翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # 共有 AWS License Manager を使用してクロスアカウントの使用を開始する AWS Managed Microsoft AD AWS License Manager は、共有 を使用したクロスアカウント機能をサポートしているため AWS Managed Microsoft AD、組織は複数のアカウントにインスタンスをデプロイしながら、ディレクトリ所有者アカウントからのユーザーサブスクリプションを一元管理できます。 ## 用語 + **ディレクトリ所有者アカウント** - マネージド AD が存在し、サブスクリプションの管理も担当するライセンス管理者アカウント。 + **ディレクトリコンシューマーアカウント** - 共有 AD を使用してユーザーサブスクリプションインスタンスを起動する AWS アカウント。 ## 前提条件 開始する前に、以下があることを確認してください。 + AWS Managed Microsoft AD ディレクトリ所有者アカウントの - サブスクリプションを制御するディレクトリ所有者アカウント/ライセンス管理者アカウントにセットアップします。 + ディレクトリ所有者アカウントとすべてのディレクトリコンシューマーアカウント間のネットワーク接続。 + 必要な IAM アクセス許可 - [ユーザーベースのサブスクリプション IAM ロール](https://docs.aws.amazon.com/license-manager/latest/userguide/user-based-subscription-role.html)を参照してください。 + ディレクトリ所有者アカウントの AWS Marketplace で必要な License Manager 製品のサブスクリプション: + [Visual Studio Professional 2022](https://aws.amazon.com/Marketplace/pp/prodview-zo3zltrbpgr5i) + [Visual Studio Enterprise 2022](https://aws.amazon.com/Marketplace/pp/prodview-dzstlnjdl3izg) + [Office LTSC プロフェッショナルプラス](https://aws.amazon.com/Marketplace/pp/prodview-bh46d5p2hapns) + [Office LTSC 標準](https://aws.amazon.com/Marketplace/pp/prodview-4riznyn4eqlbw) ## 制限事項 + ユーザーサブスクリプションの管理は、ディレクトリ所有者アカウントに制限されています。 + クロスリージョン共有はサポートされていません。 + ディレクトリ所有者アカウントによる一括請求 - すべてのサブスクリプションコストはディレクトリ所有者アカウントに請求されますが、サブスクリプションは複数のアカウントに存在する可能性があります。 + アカウント間のネットワーク接続が必要です。 ## ネットワークアーキテクチャ ![所有者アカウントとコンシューマーアカウント間の AWS Managed Microsoft AD 共有を示すアーキテクチャ図。](http://docs.aws.amazon.com/ja_jp/license-manager/latest/userguide/images/cross-account.png) ## クロスアカウント License Manager 機能を設定する方法 クロスアカウント License Manager 機能を設定するには: 1. ディレクトリ所有者アカウント/ライセンス管理者アカウントを設定します。 1. ディレクトリコンシューマーアカウントを設定します。 1. ネットワーク接続を確立します。 1. インスタンスをデプロイし、ユーザーの関連付けを管理します。 ### ステップ 1: ディレクトリ所有者/ライセンス管理者アカウントを設定する #### を作成して共有する AWS Managed Microsoft AD 1. 存在しない場合は、VPC AWS Managed Microsoft AD に を作成します。 1. ディレクトリの共有で説明されているように、ディレクトリをディレクトリコンシューマーアカウントと共有[します](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_sharing.html)。 1. ディレクトリが必要なユーザーとグループで正しく設定されていることを確認します。 #### 製品をサブスクライブする 1. に移動します AWS Marketplace。 1. 必要な製品、Visual Studio または Office と RDS SAL を見つけてサブスクライブします。 1. License Manager **Create Grants** を使用して、Visual Studio または Office サブスクリプションをディレクトリコンシューマーアカウントと共有します。または、請求には影響しないため、これらのアカウントの AWS Marketplace 製品をサブスクライブすることもできます。[「付与されたライセンス](https://docs.aws.amazon.com/license-manager/latest/userguide/granted-licenses.html)」を参照してください。 1. サブスクリプションステータスがアクティブであることを確認します。 #### License Manager に登録する 1. License Manager コンソールを開きます。 1. **ユーザーベースのサブスクリプション設定**に移動します。 1. **ID プロバイダーの登録**を選択します。 1. を選択します AWS Managed Microsoft AD。 1. 登録プロセスを完了します。 ### ステップ 2: ディレクトリコンシューマーアカウントを設定する - 共有 AD を持つアカウント #### 共有ディレクトリを受け入れる 1. AWS Directory Service コンソールを開きます。 1. **共有ディレクトリ**に移動します。 1. 共有ディレクトリの招待を見つけて受け入れます。 1. アカウントに割り当てられた新しいディレクトリ ID を書き留めます。 #### MP サブスクリプションを受け入れる License Manager **Grants** では、 AWS Marketplace 製品の許可を受け入れます。または、製品をサブスクライブします AWS Marketplace 。詳細については、[CreateGrant API](https://docs.aws.amazon.com/license-manager/latest/APIReference/API_CreateGrant.html) を参照してください)。 #### License Manager に登録する 1. License Manager コンソールを開きます。 1. **ユーザーベースのサブスクリプション**に移動し、製品を選択します。 1. 共有ディレクトリ ID と製品を使用して登録します。 1. 登録ステータスを確認します。 ### ステップ 3: VPCs間のネットワーク接続を確立する Amazon EC2 インスタンスをディレクトリにドメイン結合するには、VPCs 間のネットワーク接続を確立する必要があります。2 つの VPCs 間のネットワーク接続を確立するには、いくつかのオプションがあります。このセクションでは、Amazon VPC ピアリングを使用する方法について説明します。 #### VPC ピアリング接続のセットアップ 1. ディレクトリ所有者 [VPC-0 とディレクトリコンシューマー VPC-1 の間に 1 つの VPC ピアリング接続](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html#create-vpc-peering-connection-remote)を作成し、ディレクトリ所有者 VPC-0 とディレクトリコンシューマー VPC-2 の間に別の接続を作成します。 VPC-0 VPC-1 1. [VPCs ピアリング接続を指す VPC ルートテーブルにルートを追加して、ピアリング接続内の他の VPC にトラフィックをルーティング](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html#route-tables-vpc-peering)することで、ピア接続された VPC 間のトラフィックルーティングを有効にします。 1. ディレクトリ所有者 VPC-0 とのピアリング接続を追加して、各ディレクトリコンシューマー VPC ルートテーブルを設定します。必要に応じて、インターネットゲートウェイを作成してディレクトリコンシューマー VPCsにアタッチすることもできます。これにより、ディレクトリコンシューマー VPCsのインスタンスは、ドメイン結合を実行する Amazon EC2 Systems Manager エージェントと通信できるようになります。 #### セキュリティグループの設定 アウトバウンドルールテーブルに[AWS Managed Microsoft AD プロトコルとポート](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_prereqs.html)を追加して、アウトバウンドトラフィックを有効にするようにディレクトリコンシューマー VPCs [のセキュリティグループ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)を設定します。また、ディレクトリドメインコントローラー VPCs のセキュリティグループを設定して、インバウンドルールテーブルに AWS Managed Microsoft AD プロトコルとポートを追加してインバウンドトラフィックを有効にし、ディレクトリコンシューマーアカウントからのトラフィックを許可します。 ##### セキュリティグループの要件 **コンシューマーアカウント VPCs:** + ディレクトリ所有者 VPC へのアウトバウンドトラフィックを有効にする + 必要な AD ポートでの通信を許可する **ディレクトリ所有者 VPC:** + コンシューマー VPCs からのインバウンドトラフィックを設定する + 以下を含む必要な AWS Managed Microsoft AD プロトコルとポートを追加します。 + TCP 53 (DNS) + UDP 53 (DNS) + TCP 88 (Kerberos) + UDP 88 (Kerberos) + TCP 135 (RPC) + TCP 389 (LDAP) + UDP 389 (LDAP) + TCP 445 (SMB) + TCP 464 (Kerberos パスワード) + UDP 464 (Kerberos パスワード) + TCP 636 (LDAPS) + TCP 9389 (Active Directory Web Services) + TCP 3268-3269 (グローバルカタログ) + TCP 1024-65535 (動的 RPC) Active Directory PowerShell モジュールやその他の管理ツールがドメインコントローラーと通信するために使用する Active Directory Web Services (ADWS) には、ポート 9389 が必要です。 ### ステップ 4: インスタンスをデプロイし、ユーザー関連付けを管理する #### ユーザーをサブスクライブする (ディレクトリ所有者アカウントのみ) 1. License Manager コンソールを開きます。 1. **ユーザーベースのサブスクリプション**に移動します。 1. **サブスクライブユーザー**を選択する 1. AWS Managed Microsoft AD ユーザー識別子を入力する 1. 製品を選択し、サブスクリプションを確認します。 #### インスタンスの起動 任意のアカウントでこのステップを実行します。 1. Amazon EC2 コンソールに移動します。 1. [**インスタンスの作成**] を選択してください。 1. 適切な License Manager AMI を選択します。 1. ネットワーク設定を構成します。 1. を確認して起動します。 #### ユーザーをインスタンスに関連付ける インスタンスが存在する任意のアカウントでこのステップを実行します。 1. License Manager コンソールを開きます。 1. **ユーザー関連付け**に移動します。 1. ターゲットインスタンスを選択します。 1. **ユーザーの関連付け**を選択します。 1. AWS Managed Microsoft AD ユーザー名を入力します。 1. 関連付けを確認します。 ## トラブルシューティング 一般的な問題と解決策: ### ドメイン結合の失敗 1. アカウント間のネットワーク接続を確認します。 1. セキュリティグループの設定を確認します。 1. DNS 解決が機能していることを確認します。 1. ルートテーブルエントリを検証します。 ### ユーザーサブスクリプションの問題 1. ユーザーが存在することを確認します AWS Managed Microsoft AD。 1. ディレクトリ所有者アカウントのサブスクリプションステータスを確認します。 1. ネットワーク接続を確認します。 1. エラーログを確認します。 ### ネットワーク接続の問題 1. VPC ピアリング接続ステータスをテストします。 1. ルートテーブルの設定を確認します。 1. セキュリティグループルールを確認します。 1. DNS 解決を確認します。 ### DNS 解決に問題がある 1. DHCP オプションセットを確認します。 1. DNS サーバー設定を確認します。 1. コンシューマーインスタンスからのテスト名解決。 ## その他のリソース + [AWS License Manager ユーザーガイド](https://docs.aws.amazon.com/license-manager/latest/userguide/user-based-subscriptions.html) + [AWS Directory Service ドキュメント](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) + [ディレクトリの共有](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_sharing.html) + [Amazon EC2 インスタンスを複数のアカウントと VPC の AWS Managed Microsoft AD ディレクトリにドメイン結合する方法 VPCs](https://aws.amazon.com/blogs/security/how-to-domain-join-amazon-ec2-instances-aws-managed-microsoft-ad-directory-multiple-accounts-vpcs/) + [付与されたライセンス](https://docs.aws.amazon.com/license-manager/latest/userguide/granted-licenses.html)