Amazon AWS Directory Service と Amazon Connect を Microsoft Active Directory で使用する方法を教えてください。

解決策

Amazon Connect で AWS Directory Service を設定するには、以下の手順に従ってください。

1. AWS Directory Service でアクティブディレクトリを作成します。
2. Amazon Elastic Compute Cloud (Amazon EC2) Windows インスタンスを作成して、ディレクトリのユーザーを作成および管理できるようにします。
3. ディレクトリに新しいユーザーを作成します。
4. 新しく作成したディレクトリで Amazon Connect インスタンスを作成します。
5. Amazon Connect に新しいユーザーを追加して管理します。

AWS Directory Service には 3 種類のサービスがあります。3 つのタイプはすべて Amazon Connect と連動してユーザー管理を行います。AWS Directory Service の詳細については、「AWS Directory Service とは?」を参照してください。

前提条件

Amazon Virtual Private Cloud (Amazon VPC) が以下のオプションで設定されていることを確認してください。

• サブネットは少なくとも 2 つあり、両方のサブネットは異なるアベイラビリティーゾーンにあります。
• VPC はデフォルトのハードウェアテナンシーを使用しています。
• VPC は 198.18.0/15 アドレス空間の IP アドレスを使用していません。

Amazon VPC を設定するには、「Amazon VPC を使い始める」を参照してください。

**注:**前述の前提条件の詳細については、「AWS マネージド Microsoft AD の前提条件」を参照してください。他の AWS Directory Service タイプに関連する前提条件については、「AD Connector の前提条件」または「Simple AD の前提条件」を参照してください。

AWS Directory Service にアクティブディレクトリを作成する

AWS マネージド Microsoft AD を設定するには、以下の手順に従ってください。

1. AWS Directory Serviceコンソールで、[ディレクトリを設定]を選択します。
2. 以下のようにフォームに記入してください。
   ディレクトリタイプには、[AWS マネージド Microsoft AD] を選択します。
   エディションには、[スタンダード]または[エンタープライズ]エディションを選択します。
   ディレクトリ DNS 名には、任意の完全修飾ドメイン名を入力します。
   ディレクトリ NetBIOS 名 (オプション) に、ドメインの短い識別子を入力します。
   ディレクトリの説明 (オプション) には、ディレクトリの簡単な説明 (128 語以内) を入力します。
   管理者パスワードには、パスワードを入力します。このパスワードは、後で EC2 インスタンスへのログインに使用するので保存します。
   パスワードの確認に、パスワードを再入力します。
3. [次へ]を選択して続行します。
4. 前提条件として設定した VPC とサブネットを選択します。次に、[次へ]を選択して続行します。
5. **[ディレクトリの作成]を選択します。**生成と初期化には時間がかかる場合があります。[Thing] の詳細については、「AWS マネージド Microsoft AD ディレクトリの作成」を参照してください。
6. 新しい認証情報を使用して、管理者としてディレクトリにログインします。
   ユーザー名: 管理者
   パスワード: [ステップ 2 で作成したパスワード。]

Microsoft Windows サーバー用の Amazon EC2 インスタンスを作成

作成した新しいディレクトリのユーザーを管理するには、EC2 インスタンスを作成する必要があります。後で、この EC2 インスタンスを使用してユーザーを追加、変更、削除します。

インスタンスの作成は 3 段階のプロセスです。

インスタンスの IAM ロールをセットアップします

EC2 インスタンスが Directory Service と通信するには、AWS Identity and Access Management (IAM) ロールが必要です。次の手順に従って、インスタンスの IAM ロールを作成します。

1. IAM コンソールで、[ロール]、 [ロールの作成]を選択します。
2. [信頼済みエンティティ]で [EC2] を選択します。次に、[次へ]を選択します。
3. 権限とサービスポリシーを次のように設定します。
4. 権限ポリシーでは、両方の AWS マネージドポリシーを選択します。
   • AmazonSSMManagedInstanceCore
   • AmazonSSMDirectoryServiceAccess
5. 次に、[次へ]を選択します。

インスタンスのセキュリティグループを作成する

EC2 インスタンスのセキュリティグループを作成する必要があります。このセキュリティグループは、後でインスタンスを作成するときに使用します。

1. EC2 コンソールで、[セキュリティグループ]、[セキュリティグループの作成]を選択します。
2. セキュリティグループの名前を入力します。例えば AWSDirectoryEC2SecurityGroup を使用できます。
3. AWS マネージド Microsoft AD を作成したのと同じ VPC を選択します。
4. インバウンドルールで[ルールを追加]を選択します。次に、リモートデスクトッププロトコル (RDP) トラフィックの IP 範囲を次のように入力します。
   タイプ: RDP
   ソース: IP_range_to_allow_the_RDP_traffic
   **注:**IP_range_to_allow_the_RDP_traffic を必要な範囲に置き換えます。
5. アウトバウンドルールで[ルールを追加]を選択し、次のように入力します。
   タイプ: すべてのトラフィック
   宛先 [カスタム]を選択し、ディレクトリのセキュリティグループを選択します。
   **注:**ディレクトリのセキュリティグループの名前形式は、デフォルトでは次のとおりです。
   directoryid_controllers.たとえば、ディレクトリ ID が d-9x1234abcd の場合、セキュリティグループは d-9x1234abcd_controllers になります。
6. セキュリティグループを作成するには、[セキュリティグループの作成]を選択します。

EC2 インスタンスを作成

次の手順に従って EC2 インスタンスを作成します。

1. EC2 コンソールで、[インスタンス]、[インスタンスを起動]を選択します。
2. EC2 インスタンスに名前を付けます (オプション)。
3. 次に、以下を設定します。
   アプリケーションと OS イメージで [Windows] を選択します。
   キーペアについては、すでに作成されている場合はドロップダウンリストからキーペアを選択するか、インスタンスの新しいキーペアを作成します。
   ネットワーク設定では、AWS マネージド Microsoft AD ディレクトリを作成したのと同じ VPC を選択します。
   サブネットには、ディレクトリに関連付けられているパブリックサブネットの 1 つを選択します。[パブリック IP の自動割り当て]を有効にします。
4. ファイアウォール、(セキュリティグループ) については、以前に作成したセキュリティグループを選択します。
   例えば、 AWSDirectoryEC2SecurityGroup。
   **重要:**任意のセキュリティグループを選択できます。ただし、ネットワークが EC2 インスタンスとディレクトリを接続できるように、ディレクトリに関連付けられているセキュリティグループを編集する必要があります。
5. [詳細設定]タブを展開します。
   ドメイン参加ディレクトリで、以前に作成したディレクトリを選択します。
   IAM ロールプロファイルには、以前に作成したロールである AWSDirectoryEC2Role を選択します。
6. 残りの設定はそのままにして、[インスタンスの起動]を選択します。EC2 インスタンスの作成の詳細については、「AWS マネージド Microsoft AD ディレクトリに EC2 インスタンスを結合する」を参照してください。

AD Connector で EC2 インスタンスを結合する方法の詳細については、「Windows EC2 インスタンスにシームレスに結合する」を参照してください。Simple AD で EC2 インスタンスを結合する方法の詳細については、「Windows EC2 インスタンスにシームレスに結合する」を参照してください。

ディレクトリに新しいユーザーを作成

起動後、インスタンスでリモートセッションを開いてディレクトリを設定し、そこにユーザーを作成します。

1. ディレクトリの認証情報を使用して EC2 インスタンスにログインします。
   ユーザー名: Admin@Domain.
   **注:**たとえば、ディレクトリのドメインが article.awssupport.com の場合、次のようになります。
   ユーザー名は Admin@article.awssupport.com です。
   パスワードは、以前に作成した管理者パスワードです。
2. リモートセッションを開きます。認証情報を使用してリモートセッションを開くには:
   • インスタンスに関連付けられているセキュリティグループが RDP トラフィックを許可していることを確認します。詳細については、「RDP を使用して Windows インスタンスに接続する」を参照してください。
   • EC2 インスタンスは Directory Service とシームレスに結合します。問題が解決しない場合は、EC2 インスタンスの手動結合を設定してみてください。詳細については、「Windows インスタンスに手動で結合する」を参照してください。

セッションがアクティブになったら、次の手順に従って新しいユーザーを作成します。

1. 「Windows Server 2012 から Windows Server 2019 への Active Directory 管理ツールのインストール」で説明されている手順を使用して Active Directory ツールをインストールします。
2. Windows 管理ツールを開くには、Windows EC2 インスタンスのリモートセッションで [開始]を選択します。
3. [Active Directory ユーザーとコンピューター]を開きます。新しいウィンドウにディレクトリドメインが表示されます。
4. ドロップダウンリストから、[ドメイン]、[組織単位]、[ユーザー]を選択します。たとえば、ドメインが article.awssupport.com の場合は、article.awssupport.com、[記事]、[ユーザー]を選択します。
   **注:**画面には[Admin]がユーザーとして表示されます。Amazon Connect では Admin は予約語なので、別の名前で 2 人目のユーザーを作成してください。
5. ドロップダウンリストから、[アクション]、[新規]、[ユーザー]を選択します。
6. [名]、[姓]、およびユーザーのログオン名を入力します。次に、[次へ]を選択して続行します。
7. パスワードを作成して、確認します。
8. [ユーザーは次回のログオン時にパスワードを変更する必要があります]のチェックを外し、[パスワードは無期限]にチェックを入れます。次に、[次へ]を選択します。
9. [完了]を選択します。

ディレクトリに新しいユーザーを作成する手順の詳細については、「ユーザーの作成」を参照してください。これで Amazon Connect でインスタンスを作成する準備ができました。

Amazon Connect インスタンスを作成する

以下の手順に従ってインスタンスを作成します。

1. AWS 認証情報を使用して Amazon Connect コンソールにログインします。
2. [インスタンスを追加]を選択します。
   **注:**これが Amazon Connect の最初のインスタンスである場合は、[開始]を選択してください。
3. ID を管理するには、[既存のディレクトリにリンク]を選択します。以前に設定したディレクトリをドロップダウンリストから選択します。
4. アクセス URL を入力します。次に、[次へ]を選択して続行します。
5. [管理者を追加]に、ユーザー名 (Jane など) を入力します。ディレクトリドメインを含め、ユーザーのログイン名をすべて入力しないでください。
6. 残りの設定はそのままにして、[インスタンスの作成]を選択します。
7. インスタンスにログインするには、ユーザー名とパスワードを使用します。

Amazon Connect インスタンスに新しいユーザーを追加して管理します。

先ほど、ディレクトリに新しいユーザーを作成しました。次に、Amazon Connect インスタンスにユーザーを追加します。

1. Connect インスタンスの認証情報を使用して Connect インスタンスダッシュボードを起動します。
2. Amazon Connect インスタンスダッシュボードで、[ユーザー]、[ユーザー管理]を選択します。
3. 右上隅から[新規ユーザーを追加]を選択します。
4. 作成したユーザーをユーザーのリストから選択します。
5. 新規ユーザーのセキュリティプロファイル、ルーティングプロファイル、電話設定を選択します。右上隅から[保存]を選択します。
6. 新しいユーザーの認証情報をテストします。ユーザーが選択したセキュリティプロファイル権限で Amazon Connect インスタンスにログインします。詳細については、「Amazon Connect にユーザーを追加する」を参照してください。

セットアップ中によくある問題

このセクションでは、セットアップ中に発生する可能性のある一般的な問題をトラブルシューティングするためのガイドラインを提供します。

ディレクトリの管理者認証情報で Windows EC2 インスタンスにサインインできません。

次の点を考慮してください。

• EC2 インスタンスとディレクトリのサブネットが一致していない可能性があります。EC2 インスタンスがディレクトリに属するサブネットの 1 つにあることを確認してください。
• EC2 インスタンスまたはディレクトリのセキュリティグループがトラフィックを許可しません。ディレクトリを作成すると、そのディレクトリに関連付けられたデフォルトのセキュリティグループが作成されてトラフィックが許可されます。このセキュリティグループを使用すると、セキュリティグループに関連する問題を回避できます。
• EC2 シームレス結合が機能しない場合、認証情報が機能しないことがあります。ディレクトリに EC2 インスタンスを手動で結合してみてください

管理ツールが EC2 インスタンスにありません。

• EC2 インスタンスの管理ツールが必要な場合は、「Windows Server 2012 から Windows Server 2019 に Active Directory 管理ツールをインストールする」の手順に従ってインストールしてください。

Windows EC2 インスタンスのディレクトリドメインは、Active Directory の [ユーザーとコンピュータ] 画面では使用できません。

• ディレクトリと EC2 インスタンスが接続されていることを確認します。「EC2 インスタンスを AWS マネージド Microsoft AD ディレクトリに結合する」に記載されている手順に従ってインスタンスを作成していることを確認してください。
• ディレクトリのユーザーが[管理者]ステータスであり、EC2 インスタンスにログインしていることを確認します。

---