オンプレの AD DS と AWS の Microsoft AD 間で片方向信頼関係を結ぶ

AWS の EC2 等のクラウド上のリソースをオンプレの AD アカウントで認証したいことはよくあります。

AWS では、VPN または Direct Connect でオンプレネットワークと AWS を相互接続できるので、EC2 の Windows インスタンスをオンプレのドメインメンバーにすれば目的は叶うのですが、EC2 インスタンスがインターネット上に公開しているサービスの場合、EC2 インスタンス経由で、オンプレドメインに侵入されるリスクも拭い切れません。

そのような場合、AWS の Microsoft AD を使って、オンプレドメインの片方向信頼関係を結ぶと、EC2 インスタンスではドメインアカウント認証を実現しつつ、EC2 インスタンスからドメインへの侵入を困難にすることができます。

想定環境

■ オンプレ環境

ドメイン名
corp.contoso.internal

ドメインコントローラー
192.168.0.1
192.168.0.2

■ AWS Microsoft AD 環境

ドメイン名
adtest.contoso.internal

DNS Address
172.31.12.165
172.31.26.28

AWS Microsoft AD の作成

AWS Microsoft AD はマネージドサービスではありますが、(2016/02/06現在)Windows Server 2012 R2 AD DS そのものを使ったサービスです。

マネージドサービスなので、RDP や、PowerShell リモーティング等での操作はできませんし、Domain Admins 等の管理権限はもらえず、利用者専用の admin が管理アカウントが発行されます。(OU 配下の管理権限しかない)
イベントログくらいは見せてくれてもいいと思うのですが、残念ながらイベントログも見ることはできません。

Microsoft AD の作成は簡単で、ドメイン名と admin のパスワード、作成する VPC とサブネットを指定するだけです。

手順は簡単ですが、裏で2インスタンスの AD DS を作っているので、完了まで30分程度かかります。

出来上がったら、セキュリティグループ設定のキーワードになる Directory ID とオンプレドメインコントローラーで信頼関係設定に必要な DNS Address を控えておきます。

セキュリティグループ設定

Microsoft AD を作成すると、Microsoft AD 用のセキュリティグループが自動生成されます。(説明に Directory ID が書かれている)
(この存在がわからなくてさんざん悩んだのはナイショです w)

このセキュリティグループにオンプレドメインコントローラーとの通信を許可するフィルターを追加します。

■ インバウントフィルターの追加

インバウンドルールーにオンプレドメインコントローラーの IP アドレスを追加します。

プロトコルも絞りたい場合は、以下のプロトコルを許可します。

プロトコル	ポート	方向 (MSAD : ADDS)
DNS	UDP/53	←→
DNS	TCP/53	←→
LDAP	UDP/389	→
LDAP	TCP/389	→
SMB	TCP/445	←→
AD DS Web Services	TCP/9389	→
RPC	TCP/135	→
RPC	TCP/49152 - 65535	→
ICMP	ping	←→