Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Procedure consigliate per l'utilizzo di Active Directory
Ecco alcuni suggerimenti e linee guida da prendere in considerazione quando ti iscrivi ad Amazon FSx for NetApp ONTAP SVMs alla tua Microsoft Active Directory autogestita. Tieni presente che sono consigliate come best practice, ma non obbligatorie.
Argomenti
Delega delle autorizzazioni al tuo account di servizio Amazon FSx
Mantenere aggiornata la configurazione di Active Directory con Amazon FSx
Utilizzo di gruppi di sicurezza per limitare il traffico all'interno del VPC
Creazione di regole per i gruppi di sicurezza in uscita per l'interfaccia di rete del file system
Archiviazione delle credenziali di Active Directory utilizzando Gestione dei segreti AWS
Delega delle autorizzazioni al tuo account di servizio Amazon FSx
Assicurati di configurare l'account di servizio che fornisci ad Amazon FSx con le autorizzazioni minime richieste. Inoltre, separa l'unità organizzativa (OU) dagli altri problemi relativi ai controller di dominio.
Per aggiungere Amazon FSx SVMs al tuo dominio, assicurati che l'account del servizio disponga di autorizzazioni delegate. I membri del gruppo Domain Admins dispongono di autorizzazioni sufficienti per eseguire questa attività. Tuttavia, è consigliabile utilizzare un account di servizio che disponga solo delle autorizzazioni minime necessarie per eseguire questa operazione. La procedura seguente mostra come delegare al dominio solo le autorizzazioni necessarie FSx per iscriversi a SVMs ONTAP.
Esegui questa procedura su un computer che fa parte della tua directory e su cui è installato lo snap-in MMC Active Directory User and Computers.
Per creare un account di servizio per il dominio Microsoft Active Directory
Assicurati di aver effettuato l'accesso come amministratore di dominio per il tuo dominio Microsoft Active Directory.
-
Aprire lo snap-in MMC per utenti e computer di Active Directory.
Nel riquadro attività, espandere il nodo del dominio.
-
Individua e apri il menu contestuale (fai clic con il pulsante destro del mouse) per l'unità organizzativa che desideri modificare, quindi scegli Controllo delegato.
-
Nella pagina Delegation of Control Wizard, scegli Avanti.
-
Scegli Aggiungi per aggiungere un utente specifico o un gruppo specifico per Utenti e gruppi selezionati, quindi scegli Avanti.
-
Nella pagina Tasks to Delegate (Operazioni da delegare), selezionare Create a custom task to delegate (Crea un'operazione personalizzata per eseguire la delega), quindi scegliere Next (Avanti).
-
Scegli Solo i seguenti oggetti nella cartella, quindi scegli Oggetti del computer.
-
Scegliete Crea oggetti selezionati in questa cartella e Elimina gli oggetti selezionati in questa cartella. Quindi scegli Successivo.
-
In Mostra queste autorizzazioni, assicurati che siano selezionate Generale e Specifico della proprietà.
-
Per Autorizzazioni, scegli quanto segue:
-
Reimpostazione della password
-
Leggi e scrivi le restrizioni dell'account
-
Nome host DNS di scrittura convalidato
-
Nome principale del servizio di scrittura convalidato
Scrivi MSDs- SupportedEncryptionTypes
-
-
Scegli Next (Avanti), quindi scegli Finish (Fine).
-
Chiudere lo snap-in MMC Utente e computer di Active Directory.
Importante
Non spostare oggetti informatici che Amazon FSx crea nell'unità organizzativa dopo la creazione SVMs dei tuoi. In questo modo potresti non SVMs essere configurato correttamente.
Mantenere aggiornata la configurazione di Active Directory con Amazon FSx
Per una disponibilità ininterrotta di Amazon FSx SVMs, aggiorna la configurazione Active Directory (AD) autogestita di una SVM quando modifichi la configurazione di AD autogestita.
Ad esempio, supponiamo che il tuo AD utilizzi una politica di reimpostazione della password basata sul tempo. In questo caso, non appena la password viene reimpostata, assicurati di aggiornare la password dell'account del servizio con Amazon FSx. A tale scopo, utilizza la FSx console Amazon, FSx l'API Amazon o AWS CLI. Allo stesso modo, se gli indirizzi IP del server DNS cambiano per il tuo dominio Active Directory, non appena si verifica la modifica aggiorna gli indirizzi IP del server DNS con Amazon. FSx
Se c'è un problema con la configurazione AD autogestita aggiornata, lo stato SVM passa a Misconfiguration. Questo stato mostra un messaggio di errore e un'azione consigliata accanto alla descrizione SVM nella console, nell'API e nella CLI. Se si verifica un problema con la configurazione AD della SVM, assicuratevi di intraprendere le azioni correttive consigliate per le proprietà di configurazione. Se il problema viene risolto, verificate che lo stato della SVM cambi in Created.
Per ulteriori informazioni, consultare Aggiornamento delle configurazioni SVM Active Directory esistenti utilizzando l'API Console di gestione AWS, e AWS CLI e Modificare una configurazione di Active Directory utilizzando la CLI ONTAP.
Utilizzo di gruppi di sicurezza per limitare il traffico all'interno del VPC
Per limitare il traffico di rete nel tuo cloud privato virtuale (VPC), puoi implementare il principio del privilegio minimo nel tuo VPC. In altre parole, puoi limitare le autorizzazioni al minimo necessario. A tale scopo, utilizzate le regole del gruppo di sicurezza. Per ulteriori informazioni, consulta Gruppi di sicurezza Amazon VPC.
Creazione di regole per i gruppi di sicurezza in uscita per l'interfaccia di rete del file system
Per una maggiore sicurezza, prendi in considerazione la configurazione di un gruppo di sicurezza con regole del traffico in uscita. Queste regole dovrebbero consentire il traffico in uscita solo verso i controller dei domini AD autogestiti o all'interno della sottorete o del gruppo di sicurezza. Applica questo gruppo di sicurezza al VPC associato all'interfaccia di rete elastica del tuo FSx file system Amazon. Per ulteriori informazioni, consulta Controllo degli accessi ai file system con Amazon VPC.
Archiviazione delle credenziali di Active Directory utilizzando Gestione dei segreti AWS
È possibile utilizzarlo per Gestione dei segreti AWS archiviare e gestire in modo sicuro le credenziali dell'account del servizio di accesso al dominio Microsoft Active Directory. Questo approccio elimina la necessità di archiviare credenziali sensibili in testo semplice nel codice dell'applicazione o nei file di configurazione, rafforzando il livello di sicurezza.
Puoi anche configurare le policy IAM per gestire l'accesso ai tuoi segreti e impostare policy di rotazione automatica per le tue password.
Passaggio 1: creare una chiave KMS
Crea una chiave KMS per crittografare e decrittografare le credenziali di Active Directory in Secrets Manager.
Come creare una chiave
Nota
Per la chiave di crittografia, crea una nuova chiave, non utilizzare la chiave KMS predefinita. AWS Assicurati di crearla AWS KMS key nella stessa regione che contiene la SVM a cui desideri aggiungere ad Active Directory.
Apri la AWS KMS console in /kms. https://console.aws.amazon.com
-
Scegli Crea chiave.
-
In Tipo di chiave, scegli Simmetrica.
-
In Utilizzo delle chiavi, scegli Crittografa e decrittografa.
-
Per le opzioni avanzate, procedi come segue:
-
In Origine materiale chiave, scegli KMS.
-
Per Regionalità, scegli la chiave Single-Region e scegli Avanti.
-
-
Scegli Next (Successivo).
-
In Alias, fornisci un nome per la chiave KMS.
-
(Facoltativo) In Descrizione, immetti una descrizione per la chiave KMS.
-
(Facoltativo) Per i tag, fornisci un tag per la chiave KMS e scegli Avanti.
-
(Facoltativo) Per gli amministratori chiave, fornisci gli utenti e i ruoli IAM autorizzati a gestire questa chiave.
-
Per l'eliminazione della chiave, mantieni selezionata la casella Consenti agli amministratori chiave di eliminare questa chiave e scegli Avanti.
-
(Facoltativo) Per gli utenti chiave, fornisci gli utenti e i ruoli IAM autorizzati a utilizzare questa chiave nelle operazioni crittografiche. Scegli Next (Successivo).
-
Per Politica chiave, scegli Modifica e includi quanto segue nella dichiarazione sulla politica per consentire FSx ad Amazon di utilizzare la chiave KMS e scegli Avanti. Assicurati di
us-west-2sostituirlo nel Regione AWS luogo in cui è distribuito il file system e nel tuo123456789012Account AWS ID.{ "Sid": "Allow FSx to use the KMS key", "Version": "2012-10-17", "Effect": "Allow", "Principal": { "Service": "fsx.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key:*", "Condition": { "StringEquals": { "kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*", "kms:ViaService": "secretsmanager.us-west-2.amazonaws.com", "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:fsx:us-west-2:123456789012:file-system/*", "arn:aws:fsx:us-west-2:123456789012:storage-virtual-machine/fs-*/svm-*" ] } } } -
Scegli Fine.
Nota
Puoi impostare un controllo degli accessi più granulare modificando aws:SourceArn i campi Resource e in modo da indirizzarli a segreti e file system specifici.
Fase 2: Creare un segreto Gestione dei segreti AWS
Per creare un segreto
-
Apri la console Secrets Manager all'indirizzo https://console.aws.amazon.com/secretsmanager/
. -
Scegli Archivia un nuovo segreto.
-
Per Secret type (Tipo di segreto), scegli Other type of secret (Altro tipo di segreto).
-
Per le coppie chiave/valore, effettuate le seguenti operazioni per aggiungere le due chiavi:
-
Per la prima chiave, immetti
CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME. -
Per il valore della prima chiave, immetti solo il nome utente (senza il prefisso di dominio) dell’utente AD.
-
Per la seconda chiave, immetti
CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD. -
Per il valore della seconda chiave, immetti la password creata per l'utente AD nel dominio.
-
-
Per Chiave di crittografia, inserisci l'ARN della chiave KMS che hai creato in un passaggio precedente e scegli Avanti.
-
In Nome del segreto, inserisci un nome descrittivo che semplifichi l'individuazione del segreto in un secondo momento.
-
(Facoltativo) In Descrizione, inserisci una descrizione per il nome del segreto.
-
Per l'autorizzazione della risorsa, scegli Modifica.
Aggiungi la seguente politica alla politica di autorizzazione per consentire FSx ad Amazon di utilizzare il segreto, quindi scegli Avanti. Assicurati di
us-west-2sostituirlo nel Regione AWS luogo in cui è distribuito il file system e123456789012nel tuo Account AWS ID.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "fsx.amazonaws.com" }, "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:fsx:us-west-2:123456789012:file-system/*", "arn:aws:fsx:us-west-2:123456789012:storage-virtual-machine/fs-*/svm-*" ] } } } ] } -
(Facoltativo) È possibile configurare Secrets Manager per ruotare automaticamente le credenziali. Scegli Next (Successivo).
-
Scegli Fine.
Fase 1: Creare una chiave KMS
Crea una chiave KMS per crittografare e decrittografare le credenziali di Active Directory in Secrets Manager.
Per creare una chiave KMS, usa il comando create-key. AWS CLI
In questo comando, imposta il --policy parametro per specificare la politica chiave che definisce le autorizzazioni per la chiave KMS. La politica deve includere quanto segue:
-
Il principale servizio per Amazon FSx, che è
fsx.amazonaws.com. -
Azioni KMS richieste:
kms:Decryptekms:DescribeKey. -
Schema ARN delle risorse per il tuo account Regione AWS .
-
Chiavi condizionali che limitano l'utilizzo delle chiavi:
-
kms:ViaServiceper garantire che le richieste arrivino tramite Secrets Manager. -
aws:SourceAccountda limitare al tuo account. -
aws:SourceArnper limitarsi a specifici FSx file system Amazon.
-
L'esempio seguente crea una chiave KMS di crittografia simmetrica con una politica che consente ad Amazon FSx di utilizzare la chiave per le operazioni di decrittografia e descrizione delle chiavi. Il comando recupera automaticamente l' Account AWS ID e la regione, quindi configura la politica delle chiavi con questi valori per garantire controlli di accesso adeguati tra Amazon FSx, Secrets Manager e la chiave KMS. Assicurati che il tuo AWS CLI ambiente si trovi nella stessa regione della SVM che entrerà a far parte di Active Directory.
# Set region and get Account ID REGION=${AWS_REGION:-$(aws configure get region)} ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text) # Create Key KMS_KEY_ARN=$(aws kms create-key --policy "{ \"Version\": \"2012-10-17\", \"Statement\": [ { \"Sid\": \"Enable IAM User Permissions\", \"Effect\": \"Allow\", \"Principal\": { \"AWS\": \"arn:aws:iam::$ACCOUNT_ID:root\" }, \"Action\": \"kms:*\", \"Resource\": \"*\" }, { \"Sid\": \"Allow FSx to use the KMS key\", \"Effect\": \"Allow\", \"Principal\": { \"Service\": \"fsx.amazonaws.com\" }, \"Action\": [ \"kms:Decrypt\", \"kms:DescribeKey\" ], \"Resource\": \"*\", \"Condition\": { \"StringEquals\": { \"kms:ViaService\": \"secretsmanager.$REGION.amazonaws.com\", \"aws:SourceAccount\": \"$ACCOUNT_ID\" }, \"ArnLike\": { \"aws:SourceArn\": [ \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\", \"arn:aws:fsx:$REGION:$ACCOUNT_ID:storage-virtual-machine/fs-*/svm-*\"] } } } ] }" --query 'KeyMetadata.Arn' --output text) echo "KMS Key ARN: $KMS_KEY_ARN"
Nota
È possibile impostare un controllo degli accessi più granulare modificando aws:SourceArn i campi Resource and in modo da indirizzarli a segreti e file system specifici.
Fase 2: Creare un segreto Gestione dei segreti AWS
Per creare un codice segreto per consentire FSx ad Amazon di accedere al tuo Active Directory, usa il AWS CLI comando create-secret e imposta i seguenti parametri:
-
--name: L'identificatore del tuo segreto. -
--description: Una descrizione dello scopo del segreto. -
--kms-key-id: L'ARN della chiave KMS che hai creato nel passaggio 1 per crittografare il segreto inattivo. -
--secret-string: Una stringa JSON contenente le tue credenziali AD nel seguente formato:-
CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME: nome utente dell'account del servizio AD senza il prefisso del dominio, ad esempio.svc-fsxNon fornire il prefisso del dominio, ad esempio.CORP\svc-fsx -
CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD: la password dell'account del servizio AD
-
-
--region: Il Regione AWS luogo in cui verrà creato il tuo SVM. Se non è impostata, l'impostazione predefinitaAWS_REGIONè la regione configurata.
Dopo aver creato il segreto, allega una politica delle risorse utilizzando il put-resource-policycomando e imposta i seguenti parametri:
-
--secret-id: il nome o l'ARN del segreto a cui allegare la policy. L'esempio seguente utilizzaFSxSecretcome.--secret-id -
--region: Uguale Regione AWS al tuo segreto. -
--resource-policy: un documento di policy JSON che concede ad Amazon FSx l'autorizzazione ad accedere al segreto. La politica deve includere quanto segue:-
Il principale servizio per Amazon FSx, che è
fsx.amazonaws.com. -
Azioni richieste di Secrets Manager:
secretsmanager:GetSecretValueesecretsmanager:DescribeSecret. -
Schema ARN delle risorse per il tuo account Regione AWS .
-
Le seguenti chiavi condizionali che limitano l'accesso:
-
aws:SourceAccountda limitare al tuo account. -
aws:SourceArnper limitarsi a specifici FSx file system Amazon.
-
-
L'esempio seguente crea un segreto con il formato richiesto e allega una politica delle risorse che consente FSx ad Amazon di utilizzare il segreto. Questo esempio recupera automaticamente il tuo Account AWS ID e la tua regione, quindi configura la politica delle risorse con questi valori per garantire controlli di accesso adeguati tra Amazon FSx e il segreto.
Assicurati di sostituirlo KMS_KEY_ARN con l'ARN della chiave creata nel passaggio 1 e CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD con le credenziali CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME dell'account del servizio Active Directory. Inoltre, verificate che l' AWS CLI ambiente sia configurato per la stessa regione della SVM che entrerà a far parte di Active Directory.
# Set region and get account ID REGION=${AWS_REGION:-$(aws configure get region)} ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text) # Replace with your KMS key ARN from Step 1 KMS_KEY_ARN="arn:aws:kms:us-east-2:123456789012:key/1234542f-d114-555b-9ade-fec3c9200d8e" # Replace with your Active Directory credentials AD_USERNAME="Your_Username" AD_PASSWORD="Your_Password" # Create the secret SECRET_ARN=$(aws secretsmanager create-secret \ --name "FSxSecret" \ --description "Secret for FSx access" \ --kms-key-id "$KMS_KEY_ARN" \ --secret-string "{\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"$AD_USERNAME\",\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"$AD_PASSWORD\"}" \ --region "$REGION" \ --query 'ARN' \ --output text) echo "Secret created with ARN: $SECRET_ARN" # Attach the resource policy with proper formatting aws secretsmanager put-resource-policy \ --secret-id "FSxSecret" \ --region "$REGION" \ --resource-policy "{ \"Version\": \"2012-10-17\", \"Statement\": [ { \"Effect\": \"Allow\", \"Principal\": { \"Service\": \"fsx.amazonaws.com\" }, \"Action\": [ \"secretsmanager:GetSecretValue\", \"secretsmanager:DescribeSecret\" ], \"Resource\": \"$SECRET_ARN\", \"Condition\": { \"StringEquals\": { \"aws:SourceAccount\": \"$ACCOUNT_ID\" }, \"ArnLike\": { \"aws:SourceArn\": [ \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\", \"arn:aws:fsx:$REGION:$ACCOUNT_ID:storage-virtual-machine/fs-*/svm-*\"] } } } ] }" echo "Resource policy attached successfully"
Nota
È possibile impostare un controllo degli accessi più granulare modificando aws:SourceArn i campi Resource and in modo da indirizzarli a segreti e file system specifici.
