こんにちは、石川です。
AWS WorkSpacesでディレクトリを選ぶとき、まず気になりやすいのは「認証に使えるかどうか」だと思います。
ただ、実際に運用が始まると、それ以上に重要になるのがユーザ追加・削除をどう管理するかです。
今回は、Simple ADはWorkSpacesの認証先としては使えても、PowerShell前提の運用には向きにくいという点を整理します。
というのも、先日SimpleADでディレクトリを作成して、PowerShellで運用したところ失敗したため調査したという背景があります。
結論
先に結論を書くと、WorkSpacesのユーザ管理をPowerShellで回したいなら、Simple ADは第一候補になりにくいです。
理由はシンプルで、Simple ADはSamba4ベースのActive Directory互換ディレクトリであり、PowerShellをサポートしないためです。
そのため、PowerShellでユーザ削除や定期運用をしたい場合は、AWS Managed Microsoft ADか、既存のMicrosoft Active Directoryを使う構成を前提にしたほうがよいです。
既存ADを使う場合、AD ConnectorはオンプレミスのMicrosoft Active Directoryにディレクトリ要求を中継する方式です。
なぜSimple ADで詰まりやすいのかなぜSimple ADで詰まりやすいのか
WorkSpacesでは、ユーザ管理の多くをWorkSpacesコンソールだけで完結できません。
AWS公式でも、ユーザやグループの追加・削除はディレクトリ側で行うと案内されています。
また、ユーザ削除はWorkSpacesコンソールからはできないとも明記されています。
ここでSimple ADを使っていると、PowerShellでまとめて処理したい場面で困りやすくなります。
実際、Simple ADのユーザ削除手順としてAWS公式が案内しているのは、EC2上の管理端末からActive Directory Users and Computersを開き、GUIで削除する方法です。
つまり、少なくとも公式の案内ベースでは、Simple ADはPowerShellでのユーザ削除運用を前提にした作りではありません。
PowerShellで運用したいなら何を選ぶべきか
PowerShell運用を重視するなら、まず候補になるのはAWS Managed Microsoft ADです。
AWS公式では、Managed Microsoft ADのユーザ管理はAWS Management Console、AWS CLI、AWS Tools for PowerShellで実行できると案内されており、ユーザ削除についてもRemove-DSDUserが明示されています。
もう一つの選択肢は、既存のMicrosoft Active DirectoryをAD Connector経由でWorkSpacesと連携する構成です。
WorkSpacesの管理ガイドでも、AD Connectorやtrust relationshipを使う場合は、Active Directory moduleでユーザやグループを管理できると説明されています。
まとめ
Simple ADは、WorkSpacesを使うためのシンプルなディレクトリとしては便利です。
実際に検証用でさくっと利用したい場合や単なる認証に必要な場合は、わたしもこちらを利用しています。
ただし、PowerShellでユーザ削除や運用自動化を進めたいという要件があるなら、相性はあまりよくありません。Simple ADはSamba 4ベースで、AWS公式でもPowerShell非対応です。
そのため、PowerShellで操作したいなら、AWS Managed Microsoft ADか、既存のMicrosoft Active Directoryを使う構成を選ぶ、というのが結論です。
WorkSpacesのディレクトリ選定では、認証できるかだけでなく、その後の運用方法まで含めて考えることが大切だと思います。