Prácticas recomendadas para trabajar con Oracle - FSx para ONTAP
Delegar permisos a tu cuenta de FSx servicio de AmazonMantenga actualizada la configuración de ADLimitar el tráfico dentro de una VPC con grupos de seguridadCreación de reglas de grupos de seguridad de salidaAlmacenar las credenciales de Active Directory mediante AWS Secrets Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas para trabajar con Oracle

Estas son algunas sugerencias y pautas que debe tener en cuenta al incorporar Amazon FSx for NetApp ONTAP SVMs a su Microsoft Active Directory autogestionado. Tenga en cuenta que se recomiendan como prácticas recomendadas, pero no son obligatorias.

Delegar permisos a tu cuenta de FSx servicio de Amazon

Asegúrese de configurar la cuenta de servicio que proporciona a Amazon FSx con los permisos mínimos necesarios. Además, separe la unidad organizativa (OU) de otras cuestiones relacionadas con el controlador de dominio.

Para unir Amazon FSx SVMs a tu dominio, asegúrate de que la cuenta de servicio tenga permisos delegados. Los miembros del grupo de Administradores de dominio tienen permisos suficientes para realizar esta tarea. Sin embargo, como práctica recomendada, utilice una cuenta de servicio que solo tenga los permisos mínimos necesarios para hacerlo. El siguiente procedimiento muestra cómo delegar únicamente los permisos necesarios FSx para unir ONTAP SVMs a su dominio.

Realice este procedimiento en un equipo que esté unido a su directorio y que tenga instalado el complemento MMC Usuarios y equipos de Active Directory.

Cómo crear una cuenta de servicio para el dominio de Microsoft Active Directory

  1. Procure haber iniciado sesión como administrador de dominio del dominio del Microsoft Active Directory.

  2. Abra el complemento MMC Usuarios y equipos del Active Directory.

  3. En el panel de tareas, expanda el nodo del dominio.

  4. Busque y abra el menú contextual (botón derecho) de la unidad organizativa que quiera modificar y, a continuación, elija Delegate Control (Delegar control).

  5. En la página Delegation of Control Wizard (Asistente de delegación de control), elija Next (Siguiente).

  6. Elija Add (Agregar) para agregar un usuario específico o un grupo específico para los usuarios y grupos seleccionados y, a continuación, elija Next (Siguiente).

  7. En la página Tareas que se delegarán, elija Crear una tarea personalizada para delegar y luego elija Siguiente.

  8. Elija Only the following objects in the folder (Sólo los siguientes objetos en la carpeta) y, a continuación, seleccione Computer objects (Objetos de equipo).

  9. Elija Create selected objects in this folder (Crear los objetos seleccionados en esta carpeta) y Delete selected objects in this folder (Eliminar los objetos seleccionados en esta carpeta). A continuación, elija Siguiente.

  10. En Mostrar estos permisos, procure seleccionar General y Específico de propiedad.

  11. Para los Permisos, elija lo siguiente:

    • Restablecer contraseña

    • Leer y escribir las restricciones de la cuenta

    • Escritura validada en el nombre de host DNS

    • Escritura validada en el nombre de entidad principal del servicio

    • Escribe MSDs- SupportedEncryptionTypes

  12. Elija Siguiente y, a continuación, elija Finalizar.

  13. Cierre el complemento MMC Usuarios y equipos del Active Directory.

importante

No muevas los objetos de ordenador que Amazon FSx cree en la unidad organizativa una vez creados SVMs los tuyos. Si lo hace, se configurará mal. SVMs

Mantener la configuración de Active Directory actualizada con Amazon FSx

Para una disponibilidad ininterrumpida de su Amazon FSx SVMs, actualice la configuración de Active Directory (AD) autogestionada de una SVM cuando cambie la configuración de AD autogestionada.

Por ejemplo, suponga que su AD utiliza una política de restablecimiento de contraseñas basada en el tiempo. En este caso, tan pronto como se restablezca la contraseña, asegúrate de actualizar la contraseña de la cuenta de servicio con Amazon FSx. Para ello, utilice la FSx consola de Amazon, la FSx API de Amazon o AWS CLI. Del mismo modo, si las direcciones IP del servidor DNS cambian para su dominio de Active Directory, tan pronto como se produzca el cambio, actualice las direcciones IP del servidor DNS con Amazon FSx.

Si hay un problema con la configuración AD autogestionada actualizada, el estado SVM cambia a Misconfigured (Desconfigurado). Este estado muestra un mensaje de error y una acción recomendada junto a la descripción de la SVM en la consola, la API y la CLI. Si se produce un problema con la configuración de AD de su SVM, asegúrese de tomar las medidas correctivas recomendadas para las propiedades de configuración. Si el problema se ha resuelto, compruebe que el estado de su SVM cambie a Created (Creado).

Para obtener más información, consulte Actualización de las configuraciones de SVM Active Directory existentes mediante la Consola de administración de AWS API AWS CLI, y y Modificar una configuración de Active Directory mediante la CLI de ONTAP.

Uso de grupos de seguridad para limitar el tráfico dentro de la VPC

Para limitar el tráfico de red en la nube privada virtual (VPC), puede implementar el principio del privilegio mínimo en la VPC. En otras palabras, puedes limitar los permisos al mínimo necesario. Para ello, utilice las reglas de los grupos de seguridad. Para obtener más información, consulte Grupos de seguridad de Amazon VPC.

Crear reglas de grupos de seguridad salientes para la interfaz de red del sistema de archivos

Para mayor seguridad, considere la posibilidad de configurar un grupo de seguridad con reglas de tráfico saliente. Estas reglas deben permitir el tráfico saliente sólo a sus controladores de dominios AD autogestionados o dentro de la subred o grupo de seguridad. Aplique este grupo de seguridad a la VPC asociada a la interfaz de red elástica de su sistema de FSx archivos de Amazon. Para obtener más información, consulte Control de acceso al sistema de archivos con Amazon VPC.

Almacenar las credenciales de Active Directory mediante AWS Secrets Manager

Puede usarlo AWS Secrets Manager para almacenar y administrar de forma segura las credenciales de su cuenta de servicio de unión a dominios de Microsoft Active Directory. Este enfoque elimina la necesidad de almacenar las credenciales confidenciales en texto plano en el código de la aplicación o en los archivos de configuración, lo que refuerza su postura de seguridad.

También puede configurar políticas de IAM para administrar el acceso a sus datos secretos y establecer políticas de rotación automática para sus contraseñas.

Paso 1: crear una clave de KMS

Cree una clave de KMS para cifrar y descifrar las credenciales de Active Directory en Secrets Manager.

Creación de una clave
nota

Para la clave de cifrado, cree una clave nueva, no utilice la clave KMS AWS predeterminada. Asegúrese de crearla AWS KMS key en la misma región que contiene la SVM que desea unir a su Active Directory.

  1. Abra la AWS KMS consola en /kms. https://console.aws.amazon.com

  2. Elija Crear clave.

  3. En Tipo de clave, elija Simétrica.

  4. Para Uso de claves, elija Cifrar y descifrar.

  5. En Opciones avanzadas, realice lo siguiente:

    1. En Origen del material de claves, elija Externo.

    2. Para Regionalidad, elija Clave de región única y seleccione Siguiente.

  6. Elija Siguiente.

  7. Para Alias, proporcione un nombre para la clave de KMS.

  8. (Opcional) En Description, proporcione una descripción de la clave de KMS.

  9. (Opcional) En Etiquetas, introduzca una etiqueta para la clave de KMS y seleccione Siguiente.

  10. (Opcional) Para los Administradores de claves, indique los usuarios y roles de IAM autorizados para administrar esta clave.

  11. En Eliminación de la clave, mantenga seleccionada la casilla Permitir que los administradores de claves eliminen esta clave y seleccione Siguiente.

  12. (Opcional) En el caso de los Usuarios clave, indique los usuarios y roles de IAM autorizados a utilizar esta clave en las operaciones criptográficas. Elija Siguiente.

  13. En Política clave, selecciona Editar e incluye lo siguiente en la declaración de política para permitir que Amazon FSx utilice la clave KMS y selecciona Siguiente. Asegúrese de sustituir el nombre por el us-west-2 Región de AWS lugar donde está desplegado el sistema de archivos y 123456789012 por su Cuenta de AWS ID.

    {
    "Sid": "Allow FSx to use the KMS key",
    "Version": "2012-10-17", 		 	 	 
    "Effect": "Allow",
    "Principal": {
        "Service": "fsx.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
    ],
    "Resource": "arn:aws:kms:us-west-2:123456789012:key:*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*",
            "kms:ViaService": "secretsmanager.us-west-2.amazonaws.com",
            "aws:SourceAccount": "123456789012"
        },
        "ArnLike": {
            "aws:SourceArn": [
                "arn:aws:fsx:us-west-2:123456789012:file-system/*",
                "arn:aws:fsx:us-west-2:123456789012:storage-virtual-machine/fs-*/svm-*"
            ]
        }
    }
}

  14. Seleccione Finalizar.

nota

Puede establecer un control de acceso más detallado modificando los campos Resource y aws:SourceArn para que se dirijan a secretos y sistemas de archivos específicos.

Paso 2: Crea un AWS Secrets Manager secreto

Creación de un secreto

  1. Abra la consola de Secrets Manager en https://console.aws.amazon.com/secretsmanager/.

  2. Elija Almacenar un secreto nuevo.

  3. En Secret type (Tipo de secreto), elija Other type of secret (Otro tipo de secreto).

  4. En los Pares clave/valor, haga lo siguiente para añadir sus dos claves:

    1. Para la primera clave, introduzca CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME.

    2. Para el valor de la primera clave, ingrese solo el nombre de usuario (sin el prefijo de dominio) del usuario de AD.

    3. Para la segunda clave, introduzca CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD.

    4. Para el valor de la segunda clave, introduzca la contraseña que creó para el usuario de AD en su dominio.

  5. Para la Clave de cifrado, introduzca el ARN del KMS que creó en el paso anterior y haga clic en Siguiente.

  6. En Nombre de secreto, introduzca un nombre descriptivo que le ayude a buscar el secreto más adelante.

  7. (Opcional) En Descripción, escriba una descripción del nombre del secreto.

  8. En Permisos de recursos, seleccione Editar.

    Añade la siguiente política a la política de permisos para permitir que Amazon utilice el secreto y, FSx a continuación, selecciona Siguiente. Asegúrate de sustituir el nombre por el Región de AWS lugar en el us-west-2 que está desplegado el sistema de archivos y 123456789012 por tu Cuenta de AWS ID.

    {
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "fsx.amazonaws.com"
            },
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:fsx:us-west-2:123456789012:file-system/*",
                        "arn:aws:fsx:us-west-2:123456789012:storage-virtual-machine/fs-*/svm-*"
                    ]
                }
            }
        }
    ]
}

  9. (Opcional) Puede configurar Secrets Manager para que rote sus credenciales automáticamente. Elija Siguiente.

  10. Seleccione Finalizar.

Paso 1: crear una clave de KMS

Cree una clave de KMS para cifrar y descifrar las credenciales de Active Directory en Secrets Manager.

Para crear una clave KMS, utilice el AWS CLI comando create-key.

En este comando, defina el parámetro --policy para especificar la política de claves que define los permisos para la clave de KMS. La política debe incluir lo siguiente:

  • El principal de servicio de Amazon FSx, que esfsx.amazonaws.com.

  • Acciones de KMS obligatorias: kms:Decrypt y kms:DescribeKey.

  • Patrón de ARN de recursos para su cuenta Región de AWS AND.

  • Claves de condición que restringen el uso de las claves:

    • kms:ViaService para garantizar que las solicitudes lleguen a través de Secrets Manager.

    • aws:SourceAccount para limitarlo a su cuenta.

    • aws:SourceArnpara restringirlo a sistemas de FSx archivos de Amazon específicos.

El siguiente ejemplo crea una clave KMS de cifrado simétrico con una política que permite FSx a Amazon utilizar la clave para las operaciones de descifrado y descripción de claves. El comando recupera automáticamente tu Cuenta de AWS ID y tu región y, a continuación, configura la política de claves con estos valores para garantizar los controles de acceso adecuados entre Amazon FSx, Secrets Manager y la clave KMS. Asegúrese de que su AWS CLI entorno esté en la misma región que la SVM que se unirá a Active Directory.

# Set region and get Account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)

# Create Key
KMS_KEY_ARN=$(aws kms create-key --policy "{
  \"Version\": \"2012-10-17\", 		 	 	 
  \"Statement\": [
    {
      \"Sid\": \"Enable IAM User Permissions\",
      \"Effect\": \"Allow\",
      \"Principal\": {
        \"AWS\": \"arn:aws:iam::$ACCOUNT_ID:root\"
      },
      \"Action\": \"kms:*\",
      \"Resource\": \"*\"
    },
    {
      \"Sid\": \"Allow FSx to use the KMS key\",
      \"Effect\": \"Allow\",
      \"Principal\": {
        \"Service\": \"fsx.amazonaws.com\"
      },
      \"Action\": [
        \"kms:Decrypt\",
        \"kms:DescribeKey\"
      ],
      \"Resource\": \"*\",
      \"Condition\": {
        \"StringEquals\": {
          \"kms:ViaService\": \"secretsmanager.$REGION.amazonaws.com\",
          \"aws:SourceAccount\": \"$ACCOUNT_ID\"
        },
        \"ArnLike\": {
          \"aws:SourceArn\": [
            \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\",
            \"arn:aws:fsx:$REGION:$ACCOUNT_ID:storage-virtual-machine/fs-*/svm-*\"]
        }
      }
    }
  ]
}" --query 'KeyMetadata.Arn' --output text)

echo "KMS Key ARN: $KMS_KEY_ARN"
nota

Puede establecer un control de acceso más detallado modificando los campos Resource y aws:SourceArn para que se dirijan a secretos y sistemas de archivos específicos.

Paso 2: Crea un secreto AWS Secrets Manager

Para crear un secreto para FSx que Amazon acceda a su Active Directory, utilice el AWS CLI comando create-secret y defina los siguientes parámetros:

  • --name: el identificador de su secreto

  • --description: una descripción del objetivo del secreto

  • --kms-key-id: el ARN de la clave de KMS que creó en el Paso 1 para cifrar el secreto en reposo

  • --secret-string: una cadena JSON que contiene sus credenciales de AD en el siguiente formato:

    • CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME: el nombre de usuario de su cuenta de servicio de AD sin el prefijo de dominio, por ejemplo svc-fsx. No proporcione el prefijo de dominio, como CORP\svc-fsx.

    • CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD: la contraseña de su cuenta de servicio AD

  • --region: El Región de AWS lugar donde se creará tu SVM. De forma predeterminada, será la región que haya configurado si AWS_REGION no está establecida.

Tras crear el secreto, adjunta una política de recursos mediante el put-resource-policycomando y establece los siguientes parámetros:

  • --secret-id: el ARN o nombre del secreto para adjuntar la política En este ejemplo se usa FSxSecret como --secret-id.

  • --region: Igual Región de AWS que tu secreto.

  • --resource-policy: un documento de política de JSON que otorga FSx permiso a Amazon para acceder al secreto. La política debe incluir lo siguiente:

    • El principal de servicio de Amazon FSx, que esfsx.amazonaws.com.

    • Acciones requeridas de Secrets Manager: secretsmanager:GetSecretValue y secretsmanager:DescribeSecret.

    • Patrón de ARN de recursos para su cuenta Región de AWS AND.

    • Las siguientes claves de condición que restringen el acceso:

      • aws:SourceAccount para limitarlo a su cuenta

      • aws:SourceArnpara restringirlo a sistemas de FSx archivos de Amazon específicos.

En el siguiente ejemplo, se crea un secreto con el formato necesario y se adjunta una política de recursos que permite FSx a Amazon utilizar el secreto. En este ejemplo, se recupera automáticamente tu Cuenta de AWS ID y región y, a continuación, se configura la política de recursos con estos valores para garantizar los controles de acceso adecuados entre Amazon FSx y el secreto.

Asegúrese de sustituir el KMS_KEY_ARN con el ARN de la clave que creó en el Paso 1, CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME y CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD con las credenciales de la cuenta de servicio de Active Directory. Además, compruebe que su AWS CLI entorno esté configurado para la misma región que la SVM que se unirá a Active Directory.

# Set region and get account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)

# Replace with your KMS key ARN from Step 1
KMS_KEY_ARN="arn:aws:kms:us-east-2:123456789012:key/1234542f-d114-555b-9ade-fec3c9200d8e"

# Replace with your Active Directory credentials
AD_USERNAME="Your_Username"  
AD_PASSWORD="Your_Password"

# Create the secret
SECRET_ARN=$(aws secretsmanager create-secret \
  --name "FSxSecret" \
  --description "Secret for FSx access" \
  --kms-key-id "$KMS_KEY_ARN" \
  --secret-string "{\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"$AD_USERNAME\",\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"$AD_PASSWORD\"}" \
  --region "$REGION" \
  --query 'ARN' \
  --output text)

echo "Secret created with ARN: $SECRET_ARN"

# Attach the resource policy with proper formatting
aws secretsmanager put-resource-policy \
  --secret-id "FSxSecret" \
  --region "$REGION" \
  --resource-policy "{
    \"Version\": \"2012-10-17\", 		 	 	 
    \"Statement\": [
      {
        \"Effect\": \"Allow\",
        \"Principal\": {
          \"Service\": \"fsx.amazonaws.com\"
        },
        \"Action\": [
          \"secretsmanager:GetSecretValue\",
          \"secretsmanager:DescribeSecret\"
        ],
        \"Resource\": \"$SECRET_ARN\",
        \"Condition\": {
          \"StringEquals\": {
            \"aws:SourceAccount\": \"$ACCOUNT_ID\"
          },
          \"ArnLike\": {
            \"aws:SourceArn\": [
              \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\",
              \"arn:aws:fsx:$REGION:$ACCOUNT_ID:storage-virtual-machine/fs-*/svm-*\"]
          }
        }
      }
    ]
  }"

echo "Resource policy attached successfully"
nota

Puede establecer un control de acceso más detallado modificando los campos Resource y aws:SourceArn para que se dirijan a secretos y sistemas de archivos específicos.