Especificación de los detalles de Active Directory para el directorio de WorkSpaces Pools
En este tema le mostramos cómo especificar los detalles de Active Directory (AD) en la página Crear un directorio de WorkSpaces Pools de la consola de WorkSpaces. Al crear el directorio de WorkSpaces Pools, debe especificar los detalles de AD si tiene previsto utilizar un directorio de AD con los grupos de WorkSpaces Pools. No puede editar la configuración de Active Directory para el directorio de WorkSpaces Pools después de crearlo. A continuación se muestra un ejemplo de la sección Configuración de Active Directory de la página de Crear un directorio de WorkSpaces Pools.
nota
El proceso completo para crear un directorio de WorkSpaces Pools se describe en el tema Configuración de SAML 2.0 y creación de un directorio de WorkSpaces Pools. Los procedimientos que se describen en esta página representan únicamente un subconjunto de pasos del proceso completo para crear un directorio de WorkSpaces Pools.
Temas
Especificación de la unidad organizativa y el nombre de dominio del directorio de AD
Complete el siguiente procedimiento para especificar una unidad organizativa (OU) y un nombre de dominio del directorio de AD en la página Crear un directorio de WorkSpaces Pools.
-
En Unidad organizativa, introduzca la OU a la que pertenece el grupo. Las cuentas de la máquina de WorkSpaces están en la unidad organizativa predeterminada (OU) que especifique pare el directorio de WorkSpaces Pools.
nota
El nombre de la unidad organizativa no puede contener espacios. Si se especifica un nombre de OU que incluya espacios, al intentar volver a vincular el dominio de Active Directory, WorkSpaces no podrá ciclar los objetos del equipo correctamente y la vinculación del dominio no se realizará correctamente.
-
En Nombre de dominio del directorio, proporcione el nombre de dominio completo (FQDN) del dominio de Active Directory (por ejemplo,
corp.example.com). Cada región de AWS puede tener únicamente un valor de configuración de directorio con un nombre de directorio específico.-
Puede vincular los directorios de WorkSpaces Pools a los dominios de Microsoft Active Directory. También puede utilizar los dominios de Active Directory existentes, tanto basados en las instalaciones como en la nube, para iniciar escritorios de WorkSpaces vinculados a un dominio.
-
También puede utilizar AWS Directory Service for Microsoft Active Directory, que en ocasiones se denomina AWS Managed Microsoft AD, para crear un dominio de Active Directory. A continuación, puede usar ese dominio para respaldar los recursos de WorkSpaces.
-
Al vincular WorkSpaces al dominio de Active Directory, podrá:
-
Ofrecer acceso a los usuarios y a las aplicaciones a los recursos de Active Directory, como las impresoras y el uso compartido de archivos de las sesiones de transmisión.
-
Utilizar las configuraciones de políticas de grupo que están disponibles en la consola de administración de políticas de grupo (GPMC) para definir la experiencia del usuario final.
-
Transmita aplicaciones en streaming que requieren que los usuarios se autentiquen mediante sus credenciales de inicio de sesión de Active Directory.
-
Aplicar las políticas de conformidad y seguridad de la empresa a las instancias de transmisión de WorkSpaces.
-
-
-
En Cuenta de servicio, continúe con la siguiente sección Especificación de la cuenta de servicio para el directorio de AD de esta página.
Especificación de la cuenta de servicio para el directorio de AD
Al configurar Active Directory (AD) en WorkSpaces Pools como parte del proceso de creación de directorios, debe especificar la cuenta de servicio de AD que se utilizará para administrar el directorio de AD. Para ello, debe proporcionar las credenciales de la cuenta de servicio, que deben almacenarse en AWS Secrets Manager y cifrarse mediante una clave administrada por el cliente de AWS Key Management Service (AWS KMS). En esta sección le mostramos cómo crear la clave administrada por el cliente de AWS KMS y el secreto de Secrets Manager para almacenar las credenciales de la cuenta de servicio de AD.
Paso 1: Crear una clave administrada por el cliente de AWS KMS
Complete el siguiente procedimiento para crear una clave administrada por el cliente de AWS KMS:
-
Abra la consola de AWS KMS en https://console.aws.amazon.com/kms
. -
Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.
-
Elija Crear una clave y luego Siguiente.
-
Seleccione Simétrica en el tipo de clave, elija Cifrar y descifrar en el uso de clave y luego seleccione Siguiente.
-
Introduzca un alias para la clave, como, por ejemplo,
WorkSpacesPoolDomainSecretKey, y luego seleccione Siguiente. -
No elija un administrador de claves. Elija Siguiente para continuar.
-
No defina permisos de uso de claves. Elija Siguiente para continuar.
-
En la sección Política de claves de la página, añada lo siguiente:
{ "Sid": "Allow access for Workspaces SP", "Effect": "Allow", "Principal": { "Service": "workspaces.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*" }El resultado debe ser similar al del siguiente ejemplo.
-
Seleccione Finalizar.
La clave administrada por el cliente de AWS KMS ya está lista para usarse con Secrets Manager. Continúe con la sección Paso 2: crear el secreto de Secrets Manager para almacenar las credenciales de la cuenta de servicio de AD de esta página.
Paso 2: crear el secreto de Secrets Manager para almacenar las credenciales de la cuenta de servicio de AD
Complete el siguiente procedimiento para crear un secreto de Secrets Manager con el fin de almacenar las credenciales de la cuenta de servicio de AD.
-
Abra la consola de AWS Secrets Manager en https://console.aws.amazon.com/secretsmanager/
. -
Elija Create a new secret (Elegir un nuevo secerto).
-
Elija Otro tipo de secreto.
-
Para el primer par clave/valor, introduzca
Service Account Namepara la clave y el nombre de la cuenta de servicio para el valor, como, por ejemplo,domain\username. -
Para el segundo par clave/valor, introduzca una
Service Account Passwordpara la clave y la contraseña de la cuenta de servicio para el valor. -
Para la clave de cifrado, elija la clave administrada por el cliente de AWS KMS que ha creado anteriormente y, a continuación, elija Siguiente.
-
Escriba un nombre para el secreto, como, por ejemplo,
WorkSpacesPoolDomainSecretAD. -
Seleccione Editar permisos en la sección Permisos de recursos de la página.
-
Introduzca la siguiente política de permiso:
-
Elija Guardar para guardar la política de permiso.
-
Elija Siguiente para continuar.
-
No configure la rotación automática. Elija Siguiente para continuar.
-
Seleccione Almacenar para terminar de almacenar el secreto.
Ya se han guardado en Secrets Manager las credenciales de la cuenta de servicio de AD. Continúe con la sección Paso 3: seleccionar el secreto de Secrets Manager que incluye las credenciales de la cuenta de servicio de AD de esta página.
Paso 3: seleccionar el secreto de Secrets Manager que incluye las credenciales de la cuenta de servicio de AD
Complete el siguiente procedimiento para seleccionar el secreto de Secrets Manager que ha creado en la configuración de Active Directory para el directorio de WorkSpaces Pools.
-
En Cuenta de servicio, elija el secreto de AWS Secrets Manager que incluye las credenciales de la cuenta de servicio. Complete los siguientes pasos para crear el secreto, si aún no lo ha hecho. El secreto debe cifrarse mediante una clave administrada por el cliente de AWS Key Management Service.
Ahora que ha completado todos los campos de la sección Configuración de Active Directory de la página Crear un directorio de WorkSpaces Pools, puede continuar para terminar de crear el directorio de WorkSpaces Pools. Vaya a Paso 4: crear un directorio de WorkSpaces Pools y comience con el paso 9 del procedimiento.
