こんにちは。エンタープライズクラウド部の脇江です。
AWS上でOfficeを利用するライセンスプログラムとして提供されているSPLAが2025年9月30日で提供が終了となりますが、代替案の一つとしてOffice入りのAMIからEC2を構築し、ライセンスをLicense Managerで管理して使用する方法があります。
この構成を取るためには、ライセンスのユーザー管理にAWS Managed Microsoft AD(以降、MSAD)が必要となります。
今回はマルチアカウント環境で複数AWSアカウントで共有して使用しているMSADがある場合、その既存MSADを活用して構成することができるかを検証しました。
結論
MSADとEC2が異なるAWSアカウントに存在する環境でOfficeライセンスを管理することはできませんでした。
わかったこと
- MSADと同じAWSアカウントのLicense ManagerでMSADの関連付け設定、ライセンスのサブスクライブを行う必要がある
- License ManagerでMSADの関連付け設定、ライセンスのサブスクライブが行われたAWSアカウントでOffice利用のEC2を構築する必要がある
実現したかったこと
既存MSADを活用することで実現したかったことは以下となります。
- 新たにMSADを構築することによるコストや運用負荷を低減する
- MSADが存在するAWSアカウントではなく、Office利用のEC2が存在するAWSアカウントでライセンスを管理する
構成パターン
既存MSADを活用するために以下2つの構成で検証してみました。 それぞれ構成図を記載します。
前提
- EC2を構築するサブネットからMSADへの疎通が取れる
- EC2を構築するサブネットからMSADドメインの名前解決ができる
- EC2がLicense Manager用のVPCエンドポイントにTCP 1688で疎通ができる
構成①
既存MSADを使用して、License Managerの設定・ライセンスの管理をEC2のAWSアカウントで実施する想定の構成です。
構成②
既存MSADを利用して、License Managerの設定をMSADのAWSアカウントで実施し、ライセンスの管理をEC2のAWSアカウントで実施する想定の構成です。
Office利用EC2起動までのフロー
おさらいとしてOffice利用をするEC2を起動するまでのフローを以下に記載します。
- License Managerでユーザーベースのサブスクリプションを設定(MSADを関連付け)
- RDS SALおよびOfficeのライセンスをサブスクライブ
- Office入りAMIからEC2インスタンスを起動
- ユーザーをライセンスにサブスクライブし、インスタンスに関連付ける
検証
構成①
上記「Office利用EC2起動までのフロー」のNo.1の時点で失敗しました。
License Managerのユーザーベースのサブスクリプション設定画面でMSADの関連付けを行う必要があるのですが、プルダウンの選択肢として既存MSADが表示されません。
なお、MSADは別のAWSアカウントにディレクトリを共有することが可能ですが、License Managerでは共有ディレクトリがサポートされていません。
よって、MSADと同じAWSアカウントのLicense ManagerでMSADの関連付け設定を行う必要があるということがわかりました。
構成②
上記「Office利用EC2起動までのフロー」のNo.3の時点で失敗しました。
こちらの構成ではMSADと同じAWSアカウントにてLicense Managerの設定を行うため、構成①で引っ掛かった部分はクリアできました。
RDS SALおよびOfficeのライセンスをサブスクライブについても問題なく実施できます。
MSADの関連付け設定を実施することでMSADのアカウントにてVPCエンドポイントが作成されます。
Office利用EC2がライセンスアクティベーションサーバにアクセスするために「activation-license-manager.ap-northeast-1.amazonaws.com」の名前解決結果として、作成されたエンドポイントのプライベートIPアドレスが返ってくるようにRoute 53 プライベートホストゾーンのレコードを設定します。
準備が整ったので、いよいよOffice利用のEC2を構築していきます。
Office入りAMIからEC2を起動します。
EC2の起動は問題なく完了し、EC2を起動したAWSアカウントのLicense Managerにてインスタンスが検出されます。
しかし、ほどなくしてEC2は自動的にシャットダウンされ、インスタンスのステータスが終了済みとなってしまいます。
MSADのアカウントに存在するVPCエンドポイントへの通信経路を確保していましたが、Office入りAMIから起動したEC2はEC2のアカウントのLicense Managerで検出される結果となりました。
EC2のアカウントのLicense ManagerではOfficeライセンスのサブスクライブを行っていないため、要件を満たすことができず自動的に終了してしまうと考えられます。
おわりに
マルチアカウント環境で既にMSADを構築していて、それをOffice利用のEC2のライセンス管理にも活用したいという要望はあるかと思いますが残念ながら現時点では不可という結果になりました。
SPLAの提供期限まで残り2年を切っていますので、今後のアップデートに期待したいと思います。