はじめての AWS

自己紹介

@tsune_hide名前 山城　常秀年齢 ３３性格 真面目な天邪鬼座右の銘 自信はもっても満足しない気になるサービス

VPC / Direct Connect / VPN

趣味

アニメ、アニメ、アニメ、アニメ、映画、アニメ、、、、

他にも何か・・・

今期見ているアニメ：マクロス⊿、魔装学園 HxH 、クロムクロ、ReLife 、ねじ巻き精霊戦記 天鏡のアルデラミンRe: ゼロから始める異世界生活

趣味

IT 全般

山城家には モバイル端末管理のための MDM※ 導入済み複数台の iPhone 、 iPad 、 Android などのスマートフォンおよびタブレット端末をリモートで一

元管理できる

GoogleApps for work 導入済み

WiFi AP いじったり、電波計測ルータが Firewall だったり・・・

お仕事の内容

現在の勤め先 株式会社レキサス　（ジョイン歴 6 ヶ月）仕事の内容　　 情報システム　　＋　業務改善リスト　　　　　　　 社内の情報基盤強化

セキュリティマネジメント (ISMS)

それ以前の経歴　ソフトウェアベンダー：インフラ設計、 PG ３年　動物病院：情シス、経営企画、経理、マネジメント ８年

AWS 経験歴 ゼロ年

・ AWS を知ったの１年ほど前

・ JAWS-UG 2016 年 1 月初参加

・本日、初登壇

再スタートしたばかりのエンジニアを

暖かく迎えてください mm

熱い熱いサーバレストーク

Re: ゼロ から始める AWS 生活

情シスの

〜 AWS Directory Service 編〜

AWS Directory Service って何なの？

Active Directory とは

ActiveDirectory に含まれる機能・ユーザの管理 ID 、属性、所属グループや権限を管理

・ユーザ認証 異なるコンピュータ間でシングルサインオンを提供

・コンピュータの管理 ドメイン参加したコンピュータの名前解決 (DNS)

・グループポリシー ユーザやコンピュータの設定を一元管理

DirectoryService やってみようと思ったきっかけ

AWS で Active Directory ？ Microsoft ? Windows Server

Windows Server とか人気なさそう www ( 特にレキサスでは )

←情シス的にやってみるか いまここ

何をやるか？

社内リソースからドメイン参加できないのか？

やってみたこと

・社内から使えないのか？・グループポリシー適用（パスワード制限）

準備するもの・ VPC・ DirectoryService(Simple AD)・ IPSec 対応ルータ (Yamaha SRT100)・ Windows Pro エディション

構成

VPN は NAT トラバーサル対応

VPC+VPN構築

・異なるアベイラビリティーゾーンに２つのサブネットが必要※後の Directory Service作成時に必須

VPN 設定 (AWS / 社内 )

・ルータ設定は自動生成 (IPSec / BGP 含む ) ※ NAT配下の場合は local address の変更 / bgp equal を変更

SimpleAD

・ Directory DNS のみ注意・ DNS Server が２つできる

セキュリティグループ変更

・ VPN 経由を許可

インバウンド許可

TCP/UDP 53 - DNS

TCP/UDP 88 - Kerberos authentication

UDP 123 - NTP

TCP 135 - RPC

UDP 137-138 - Netlogon

TCP 139 - Netlogon

TCP/UDP 389 - LDAP; note that AWS Directory Service does not support LDAP with SSL (LDAPS) or LDAP signing

TCP/UDP 445 - SMB

TCP 873 - FRS

TCP 3268 - Global Catalog

TCP/UDP 1024-65535 - Ephemeral ports for RPC

クライアント側

・ DNS の宛先変更・ MacOSX/Linux も ActiveDirectory 参加可能

管理・リモートサーバ管理ツールが必要 つらい GUI 設定不可避仕様 ...

これだけで終わり

所要時間 １〜 2時間程度（慣れたら 30分）

引っかかった箇所 ・セキュリティグループ × VPN ルータ Firewall

結論

・ EC2/Workspace など AWS リソース以外からも利用可能・社内にグループポリシー適用可能・ UserCAL不要

注意事項・ SimpleAD(Small/Large) と Microsoft AD(Enterprise) できることが異なる

信頼関係 NG / ユーザ移行 NG / MFA 認証 NG

メリット

Windows Server 2012R2

ActiveDirectory

ファイル共有

ハードウェア

Windows Server 2012R2

ActiveDirectory

ファイル共有

EC2

AWSDirectory

共有ディスク

・運用コスト削減

サーバレスから 情報システム部門レスへ

運用保守から セキュリティ強化へ

ご清聴ありがとうございました

質疑応答への回答

Q1.価格

Q2.SimpleAD はユーザインポートできるとのことだがパスワードは？既存 AD から csv形式で出力したファイルは読み込めるがパスワードが含まれないため不可

Q2.単一障害点にならない？デフォルト２つ AZ構成

Q3.通信障害は？ 心配であれば ISP回線を使わない Direct Connect をおすすめ

Q4.Direct Connect高くない？VPN は固定 IP利用のためプロバイダ利用料で月額１万円はかかるDirectConnect はフレッツ VPN 使った物だと 4万円から導入可能4拠点以上ある場合には DirectConnect が安い

参考サイト https://www.ntt-west.co.jp/news/1601/160119a.html

Small Large Enterprise

月額 58.56 USD 175.68USD 325.74USD