ある企業がオンプレミスの Microsoft Active Directory をそのまま維持しながら、AWS 上の EC2 Windows インスタンスをドメイン参加させ、既存の AD ユーザーと AD グループによるアクセス管理を実現したいと考えています。AD の管理は引き続きオンプレミスのチームが行う予定です。最もシンプルなアーキテクチャはどれですか?
- A. AWS Managed Microsoft AD を作成し、オンプレミス AD からすべてのユーザーとグループを手動で移行する
- B. Amazon Cognito User Pool にオンプレミス AD のユーザーをフェデレーションし、EC2 インスタンスへのアクセスを Cognito トークンで管理する
- C. AD Connector を使用してオンプレミスの AD にプロキシ接続し、EC2 インスタンスを既存の AD ドメインに直接参加させる
- D. AWS Managed Microsoft AD を新規に作成し、オンプレミス AD との双方向フォレストトラストを設定する
解答と解説を見る
正解: C
AD Connector は AWS がオンプレミス AD への認証リクエストをプロキシする軽量なディレクトリゲートウェイです。ユーザーやグループのコピーや同期は不要で、EC2 インスタンスは既存の AD ドメインに直接参加できます。AD の管理もオンプレミスのチームが継続できます。 D: Managed Microsoft AD との双方向フォレストトラストは機能しますが、AWS 側に新しい AD を作成・管理するコストと負荷が生じます。「AD 管理はオンプレミスのチームが継続」という要件に対してオーバーエンジニアリングです。 A: ユーザーとグループを手動移行すると、オンプレミス AD との二重管理が発生し、同期の問題が生じます。要件に反します。 B: Cognito は Web/モバイルアプリのエンドユーザー向け認証サービスであり、EC2 インスタンスのドメイン参加や AD グループベースのアクセス管理には対応していません。
📚 関連サービスの解説: Amazon EC2