翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Private CA Connector for Active Directory の使用を開始する
AWS Private CA Connector for Active Directory を使用すると、認証と暗号化のためにプライベート CA から Active Directory オブジェクトに証明書を発行できます。コネクタを作成すると、 AWS Private Certificate Authority はディレクトリオブジェクトが証明書をリクエストするためのエンドポイントを VPC に作成します。
証明書を発行するには、コネクタと、そのコネクタの AD 互換テンプレートを作成します。テンプレートを作成すると、AD グループの登録許可を設定できます。
**Topics**
+ [始める前に](#connector-for-ad-before-you-begin)
+ [ステップ 1: コネクタを作成する](#connector-for-ad-getting-started-step1)
+ [ステップ 2: Microsoft Active Directory ポリシーを設定する](#connector-for-ad-getting-started-step2)
+ [ステップ 3: テンプレートを作成する](#connector-for-ad-getting-started-step3)
+ [ステップ 4: Microsoft グループのアクセス許可を設定する](#connector-for-ad-getting-started-step4)
## 始める前に
次のチュートリアルでは、AD 用のコネクタとコネクタテンプレートを作成するプロセスについて説明します。このチュートリアルに従うには、まず セクションに記載されている前提条件を満たす必要があります。
## ステップ 1: コネクタを作成する
コネクタを作成するには、「」を参照してください[Active Directory 用のコネクタの作成](create-connector-for-ad.md)。
## ステップ 2: Microsoft Active Directory ポリシーを設定する
Connector for AD は、お客様のグループポリシーオブジェクト (GPO) 設定を表示または管理できません。GPO は、AD リクエストのカスタマーへのルーティング AWS Private CA 、または他の認証サーバーや証明書供給サーバーへのルーティングを制御します。GPO 設定が無効な場合、リクエストが正しくルーティングされない可能性があります。Connector for AD 設定を構成してテストするのはお客様次第です。
グループポリシーはコネクタに関連付けられており、1 つの AD に対して複数のコネクタを作成することもできます。グループポリシー設定が異なる場合、各コネクタへのアクセス制御を管理するのはユーザー次第です。
データプレーン呼び出しのセキュリティは、Kerberos および VPC 設定によって異なります。VPC にアクセスできる人なら誰でも、対応する AD に対して認証されている限り、データプレーン呼び出しを行うことができます。これは AWSAuth の境界外にあり、認可と認証の管理はお客様次第です。
を使用する場合は AWS Managed Microsoft AD、 コマンドを使用して Directory Service **enable-ca-enrollment-policy**、 AWS Managed Microsoft AD インスタンスのドメインコントローラーで GPOs を設定します。
次のコマンドは、ドメインコントローラーの登録を有効にします。
```
$ aws ds enable-ca-enrollment-policy \
--pca-connector-arn {{MyPcaConnectorAdArn}} \
--directory-id {{MyDirectoryId}}
```
AD Connector を使用する場合は、次の手順を使用して、コネクタの作成時に生成された URI を指す GPO を作成します。このステップは、Connector for AD をコンソールまたはコマンドラインから使用するのに必要です。
GPO を設定する
1. DC で**サーバーマネージャー**を開きます。
1. **[ツール]** に移動し、コンソールの右上隅にある **[グループポリシー管理]** を選択します。
1. **[フォレスト] > [ドメイン]** に移動します。ドメイン名を選択し、ドメインを右クリックします。「このドメインに GPO を作成してここにリンクする」を選択し、名前に `PCA GPO` を入力します。
1. これで、新しく作成した GPO がドメイン名の下に表示されます。
1. 「**PCA GPO**」を選択し、「**編集**」を選択します。ダイアログボックスが開き、「This is a link and that changes will be globally propagated (これはリンクであり、変更は全体に適用されます)」という警告メッセージが表示されたら、メッセージを了承して続行します。**グループポリシー管理エディタ**が開きます。
1. 「**グループポリシー管理エディタ**」で、**[コンピュータの設定] > [ポリシー] > [Windows 設定] > [セキュリティ設定] > [パブリックキーポリシー] (フォルダを選択)** に移動します。
1. **[オブジェクトタイプ]** に移動し、**[証明書サービスクライアント - 証明書登録ポリシー]** を選択します。
1. オプションで、**[設定モデル]** を **[有効]** に変更します。
1. **[Active Directory 登録ポリシー]** が **オン** で、**[有効]** になっていることを確認します。**[Add]** (追加) を選択します。
1. **証明書登録ポリシーサーバー** ウィンドウが開くはずです。
1. コネクタを作成したときに生成された証明書登録ポリシーサーバーエンドポイントを **[登録サーバーポリシー URI を入力]** フィールドに入力します。
1. **[認証タイプ]** は **[Windows 統合]** のままにします。
1. **[検証]** を選択します。検証が成功したら、**[追加]** を選択します。ダイアログボックスが閉じます。
1. **[証明書サービスクライアント - 証明書登録ポリシー]** に戻り、新しく作成したコネクタの横にあるチェックボックスをオンにして、コネクタをデフォルトの登録ポリシーにします。
1. 「**Active Directory 登録ポリシー**」を選択し、「**削除**」を選択します。
1. 確認ダイアログボックスで **[はい]** を選択して LDAP ベースの認証を削除します。
1. **[証明書サービスクライアント] > [証明書登録ポリシー]** ウィンドウで **[適用]** と **[OK]** を選択し、閉じます。
1. **[パブリックキーポリシー]** フォルダに移動し、**[証明書サービスクライアント - 自動登録]** を選択します。
1. **[設定モデル]** オプションを **[有効]** に変更します。
1. **[期限切れの証明書を更新する]** と **[証明書を更新する]** の両方がオンになっていることを確認します。他の設定はそのままにします。
1. **適用**、**OK** を選択し、ダイアログボックスを閉じます。
次に、ユーザー設定用のパブリックキーポリシーを設定します。**[ユーザー設定] > [ポリシー] > [Windows 設定] > [セキュリティ設定] > [パブリックキーポリシー]** に移動します。ステップ 6 からステップ 21 までの手順に従って、ユーザー設定用のパブリックキーポリシーを設定します。
GPOs とパブリックキーポリシーの設定が完了すると、ドメイン内のオブジェクトは AWS Private CA Connector for AD に証明書をリクエストし、 によって発行された証明書を取得します AWS Private CA。
## ステップ 3: テンプレートを作成する
テンプレートを作成するには、「」を参照してください[コネクタテンプレートを作成する](create-ad-template.md)。
## ステップ 4: Microsoft グループのアクセス許可を設定する
Microsoft グループのアクセス許可を設定するには、「」を参照してください[Connector for AD テンプレートのアクセスコントロールエントリを管理する](ad-groups-permissions.md)。