WorkSpacesでは利用するユーザーの認証を行うためActive Directory環境を必ず用意する必要がありますが、今回はこのWorkSpacesで利用するActive Directory環境について書いていきたいと思います。

なぜ、Active Directory環境が必要なのか?

Active DirectoryはWindows 10と同じくマイクロソフト社が開発したWindowsのユーザーやコンピューターを管理するためのディレクトリサービスですが、企業などではWindowsのユーザー認証用のディレクトリサービスとしてこの、Active Directoryを利用することがセオリーとなっています。

WorkSpacesもやはりWindowsが動いていますので、このユーザー認証用のディレクトリサービスとしてActive Directoryを利用します。

WorkSpacesでは利用できるActive Directory環境として大きく分けて次にあげる、3つのタイプを用意しています。

  • AWS Managed Microsoft AD
  • Simple AD
  • AD Connecter

次段以降ではこれらのの特徴について書いていきます。

3つのタイプのActive Directory

AWS Managed Microsoft AD

AWS Managed Microsoft ADはAWSが提供するマネージドタイプのディレクトリサービスになります。
中身はWindows Server 2012 R2をベースとしているためActive Directoryの機能を全て利用することができます。
また、標準で異なる2つのアベイラビリティゾーンにある、2台のインスタンスで構成されるなど、可用性についても考慮されています。

AWS Managed Microsoft ADはStandardとEnterpriseという2つのエディションが用意されており、管理可能なオブジェクト(登録されたユーザーやコンピューターなどのこと)の数によって選ぶ形となっています。
対応するオブジェクト数はStandardで30,000、Enterpriseで500,000となっています。

Simple AD

Simple ADもやはりAWSが提供するマネージドタイプのディレクトリサービスですが、Samba 4 Active Directory Compatible Serverを利用しているため、Active Directoryの機能を全て利用することができません。
(もちろん、ユーザー認証は利用できます)

Simple ADもスモールディレクトリとラージディレクトリという2つのエディションが用意されており、スモールディレクトリで500ユーザー、ラージディレクトリで5,000ユーザーを管理できます。

Simple ADはAWS Managed Microsoft ADに比べると機能が制限されていたり、管理できるユーザー数が少ないといった一見するとなぜ用意されているのかと思うことでしょう。
しかし、Simple ADはWorkSpacesなどと組み合わせてスモールディレクトリで1人以上、ラージディレクトリで100人以上のアクティブユーザーがいる場合、無料で利用できるといった特徴があります。

このため、ユーザー数さえ問題なければWorkSpaces用のActive DirectoryとしてSimple ADを利用する例も少なくはありません。

AD Connecter

最後にAD Connecterですが、これだけは前述の2つと大きく異なっており、AD Connecter自体にはActive Directoryとしての機能はありません。
では、どうやってユーザーを認証をするのかというと、AD Connecterはその名の通り、既存のActive DirectoryをWorkSpacesで利用できるように接続することで、ユーザー認証を実現します。

実際の利用シーンとしては、既存のオンプレミスやAmazon EC2で稼働中のActive Directoryをそのまま、WorkSpacesのユーザー認証で利用したい場合に利用するものになります。

AD Connecterにもスモールとラージの2つのエディションが用意されており、スモールで5,000ユーザー、ラージで75,000ユーザーに対応できるよう設計がされています。

なお、AD ConnecterもSimple ADと同様にアクティブユーザーがいる場合、無料で利用することができます。

まとめ

このようにをWorkSpacesのユーザー認証環境として3つのディレクトリサービスが用意されていますが、

  • フルスペックのActive Directoryが必要ならAWS Managed Microsoft AD
  • ユーザー認証でしか利用せずWorkSpacesと組み合わせて低コストで利用したい場合はSimple AD
  • 既存のActive Directoryを利用したい場合はAD Connecter

というように、 上手く使い分けていければ良いと思います。