AWS Managed Microsoft AD を共有する(Transit Gateway 編)

記事タイトルとURLをコピーする

こんにちは。技術課の山本です。
秋も終わり、冬の澄んだ空気になってきましたね。

背景

Amazon RDS for SQL Server で SQL Server Reporting Services (SSRS) を有効にする方法について、検討していました。
「オンプレADの認証情報を使って、SSRS を利用したい」という要件です。
要件を満たすために、以下のブログが参考になります。

Amazon RDS for SQL ServerでSSRSを使用する - サーバーワークスエンジニアブログ

少し引っかかる点として、SSRS を有効にする前提条件として、公式ドキュメントに以下の記載があります。

インスタンスは、SSRS ウェブポータルおよびウェブサーバー認証に AWS Managed Microsoft AD を使用する必要があります。
Amazon RDS for SQL Server での SQL Server Reporting Services のサポート - Amazon Relational Database Service

「AD認証のために、Amazon RDS for SQL ServerがオンプレADと通信が取れれば良い」のではなく「AWS Managed Microsoft AD が必要」なのですね。 参りました。
要件を満たすためには、AWS Managed Microsoft AD を作成し、オンプレミスのADと片方向の信頼関係を結ぶ必要があります。
他のAWS アカウントで SSRS を有効にするときにも、毎回、AWS Managed Microsoft AD を作成し、信頼関係を結ぶのは、利用料金や運用の観点で良くないです。 そこで、AWS Managed Microsoft AD の共有機能をうまく使えないか、を検討してみました。

AWS Managed Microsoft AD を共有するための前提条件

ドキュメントには以下のような絵があります。 VPC Peering を使っているあたり、少し古いですね。

docs.aws.amazon.com

共有するための前提条件は以下のようです。

  1. AWS Managed Microsoft AD と 共有先AWSアカウントのリソースが、ネットワーク接続可能なこと

共有する手順は以下のようです。簡単ですね。

  1. AWS Managed Microsoft AD の所有者が、共有先のAWSアカウントを入力して、[共有]ボタンを押す。
  2. AWS Managed Microsoft AD の共有先AWSアカウントで、[承諾]ボタンを押す。

Organizaitons 環境の場合、2は不要です。

AWS Managed Microsoft AD を共有する(Transit Gateway 編)

Transit Gateway で使いたかったので、絵を描き直してSSRSの要件である信頼関係も入れると以下のようになりました。
必要な部分を参考にしてもらえたら、と思います。
サービス共有用のAWSアカウントに VPC を作成し、そこにAWS Managed Microsoft AD を作成しています。
このAWS Managed Microsoft AD を各 AWS アカウントに共有します。
各サービス用AWSアカウントからAWS Managed Microsoft ADへのネットワーク接続を、Transit Gateway で実現しています。

補足:Transit Gateway のルーティング仕様は以下のように覚えると通信を追えます。

  1. VPC内やオンプレミスのノードから Attachment に通信がきた場合は、Attachment に対応する Transit Gateway ルートテーブル を参照する
  2. Transit Gateway ルートテーブルから Attachment に通信がきた場合は、Attachment の所属するサブネットやDirect Connect Gateway のルートテーブル を参照する

書ききれなかったのですが、AWS Managed Microsoft ADのあるサブネットのルートテーブルは以下になります。

宛先 ターゲット
データセンター Transit Gateway Attachment AD用
サービスA Transit Gateway Attachment AD用
サービスB Transit Gateway Attachment AD用

共有の料金

以下を目安に、共有する方が良いか、決めると良さそうです。

  • Standard Edition : 1アカウント追加あたり、0.0219USD / hour
  • Enterprise Edition:1アカウント追加あたり、0.06675USD / hour

料金 - AWS Directory Service | AWS

AWS Managed Microsoft AD の作成

共有を検証した際の手順を簡単に画像で残しておきます。

共有の作成

選んで[共有]ボタンを押す

共有されたことの確認

Organizations 環境の場合は「承認」プロセスが不要です。(Organizations 環境でない場合は承認が必要です。)

他は、冒頭に紹介したブログを参考に SSRS を有効化できました。

まとめ

AWS Managed Microsoft AD を共有してみました。

山本 哲也 (記事一覧)

カスタマーサクセス部のエンジニア(一応)

好きなサービス:ECS、ALB

趣味:トレラン、登山(たまに)