Utilisation d'un Microsoft Active Directory autogéré - Serveur FSx de fichiers Amazon pour Windows
Conditions préalablesAutorisations relatives aux comptes de serviceMeilleures pratiques lors de l'utilisation d'un Active Directory autogéréCompte FSx de service Amazon

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation d'un Microsoft Active Directory autogéré

Si votre organisation gère les identités et les appareils à l'aide d'un Active Directory autogéré sur site ou dans le cloud, vous pouvez associer un système de fichiers FSx pour Windows File Server à votre domaine Active Directory lors de sa création.

Lorsque vous associez votre système de fichiers à votre Active Directory autogéré, votre système de fichiers FSx pour Windows File Server réside dans la même forêt Active Directory (le conteneur logique supérieur d'une configuration Active Directory qui contient des domaines, des utilisateurs et des ordinateurs) et dans le même domaine Active Directory que vos utilisateurs et ressources existantes (y compris les serveurs de fichiers existants).

Note

Vous pouvez isoler vos ressources, y compris vos systèmes de fichiers Amazon FSx , dans une forêt Active Directory distincte de celle où résident vos utilisateurs. Pour ce faire, associez votre système de fichiers à un répertoire Microsoft Active Directory AWS géré et établissez une relation d'approbation forestière unidirectionnelle entre un répertoire AWS Microsoft Active Directory géré que vous créez et votre Active Directory autogéré existant.

  • Nom d'utilisateur et mot de passe d'un compte de service sur votre domaine Active Directory, FSx à utiliser par Amazon pour associer le système de fichiers à votre domaine Active Directory. Vous pouvez fournir ces informations d'identification sous forme de texte brut ou les stocker AWS Secrets Manager et fournir l'ARN secret (recommandé).

  • (Facultatif) Unité organisationnelle (UO) de votre domaine à laquelle vous souhaitez associer votre système de fichiers.

  • (Facultatif) Le groupe de domaines auquel vous souhaitez déléguer l'autorité pour effectuer des actions administratives sur votre système de fichiers. Par exemple, ce groupe de domaines peut gérer les partages de fichiers Windows, gérer les listes de contrôle d'accès (ACLs) sur le dossier racine du système de fichiers, s'approprier des fichiers et des dossiers, etc. Si vous ne spécifiez pas ce groupe, Amazon FSx délègue cette autorité au groupe des administrateurs de domaine de votre domaine Active Directory par défaut.

    Note

    Le nom de groupe de domaines que vous fournissez doit être unique dans votre Active Directory. FSx pour Windows File Server ne créera pas le groupe de domaines dans les cas suivants :

    • Si un groupe existe déjà avec le nom que vous spécifiez

    • Si vous ne spécifiez pas de nom et qu'un groupe nommé « Administrateurs de domaine » existe déjà dans votre Active Directory.

    Pour de plus amples informations, veuillez consulter Joindre un système de FSx fichiers Amazon à un domaine Microsoft Active Directory autogéré.

Rubriques

Conditions préalables

Avant de joindre un système de fichiers FSx pour serveur de fichiers Windows à votre domaine Microsoft Active Directory autogéré, passez en revue les conditions préalables suivantes pour vous assurer que vous pouvez associer avec succès votre système de FSx fichiers Amazon à votre Active Directory autogéré.

Configurations sur site

Voici les prérequis pour votre Microsoft Active Directory autogéré, sur site ou dans le cloud, auquel vous rejoindrez le système de FSx fichiers Amazon.

  • Les contrôleurs de domaine Active Directory :

    • Doit avoir un niveau fonctionnel de domaine Windows Server 2008 R2 ou supérieur.

    • Doit être inscriptible.

    • Au moins l'un des contrôleurs de domaine accessibles doit être un catalogue global de la forêt.

  • Le serveur DNS doit être capable de résoudre les noms comme suit :

    • Dans le domaine dans lequel vous souhaitez rejoindre le système de fichiers

    • Dans le domaine racine de la forêt

  • Les adresses IP du serveur DNS et du contrôleur de domaine Active Directory doivent répondre aux exigences suivantes, qui varient en fonction de la date de création de votre système de FSx fichiers Amazon :

    Pour les systèmes de fichiers créés avant le 17 décembre 2020 Pour les systèmes de fichiers créés après le 17 décembre 2020

    Les adresses IP doivent se trouver dans une plage d'adresses IP privées RFC 1918 :

    • 10.0.0.0/8

    • 172.16.0.0/12

    • 192.168.0.0/16

    Les adresses IP peuvent se situer dans n'importe quelle plage, sauf :

    • Adresses IP en conflit avec les adresses IP détenues par Amazon Web Services dans le système de fichiers dans Région AWS lequel se trouve le système de fichiers. Pour obtenir la liste des adresses IP AWS détenues par région, consultez les plages d'adresses AWS IP.

    • Adresses IP comprises dans la plage de blocs CIDR 198.19.0.0/16

    Si vous devez accéder à un système de fichiers FSx pour serveur de fichiers Windows créé avant le 17 décembre 2020 à l'aide d'une plage d'adresses IP non privées, vous pouvez créer un nouveau système de fichiers en restaurant une sauvegarde du système de fichiers. Pour de plus amples informations, veuillez consulter Restauration d'une sauvegarde sur un nouveau système de fichiers.

  • Le nom de domaine de votre Active Directory autogéré doit répondre aux exigences suivantes :

    • Le nom de domaine n'est pas au format Single Label Domain (SLD). Amazon FSx ne prend pas en charge les domaines SLD.

    • Pour les systèmes de fichiers mono-AZ 2 et tous les systèmes de fichiers multi-AZ, le nom de domaine ne peut pas dépasser 47 caractères.

  • Tous les sites Active Directory que vous avez définis doivent répondre aux conditions préalables suivantes :

    • Les sous-réseaux du VPC associé à votre système de fichiers doivent être définis dans un site Active Directory.

    • Il n'y a aucun conflit entre les sous-réseaux VPC et les sous-réseaux du site Active Directory.

    Amazon a FSx besoin d'une connectivité aux contrôleurs de domaine ou aux sites Active Directory que vous avez définis dans votre environnement Active Directory. Amazon FSx ignorera tous les contrôleurs de domaine dont les protocoles TCP et UDP sont bloqués sur le port 389. Pour les autres contrôleurs de domaine de votre Active Directory, assurez-vous qu'ils répondent aux exigences de FSx connectivité d'Amazon. Vérifiez également que toutes les modifications apportées à votre compte de service sont répercutées sur tous ces contrôleurs de domaine.

    Important

    Ne déplacez pas les objets informatiques FSx créés par Amazon dans l'unité d'organisation après la création de votre système de fichiers. Cela entraînera une mauvaise configuration de votre système de fichiers.

Vous pouvez valider votre configuration Active Directory, notamment tester la connectivité de plusieurs contrôleurs de domaine, à l'aide de l'outil de validation Amazon FSx Active Directory. Pour limiter le nombre de contrôleurs de domaine nécessitant une connectivité, vous pouvez également établir une relation de confiance entre vos contrôleurs de domaine sur site et AWS Managed Microsoft AD. Pour de plus amples informations, veuillez consulter Utilisation d'un modèle d'isolation des forêts de ressources.

Important

Amazon enregistre les enregistrements DNS d'un système de fichiers FSx uniquement si vous utilisez Microsoft DNS comme service DNS par défaut. Si vous utilisez un DNS tiers, vous devrez configurer manuellement les entrées d'enregistrement DNS pour votre système de fichiers après l'avoir créé.

Configurations réseau

Cette section décrit les exigences de configuration réseau pour joindre un système de fichiers à votre Active Directory autogéré. Nous vous recommandons vivement d'utiliser l'outil de validation Amazon FSx Active Directory pour tester vos paramètres réseau avant de tenter de joindre votre système de fichiers à votre Active Directory autogéré.

  • Assurez-vous que vos règles de pare-feu autorisent le trafic ICMP entre vos contrôleurs de domaine Active Directory et Amazon FSx.

  • La connectivité doit être configurée entre le VPC Amazon sur lequel vous souhaitez créer le système de fichiers et votre Active Directory autogéré. Vous pouvez configurer cette connectivité à l'aide Direct Connectdu peering VPC ou. AWS Virtual Private NetworkAWS Transit Gateway

  • Le groupe de sécurité VPC par défaut pour votre Amazon VPC par défaut doit être ajouté à votre système de fichiers à l'aide de la console Amazon. FSx Assurez-vous que le groupe de sécurité et le réseau VPC ACLs des sous-réseaux sur lesquels vous créez votre système de fichiers autorisent le trafic sur les ports et dans le sens indiqué dans le schéma suivant.

    FSx pour les exigences de configuration des ports du serveur de fichiers Windows pour les groupes de sécurité VPC et le réseau ACLs pour les sous-réseaux dans lesquels le système de fichiers est créé.

    Le tableau suivant identifie le protocole, les ports et leur rôle.

    Protocole

    Ports

    Role

    TCP/UDP

    53

    Système de nom de domaine (DNS)

    TCP/UDP

    88

    Authentification Kerberos

    TCP/UDP

    464

    Modifier/définir le mot de passe

    TCP/UDP

    389

    Protocole LDAP (Lightweight Directory Access Protocol)
    UDP 123

    Protocole NTP (Network Time Protocol)
    TCP 135

    Mappeur de Environment/End points de calcul distribué (DCE/EPMAP)

    TCP

    445

    Partage de fichiers SMB avec les services d'annuaire

    TCP

    636

    Protocole LDAPS TLS/SSL (Lightweight Directory Access Protocol over)

    TCP

    3268

    Catalogue mondial Microsoft

    TCP

    3269

    Microsoft Global Catalog via SSL

    TCP

    5985

    WinRM 2.0 (gestion à distance de Microsoft Windows)

    TCP

    9389

    Services Web Microsoft Active Directory DS, PowerShell

    Important

    L'autorisation du trafic sortant sur le port TCP 9389 est requise pour les déploiements de systèmes de fichiers mono-AZ 2 et multi-AZ.

    TCP

    49152 - 65535

    Ports éphémères pour RPC

    Ces règles de trafic doivent également être reflétées sur les pare-feux qui s'appliquent à chacun des contrôleurs de domaine, serveurs DNS, FSx clients et administrateurs Active Directory. FSx

Note

Si vous utilisez un réseau VPC ACLs, vous devez également autoriser le trafic sortant sur les ports dynamiques (49152-65535) de votre système de fichiers.

Important

Alors que les groupes de sécurité Amazon VPC nécessitent que les ports soient ouverts uniquement dans le sens où le trafic réseau est initié, la plupart des pare-feux Windows et des réseaux VPC ACLs nécessitent que les ports soient ouverts dans les deux sens.

Autorisations relatives aux comptes de service

Vous devez disposer d'un compte de service dans votre Microsoft Active Directory autogéré avec des autorisations déléguées pour joindre des objets informatiques à votre domaine Active Directory autogéré. Un compte de service est un compte utilisateur de votre Active Directory autogéré auquel certaines tâches ont été déléguées.

Voici l'ensemble minimal d'autorisations qui doivent être déléguées au compte de FSx service Amazon dans l'unité d'organisation à laquelle vous rejoignez le système de fichiers.

  • Si vous utilisez le contrôle délégué dans la MMC Active Directory User and Computers :

    • Réinitialisation des mots de passe

    • Restrictions relatives aux comptes en lecture et en écriture

    • Écriture validée sur le nom d'hôte DNS

    • Écriture validée sur le nom principal du service

  • Si vous utilisez les fonctionnalités avancées de la console MMC Active Directory User and Computers :

    • Modifier les autorisations

    • Créer des objets ordinateur

    • Supprimer des objets informatiques

Pour plus d'informations, consultez la rubrique de documentation de Microsoft Windows Server Erreur : l'accès est refusé lorsque des utilisateurs non administrateurs auxquels le contrôle a été délégué tentent de joindre des ordinateurs à un contrôleur de domaine.

Pour plus d'informations sur la définition des autorisations requises, consultezDélégation d'autorisations au compte ou au FSx groupe de service Amazon.

Meilleures pratiques lors de l'utilisation d'un Active Directory autogéré

Nous vous recommandons de suivre ces bonnes pratiques lorsque vous associez un système de fichiers Amazon FSx pour Windows File Server à votre Microsoft Active Directory autogéré. Ces bonnes pratiques vous aideront à maintenir la disponibilité continue et ininterrompue de votre système de fichiers.

Utiliser un compte de service distinct pour Amazon FSx

Utilisez un compte de service distinct pour déléguer les privilèges nécessaires FSx à Amazon afin de gérer entièrement les systèmes de fichiers associés à votre Active Directory autogéré. Nous vous déconseillons d'utiliser les administrateurs de domaine à cette fin.

Utiliser un groupe Active Directory

Utilisez un groupe Active Directory pour gérer les autorisations et les configurations Active Directory associées au compte de FSx service Amazon.

Séparer l'unité organisationnelle (UO)

Pour faciliter la recherche et la gestion des objets de votre FSx ordinateur Amazon, nous vous recommandons de séparer l'unité organisationnelle (UO) que vous utilisez pour vos systèmes de fichiers FSx pour Windows File Server des autres problèmes liés aux contrôleurs de domaine.

Conserver la configuration d'Active Directory up-to-date

Il est impératif que vous conserviez la configuration up-to-date Active Directory de votre système de fichiers, quelle que soit la modification apportée. Par exemple, si votre Active Directory autogéré utilise une politique de réinitialisation des mots de passe basée sur le temps, assurez-vous de mettre à jour le mot de passe du compte de service sur votre système de fichiers dès que le mot de passe est réinitialisé. Pour de plus amples informations, veuillez consulter Mettre à jour une configuration Active Directory autogérée.

Modifier le compte FSx de service Amazon

Si vous mettez à jour votre système de fichiers avec un nouveau compte de service, celui-ci doit disposer des autorisations et privilèges requis pour rejoindre votre Active Directory et des autorisations de contrôle total pour les objets informatiques existants associés au système de fichiers. Pour de plus amples informations, veuillez consulter Modifier le compte FSx de service Amazon.

Attribuer des sous-réseaux à un seul site Microsoft Active Directory

Si votre environnement Active Directory comporte un grand nombre de contrôleurs de domaine, utilisez Active Directory Sites and Services pour attribuer les sous-réseaux utilisés par vos systèmes de FSx fichiers Amazon à un seul site Active Directory offrant une disponibilité et une fiabilité optimales. Assurez-vous que le groupe de sécurité VPC, l'ACL du réseau VPC, les règles de pare-feu Windows applicables à votre DCs infrastructure Active Directory et tous les autres contrôles de routage réseau présents dans votre infrastructure Active Directory autorisent les communications depuis Amazon FSx sur les ports requis. Cela permet à Windows de revenir à d'autres contrôleurs de domaine s'il ne peut pas utiliser le site Active Directory attribué. Pour de plus amples informations, veuillez consulter Contrôle d'accès au système de fichiers avec Amazon VPC.

Utiliser les règles des groupes de sécurité pour limiter le trafic

Utilisez les règles des groupes de sécurité pour mettre en œuvre le principe du moindre privilège dans votre cloud privé virtuel (VPC). Vous pouvez limiter le type de trafic réseau entrant et sortant autorisé pour votre fichier à l'aide des règles des groupes de sécurité VPC. Par exemple, nous recommandons d'autoriser uniquement le trafic sortant vers vos contrôleurs de domaines Active Directory autogérés ou vers le sous-réseau ou le groupe de sécurité que vous utilisez. Pour de plus amples informations, veuillez consulter Contrôle d'accès au système de fichiers avec Amazon VPC.

Ne déplacez pas les objets informatiques créés par Amazon FSx
Important

Ne déplacez pas les objets informatiques FSx créés par Amazon dans l'unité d'organisation après la création de votre système de fichiers. Cela entraînera une mauvaise configuration de votre système de fichiers.

Validez votre configuration Active Directory

Avant de tenter de joindre un système de fichiers FSx pour serveur de fichiers Windows à votre Active Directory, nous vous recommandons vivement de valider votre configuration Active Directory à l'aide de l'outil de validation Amazon FSx Active Directory.

Stockage des informations d'identification Active Directory en utilisant AWS Secrets Manager

Vous pouvez l'utiliser AWS Secrets Manager pour stocker et gérer en toute sécurité les informations d'identification de votre compte de service de connexion à un domaine Microsoft Active Directory. Cette approche élimine le besoin de stocker les informations d'identification sensibles en texte clair dans le code de l'application ou les fichiers de configuration, renforçant ainsi votre posture de sécurité.

Vous pouvez également configurer des politiques IAM pour gérer l'accès à vos secrets et configurer des politiques de rotation automatique pour vos mots de passe.

Étape 1 : créer une clé KMS

Créez une clé KMS pour chiffrer et déchiffrer vos informations d'identification Active Directory dans Secrets Manager.

Pour créer une clé
Note

Pour la clé de chiffrement, créez une nouvelle clé, n'utilisez pas la clé KMS AWS par défaut. Assurez-vous de le créer AWS KMS key dans la même région qui contient le système de fichiers que vous souhaitez joindre à votre Active Directory.

  1. Ouvrez la AWS KMS console à l'adresse https://console.aws.amazon.com /kms.

  2. Choisissez Create key.

  3. Pour Type de clé, choisissez Symétrique.

  4. Pour Utilisation de la clé, choisissez Chiffrer et déchiffrer.

  5. Pour les options avancées, procédez comme suit :

    1. Pour Origine des clés, choisissez KMS.

    2. Pour Régionalité, choisissez la clé à région unique, puis cliquez sur Suivant.

  6. Choisissez Suivant.

  7. Pour Alias, attribuez un nom à la clé KMS.

  8. (Facultatif) Pour Description, fournissez une description de la clé KMS.

  9. (Facultatif) Pour les balises, fournissez une balise pour la clé KMS et choisissez Next.

  10. (Facultatif) Pour les administrateurs de clés, indiquez les utilisateurs et les rôles IAM autorisés à gérer cette clé.

  11. Pour la suppression de la clé, maintenez la case Autoriser les administrateurs clés à supprimer cette clé et choisissez Next.

  12. (Facultatif) Pour les utilisateurs de clés, indiquez les utilisateurs et les rôles IAM autorisés à utiliser cette clé dans les opérations cryptographiques. Choisissez Suivant.

  13. Pour la politique clé, choisissez Modifier et incluez ce qui suit dans la déclaration de politique pour autoriser Amazon FSx à utiliser la clé KMS, puis choisissez Next. Assurez-vous de remplacer le par us-west-2 l' Région AWS endroit où le système de fichiers est déployé et 123456789012 par votre Compte AWS identifiant.

    {
    "Sid": "Allow FSx to use the KMS key",
    "Version": "2012-10-17", 		 	 	 
    "Effect": "Allow",
    "Principal": {
        "Service": "fsx.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
    ],
    "Resource": "arn:aws:kms:us-west-2:123456789012:key:*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*",
            "kms:ViaService": "secretsmanager.us-west-2.amazonaws.com",
            "aws:SourceAccount": "123456789012"
        },
        "ArnLike": {
            "aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*"
        }
    }
}

  14. Choisissez Finish (Terminer).

Note

Vous pouvez définir un contrôle d'accès plus précis en modifiant les aws:SourceArn champs Resource et pour cibler des secrets et des systèmes de fichiers spécifiques.

Étape 2 : créer un AWS Secrets Manager secret
Pour créer un secret

  1. Ouvrez la console Secrets Manager à l'adresse https://console.aws.amazon.com/secretsmanager/.

  2. Choisissez Store a new secret (Stocker un nouveau secret).

  3. Pour Secret type (Type de secret), choisissez Other type of secret (Autre type de secret).

  4. Pour les paires clé/valeur, procédez comme suit pour ajouter vos deux clés :

    1. Pour la première clé, entrez CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME.

    2. Pour la valeur de la première clé, saisissez uniquement le nom utilisateur (sans le préfixe de domaine) de l’utilisateur AD.

    3. Pour la deuxième clé, entrez CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD.

    4. Pour la valeur de la deuxième clé, saisissez le mot de passe que vous avez créé pour l'utilisateur AD sur votre domaine.

  5. Pour Clé de chiffrement, entrez l'ARN de la clé KMS que vous avez créée à l'étape précédente et choisissez Next.

  6. Dans Nom du secret, saisissez un nom descriptif qui vous aidera à rechercher votre secret ultérieurement.

  7. (Facultatif) Pour Description, saisissez une description du nom du secret.

  8. Pour l'autorisation des ressources, choisissez Modifier.

    Ajoutez la politique suivante à la politique d'autorisation pour autoriser Amazon FSx à utiliser le secret, puis choisissez Next. Assurez-vous de remplacer le par us-west-2 l' Région AWS endroit où le système de fichiers est déployé et 123456789012 par votre Compte AWS identifiant.

    {
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "fsx.amazonaws.com"
            },
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*"
                }
            }
        }
    ]
}
    Note

    Vous pouvez définir un contrôle d'accès plus précis en modifiant les aws:SourceArn champs Resource et pour cibler des secrets et des systèmes de fichiers spécifiques.

  9. (Facultatif) Vous pouvez configurer Secrets Manager pour qu'il fasse automatiquement pivoter vos informations d'identification. Choisissez Suivant.

  10. Choisissez Finish (Terminer).
Étape 1 : créer une clé KMS

Créez une clé KMS pour chiffrer et déchiffrer vos informations d'identification Active Directory dans Secrets Manager.

Pour créer une clé KMS, utilisez la AWS CLI commande create-key.

Dans cette commande, définissez le --policy paramètre pour spécifier la politique de clé qui définit les autorisations pour la clé KMS. La politique doit inclure les éléments suivants :

  • Le principal du service pour Amazon FSx, qui estfsx.amazonaws.com.

  • Actions KMS requises : kms:Decrypt etkms:DescribeKey.

  • Modèle d'ARN de ressources pour votre compte Région AWS et.

  • Clés de condition qui limitent l'utilisation des clés :

    • kms:ViaServicepour garantir que les demandes passent par Secrets Manager.

    • aws:SourceAccountpour vous limiter à votre compte.

    • aws:SourceArnpour se limiter à des systèmes de FSx fichiers Amazon spécifiques.

L'exemple suivant crée une clé KMS de chiffrement symétrique avec une politique qui permet FSx à Amazon d'utiliser la clé pour les opérations de déchiffrement et de description des clés. La commande récupère automatiquement votre Compte AWS identifiant et votre région, puis configure la politique clé avec ces valeurs afin de garantir des contrôles d'accès appropriés entre Amazon FSx, Secrets Manager et la clé KMS. Assurez-vous que votre AWS CLI environnement se trouve dans la même région que le système de fichiers qui rejoindra Active Directory.

# Set region and get Account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)

# Create Key
KMS_KEY_ARN=$(aws kms create-key --policy "{
  \"Version\": \"2012-10-17\", 		 	 	 
  \"Statement\": [
    {
      \"Sid\": \"Enable IAM User Permissions\",
      \"Effect\": \"Allow\",
      \"Principal\": {
        \"AWS\": \"arn:aws:iam::$ACCOUNT_ID:root\"
      },
      \"Action\": \"kms:*\",
      \"Resource\": \"*\"
    },
    {
      \"Sid\": \"Allow FSx to use the KMS key\",
      \"Effect\": \"Allow\",
      \"Principal\": {
        \"Service\": \"fsx.amazonaws.com\"
      },
      \"Action\": [
        \"kms:Decrypt\",
        \"kms:DescribeKey\"
      ],
      \"Resource\": \"*\",
      \"Condition\": {
        \"StringEquals\": {
          \"kms:ViaService\": \"secretsmanager.$REGION.amazonaws.com\",
          \"aws:SourceAccount\": \"$ACCOUNT_ID\"
        },
        \"ArnLike\": {
          \"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\"
        }
      }
    }
  ]
}" --query 'KeyMetadata.Arn' --output text)

echo "KMS Key ARN: $KMS_KEY_ARN"
Note

Vous pouvez définir un contrôle d'accès plus précis en modifiant les aws:SourceArn champs Resource et pour cibler des secrets et des systèmes de fichiers spécifiques.

Étape 2 : créer un AWS Secrets Manager secret

Pour créer un secret permettant FSx à Amazon d'accéder à votre Active Directory, utilisez la AWS CLI commande create-secret et définissez les paramètres suivants :

  • --name: L'identifiant de votre secret.

  • --description: description de l'objectif du secret.

  • --kms-key-id: ARN de la clé KMS que vous avez créée à l'étape 1 pour chiffrer le secret au repos.

  • --secret-string: chaîne JSON contenant vos informations d'identification AD au format suivant :

    • CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME: le nom d'utilisateur de votre compte de service AD sans le préfixe de domaine, tel quesvc-fsx. Ne fournissez pas le préfixe de domaine, tel queCORP\svc-fsx.

    • CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD: le mot de passe de votre compte de service AD.

  • --region: L' Région AWS endroit où votre système de FSx fichiers Amazon sera créé. Par défaut, c'est la région que vous avez configurée si elle n'AWS_REGIONest pas définie.

Après avoir créé le secret, associez une politique de ressources à l'aide de la put-resource-policycommande et définissez les paramètres suivants :

  • --secret-id: nom ou ARN du secret auquel associer la politique. L'exemple suivant utilise FSxSecret comme--secret-id.

  • --region: Région AWS Identique à ton secret.

  • --resource-policy: document de politique JSON qui FSx autorise Amazon à accéder au secret. La politique doit inclure les éléments suivants :

    • Le principal du service pour Amazon FSx, qui estfsx.amazonaws.com.

    • Actions requises de Secrets Manager : secretsmanager:GetSecretValue etsecretsmanager:DescribeSecret.

    • Modèle d'ARN de ressources pour votre compte Région AWS et.

    • Les clés de condition suivantes qui limitent l'accès :

      • aws:SourceAccountpour vous limiter à votre compte.

      • aws:SourceArnpour se limiter à des systèmes de FSx fichiers Amazon spécifiques.

L'exemple suivant crée un secret au format requis et y joint une politique de ressources qui autorise Amazon FSx à utiliser le secret. Cet exemple récupère automatiquement votre Compte AWS identifiant et votre région, puis configure la politique de ressources avec ces valeurs afin de garantir des contrôles d'accès appropriés entre Amazon FSx et le secret.

Assurez-vous de le KMS_KEY_ARN remplacer par l'ARN de la clé que vous avez créée à l'étape 1 et par CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME les informations CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD d'identification de votre compte de service Active Directory. Vérifiez également que votre AWS CLI environnement est configuré pour la même région que le système de fichiers qui rejoindra Active Directory.

# Set region and get account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)

# Replace with your KMS key ARN from Step 1
KMS_KEY_ARN="arn:aws:kms:us-east-2:123456789012:key/1234542f-d114-555b-9ade-fec3c9200d8e"

# Replace with your Active Directory credentials
AD_USERNAME="Your_Username"  
AD_PASSWORD="Your_Password"

# Create the secret
SECRET_ARN=$(aws secretsmanager create-secret \
  --name "FSxSecret" \
  --description "Secret for FSx access" \
  --kms-key-id "$KMS_KEY_ARN" \
  --secret-string "{\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"$AD_USERNAME\",\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"$AD_PASSWORD\"}" \
  --region "$REGION" \
  --query 'ARN' \
  --output text)

echo "Secret created with ARN: $SECRET_ARN"

# Attach the resource policy with proper formatting
aws secretsmanager put-resource-policy \
  --secret-id "FSxSecret" \
  --region "$REGION" \
  --resource-policy "{
    \"Version\": \"2012-10-17\", 		 	 	 
    \"Statement\": [
      {
        \"Effect\": \"Allow\",
        \"Principal\": {
          \"Service\": \"fsx.amazonaws.com\"
        },
        \"Action\": [
          \"secretsmanager:GetSecretValue\",
          \"secretsmanager:DescribeSecret\"
        ],
        \"Resource\": \"$SECRET_ARN\",
        \"Condition\": {
          \"StringEquals\": {
            \"aws:SourceAccount\": \"$ACCOUNT_ID\"
          },
          \"ArnLike\": {
            \"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\"
          }
        }
      }
    ]
  }"

echo "Resource policy attached successfully"
Note

Vous pouvez définir un contrôle d'accès plus précis en modifiant les aws:SourceArn champs Resource et pour cibler des secrets et des systèmes de fichiers spécifiques.

Compte FSx de service Amazon

Les systèmes de FSx fichiers Amazon associés à un Active Directory autogéré nécessitent un compte de service valide pendant toute leur durée de vie. Amazon FSx utilise le compte de service pour gérer entièrement vos systèmes de fichiers et effectuer des tâches administratives qui nécessitent de dissocier et de joindre des objets informatiques à votre domaine Active Directory. Ces tâches incluent le remplacement d'un serveur de fichiers défaillant et l'application de correctifs au logiciel Microsoft Windows Server. Pour FSx qu'Amazon puisse effectuer ces tâches, le compte de FSx service Amazon doit disposer, au minimum, de l'ensemble des autorisations décrites dans la section qui lui est Autorisations relatives aux comptes de service déléguée.

Bien que les membres du groupe des administrateurs de domaine disposent de privilèges suffisants pour effectuer ces tâches, nous vous recommandons vivement d'utiliser un compte de service distinct pour déléguer les privilèges requis à Amazon FSx.

Pour plus d'informations sur la façon de déléguer des privilèges à l'aide des fonctionnalités de contrôle délégué ou de fonctionnalités avancées du composant logiciel enfichable Active Directory User and Computers MMC, consultez. Délégation d'autorisations au compte ou au FSx groupe de service Amazon

Si vous mettez à jour votre système de fichiers avec un nouveau compte de service, le nouveau compte de service doit disposer des autorisations et privilèges requis pour rejoindre votre Active Directory et des autorisations de contrôle total pour les objets informatiques existants associés au système de fichiers. Pour de plus amples informations, veuillez consulter Modifier le compte FSx de service Amazon.

Nous vous recommandons de stocker les informations d'identification de votre compte de service Active Directory AWS Secrets Manager pour renforcer la sécurité. Cela élimine le besoin de stocker les informations d'identification sensibles en texte clair et est conforme aux meilleures pratiques en matière de sécurité. Pour de plus amples informations, veuillez consulter Utilisation d'un Microsoft Active Directory autogéré.