Prácticas recomendadas para trabajar con Oracle - FSx para ONTAP
Delegación de privilegios a la cuenta de servicio Amazon FSxMantenga actualizada la configuración de ADLimitar el tráfico dentro de una VPC con grupos de seguridadCreación de reglas de grupos de seguridad de salidaAlmacenamiento de credenciales de Active Directory mediante AWS Secrets Manager

Prácticas recomendadas para trabajar con Oracle

A continuación, se incluyen algunas sugerencias y directrices que debe tener en cuenta a la hora de unir las SVM de Amazon FSx para NetApp ONTAP a su Microsoft Active Directory autogestionado. Tenga en cuenta que se recomiendan como prácticas recomendadas, pero no son obligatorias.

Delegación de privilegios a la cuenta de servicio Amazon FSx

Asegúrese de configurar la cuenta de servicio que proporciona a Amazon FSx con los permisos mínimos requeridos. Además, separe la unidad organizativa (OU) de otras cuestiones relacionadas con el controlador de dominio.

Para unir las SVM de Amazon FSx a su dominio, asegúrese de que la cuenta de servicio tenga permisos delegados. Los miembros del grupo de Administradores de dominio tienen permisos suficientes para realizar esta tarea. Sin embargo, como práctica recomendada, utilice una cuenta de servicio que solo tenga los permisos mínimos necesarios para hacerlo. El siguiente procedimiento muestra cómo delegar solo los permisos necesarios para unir FSx for ONTAP SVM a su dominio.

Realice este procedimiento en un equipo que esté unido a su directorio y que tenga instalado el complemento MMC Usuarios y equipos de Active Directory.

Cómo crear una cuenta de servicio para el dominio de Microsoft Active Directory

  1. Procure haber iniciado sesión como administrador de dominio del dominio del Microsoft Active Directory.

  2. Abra el complemento MMC Usuarios y equipos del Active Directory.

  3. En el panel de tareas, expanda el nodo del dominio.

  4. Busque y abra el menú contextual (botón derecho) de la unidad organizativa que quiera modificar y, a continuación, elija Delegate Control (Delegar control).

  5. En la página Delegation of Control Wizard (Asistente de delegación de control), elija Next (Siguiente).

  6. Elija Add (Agregar) para agregar un usuario específico o un grupo específico para los usuarios y grupos seleccionados y, a continuación, elija Next (Siguiente).

  7. En la página Tareas que se delegarán, elija Crear una tarea personalizada para delegar y luego elija Siguiente.

  8. Elija Only the following objects in the folder (Sólo los siguientes objetos en la carpeta) y, a continuación, seleccione Computer objects (Objetos de equipo).

  9. Elija Create selected objects in this folder (Crear los objetos seleccionados en esta carpeta) y Delete selected objects in this folder (Eliminar los objetos seleccionados en esta carpeta). A continuación, elija Siguiente.

  10. En Mostrar estos permisos, procure seleccionar General y Específico de propiedad.

  11. Para los Permisos, elija lo siguiente:

    • Restablecer contraseña

    • Leer y escribir las restricciones de la cuenta

    • Escritura validada en el nombre de host DNS

    • Escritura validada en el nombre de entidad principal del servicio

    • Escriba msDS-SupportedEncryptionTypes

  12. Elija Siguiente y, a continuación, elija Finalizar.

  13. Cierre el complemento MMC Usuarios y equipos del Active Directory.

importante

No mueva los objetos informáticos que Amazon FSx crea en la OU después de la creación de sus SVMs. Si lo hace, las SVM se desconfigurarán.

Mantener la configuración del Active Directory actualizada con Amazon FSx

Para una disponibilidad ininterrumpida de sus SVM de Amazon FSx, actualice la configuración de Active Directory (AD) autogestionada de una SVM cuando cambie la configuración de AD autogestionada.

Por ejemplo, suponga que su AD utiliza una política de restablecimiento de contraseñas basada en el tiempo. En este caso, tan pronto como se restablezca la contraseña, asegúrese de actualizar la contraseña de la cuenta de servicio con Amazon FSx. Para ello, utilice la consola Amazon FSx, la API de Amazon FSx o la AWS CLI. Del mismo modo, si las direcciones IP del servidor DNS cambian para su dominio de Active Directory, en cuanto se produzca el cambio actualice las direcciones IP del servidor DNS con Amazon FSx.

Si hay un problema con la configuración AD autogestionada actualizada, el estado SVM cambia a Misconfigured (Desconfigurado). Este estado muestra un mensaje de error y una acción recomendada junto a la descripción de la SVM en la consola, la API y la CLI. Si se produce un problema con la configuración de AD de su SVM, asegúrese de tomar las medidas correctivas recomendadas para las propiedades de configuración. Si el problema se ha resuelto, compruebe que el estado de su SVM cambie a Created (Creado).

Para obtener más información, consulte Actualización de configuraciones de la SVM existente del Active Directory mediante la Consola de administración de AWS, la AWS CLI y la API y Modificar una configuración de Active Directory mediante la CLI de ONTAP.

Uso de grupos de seguridad para limitar el tráfico dentro de la VPC

Para limitar el tráfico de red en la nube privada virtual (VPC), puede implementar el principio del privilegio mínimo en la VPC. En otras palabras, puedes limitar los permisos al mínimo necesario. Para ello, utilice las reglas de los grupos de seguridad. Para obtener más información, consulte Grupos de seguridad de Amazon VPC.

Crear reglas de grupos de seguridad salientes para la interfaz de red del sistema de archivos

Para mayor seguridad, considere la posibilidad de configurar un grupo de seguridad con reglas de tráfico saliente. Estas reglas deben permitir el tráfico saliente sólo a sus controladores de dominios AD autogestionados o dentro de la subred o grupo de seguridad. Aplique este grupo de seguridad a la VPC asociada con la interfaz de red elástica del sistema de archivos Amazon FSx. Para obtener más información, consulte Control de acceso al sistema de archivos con Amazon VPC.

Almacenamiento de credenciales de Active Directory mediante AWS Secrets Manager

Puede usar AWS Secrets Manager para almacenar y administrar de forma segura las credenciales de su cuenta de servicio de unión a dominios de Microsoft Active Directory. Este enfoque elimina la necesidad de almacenar las credenciales confidenciales en texto plano en el código de la aplicación o en los archivos de configuración, lo que refuerza su postura de seguridad.

También puede configurar políticas de IAM para administrar el acceso a sus datos secretos y establecer políticas de rotación automática para sus contraseñas.

Paso 1: crear una clave de KMS

Cree una clave de KMS para cifrar y descifrar las credenciales de Active Directory en Secrets Manager.

Creación de una clave
nota

En Clave de cifrado, cree una clave nueva, no utilice la clave de KMS predeterminada de AWS. Asegúrese de crear AWS KMS key en la misma región de que contiene el sistema de archivos que desea unir a Active Directory.

  1. Abra la consola de AWS KMS en https://console.aws.amazon.com/kms.

  2. Elija Crear clave.

  3. En Tipo de clave, elija Simétrica.

  4. Para Uso de claves, elija Cifrar y descifrar.

  5. En Opciones avanzadas, realice lo siguiente:

    1. En Origen del material de claves, elija Externo.

    2. Para Regionalidad, elija Clave de región única y seleccione Siguiente.

  6. Elija Siguiente.

  7. Para Alias, proporcione un nombre para la clave de KMS.

  8. (Opcional) En Description, proporcione una descripción de la clave de KMS.

  9. (Opcional) En Etiquetas, introduzca una etiqueta para la clave de KMS y seleccione Siguiente.

  10. (Opcional) Para los Administradores de claves, indique los usuarios y roles de IAM autorizados para administrar esta clave.

  11. En Eliminación de la clave, mantenga seleccionada la casilla Permitir que los administradores de claves eliminen esta clave y seleccione Siguiente.

  12. (Opcional) En el caso de los Usuarios clave, indique los usuarios y roles de IAM autorizados a utilizar esta clave en las operaciones criptográficas. Elija Siguiente.

  13. En Política de claves, seleccione Editar e incluya lo siguiente en la Declaración de política para permitir que Amazon FSx utilice la clave de KMS y seleccione Siguiente. Asegúrese de sustituir el us-west-2 por el Región de AWS donde está desplegado el sistema de archivos y 123456789012 por el Cuenta de AWS de su ID.

    {
    "Sid": "Allow FSx to use the KMS key",
    "Version": "2012-10-17", 		 	 	 
    "Effect": "Allow",
    "Principal": {
        "Service": "fsx.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
    ],
    "Resource": "arn:aws:kms:us-west-2:123456789012:key:*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*",
            "kms:ViaService": "secretsmanager.us-west-2.amazonaws.com",
            "aws:SourceAccount": "123456789012"
        },
        "ArnLike": {
            "aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*"
        }
    }
}

  14. Seleccione Finalizar.

nota

Puede establecer un control de acceso más detallado modificando los campos Resource y aws:SourceArn para que se dirijan a secretos y sistemas de archivos específicos.

Paso 2: crear un secreto de AWS Secrets Manager

Creación de un secreto

  1. Abra la consola de Secrets Manager enhttps://console.aws.amazon.com/secretsmanager/.

  2. Elija Almacenar un secreto nuevo.

  3. En Secret type (Tipo de secreto), elija Other type of secret (Otro tipo de secreto).

  4. En los Pares clave/valor, haga lo siguiente para añadir sus dos claves:

    1. Para la primera clave, introduzca CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME.

    2. Para el valor de la primera clave, ingrese solo el nombre de usuario (sin el prefijo de dominio) del usuario de AD.

    3. Para la segunda clave, introduzca CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD.

    4. Para el valor de la segunda clave, introduzca la contraseña que creó para el usuario de AD en su dominio.

  5. Para la Clave de cifrado, introduzca el ARN del KMS que creó en el paso anterior y haga clic en Siguiente.

  6. En Nombre de secreto, introduzca un nombre descriptivo que le ayude a buscar el secreto más adelante.

  7. (Opcional) En Descripción, escriba una descripción del nombre del secreto.

  8. En Permisos de recursos, seleccione Editar.

    Añada la siguiente política a la política de permisos para permitir que Amazon FSx utilice el secreto y, a continuación, seleccione Siguiente. Asegúrese de sustituir el us-west-2 por el Región de AWS donde está desplegado el sistema de archivos y 123456789012 por el Cuenta de AWS de su ID.

    {
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "fsx.amazonaws.com"
            },
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*"
                }
            }
        }
    ]
}

  9. (Opcional) Puede configurar Secrets Manager para que rote sus credenciales automáticamente. Elija Siguiente.

  10. Seleccione Finalizar.

Paso 1: crear una clave de KMS

Cree una clave de KMS para cifrar y descifrar las credenciales de Active Directory en Secrets Manager.

Para crear una clave de KMS, utilice el comando de AWS CLI create-key.

En este comando, defina el parámetro de --policy para especificar la política de claves que define los permisos para la clave de KMS. La política debe incluir lo siguiente:

  • La entidad principal de servicio de Amazon FSx, que es fsx.amazonaws.com.

  • Acciones de KMS obligatorias: kms:Decrypt y kms:DescribeKey.

  • El patrón de ARN de recursos para su Región de AWS y cuenta.

  • Claves de condición que restringen el uso de las claves:

    • kms:ViaService para garantizar que las solicitudes lleguen a través de Secrets Manager

    • aws:SourceAccount para limitarlo a su cuenta

    • aws:SourceArn para restringirlo a sistemas de archivos Amazon FSx específicos

En el siguiente ejemplo, se crea una clave de KMS de cifrado simétrico con una política que permite a Amazon FSx usarla para operaciones de descifrado y descripción de claves. El comando recupera automáticamente su ID y región de Cuenta de AWS y, a continuación, configura la política de claves con estos valores para garantizar los controles de acceso adecuados entre Amazon FSx, Secrets Manager y la clave de KMS. Asegúrese de que su entorno de AWS CLI esté en la misma región que la SVM que se unirá a Active Directory.

# Set region and get Account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)

# Create Key
KMS_KEY_ARN=$(aws kms create-key --policy "{
  \"Version\": \"2012-10-17\", 		 	 	 
  \"Statement\": [
    {
      \"Sid\": \"Enable IAM User Permissions\",
      \"Effect\": \"Allow\",
      \"Principal\": {
        \"AWS\": \"arn:aws:iam::$ACCOUNT_ID:root\"
      },
      \"Action\": \"kms:*\",
      \"Resource\": \"*\"
    },
    {
      \"Sid\": \"Allow FSx to use the KMS key\",
      \"Effect\": \"Allow\",
      \"Principal\": {
        \"Service\": \"fsx.amazonaws.com\"
      },
      \"Action\": [
        \"kms:Decrypt\",
        \"kms:DescribeKey\"
      ],
      \"Resource\": \"*\",
      \"Condition\": {
        \"StringEquals\": {
          \"kms:ViaService\": \"secretsmanager.$REGION.amazonaws.com\",
          \"aws:SourceAccount\": \"$ACCOUNT_ID\"
        },
        \"ArnLike\": {
          \"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\"
        }
      }
    }
  ]
}" --query 'KeyMetadata.Arn' --output text)

echo "KMS Key ARN: $KMS_KEY_ARN"
nota

Puede establecer un control de acceso más detallado modificando los campos Resource y aws:SourceArn para que se dirijan a secretos y sistemas de archivos específicos.

Paso 2: crear un secreto de AWS Secrets Manager

Para crear un secreto para que Amazon FSx pueda acceder a Active Directory, utilice el comando create-secret de AWS CLI y defina los siguientes parámetros:

  • --name: el identificador de su secreto

  • --description: una descripción del objetivo del secreto

  • --kms-key-id: el ARN de la clave de KMS que creó en el Paso 1 para cifrar el secreto en reposo

  • --secret-string: una cadena JSON que contiene sus credenciales de AD en el siguiente formato:

    • CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME: el nombre de usuario de tu cuenta de servicio de AD sin el prefijo de dominio, como svc-fsx. No proporcione el prefijo de dominio, como CORP\svc-fsx.

    • CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD: la contraseña de su cuenta de servicio AD

  • --region: el Región de AWS donde se creará su SVM De forma predeterminada, será la región que haya configurado si AWS_REGION no está establecida.

Tras crear el secreto, adjunte una política de recursos mediante el comando put-resource-policy y establezca los siguientes parámetros:

  • --secret-id: el ARN o nombre del secreto para adjuntar la política En este ejemplo se usa FSxSecret como --secret-id.

  • --region: el mismo Región de AWS que su secreto.

  • --resource-policy: un documento de política de JSON que concede permiso a Amazon FSx para acceder al secreto La política debe incluir lo siguiente:

    • La entidad principal de servicio de Amazon FSx, que es fsx.amazonaws.com.

    • Acciones requeridas de Secrets Manager: secretsmanager:GetSecretValue y secretsmanager:DescribeSecret.

    • El patrón de ARN de recursos para su Región de AWS y cuenta.

    • Las siguientes claves de condición que restringen el acceso:

      • aws:SourceAccount para limitarlo a su cuenta

      • aws:SourceArn para restringirlo a sistemas de archivos Amazon FSx específicos

En el siguiente ejemplo, se crea un secreto con el formato necesario y se adjunta una política de recursos que permite a Amazon FSx utilizar el secreto. Este ejemplo recupera automáticamente su ID y su región de Cuenta de AWS y, a continuación, configura la política de recursos con estos valores para garantizar los controles de acceso adecuados entre Amazon FSx y el secreto.

Asegúrese de sustituir el KMS_KEY_ARN con el ARN de la clave que creó en el Paso 1, CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME y CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD con las credenciales de la cuenta de servicio de Active Directory. Además, compruebe que su entorno de AWS CLI esté en la misma región que la SVM que se unirá a Active Directory.

# Set region and get account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)

# Replace with your KMS key ARN from Step 1
KMS_KEY_ARN="arn:aws:kms:us-east-2:123456789012:key/1234542f-d114-555b-9ade-fec3c9200d8e"

# Replace with your Active Directory credentials
AD_USERNAME="Your_Username"  
AD_PASSWORD="Your_Password"

# Create the secret
SECRET_ARN=$(aws secretsmanager create-secret \
  --name "FSxSecret" \
  --description "Secret for FSx access" \
  --kms-key-id "$KMS_KEY_ARN" \
  --secret-string "{\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"$AD_USERNAME\",\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"$AD_PASSWORD\"}" \
  --region "$REGION" \
  --query 'ARN' \
  --output text)

echo "Secret created with ARN: $SECRET_ARN"

# Attach the resource policy with proper formatting
aws secretsmanager put-resource-policy \
  --secret-id "FSxSecret" \
  --region "$REGION" \
  --resource-policy "{
    \"Version\": \"2012-10-17\", 		 	 	 
    \"Statement\": [
      {
        \"Effect\": \"Allow\",
        \"Principal\": {
          \"Service\": \"fsx.amazonaws.com\"
        },
        \"Action\": [
          \"secretsmanager:GetSecretValue\",
          \"secretsmanager:DescribeSecret\"
        ],
        \"Resource\": \"$SECRET_ARN\",
        \"Condition\": {
          \"StringEquals\": {
            \"aws:SourceAccount\": \"$ACCOUNT_ID\"
          },
          \"ArnLike\": {
            \"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\"
          }
        }
      }
    ]
  }"

echo "Resource policy attached successfully"
nota

Puede establecer un control de acceso más detallado modificando los campos Resource y aws:SourceArn para que se dirijan a secretos y sistemas de archivos específicos.