Configuration d’Active Directory autogéré - Amazon Relational Database Service
Étape 1 : Création d’une unité organisationnelle dans votre ADÉtape 2 : Création d’un compte de service de domaine AD dans votre AD.Étape 3 : Délégation du contrôle au compte de service de domaine ADÉtape 4 : Créez une AWS KMS cléÉtape 5 : Créez un AWS secret

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration d’Active Directory autogéré

Pour configurer un AD autogéré, procédez comme suit.

Étape 1 : Création d’une unité organisationnelle dans votre AD

Important

Nous vous recommandons de créer une unité d'organisation dédiée et des informations d'identification de service étendues à cette unité d'organisation pour tout AWS compte propriétaire d'une instance de base de données RDS pour SQL Server jointe à votre domaine AD autogéré. En dédiant une unité organisationnelle et des informations d’identification de service, vous pouvez éviter les conflits d’autorisations et suivre le principe de moindre privilège.

Pour créer une unité organisationnelle dans votre annuaire AD

  1. Connectez-vous à votre domaine AD en tant qu'administrateur de domaine.

  2. Ouvrez Utilisateurs et ordinateurs Active Directory et sélectionnez le domaine où vous souhaitez créer votre unité organisationnelle.

  3. Cliquez avec le bouton droit sur le domaine et choisissez Nouveau, puis Unité d'organisation.

  4. Saisissez un nom pour l’unité organisationnelle.

  5. Laissez la case cochée pour Protéger le conteneur contre la suppression accidentelle.

  6. Cliquez sur OK. Votre nouvelle unité organisationnelle apparaîtra sous votre domaine.

Étape 2 : Création d’un compte de service de domaine AD dans votre AD

Les informations d'identification du compte du service de domaine seront utilisées pour le secret dans AWS Secrets Manager.

Pour créer un compte de service de domaine AD dans votre AD

  1. Ouvrez Utilisateurs et ordinateurs Active Directory et sélectionnez le domaine et l’unité organisationnelle où vous souhaitez créer votre utilisateur.

  2. Cliquez avec le bouton droit sur l'objet Utilisateurs et choisissez Nouveau, puis Utilisateur.

  3. Saisissez le prénom, le nom de famille et le nom de connexion de l'utilisateur. Cliquez sur Suivant.

  4. Saisissez un mot de passe pour l'utilisateur. Ne sélectionnez pas « L'utilisateur doit modifier le mot de passe lors de sa prochaine connexion ». Ne sélectionnez pas « Le compte est désactivé ». Cliquez sur Suivant.

  5. Cliquez sur OK. Votre nouvel utilisateur apparaîtra sous votre domaine.

Étape 3 : Délégation du contrôle au compte de service de domaine AD

Pour déléguer le contrôle au compte de service de domaine AD dans votre domaine

  1. Ouvrez le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory et sélectionnez le domaine où vous souhaitez créer votre utilisateur.

  2. Cliquez avec le bouton droit sur l’unité organisationnelle que vous avez créée précédemment et choisissez Déléguer le contrôle.

  3. Sur la page Assistant Délégation de contrôle, cliquez sur Suivant.

  4. Dans la section Utilisateurs ou groupes, cliquez sur Ajouter.

  5. Dans la section Sélectionner les utilisateurs, les ordinateurs ou les groupes, entrez le compte de service de domaine AD que vous avez créé et cliquez sur Vérifier les noms. Si votre vérification du compte de service de domaine AD aboutit, cliquez sur OK.

  6. Dans la section Utilisateurs ou groupes, confirmez que votre compte de service de domaine AD a été ajouté et cliquez sur Suivant.

  7. Dans la section Tâches à déléguer, choisissez Créer une tâche personnalisée à déléguer et cliquez sur Suivant.

  8. Dans la section Type d'objet Active Directory :

    1. Choisissez Seulement les objets suivants dans le dossier.

    2. Sélectionnez Objets informatiques.

    3. Sélectionnez Créer les objets sélectionnés dans ce dossier.

    4. Sélectionnez Supprimer les objets sélectionnés dans ce dossier et cliquez sur Suivant.

  9. Dans la section Autorisations :

    1. Gardez l'option Général sélectionnée.

    2. Sélectionnez Écriture validée sur le nom d'hôte DNS.

    3. Sélectionnez Écriture validée sur le nom du principal de service et cliquez sur Suivant.

    4. Pour activer l'authentification Kerberos, maintenez l'option Spécifique à la propriété sélectionnée et sélectionnez Écrire servicePrincipalName dans la liste.

  10. Pour Fin de l'Assistant Délégation de contrôle, passez en revue et confirmez vos paramètres, puis cliquez sur Terminer.

  11. Pour l’authentification Kerberos, ouvrez le Gestionnaire DNS et ouvrez les propriétés Serveur.

    1. Dans la boîte de dialogue Windows, tapez dnsmgmt.msc.

    2. Ajoutez le compte de service de domaine AD sous l’onglet Sécurité.

    3. Sélectionnez l’autorisation Lecture et appliquez vos modifications.

Étape 4 : Création d'une AWS KMS clé

La clé KMS est utilisée pour chiffrer votre AWS secret.

Pour créer une AWS KMS clé
Note

Pour la clé de chiffrement, n'utilisez pas la clé KMS AWS par défaut. Assurez-vous de créer la AWS KMS clé dans le même AWS compte qui contient l'instance de base de données RDS pour SQL Server que vous souhaitez joindre à votre AD autogéré.

  1. Dans la AWS KMS console, choisissez Create key.

  2. Pour Type de clé, choisissez Symétrique.

  3. Pour Utilisation de la clé, choisissez Chiffrer et déchiffrer.

  4. Pour Options avancées :

    1. Pour Origine des clés, choisissez KMS.

    2. Pour Régionalité, choisissez Clé à région unique et cliquez sur Suivant.

  5. Pour Alias, attribuez un nom à la clé KMS.

  6. (Facultatif) Pour Description, fournissez une description de la clé KMS.

  7. (Facultatif) Pour Balises, spécifiez une balise pour la clé KMS et cliquez sur Suivant.

  8. Pour Administrateurs de clé, spécifiez le nom d'un utilisateur IAM et sélectionnez-le.

  9. Pour Suppression de clé, laissez la case cochée pour Autoriser les administrateurs de clé à supprimer cette clé et cliquez sur Suivant.

  10. Pour Utilisateurs de clé, spécifiez le même utilisateur IAM que celui de l'étape précédente et sélectionnez-le. Cliquez sur Suivant.

  11. Passez en revue la configuration.

  12. Pour Stratégie de clé, ajoutez ce qui suit à la déclaration de stratégie :

    {
    "Sid": "Allow use of the KMS key on behalf of RDS",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "rds.amazonaws.com"
        ]
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}

  13. Cliquez sur Finish.

Étape 5 : Créez un AWS secret

Pour créer un secret
Note

Assurez-vous de créer le secret dans le même AWS compte qui contient l'instance de base de données RDS pour SQL Server que vous souhaitez joindre à votre AD autogéré.

  1. Dans AWS Secrets Manager, choisissez Enregistrer un nouveau secret.

  2. Pour Secret type (Type de secret), choisissez Other type of secret (Autre type de secret).

  3. Pour Paires clé/valeur, ajoutez vos deux clés :

    1. Pour la première clé, entrez SELF_MANAGED_ACTIVE_DIRECTORY_USERNAME.

    2. Pour la valeur de la première clé, saisissez uniquement le nom utilisateur (sans le préfixe de domaine) de l’utilisateur AD. N’incluez pas le nom de domaine, car cela entraîne l’échec de la création de l’instance.

    3. Pour la deuxième clé, entrez SELF_MANAGED_ACTIVE_DIRECTORY_PASSWORD.

    4. Pour la valeur de la deuxième clé, saisissez le mot de passe que vous avez créé pour l'utilisateur AD sur votre domaine.

  4. Pour Clé de chiffrement, saisissez la clé KMS que vous avez créée à une étape précédente et cliquez sur Suivant.

  5. Dans Nom du secret, saisissez un nom descriptif qui vous aidera à rechercher votre secret ultérieurement.

  6. (Facultatif) Pour Description, saisissez une description du nom du secret.

  7. Pour Autorisation des ressources, cliquez sur Modifier.

  8. Ajoutez la politique suivante à la politique d'autorisation :

    Note

    Nous vous recommandons d'utiliser les conditions aws:sourceAccount et aws:sourceArn dans la politique pour éviter le problème de l’adjoint confus. Utilisez votre Compte AWS for aws:sourceAccount et l'ARN de votre instance de base de données RDS pour SQL Server pouraws:sourceArn. Pour de plus amples informations, veuillez consulter Prévention des problèmes d'adjoint confus entre services.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement":
    [
        {
            "Effect": "Allow",
            "Principal":
            {
                "Service": "rds.amazonaws.com"
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "aws:sourceAccount": "123456789012"
                },
                "ArnLike":
                {
                    "aws:sourceArn": "arn:aws:rds:us-west-2:123456789012:db:*"
                }
            }
        }
    ]
}

  9. Cliquez sur Enregistrer, puis sur Suivant.

  10. Pour Configurer les paramètres de rotation, conservez les valeurs par défaut et choisissez Suivant.

  11. Passez en revue les paramètres du secret et cliquez sur Stocker.

  12. Choisissez le secret que vous avez créé et copiez la valeur de l'ARN du secret. Il sera utilisé à l'étape suivante pour configurer Active Directory autogéré.