はじめに
こんにちは、山本です。
AWSを使っている方であれば、IAM (Identity and Access Management)を使ってユーザーやロールを管理することには慣れていると思います。しかし、オンプレミス環境やハイブリッドクラウド環境で必要となるWindows Active Directory (AD)については、「聞いたことはあるけど詳しくは知らない」という方もいるのではないでしょうか。
今回はAWSのIAMの概念を起点として、Active Directoryの仕組みを理解できるように整理してみました。
AWS Managed Microsoft ADやAD Connectorなどのサービスを検討する際の基礎知識としても役立つ内容になれば幸いです。
IAMとActive Directoryの共通点
まず、IAMとActive Directoryは「認証・認可を管理するサービス」という点で共通しています。
認証 (Authentication)と認可 (Authorization)
- 認証:「どのユーザーか」を確認すること(ユーザー名とパスワードでログイン)
- 認可:「どの作業を許可されているのか」を制御すること(特定のリソースへのアクセス権限)
IAM も Active Directory も、この2つの機能を提供することで、システムのセキュリティを担保しています。
概念の対応関係
| AWS IAM | Active Directory | 説明 |
|---|---|---|
| IAM ユーザー | AD ユーザー | システムにアクセスする個人のアカウント |
| IAM グループ | AD グループ | 複数のユーザーをまとめて権限管理 |
| IAM ポリシー | グループポリシー (GPO) | アクセス権限やシステム設定のルール |
| IAM ロール | サービスアカウント | アプリケーションやサービスが使用する特別なアカウント |
Active Directoryとは何か
Active Directory (AD)は、Microsoft が開発したディレクトリサービスで、Windows 環境における「ユーザー・コンピューター・その他のリソースを一元管理するデータベース」です。
Active Directory の主な役割
1. 統合 Windows 認証(シングルサインオン)
IAM で AWS Management Console にログインすれば複数の AWS サービスにアクセスできるように、AD では一度 Windows クライアントにドメインユーザーでログインすれば、同一ドメインに参加している Windows サーバーへのアクセス時に、バックグラウンドで自動的に認証が行われます。
ただし、これは「常に資格情報を聞かれない」わけではなく、以下の条件を満たす場合に限られます
- アクセス先のサーバーが同じ AD ドメインに参加している
- アクセス先のサービスが Windows 統合認証 (Kerberos/NTLM) に対応している
- ネットワーク的にドメインコントローラーと通信できる
例えば、ドメイン参加していないサーバーや、Web アプリケーションで独自の認証を実装している場合は、別途資格情報の入力が必要になります。
2. ドメイン配下におけるリソースの集中管理
IAM でユーザーを一元管理するように、AD では組織内の全てのユーザーアカウント、コンピューター、プリンターなどを一箇所(通常、ドメインコントローラー)で管理できます。
3. グループポリシーによる設定の統一
IAM ポリシーでAWS リソースへのアクセスを制御するように、AD のグループポリシー (GPO)では、デスクトップの壁紙、パスワードポリシー、ソフトウェアのインストール制限など、クライアント PC の設定を一括で適用できます。
Active Directoryの構成要素
ドメイン(Domain)
ドメインは、ユーザーやコンピューターをまとめる管理単位で、通常は「company.local」や「example.com」のような名前が付けられます。
※注意: AD のドメインと DNS ドメイン (Route 53など) は別物
AD のドメインは「認証・認可の管理範囲」を示すもので、Route 53 などで管理する DNS ドメイン(インターネット上の名前解決)とは目的が異なります。
- DNS ドメイン(Route 53):インターネット上でのホスト名の名前解決 (example.com → IP アドレス)
- AD ドメイン:Windows 環境での認証・認可の管理単位(ユーザー・コンピューターの所属先)
ただし、AD は内部的に DNS を使ってドメインコントローラーを検索するため、AD 環境では DNS サーバーの構築が必須です。多くの場合、社内用のプライベート DNS (例: company.local) を AD 用に使用し、インターネット向けのパブリック DNS (例: example.com) とは分けて運用します。
ドメインコントローラー (Domain Controller: DC)
IAM サービス自体に相当するサーバーです。認証要求を処理し、ディレクトリデータベースを保持します。通常、冗長性のために複数のドメインコントローラーを配置します。
組織単位(Organizational Unit: OU)
AWS Organizations の OU と同じ概念です。部署やプロジェクトごとにユーザーやコンピューターをグループ化し、階層的に管理できます。
例: company.local (ドメイン) ├── 営業部 (OU) │ ├── 東京営業 (OU) │ └── 大阪営業 (OU) ├── 開発部 (OU) └── 管理部 (OU)
フォレスト (Forest) とツリー (Tree)
AWS Organizations で複数の AWS アカウントを管理するように、AD では複数のドメインをフォレストという単位でまとめて管理できます。
IAMとActive Directoryの違い
類似点が多い両者ですが、重要な違いもあります。
| 観点 | AWS IAM | Active Directory |
|---|---|---|
| 管理対象 | AWS リソースへのアクセス | Windows 環境全体(ユーザー、PC、サーバー等) |
| 認証方式 | アクセスキー、一時認証情報 | Kerberos、NTLM |
| 設定の適用 | IAM ポリシー | グループポリシー (GPO) でクライアント PC の設定も制御 |
| スコープ | AWS クラウド | オンプレミス・ハイブリッド環境 |
| 管理方式 | フルマネージド (AWSが管理) | 自己管理(またはAWS Managed Microsoft AD) |
特に大きな違いは、AD が「クライアント PC の設定まで制御できる」点です。IAM は AWS リソースへのアクセス制御に特化していますが、AD はユーザーのデスクトップ環境、パスワードポリシー、ソフトウェアのインストール制限など、エンドポイントの設定まで一元管理できます。
AWSとActive Directoryの統合
AWS では、オンプレミスの AD 環境と連携するための複数のサービスを提供しています。
AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD)
AWS が管理するフルマネージドな Active Directory です。IAM と同様、インフラの管理をAWSに任せて、ユーザー管理に集中できます。
利用シーン
- クラウド上で Windows 環境を構築し、AD が必要な場合
- オンプレミス AD との信頼関係を構築してハイブリッド環境を実現
AWS Directory Service AD Connector
オンプレミスの AD と AWS サービスを接続するプロキシです。IAM Identity Center と連携して、既存の AD ユーザーで AWS にログインできるようにします。
利用シーン
- 既存のオンプレミス AD を維持しながら AWS サービスを利用
- AD ユーザーで EC2 インスタンスにログイン
おわりに
今回は、AWS の IAM の概念を起点として、Active Directory の仕組みを整理してみました。
IAM と AD は「認証・認可を管理する」という点で共通していますが、IAM がクラウドリソースへのアクセス制御に特化しているのに対し、AD は Windows 環境全体を一元管理するという違いがあります。
ハイブリッドクラウド環境が増えている現在、AWS とオンプレミス AD を連携させるケースも多くなっています。AWS Managed Microsoft AD や AD Connector などのサービスを活用することで、既存の AD 環境を活かしながらクラウドへの移行を進めることができます。
この記事が、Active Directory の理解を深め、AWS との統合を検討する際の参考になれば幸いです。
山本 竜也 (記事一覧)
2025年度新入社員です!AWSについてはほぼ未経験なのでたくさんアウトプットできるよう頑張ります✨
