Configuración de Active Directory autoadministrado - Amazon Relational Database Service
Paso 1: Crear una unidad organizativa en el ADPaso 2: creación de una cuenta de servicio de dominio de AD en el AD.Paso 3: delegación del control a la cuenta de servicio de dominio de ADPaso 4: Cree una clave de AWS KMS.Paso 5: Cree un secreto de AWS.

Configuración de Active Directory autoadministrado

Para configurar un AD autoadministrado, siga estos pasos.

Paso 1: Crear una unidad organizativa en el AD

importante

Se recomienda crear una credencial de servicio y una OU dedicadas a esa unidad organizativa para todas las cuentas de AWS que posean una instancia de base de datos de RDS para SQL Server que se haya unido a su dominio de AD autoadministrado. Al crear credenciales de servicio u OU dedicadas, puede evitar conflictos de permisos y seguir el principio de privilegio mínimo.

Para crear una OU en su AD

  1. Conéctese a su dominio de AD como administrador de dominio.

  2. Abra Usuarios y equipos de Active Directory y seleccione el dominio en el que desea crear la OU.

  3. Haga clic con el botón derecho en el dominio y seleccione Nuevo y, a continuación, Unidad organizativa.

  4. Escriba un nombre para la OU.

  5. Mantenga la casilla seleccionada para Proteger el contenedor contra la eliminación accidental.

  6. Haga clic en OK (Aceptar). La nueva OU aparecerá en su dominio.

Paso 2: creación de una cuenta de servicio de dominio de AD en el AD

Las credenciales de la cuenta de servicio de dominio se utilizarán para el secreto en AWS Secrets Manager.

Creación de una cuenta de servicio de dominio de AD en el AD

  1. Abra Usuarios y equipos de Active Directory y seleccione el dominio y la OU  en los que desea crear el usuario.

  2. Haga clic con el botón derecho en el objeto Usuarios y seleccione Nuevo y, a continuación, Usuario.

  3. Introduzca el nombre, los apellidos y el nombre de inicio de sesión del usuario. Haga clic en Next (Siguiente).

  4. Introduzca una contraseña para el usuario. No seleccione El usuario debe cambiar la contraseña en el próximo inicio de sesión. No seleccione La cuenta está deshabilitada. Haga clic en Next (Siguiente).

  5. Haga clic en OK (Aceptar). El nuevo usuario aparecerá en su dominio.

Paso 3: delegación del control a la cuenta de servicio de dominio de AD

Delegación del control a la cuenta de servicio de dominio de AD en el dominio

  1. Abra el complemento MMC Usuarios y equipos de Active Directory y seleccione el dominio en el que desea crear el usuario.

  2. Haga clic con el botón derecho en la OU que creó anteriormente y seleccione Delegar control.

  3. En Asistente para delegación de control, haga clic en Siguiente.

  4. En la sección Usuarios o grupos, haga clic en Agregar.

  5. En la sección Seleccionar usuarios, equipos o grupos, ingrese la cuenta de servicio de dominio de AD que creó y haga clic en Verificar nombres. Si la comprobación de la cuenta de servicio de dominio de AD se ha realizado correctamente, haga clic en Aceptar.

  6. En la sección Usuarios o grupos, confirme que se ha agregado la cuenta de servicio de dominio de AD y haga clic en Siguiente.

  7. En la página Tareas que se delegarán, seleccione Crear una tarea personalizada para delegar y haga clic en Siguiente.

  8. En la sección Tipo de objeto de Active Directory:

    1. Elija Solo los siguientes objetos de la carpeta.

    2. Seleccione Objetos computacionales.

    3. Seleccione Crear objetos seleccionados en esta carpeta.

    4. Seleccione Eliminar los objetos seleccionados en esta carpeta y haga clic en Siguiente.

  9. En la sección Permisos:

    1. Mantenga seleccionada la opción General.

    2. Seleccione Escritura validada en el nombre de host DNS.

    3. Seleccione Escritura validada en el nombre de la entidad de servicio y haga clic en Siguiente.

    4. Para habilitar la autenticación Kerberos, mantenga seleccionado Property-specific y seleccione Escribir servicePrincipalName de la lista.

  10. Para Completar el asistente para delegación de control, revise y confirme la configuración y haga clic en Finalizar.

  11. Para la autenticación Kerberos, abra el Administrador de DNS y abra las propiedades del Servidor.

    1. En el cuadro de diálogo de Windows, escriba dnsmgmt.msc.

    2. Agregue la cuenta de servicio de dominio de AD en la pestaña Seguridad.

    3. Seleccione el permiso de lectura y aplique los cambios.

Paso 4: Crear una clave de AWS KMS

La clave de KMS se utiliza para cifrar el secreto de AWS.

Para crear una clave de AWS KMS
nota

En Clave de cifrado, no utilice la clave de KMS predeterminada de AWS. Asegúrese de crear la clave de AWS KMS en la misma cuenta de AWS que contiene la instancia de base de datos de RDS para SQL Server que desea unir a su AD autoadministrado.

  1. En la consola de AWS KMS, elija Crear API.

  2. En Tipo de clave, elija Simétrica.

  3. Para Uso de claves, elija Cifrar y descifrar.

  4. Para Advanced options (Opciones avanzadas):

    1. En Origen del material de claves, elija Externo.

    2. Para Regionalidad, elija Clave de región única y haga clic en Siguiente.

  5. Para Alias, proporcione un nombre para la clave de KMS.

  6. (Opcional) En Description, proporcione una descripción de la clave de KMS.

  7. (Opcional) En etiquetas, introduzca una etiqueta para la clave KMS, y haga clic en Siguiente.

  8. En Administradores de claves, proporcione el nombre de un usuario de IAM y selecciónelo.

  9. En Eliminación de la clave, mantenga seleccionada la casilla Permitir que los administradores de claves eliminen esta clave y haga clic en Siguiente.

  10. En Usuarios de clave, proporcione el mismo usuario de IAM del paso anterior y selecciónelo. Haga clic en Next (Siguiente).

  11. Revise la configuración.

  12. Para Política de claves, incluya lo siguiente en la política Instrucción:

    {
    "Sid": "Allow use of the KMS key on behalf of RDS",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "rds.amazonaws.com"
        ]
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}

  13. Haga clic en Finish (Finalizar).

Paso 5: Crear un secreto de AWS

Creación de un secreto
nota

Asegúrese de crear la clave de en la misma cuenta de AWS que contiene la instancia de base de datos de RDS para SQL Server que desea unir a su AD autoadministrado.

  1. En AWS Secrets Manager, elija Almacenar un nuevo secreto.

  2. En Secret type (Tipo de secreto), elija Other type of secret (Otro tipo de secreto).

  3. En los pares clave/valor, añada sus dos claves:

    1. Para la primera clave, introduzca  SELF_MANAGED_ACTIVE_DIRECTORY_USERNAME.

    2. Para el valor de la primera clave, ingrese solo el nombre de usuario (sin el prefijo de dominio) del usuario de AD. No incluya el nombre de dominio, ya que esto provocará un error en la creación de la instancia.

    3. Para la segunda clave, introduzca  SELF_MANAGED_ACTIVE_DIRECTORY_PASSWORD.

    4. Para el valor de la segunda clave, introduzca la contraseña que creó para el usuario de AD en su dominio.

  4. Para la Clave de cifrado, introduzca la clave de KMS que creó en el paso anterior y haga clic en Siguiente.

  5. En Nombre de secreto, introduzca un nombre descriptivo que le ayude a buscar el secreto más adelante.

  6. (Opcional) En Descripción, escriba una descripción del nombre del secreto.

  7. En Permisos de recursos, haga clic en Editar.

  8. Añada la siguiente política a la política de permisos:

    nota

    Le recomendamos que utilice la aws:sourceAccount y las condiciones aws:sourceArn de la política para evitar el problema del suplente confuso. Utilice su Cuenta de AWS para aws:sourceAccount y el ARN de la instancia de base de datos de RDS para SQL Server para aws:sourceArn. Para obtener más información, consulte Prevención de los problemas del suplente confuso entre servicios.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement":
    [
        {
            "Effect": "Allow",
            "Principal":
            {
                "Service": "rds.amazonaws.com"
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "aws:sourceAccount": "123456789012"
                },
                "ArnLike":
                {
                    "aws:sourceArn": "arn:aws:rds:us-west-2:123456789012:db:*"
                }
            }
        }
    ]
}

  9. Haz clic en Guardar y, a continuación, en Siguiente.

  10. En Configurar los ajustes de rotación, mantenga los valores predeterminados y seleccione Siguiente.

  11. Revise la configuración del secreto y haga clic en Guardar.

  12. Elija el secreto que creó y copie el valor del ARN del secreto. Esto se utilizará en el siguiente paso para configurar Active Directory autoadministrado.