com"
IaC (CloudFormation/Terraform)
CloudFormation
AWSTemplateFormatVersion: '2010-09-09'
Description: 'AWS Managed Microsoft AD'
Parameters:
DirectoryName:
Type: String
Default: corp.example.com
AdminPassword:
Type: String
NoEcho: true
Resources:
DirectoryServiceDirectory:
Type: AWS::DirectoryService::MicrosoftAD
Properties:
Name: !Ref DirectoryName
Password: !Ref AdminPassword
Edition: Standard
VpcSettings:
SubnetIds:
- subnet-xxxxx
- subnet-yyyyy
VpcId: vpc-xxxxx
Tags:
- Key: Environment
Value: Production
# Trust Relationship(オンプレ AD がある場合)
TrustRelationship:
Type: AWS::DirectoryService::MicrosoftAD
Properties:
Name: !Ref DirectoryName
# Trust 設定は別途 PowerShell or SDK で実施
DependsOn: DirectoryServiceDirectory
Outputs:
DirectoryId:
Value: !Ref DirectoryServiceDirectory
DirectoryDNS:
Value: !Select [0, !GetAtt DirectoryServiceDirectory.DnsIpAddrs]
Terraform
provider "aws" {
region = "us-east-1"
}
resource "aws_directory_service_directory" "corp_ad" {
name = "corp.example.com"
password = var.admin_password
edition = "Standard"
type = "MicrosoftAD"
vpc_settings {
vpc_id = aws_vpc.main.id
subnet_ids = [aws_subnet.az1.id, aws_subnet.az2.id]
}
tags = {
Environment = "Production"
}
}
# Trust Relationship(PowerShell / SDK で別途実施)
resource "aws_directory_service_conditional_forwarder" "example" {
directory_id = aws_directory_service_directory.corp_ad.id
remote_domain_name = "onpremises.example.com"
dns_ips = ["192.0.2.1", "192.0.2.2"]
skip_subdomain_creation = false
}
variable "admin_password" {
type = string
sensitive = true
}
output "directory_id" {
value = aws_directory_service_directory.corp_ad.id
}
類似サービス比較表
| 比較軸 | Managed AD | AD Connector | Azure AD DS | GCP Managed AD | Okta Workforce |
|---|---|---|---|---|---|
| 型 | マネージド AD | AD プロキシ | Azure 内マネージド AD | GCP マネージド AD | クラウド ID プロバイダー |
| 運用 | AWS 管理 | AWS 管理 | Azure 管理 | GCP 管理 | Okta 管理 |
| オンプレ依存 | 不要(Forest Trust 可) | 必須(VPN) | 不要 | 不要 | 不要 |
| Windows ドメイン | ✅ 完全 | ✅(プロキシ) | ✅ Azure 内 | ✅ | ❌ |
| FSx / WorkSpaces | ✅ 対応 | ✅ 対応 | ❌ | ✅(制限) | ❌ |
| LDAP | ✅ | ✅ | ✅ | ✅ | ⚠️ |
| Kerberos | ✅ | ✅ | ✅ | ✅ | ❌ |
| SaaS 統合 | SAML 2.0 | SAML 2.0 | SAML 2.0 | SAML 2.0 | ✅ ネイティブ |
| 推奨用途 | AWS クラウド | オンプレ AD 利用 | Azure エコシステム | GCP エコシステム | アイデンティティ統一 |
ベストプラクティス
✅ 推奨パターン
-
Managed AD + IAM Identity Center
- AWS ネイティブ・マネージド環境での標準構成
- マルチアカウント SSO が統一
-
適切なエディション選択
小規模(~5,000ユーザー)→ Standard Edition 大規模(5,000+ユーザー)→ Enterprise Edition -
Forest Trust でハイブリッド化
- オンプレ AD を信頼関係で統合
- スムーズなアプリ移行
-
複数 AZ 構成
- Managed AD は自動的に 2 AZ で HA 構成
- 可用性 99.9%
-
VPC エンドポイント利用
- PrivateLink で安全な接続
-
CloudTrail 監査ログ有効化
- AD 操作を監視
❌ アンチパターン
-
Single DC(シングル DC)構成
❌ AD を 1 AZ にのみ展開 ✅ マルチ AZ HA を活用 -
パスワードポリシーの不備
❌ AD パスワード最小要件がない ✅ 複雑さ・履歴・有効期間設定 -
オンプレ AD 依存が強い AD Connector
❌ AD Connector で VPN が不安定 → AWS リソースも利用不可 ✅ Managed AD で独立・冗長化
トラブルシューティング
| 症状 | 原因 | 対策 |
|---|---|---|
| WorkSpaces ドメイン参加失敗 | AD 権限・VPC 接続不足 | IAM ロール・セキュリティグループ確認 |
| FSx ドメイン参加失敗 | DNS・Kerberos 設定 | DNS フォワーダー・ファイアウォール確認 |
| RDS SQL Server 認証失敗 | Kerberos チケット発行失敗 | AD ユーザー存在確認・パスワード確認 |
| AD Connector VPN 切断 | VPN 不安定・timeout | VPN 再確立・ルート確認 |
| ユーザーログイン遅延 | DC 応答遅延・ネットワーク | CloudWatch メトリクス確認・DC パフォーマンス |
| Trust Relationship エラー | パスワード不一致・DNS 設定 | DNS レコード・信頼関係パスワード確認 |
セキュリティ・コンプライアンス
| 項目 | 実装 |
|---|---|
| HIPAA | ✅ Managed AD でコンプライアンス対応 |
| PCI DSS | ✅ コンプライアンス有効化で対応 |
| IAM ロール | ✅ Directory Service API 操作の最小権限 |
| KMS | ✅ 保存時暗号化(AWS Managed / CMK) |
| TLS / LDAPS | ✅ 転送中の暗号化 |
| MFA | ✅ Managed AD で RADIUS ベース MFA |
| 監査ログ | ✅ CloudTrail で API 操作記録 |
| VPC エンドポイント | ✅ PrivateLink 対応 |
パフォーマンスチューニング
ドメインコントローラー パフォーマンス
- CPU / メモリ: AWS が自動管理(Managed AD)
- ネットワーク: VPC 内での低レイテンシ(数 ms)
- キャッシング: クライアント側の Kerberos チケット キャッシュ活用
LDAP / Kerberos クエリ最適化
- ❌ 非効率:全ユーザー検索
- LDAP フィルター: (objectClass=user)
- ✅ 効率的:特定グループのみ検索
- LDAP フィルター: (memberOf=CN=Engineers,…)
コスト最適化
Managed AD コスト削減
- Standard Edition: $0.12/時(小規模で十分)
- Enterprise Edition: $0.23/時(数千ユーザー以上)
- AD Connector / Simple AD: より低コスト(オンプレ依存 / 機能限定)
コスト見積もり
- Managed AD Standard: $0.12/時 × 730 時間/月 ≈ $87/月
-
- IAM Identity Center: 無料
-
- IAM ロール: 無料
- Total ≈ $87/月
2025-2026 最新動向
マルチリージョン複製
- Managed AD を複数リージョンに自動レプリケーション
- グローバル HA 向上
LDAP / Kerberos の最適化
- パフォーマンス向上
- レイテンシ削減
IAM Identity Center との深い統合
- AD 属性ベースアクセス制御(ABAC)
- より柔軟な権限制御
Hybrid AD エクスペリエンス
- オンプレ AD ↔ AWS Managed AD の同期簡素化
学習リソース・参考文献
公式リソース
- AWS Directory Service Documentation
- AWS Managed Microsoft AD Admin Guide
- AD Connector Documentation
- IAM Identity Center Integration
ベンダー・OSS リソース
AWS リソース
実装例・チェックリスト
チェックリスト
- [ ] Directory オプション選択(Managed / Connector / Simple)
- [ ] VPC・サブネット設計(マルチ AZ 確認)
- [ ] ドメイン名設計(corp.example.com など)
- [ ] パスワードポリシー設定
- [ ] オンプレ AD との Forest Trust 計画(Managed AD の場合)
- [ ] IAM Identity Center 統合計画
- [ ] ユーザー・グループ作成・管理フロー
- [ ] FSx / WorkSpaces / RDS SQL Server 統合確認
- [ ] CloudTrail・VPC エンドポイント設定
- [ ] 監査・コンプライアンス要件確認
まとめ
AWS Directory Service は 「Windows ワークロードの AD 認証基盤を AWS で実現するマネージドサービス」 です。3 つのオプション(Managed AD / AD Connector / Simple AD)から選択でき、以下の利用パターンに対応します:
- 新規 AWS クラウドワークロード → AWS Managed Microsoft AD
- 既存オンプレ AD 活用 → AD Connector
- 小規模・低コスト → Simple AD
IAM Identity Center と統合することで、マルチアカウント環境での統一 SSO・ID 管理を実現し、エンタープライズグレードの認証・認可基盤が構築できます。
最終更新:2026-04-26 バージョン:v2.0