Bonnes pratiques d'utilisation d'Active Directory - FSx pour ONTAP
Délégation d'autorisations à votre compte de FSx service AmazonMaintenir une configuration AD à jourLimiter le trafic au sein d'un VPC avec des groupes de sécuritéCréation de règles de groupes de sécurité sortantsStockage des informations d'identification Active Directory à l'aide AWS Secrets Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques d'utilisation d'Active Directory

Voici quelques suggestions et directives à prendre en compte lorsque vous rejoignez Amazon FSx for NetApp ONTAP sur SVMs votre Microsoft Active Directory autogéré. Notez qu'elles sont recommandées en tant que meilleures pratiques, mais qu'elles ne sont pas obligatoires.

Délégation d'autorisations à votre compte de FSx service Amazon

Assurez-vous de configurer le compte de service que vous fournissez à Amazon FSx avec les autorisations minimales requises. En outre, séparez l'unité organisationnelle (UO) des autres domaines concernés par le contrôleur de domaine.

Pour associer Amazon FSx SVMs à votre domaine, assurez-vous que le compte de service dispose d'autorisations déléguées. Les membres du groupe des administrateurs de domaine disposent des autorisations suffisantes pour effectuer cette tâche. Toutefois, il est recommandé d'utiliser un compte de service qui ne dispose que des autorisations minimales nécessaires pour ce faire. La procédure suivante explique comment déléguer uniquement les autorisations nécessaires FSx pour rejoindre ONTAP SVMs à votre domaine.

Effectuez cette procédure sur un ordinateur joint à votre annuaire et sur lequel le composant logiciel enfichable MMC Active Directory User and Computers est installé.

Pour créer un compte de service pour votre domaine Microsoft Active Directory

  1. Assurez-vous d'être connecté en tant qu'administrateur de domaine pour votre domaine Microsoft Active Directory.

  2. Ouvrez le composant logiciel enfichable MMC Active Directory User and Computers.

  3. Dans le volet des tâches, développez le nœud de domaine.

  4. Localisez et ouvrez le menu contextuel (clic droit) de l'unité d'organisation que vous souhaitez modifier, puis choisissez Déléguer le contrôle.

  5. Sur la page Assistant de délégation de contrôle, choisissez Next.

  6. Choisissez Ajouter pour ajouter un utilisateur ou un groupe spécifique aux utilisateurs et groupes sélectionnés, puis cliquez sur Suivant.

  7. Sur la page Tâches à déléguer, sélectionnez Créer une tâche personnalisée à déléguer, puis choisissez Suivant.

  8. Choisissez Uniquement les objets suivants dans le dossier, puis choisissez Objets informatiques.

  9. Choisissez Créer les objets sélectionnés dans ce dossier et Supprimer les objets sélectionnés dans ce dossier. Ensuite, sélectionnez Suivant.

  10. Sous Afficher ces autorisations, assurez-vous que les options Général et Spécifique à la propriété sont sélectionnées.

  11. Pour Autorisations, choisissez ce qui suit :

    • Réinitialisation du mot

    • Restrictions relatives aux comptes en lecture et en écriture

    • Écriture validée sur le nom d'hôte DNS

    • Écriture validée sur le nom principal du service

    • Rédiger des MSDs- SupportedEncryptionTypes

  12. Cliquez sur Suivant, puis sur Terminer.

  13. Fermez le composant logiciel enfichable MMC Active Directory User and Computers.

Important

Ne déplacez pas les objets informatiques créés par Amazon dans l'unité d'organisation FSx une fois SVMs les vôtres créés. Cela entraînera une mauvaise configuration SVMs de votre ordinateur.

Maintien à jour de votre configuration Active Directory avec Amazon FSx

Pour une disponibilité ininterrompue de votre Amazon FSx SVMs, mettez à jour la configuration Active Directory (AD) autogérée d'une SVM lorsque vous modifiez votre configuration AD autogérée.

Supposons, par exemple, que votre AD utilise une politique de réinitialisation des mots de passe basée sur le temps. Dans ce cas, dès que le mot de passe est réinitialisé, assurez-vous de mettre à jour le mot de passe du compte de service auprès d'Amazon FSx. Pour ce faire, utilisez la FSx console Amazon, FSx l'API Amazon ou AWS CLI. De même, si les adresses IP du serveur DNS changent pour votre domaine Active Directory, mettez à jour les adresses IP du serveur DNS auprès d'Amazon dès que le changement se produit FSx.

En cas de problème avec la mise à jour de la configuration AD autogérée, l'état de la SVM passe à Mauvaise configuration. Cet état affiche un message d'erreur et une action recommandée à côté de la description de la SVM dans la console, l'API et la CLI. En cas de problème lié à la configuration Active Directory de votre SVM, veillez à prendre les mesures correctives recommandées pour les propriétés de configuration. Si le problème est résolu, vérifiez que l'état de votre SVM passe à Créé.

Pour plus d’informations, consultez Mise à jour des configurations SVM Active Directory existantes à l'aide de l' AWS Management Console API AWS CLI,, et et Modifier une configuration Active Directory à l'aide de la CLI ONTAP.

Utilisation de groupes de sécurité pour limiter le trafic au sein de votre VPC

Pour limiter le trafic réseau dans votre cloud privé virtuel (VPC), vous pouvez mettre en œuvre le principe du moindre privilège dans votre VPC. En d'autres termes, vous pouvez limiter les autorisations au minimum nécessaire. Pour ce faire, utilisez les règles des groupes de sécurité. Pour en savoir plus, veuillez consulter la section Groupes de sécurité Amazon VPC.

Création de règles de groupe de sécurité sortant pour l'interface réseau de votre système de fichiers

Pour plus de sécurité, envisagez de configurer un groupe de sécurité avec des règles de trafic sortant. Ces règles doivent autoriser le trafic sortant uniquement vers vos contrôleurs de domaines AD autogérés ou au sein du sous-réseau ou du groupe de sécurité. Appliquez ce groupe de sécurité au VPC associé à l'interface Elastic Network Interface de votre système de FSx fichiers Amazon. Pour en savoir plus, veuillez consulter la section Contrôle d'accès au système de fichiers avec Amazon VPC.

Stockage des informations d'identification Active Directory à l'aide AWS Secrets Manager

Vous pouvez l'utiliser AWS Secrets Manager pour stocker et gérer en toute sécurité les informations d'identification de votre compte de service de connexion à un domaine Microsoft Active Directory. Cette approche élimine le besoin de stocker les informations d'identification sensibles en texte clair dans le code de l'application ou les fichiers de configuration, renforçant ainsi votre posture de sécurité.

Vous pouvez également configurer des politiques IAM pour gérer l'accès à vos secrets et configurer des politiques de rotation automatique pour vos mots de passe.

Étape 1 : créer une clé KMS

Créez une clé KMS pour chiffrer et déchiffrer vos informations d'identification Active Directory dans Secrets Manager.

Pour créer une clé
Note

Pour la clé de chiffrement, créez une nouvelle clé, n'utilisez pas la clé KMS AWS par défaut. Veillez à créer la SVM AWS KMS key dans la même région que celle où se trouve la SVM que vous souhaitez joindre à votre Active Directory.

  1. Ouvrez la AWS KMS console à l'adresse https://console.aws.amazon.com /kms.

  2. Choisissez Create key.

  3. Pour Type de clé, choisissez Symétrique.

  4. Pour Utilisation de la clé, choisissez Chiffrer et déchiffrer.

  5. Pour les options avancées, procédez comme suit :

    1. Pour Origine des clés, choisissez KMS.

    2. Pour Régionalité, choisissez la clé à région unique, puis cliquez sur Suivant.

  6. Choisissez Suivant.

  7. Pour Alias, attribuez un nom à la clé KMS.

  8. (Facultatif) Pour Description, fournissez une description de la clé KMS.

  9. (Facultatif) Pour les balises, fournissez une balise pour la clé KMS et choisissez Next.

  10. (Facultatif) Pour les administrateurs de clés, indiquez les utilisateurs et les rôles IAM autorisés à gérer cette clé.

  11. Pour supprimer une clé, maintenez la case Autoriser les administrateurs clés à supprimer cette clé et choisissez Next.

  12. (Facultatif) Pour les utilisateurs de clés, indiquez les utilisateurs et les rôles IAM autorisés à utiliser cette clé dans les opérations cryptographiques. Choisissez Suivant.

  13. Pour la politique en matière de clés, choisissez Modifier et incluez ce qui suit dans la déclaration de politique pour autoriser Amazon FSx à utiliser la clé KMS, puis choisissez Next. Assurez-vous de remplacer le par us-west-2 l' Région AWS endroit où le système de fichiers est déployé et 123456789012 par votre Compte AWS identifiant.

    {
    "Sid": "Allow FSx to use the KMS key",
    "Version": "2012-10-17", 		 	 	 
    "Effect": "Allow",
    "Principal": {
        "Service": "fsx.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
    ],
    "Resource": "arn:aws:kms:us-west-2:123456789012:key:*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*",
            "kms:ViaService": "secretsmanager.us-west-2.amazonaws.com",
            "aws:SourceAccount": "123456789012"
        },
        "ArnLike": {
            "aws:SourceArn": [
                "arn:aws:fsx:us-west-2:123456789012:file-system/*",
                "arn:aws:fsx:us-west-2:123456789012:storage-virtual-machine/fs-*/svm-*"
            ]
        }
    }
}

  14. Choisissez Finish (Terminer).

Note

Vous pouvez définir un contrôle d'accès plus précis en modifiant les aws:SourceArn champs Resource et pour cibler des secrets et des systèmes de fichiers spécifiques.

Étape 2 : créer un AWS Secrets Manager secret

Pour créer un secret

  1. Ouvrez la console Secrets Manager à l'adresse https://console.aws.amazon.com/secretsmanager/.

  2. Choisissez Store a new secret (Stocker un nouveau secret).

  3. Pour Secret type (Type de secret), choisissez Other type of secret (Autre type de secret).

  4. Pour les paires clé/valeur, procédez comme suit pour ajouter vos deux clés :

    1. Pour la première clé, entrez CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME.

    2. Pour la valeur de la première clé, saisissez uniquement le nom utilisateur (sans le préfixe de domaine) de l’utilisateur AD.

    3. Pour la deuxième clé, entrez CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD.

    4. Pour la valeur de la deuxième clé, saisissez le mot de passe que vous avez créé pour l'utilisateur AD sur votre domaine.

  5. Pour Clé de chiffrement, entrez l'ARN de la clé KMS que vous avez créée à l'étape précédente et choisissez Next.

  6. Dans Nom du secret, saisissez un nom descriptif qui vous aidera à rechercher votre secret ultérieurement.

  7. (Facultatif) Pour Description, saisissez une description du nom du secret.

  8. Pour l'autorisation des ressources, choisissez Modifier.

    Ajoutez la politique suivante à la politique d'autorisation pour autoriser Amazon FSx à utiliser le secret, puis choisissez Next. Assurez-vous de remplacer le par us-west-2 l' Région AWS endroit où le système de fichiers est déployé et 123456789012 par votre Compte AWS identifiant.

    {
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "fsx.amazonaws.com"
            },
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:fsx:us-west-2:123456789012:file-system/*",
                        "arn:aws:fsx:us-west-2:123456789012:storage-virtual-machine/fs-*/svm-*"
                    ]
                }
            }
        }
    ]
}

  9. (Facultatif) Vous pouvez configurer Secrets Manager pour qu'il fasse automatiquement pivoter vos informations d'identification. Choisissez Suivant.

  10. Choisissez Finish (Terminer).

Étape 1 : créer une clé KMS

Créez une clé KMS pour chiffrer et déchiffrer vos informations d'identification Active Directory dans Secrets Manager.

Pour créer une clé KMS, utilisez la AWS CLI commande create-key.

Dans cette commande, définissez le --policy paramètre pour spécifier la politique de clé qui définit les autorisations pour la clé KMS. La politique doit inclure les éléments suivants :

  • Le principal du service pour Amazon FSx, qui estfsx.amazonaws.com.

  • Actions KMS requises : kms:Decrypt etkms:DescribeKey.

  • Modèle d'ARN de ressources pour votre compte Région AWS et.

  • Clés de condition qui limitent l'utilisation des clés :

    • kms:ViaServicepour s'assurer que les demandes passent par Secrets Manager.

    • aws:SourceAccountpour vous limiter à votre compte.

    • aws:SourceArnpour se limiter à des systèmes de FSx fichiers Amazon spécifiques.

L'exemple suivant crée une clé KMS de chiffrement symétrique avec une politique qui permet FSx à Amazon d'utiliser la clé pour les opérations de déchiffrement et de description des clés. La commande récupère automatiquement votre Compte AWS identifiant et votre région, puis configure la politique clé avec ces valeurs afin de garantir des contrôles d'accès appropriés entre Amazon FSx, Secrets Manager et la clé KMS. Assurez-vous que votre AWS CLI environnement se trouve dans la même région que la SVM qui va rejoindre Active Directory.

# Set region and get Account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)

# Create Key
KMS_KEY_ARN=$(aws kms create-key --policy "{
  \"Version\": \"2012-10-17\", 		 	 	 
  \"Statement\": [
    {
      \"Sid\": \"Enable IAM User Permissions\",
      \"Effect\": \"Allow\",
      \"Principal\": {
        \"AWS\": \"arn:aws:iam::$ACCOUNT_ID:root\"
      },
      \"Action\": \"kms:*\",
      \"Resource\": \"*\"
    },
    {
      \"Sid\": \"Allow FSx to use the KMS key\",
      \"Effect\": \"Allow\",
      \"Principal\": {
        \"Service\": \"fsx.amazonaws.com\"
      },
      \"Action\": [
        \"kms:Decrypt\",
        \"kms:DescribeKey\"
      ],
      \"Resource\": \"*\",
      \"Condition\": {
        \"StringEquals\": {
          \"kms:ViaService\": \"secretsmanager.$REGION.amazonaws.com\",
          \"aws:SourceAccount\": \"$ACCOUNT_ID\"
        },
        \"ArnLike\": {
          \"aws:SourceArn\": [
            \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\",
            \"arn:aws:fsx:$REGION:$ACCOUNT_ID:storage-virtual-machine/fs-*/svm-*\"]
        }
      }
    }
  ]
}" --query 'KeyMetadata.Arn' --output text)

echo "KMS Key ARN: $KMS_KEY_ARN"
Note

Vous pouvez définir un contrôle d'accès plus précis en modifiant les aws:SourceArn champs Resource et pour cibler des secrets et des systèmes de fichiers spécifiques.

Étape 2 : créer un AWS Secrets Manager secret

Pour créer un secret permettant FSx à Amazon d'accéder à votre Active Directory, utilisez la AWS CLI commande create-secret et définissez les paramètres suivants :

  • --name: L'identifiant de votre secret.

  • --description: description de l'objectif du secret.

  • --kms-key-id: ARN de la clé KMS que vous avez créée à l'étape 1 pour chiffrer le secret au repos.

  • --secret-string: chaîne JSON contenant vos informations d'identification AD au format suivant :

    • CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME: le nom d'utilisateur de votre compte de service AD sans le préfixe de domaine, tel quesvc-fsx. Ne fournissez pas le préfixe de domaine, tel queCORP\svc-fsx.

    • CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD: le mot de passe de votre compte de service AD

  • --region: L' Région AWS endroit où votre SVM sera créée. Par défaut, c'est la région que vous avez configurée si elle n'AWS_REGIONest pas définie.

Après avoir créé le secret, associez une politique de ressources à l'aide de la put-resource-policycommande et définissez les paramètres suivants :

  • --secret-id: nom ou ARN du secret auquel associer la politique. L'exemple suivant utilise FSxSecret comme--secret-id.

  • --region: Région AWS Identique à ton secret.

  • --resource-policy: document de politique JSON qui FSx autorise Amazon à accéder au secret. La politique doit inclure les éléments suivants :

    • Le principal du service pour Amazon FSx, qui estfsx.amazonaws.com.

    • Actions requises de Secrets Manager : secretsmanager:GetSecretValue etsecretsmanager:DescribeSecret.

    • Modèle d'ARN de ressources pour votre compte Région AWS et.

    • Les clés de condition suivantes qui limitent l'accès :

      • aws:SourceAccountpour vous limiter à votre compte.

      • aws:SourceArnpour se limiter à des systèmes de FSx fichiers Amazon spécifiques.

L'exemple suivant crée un secret au format requis et y joint une politique de ressources qui autorise Amazon FSx à utiliser le secret. Cet exemple récupère automatiquement votre Compte AWS identifiant et votre région, puis configure la politique de ressources avec ces valeurs afin de garantir des contrôles d'accès appropriés entre Amazon FSx et le secret.

Assurez-vous de le KMS_KEY_ARN remplacer par l'ARN de la clé que vous avez créée à l'étape 1 et par CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME les informations CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD d'identification de votre compte de service Active Directory. Vérifiez également que votre AWS CLI environnement est configuré pour la même région que la SVM qui va rejoindre Active Directory.

# Set region and get account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)

# Replace with your KMS key ARN from Step 1
KMS_KEY_ARN="arn:aws:kms:us-east-2:123456789012:key/1234542f-d114-555b-9ade-fec3c9200d8e"

# Replace with your Active Directory credentials
AD_USERNAME="Your_Username"  
AD_PASSWORD="Your_Password"

# Create the secret
SECRET_ARN=$(aws secretsmanager create-secret \
  --name "FSxSecret" \
  --description "Secret for FSx access" \
  --kms-key-id "$KMS_KEY_ARN" \
  --secret-string "{\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"$AD_USERNAME\",\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"$AD_PASSWORD\"}" \
  --region "$REGION" \
  --query 'ARN' \
  --output text)

echo "Secret created with ARN: $SECRET_ARN"

# Attach the resource policy with proper formatting
aws secretsmanager put-resource-policy \
  --secret-id "FSxSecret" \
  --region "$REGION" \
  --resource-policy "{
    \"Version\": \"2012-10-17\", 		 	 	 
    \"Statement\": [
      {
        \"Effect\": \"Allow\",
        \"Principal\": {
          \"Service\": \"fsx.amazonaws.com\"
        },
        \"Action\": [
          \"secretsmanager:GetSecretValue\",
          \"secretsmanager:DescribeSecret\"
        ],
        \"Resource\": \"$SECRET_ARN\",
        \"Condition\": {
          \"StringEquals\": {
            \"aws:SourceAccount\": \"$ACCOUNT_ID\"
          },
          \"ArnLike\": {
            \"aws:SourceArn\": [
              \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\",
              \"arn:aws:fsx:$REGION:$ACCOUNT_ID:storage-virtual-machine/fs-*/svm-*\"]
          }
        }
      }
    ]
  }"

echo "Resource policy attached successfully"
Note

Vous pouvez définir un contrôle d'accès plus précis en modifiant les aws:SourceArn champs Resource et pour cibler des secrets et des systèmes de fichiers spécifiques.