Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Utilisation de Microsoft Active Directory dans FSx ONTAP
<a name="ad-integration-ontap"></a>

Amazon FSx travaille avec Microsoft Active Directory pour s'intégrer à vos environnements existants. Active Directory est le service d'annuaire Microsoft utilisé pour stocker des informations sur les objets du réseau et pour aider les administrateurs et les utilisateurs à trouver et à utiliser ces informations. Ces objets incluent généralement des ressources partagées, telles que des serveurs de fichiers, des comptes d'utilisateurs et d'ordinateurs du réseau.

Vous pouvez éventuellement associer vos machines virtuelles FSx de stockage ONTAP (SVMs) à votre domaine Active Directory pour fournir une authentification utilisateur et un contrôle d'accès au niveau des fichiers et des dossiers. Les clients SMB (Server Message Block) peuvent ensuite utiliser leur identité utilisateur existante dans Active Directory pour s'authentifier et accéder aux volumes de SVM. Vos utilisateurs peuvent utiliser leurs identités existantes pour contrôler l'accès à des fichiers et dossiers individuels. En outre, vous pouvez migrer vos fichiers et dossiers existants ainsi que leurs configurations de liste de contrôle d'accès (ACL) vers Amazon FSx sans aucune modification.

Si l'infrastructure de domaine Microsoft Active Directory n'est pas disponible, vous pouvez configurer un serveur SMB (Server Message Block) dans un groupe de travail sur une SVM au lieu de joindre une SVM à un Microsoft Active Directory. Pour de plus amples informations, veuillez consulter [Configuration d'un serveur SMB dans un groupe de travail](smb-server-workgroup-setup.md).

Lorsque vous associez Amazon FSx for NetApp ONTAP à un Active Directory, vous associez les systèmes de fichiers SVMs à Active Directory de manière indépendante. Cela signifie que vous pouvez avoir un système de fichiers dont certains SVMs sont joints à un Active Directory, tandis SVMs que d'autres ne le sont pas.

Une fois qu'une SVM est jointe à Active Directory, vous pouvez mettre à jour les propriétés de configuration Active Directory suivantes :
+ Adresses IP des serveurs DNS
+ Nom d'utilisateur et mot de passe du compte de service Active Directory autogéré

**Topics**
+ [Conditions requises pour joindre une SVM à un Microsoft AD autogéré](self-manage-prereqs.md)
+ [Bonnes pratiques d'utilisation d'Active Directory](self-managed-AD-best-practices.md)
+ [Comment fonctionne SVMs l'adhésion à Microsoft Active Directory](self-managed-AD-join.md)
+ [Gestion des configurations Active Directory des SVM](manage-svm-ad-config.md)

# Conditions requises pour joindre une SVM à un Microsoft AD autogéré
<a name="self-manage-prereqs"></a>

Avant de joindre une SVM FSx for ONTAP à un domaine Microsoft AD autogéré, assurez-vous que votre Active Directory et votre réseau répondent aux exigences décrites dans les sections suivantes.

**Topics**
+ [Exigences relatives à Active Directory sur site](#ontap-ad-on-prem-prereqs)
+ [Exigences en matière de configuration du réseau](#ontap-ad-network-configs)
+ [Exigences relatives aux comptes de service Active Directory](#ontap-ad-service-account-prereqs)

## Exigences relatives à Active Directory sur site
<a name="ontap-ad-on-prem-prereqs"></a>

Assurez-vous que vous disposez déjà d'un Microsoft AD sur site ou d'un autre outil autogéré auquel vous pouvez joindre la SVM. Cet Active Directory doit avoir la configuration suivante :
+ Le niveau fonctionnel du domaine du contrôleur de domaine Active Directory est Windows Server 2000 ou supérieur.
+  Active Directory utilise un nom de domaine qui n'est pas au format SLD (Single Label Domain). Amazon FSx ne prend pas en charge les domaines SLD. 
+ Si des sites Active Directory sont définis, assurez-vous que les sous-réseaux du VPC associé à FSx votre système de fichiers for ONTAP sont définis dans les mêmes sites Active Directory et qu'il n'existe aucun conflit entre vos sous-réseaux VPC et les sous-réseaux de vos sites Active Directory.

**Note**  
Si vous utilisez Directory Service, FSx car ONTAP ne prend pas en charge l'adhésion SVMs à Simple Active Directory.

## Exigences en matière de configuration du réseau
<a name="ontap-ad-network-configs"></a>

Assurez-vous que les configurations réseau suivantes sont en place et que les informations associées sont à votre disposition.

**Important**  
Pour qu'une SVM puisse rejoindre Active Directory, vous devez vous assurer que les ports décrits dans cette rubrique autorisent le trafic entre tous les contrôleurs de domaine Active Directory et les deux adresses IP iSCSI (interfaces logiques iscsi\$11 et iscsi\$12 ()) de la SVM. LIFs
+ Les adresses IP du serveur DNS et du contrôleur de domaine Active Directory.
+ Connectivité entre le VPC Amazon dans lequel vous créez le système de fichiers et votre Active Directory autogéré à l'aide de [Direct Connect](https://aws.amazon.com/directconnect/), [Site-to-Site VPN](https://aws.amazon.com/vpn/)ou. [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)
+ Le groupe de sécurité et le réseau VPC ACLs des sous-réseaux sur lesquels vous créez le système de fichiers doivent autoriser le trafic sur les ports et dans les directions indiquées dans le schéma suivant.  
![\[Schéma illustrant FSx les exigences de configuration du port ONTAP pour les groupes de sécurité VPC et le ACLs réseau pour les sous-réseaux dans lesquels vous créez FSx un système de fichiers ONTAP.\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/ONTAPGuide/images/ontap-port-requirements.png)

  Le rôle de chaque port est décrit dans le tableau suivant.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/ONTAPGuide/self-manage-prereqs.html)
+ Ces règles de trafic doivent également être reflétées sur les pare-feux qui s'appliquent à chacun des contrôleurs de domaine, serveurs DNS, FSx clients et administrateurs Active Directory. FSx 
**Important**  
Alors que les groupes de sécurité Amazon VPC nécessitent que les ports soient ouverts uniquement dans le sens où le trafic réseau est initié, la plupart des pare-feux Windows et des réseaux VPC ACLs nécessitent que les ports soient ouverts dans les deux sens.

## Exigences relatives aux comptes de service Active Directory
<a name="ontap-ad-service-account-prereqs"></a>

Assurez-vous que vous disposez d'un compte de service dans votre Microsoft AD autogéré doté d'autorisations déléguées pour associer des ordinateurs au domaine. Un *compte de service* est un compte utilisateur de votre Active Directory autogéré auquel certaines tâches ont été déléguées.

Au minimum, les autorisations suivantes doivent être déléguées au compte de service dans l'unité d'organisation à laquelle vous rejoignez la SVM :
+ Possibilité de réinitialiser les mots de passe
+ Possibilité d'empêcher les comptes de lire et d'écrire des données
+ Possibilité de définir la `msDS-SupportedEncryptionTypes` propriété sur les objets de l'ordinateur
+ Capacité validée d'écrire sur le nom d'hôte DNS
+ Capacité validée d'écrire dans le nom du principal de service
+ Possibilité de créer et de supprimer des objets informatiques
+ Aptitude validée à lire et à écrire les restrictions du compte

Il s'agit de l'ensemble minimal d'autorisations requises pour joindre des objets informatiques à votre Active Directory. Pour plus d'informations, consultez la rubrique de documentation de Windows Server [Erreur : l'accès est refusé lorsque des utilisateurs non administrateurs auxquels le contrôle a été délégué tentent de joindre des ordinateurs à un contrôleur de domaine](https://support.microsoft.com/en-us/help/932455/error-message-when-non-administrator-users-who-have-been-delegated-con).

Vous pouvez stocker les informations d'identification de votre compte de service Active Directory dans AWS Secrets Manager (recommandé) et fournir à Amazon FSx un ARN secret pour rejoindre votre Active Directory, ou vous pouvez fournir des informations d'identification en texte brut.

Pour en savoir plus sur la création d'un compte de service doté des autorisations appropriées, consultez[Délégation d'autorisations à votre compte de FSx service Amazon](self-managed-AD-best-practices.md#connect_delegate_privileges).

**Important**  
Amazon a FSx besoin d'un compte de service valide pendant toute la durée de vie de votre système de FSx fichiers Amazon. Amazon FSx doit être en mesure de gérer entièrement le système de fichiers et d'effectuer des tâches qui l'obligent à dissocier et à joindre des ressources à votre domaine Active Directory. Ces tâches incluent le remplacement d'un système de fichiers ou d'une SVM défaillants, ou l'application de correctifs au logiciel NetApp ONTAP. Gardez vos informations de configuration Active Directory à jour avec Amazon FSx, y compris les informations d'identification du compte de service. Pour en savoir plus, veuillez consulter la section [Maintien à jour de votre configuration Active Directory avec Amazon FSx](self-managed-AD-best-practices.md#keep-ad-config-updated).

 Si c'est la première fois que vous utilisez AWS et FSx pour ONTAP, assurez-vous d'avoir effectué les étapes de configuration initiales avant de commencer votre intégration à Active Directory. Pour de plus amples informations, veuillez consulter [Configuration d' FSx ONTAP](getting-started.md#setting-up).

**Important**  
Ne déplacez pas les objets informatiques FSx créés par Amazon dans l'unité d'organisation après votre SVMs création, et ne supprimez pas votre Active Directory alors que votre SVM y est jointe. Cela entraînera une mauvaise configuration SVMs de votre ordinateur.

# Bonnes pratiques d'utilisation d'Active Directory
<a name="self-managed-AD-best-practices"></a>

Voici quelques suggestions et directives à prendre en compte lorsque vous rejoignez Amazon FSx for NetApp ONTAP sur SVMs votre Microsoft Active Directory autogéré. Notez qu'elles sont recommandées en tant que meilleures pratiques, mais qu'elles ne sont pas obligatoires.

**Topics**
+ [Délégation d'autorisations à votre compte de FSx service Amazon](#connect_delegate_privileges)
+ [Maintien à jour de votre configuration Active Directory avec Amazon FSx](#keep-ad-config-updated)
+ [Utilisation de groupes de sécurité pour limiter le trafic au sein de votre VPC](#least-privilege-sg-rules)
+ [Création de règles de groupe de sécurité sortant pour l'interface réseau de votre système de fichiers](#sg-rules-fsx-eni)
+ [Stockage des informations d'identification Active Directory à l'aide AWS Secrets Manager](#bp-store-ad-creds-using-secret-manager)

## Délégation d'autorisations à votre compte de FSx service Amazon
<a name="connect_delegate_privileges"></a>

Assurez-vous de configurer le compte de service que vous fournissez à Amazon FSx avec les autorisations minimales requises. En outre, séparez l'unité organisationnelle (UO) des autres domaines concernés par le contrôleur de domaine. 

Pour associer Amazon FSx SVMs à votre domaine, assurez-vous que le compte de service dispose d'autorisations déléguées. Les membres du groupe des **administrateurs de domaine** disposent des autorisations suffisantes pour effectuer cette tâche. Toutefois, il est recommandé d'utiliser un compte de service qui ne dispose que des autorisations minimales nécessaires pour ce faire. La procédure suivante explique comment déléguer uniquement les autorisations nécessaires FSx pour rejoindre ONTAP SVMs à votre domaine.

Effectuez cette procédure sur un ordinateur joint à votre annuaire et sur lequel le composant logiciel enfichable MMC Active Directory User and Computers est installé.

**Pour créer un compte de service pour votre domaine Microsoft Active Directory**Création d'un compte de service pour l'AD

1. Assurez-vous d'être connecté en tant qu'administrateur de domaine pour votre domaine Microsoft Active Directory.

1. Ouvrez le composant logiciel enfichable MMC **Active Directory User and Computers**.

1. Dans le volet des tâches, développez le nœud de domaine.

1. Localisez et ouvrez le menu contextuel (clic droit) de l'unité d'organisation que vous souhaitez modifier, puis choisissez **Déléguer le contrôle**.

1. Sur la page **Assistant de délégation de contrôle**, choisissez **Next**.

1. Choisissez **Ajouter** pour ajouter un utilisateur ou un groupe spécifique **aux utilisateurs et groupes sélectionnés**, puis cliquez sur **Suivant**.

1. Sur la page **Tâches à déléguer**, sélectionnez **Créer une tâche personnalisée à déléguer**, puis choisissez **Suivant**.

1. Choisissez **Uniquement les objets suivants dans le dossier**, puis choisissez **Objets informatiques**.

1. Choisissez **Créer les objets sélectionnés dans ce dossier** et **Supprimer les objets sélectionnés dans ce dossier**. Ensuite, sélectionnez **Suivant**.

1. Sous **Afficher ces autorisations**, assurez-vous que les options **Général et Spécifique** à **la propriété sont sélectionnées**.

1. Pour **Autorisations**, choisissez ce qui suit :
   + **Réinitialisation du mot**
   + **Restrictions relatives aux comptes en lecture et en écriture**
   + **Écriture validée sur le nom d'hôte DNS**
   + **Écriture validée sur le nom principal du service**
   + **Rédiger des MSDs- SupportedEncryptionTypes**

1. Cliquez sur **Suivant**, puis sur **Terminer**.

1. Fermez le composant logiciel enfichable MMC **Active Directory User and Computers**.

**Important**  
Ne déplacez pas les objets informatiques créés par Amazon dans l'unité d'organisation FSx une fois SVMs les vôtres créés. Cela entraînera une mauvaise configuration SVMs de votre ordinateur.

## Maintien à jour de votre configuration Active Directory avec Amazon FSx
<a name="keep-ad-config-updated"></a>

Pour une disponibilité ininterrompue de votre Amazon FSx SVMs, mettez à jour la configuration Active Directory (AD) autogérée d'une SVM lorsque vous modifiez votre configuration AD autogérée.

Supposons, par exemple, que votre AD utilise une politique de réinitialisation des mots de passe basée sur le temps. Dans ce cas, dès que le mot de passe est réinitialisé, assurez-vous de mettre à jour le mot de passe du compte de service auprès d'Amazon FSx. Pour ce faire, utilisez la FSx console Amazon, FSx l'API Amazon ou AWS CLI. De même, si les adresses IP du serveur DNS changent pour votre domaine Active Directory, mettez à jour les adresses IP du serveur DNS auprès d'Amazon dès que le changement se produit FSx.

**En cas de problème avec la mise à jour de la configuration AD autogérée, l'état de la SVM passe à Mauvaise configuration.** Cet état affiche un message d'erreur et une action recommandée à côté de la description de la SVM dans la console, l'API et la CLI. En cas de problème lié à la configuration Active Directory de votre SVM, veillez à prendre les mesures correctives recommandées pour les propriétés de configuration. Si le problème est résolu, vérifiez que l'état de votre SVM passe à **Créé**.

Pour plus d’informations, consultez [Mise à jour des configurations SVM Active Directory existantes à l'aide de l' AWS Management Console API AWS CLI,, et](update-svm-ad-config.md) et [Modifier une configuration Active Directory à l'aide de la CLI ONTAP](manage-svm-ad-config-ontap-cli.md#using-ontap-cli-to-modify-ad).

## Utilisation de groupes de sécurité pour limiter le trafic au sein de votre VPC
<a name="least-privilege-sg-rules"></a>

Pour limiter le trafic réseau dans votre cloud privé virtuel (VPC), vous pouvez mettre en œuvre le principe du moindre privilège dans votre VPC. En d'autres termes, vous pouvez limiter les autorisations au minimum nécessaire. Pour ce faire, utilisez les règles des groupes de sécurité. Pour en savoir plus, veuillez consulter la section [Groupes de sécurité Amazon VPC](limit-access-security-groups.md#fsx-vpc-security-groups). 

## Création de règles de groupe de sécurité sortant pour l'interface réseau de votre système de fichiers
<a name="sg-rules-fsx-eni"></a>

Pour plus de sécurité, envisagez de configurer un groupe de sécurité avec des règles de trafic sortant. Ces règles doivent autoriser le trafic sortant uniquement vers vos contrôleurs de domaines AD autogérés ou au sein du sous-réseau ou du groupe de sécurité. Appliquez ce groupe de sécurité au VPC associé à l'interface Elastic Network Interface de votre système de FSx fichiers Amazon. Pour en savoir plus, veuillez consulter la section [Contrôle d'accès au système de fichiers avec Amazon VPC](limit-access-security-groups.md).

## Stockage des informations d'identification Active Directory à l'aide AWS Secrets Manager
<a name="bp-store-ad-creds-using-secret-manager"></a>

Vous pouvez l'utiliser AWS Secrets Manager pour stocker et gérer en toute sécurité les informations d'identification de votre compte de service de connexion à un domaine Microsoft Active Directory. Cette approche élimine le besoin de stocker les informations d'identification sensibles en texte clair dans le code de l'application ou les fichiers de configuration, renforçant ainsi votre posture de sécurité.

Vous pouvez également configurer des politiques IAM pour gérer l'accès à vos secrets et configurer des politiques de rotation automatique pour vos mots de passe.

### Stocker les informations d'identification Active Directory dans AWS Secrets Manager (console)
<a name="bp-store-ad-creds-sm-console"></a>

#### Étape 1 : créer une clé KMS
<a name="create-kms-key-console"></a>

Créez une clé KMS pour chiffrer et déchiffrer vos informations d'identification Active Directory dans Secrets Manager.

**Pour créer une clé**
**Note**  
Pour la **clé de chiffrement**, créez une nouvelle clé, n'utilisez pas la clé KMS AWS par défaut. Veillez à créer la SVM AWS KMS key dans la même région que celle où se trouve la SVM que vous souhaitez joindre à votre Active Directory.

1. Ouvrez la AWS KMS console à l'adresse https://console.aws.amazon.com /kms.

1. Choisissez **Create key**.

1. Pour **Type de clé**, choisissez **Symétrique**.

1. Pour **Utilisation de la clé**, choisissez **Chiffrer et déchiffrer**.

1. Pour les **options avancées**, procédez comme suit :

   1. Pour **Origine des clés**, choisissez **KMS**.

   1. **Pour **Régionalité**, choisissez la **clé à région unique**, puis cliquez sur Suivant.**

1. Choisissez **Suivant**.

1. Pour **Alias**, attribuez un nom à la clé KMS.

1. (Facultatif) Pour **Description**, fournissez une description de la clé KMS.

1. (Facultatif) Pour les **balises**, fournissez une balise pour la clé KMS et choisissez **Next**.

1. (Facultatif) Pour **les administrateurs de clés**, indiquez les utilisateurs et les rôles IAM autorisés à gérer cette clé.

1. Pour **supprimer une clé**, maintenez la case **Autoriser les administrateurs clés** à supprimer cette clé et choisissez **Next**.

1. (Facultatif) Pour **les utilisateurs de clés**, indiquez les utilisateurs et les rôles IAM autorisés à utiliser cette clé dans les opérations cryptographiques. Choisissez **Suivant**.

1. Pour la **politique en matière de clés**, choisissez **Modifier** et incluez ce qui suit dans la **déclaration** de politique pour autoriser Amazon FSx à utiliser la clé KMS, puis choisissez **Next**. Assurez-vous de remplacer le par *us-west-2* l' Région AWS endroit où le système de fichiers est déployé et *123456789012* par votre Compte AWS identifiant.

   ```
   {
       "Sid": "Allow FSx to use the KMS key",
       "Version": "2012-10-17", 		 	 	 
       "Effect": "Allow",
       "Principal": {
           "Service": "fsx.amazonaws.com"
       },
       "Action": [
           "kms:Decrypt",
           "kms:DescribeKey"
       ],
       "Resource": "arn:aws:kms:us-west-2:123456789012:key/*",
       "Condition": {
           "StringEquals": {
               "kms:ViaService": "secretsmanager.us-west-2.amazonaws.com",
               "aws:SourceAccount": "123456789012"
           },
           "ArnLike": {
               "aws:SourceArn": [
                   "arn:aws:fsx:us-west-2:123456789012:file-system/*",
                   "arn:aws:fsx:us-west-2:123456789012:storage-virtual-machine/fs-*/svm-*"
               ]
           }
       }
   }
   ```

1. Choisissez **Finish** (Terminer).

**Note**  
Vous pouvez définir un contrôle d'accès plus précis en modifiant les `aws:SourceArn` champs `Resource` et pour cibler des secrets et des systèmes de fichiers spécifiques.

#### Étape 2 : créer un AWS Secrets Manager secret
<a name="create-secret-console"></a>

**Pour créer un secret**

1. Ouvrez la console Secrets Manager à l'adresse [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Choisissez **Store a new secret** (Stocker un nouveau secret).

1. Pour **Secret type** (Type de secret), choisissez **Other type of secret** (Autre type de secret).

1. Pour les **paires clé/valeur**, procédez comme suit pour ajouter vos deux clés :

   1. Pour la première clé, entrez `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`.

   1. Pour la valeur de la première clé, saisissez uniquement le nom utilisateur (sans le préfixe de domaine) de l’utilisateur AD.

   1. Pour la deuxième clé, entrez `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`.

   1. Pour la valeur de la deuxième clé, saisissez le mot de passe que vous avez créé pour l'utilisateur AD sur votre domaine.

1. Pour **Clé de chiffrement**, entrez l'ARN de la clé KMS que vous avez créée à l'étape précédente et choisissez **Next**.

1. Dans **Nom du secret**, saisissez un nom descriptif qui vous aidera à rechercher votre secret ultérieurement.

1. (Facultatif) Pour **Description**, saisissez une description du nom du secret.

1. Pour l'**autorisation des ressources**, choisissez **Modifier**.

   Ajoutez la politique suivante à la politique d'autorisation pour autoriser Amazon FSx à utiliser le secret, puis choisissez **Next**. Assurez-vous de remplacer le par *us-west-2* l' Région AWS endroit où le système de fichiers est déployé et *123456789012* par votre Compte AWS identifiant.

   ```
   {
       "Version": "2012-10-17", 		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": "fsx.amazonaws.com"
               },
               "Action": [
                   "secretsmanager:GetSecretValue",
                   "secretsmanager:DescribeSecret"
               ],
               "Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceAccount": "123456789012"
                   },
                   "ArnLike": {
                       "aws:SourceArn": [
                           "arn:aws:fsx:us-west-2:123456789012:file-system/*",
                           "arn:aws:fsx:us-west-2:123456789012:storage-virtual-machine/fs-*/svm-*"
                       ]
                   }
               }
           }
       ]
   }
   ```

1. (Facultatif) Vous pouvez configurer Secrets Manager pour qu'il fasse automatiquement pivoter vos informations d'identification. Choisissez **Suivant**.

1. Choisissez **Finish** (Terminer).

### Stocker les informations d'identification Active Directory dans AWS Secrets Manager (CLI)
<a name="bp-store-ad-creds-sm-cli"></a>

#### Étape 1 : créer une clé KMS
<a name="create-kms-key-cli"></a>

Créez une clé KMS pour chiffrer et déchiffrer vos informations d'identification Active Directory dans Secrets Manager.

Pour créer une clé KMS, utilisez la AWS CLI commande [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html).

Dans cette commande, définissez le `--policy` paramètre pour spécifier la politique de clé qui définit les autorisations pour la clé KMS. La politique doit inclure les éléments suivants :
+ Le principal du service pour Amazon FSx, qui est`fsx.amazonaws.com`.
+ Actions KMS requises : `kms:Decrypt` et`kms:DescribeKey`.
+ Modèle d'ARN de ressources pour votre compte Région AWS et.
+ Clés de condition qui limitent l'utilisation des clés :
  + `kms:ViaService`pour s'assurer que les demandes passent par Secrets Manager.
  + `aws:SourceAccount`pour vous limiter à votre compte.
  + `aws:SourceArn`pour se limiter à des systèmes de FSx fichiers Amazon spécifiques.

L'exemple suivant crée une clé KMS de chiffrement symétrique avec une politique qui permet FSx à Amazon d'utiliser la clé pour les opérations de déchiffrement et de description des clés. La commande récupère automatiquement votre Compte AWS identifiant et votre région, puis configure la politique clé avec ces valeurs afin de garantir des contrôles d'accès appropriés entre Amazon FSx, Secrets Manager et la clé KMS. Assurez-vous que votre AWS CLI environnement se trouve dans la même région que la SVM qui va rejoindre Active Directory.

```
# Set region and get Account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)

# Create Key
KMS_KEY_ARN=$(aws kms create-key --policy "{
  \"Version\": \"2012-10-17\", 		 	 	 
  \"Statement\": [
    {
      \"Sid\": \"Enable IAM User Permissions\",
      \"Effect\": \"Allow\",
      \"Principal\": {
        \"AWS\": \"arn:aws:iam::$ACCOUNT_ID:root\"
      },
      \"Action\": \"kms:*\",
      \"Resource\": \"*\"
    },
    {
      \"Sid\": \"Allow FSx to use the KMS key\",
      \"Effect\": \"Allow\",
      \"Principal\": {
        \"Service\": \"fsx.amazonaws.com\"
      },
      \"Action\": [
        \"kms:Decrypt\",
        \"kms:DescribeKey\"
      ],
      \"Resource\": \"*\",
      \"Condition\": {
        \"StringEquals\": {
          \"kms:ViaService\": \"secretsmanager.$REGION.amazonaws.com\",
          \"aws:SourceAccount\": \"$ACCOUNT_ID\"
        },
        \"ArnLike\": {
          \"aws:SourceArn\": [
            \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\",
            \"arn:aws:fsx:$REGION:$ACCOUNT_ID:storage-virtual-machine/fs-*/svm-*\"]
        }
      }
    }
  ]
}" --query 'KeyMetadata.Arn' --output text)

echo "KMS Key ARN: $KMS_KEY_ARN"
```

**Note**  
Vous pouvez définir un contrôle d'accès plus précis en modifiant les `aws:SourceArn` champs `Resource` et pour cibler des secrets et des systèmes de fichiers spécifiques.

#### Étape 2 : créer un AWS Secrets Manager secret
<a name="create-secret-cli"></a>

Pour créer un secret permettant FSx à Amazon d'accéder à votre Active Directory, utilisez la AWS CLI commande [create-secret](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/create-secret.html) et définissez les paramètres suivants :
+ `--name`: L'identifiant de votre secret.
+ `--description`: description de l'objectif du secret.
+ `--kms-key-id`: ARN de la clé KMS que vous avez créée à [l'étape 1](#create-kms-key-cli) pour chiffrer le secret au repos.
+ `--secret-string`: chaîne JSON contenant vos informations d'identification AD au format suivant :
  + `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`: le nom d'utilisateur de votre compte de service AD sans le préfixe de domaine, tel que`svc-fsx`. **Ne fournissez pas** le préfixe de domaine, tel que`CORP\svc-fsx`.
  + `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`: le mot de passe de votre compte de service AD
+ `--region`: L' Région AWS endroit où votre SVM sera créée. Par défaut, c'est la région que vous avez configurée si elle n'`AWS_REGION`est pas définie.

Après avoir créé le secret, associez une politique de ressources à l'aide de la [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/logs/put-resource-policy.html)commande et définissez les paramètres suivants :
+ `--secret-id`: nom ou ARN du secret auquel associer la politique. L'exemple suivant utilise **FSxSecret** comme`--secret-id`.
+ `--region`: Région AWS Identique à ton secret.
+ `--resource-policy`: document de politique JSON qui FSx autorise Amazon à accéder au secret. La politique doit inclure les éléments suivants :
  + Le principal du service pour Amazon FSx, qui est**fsx.amazonaws.com**.
  + Actions requises de Secrets Manager : `secretsmanager:GetSecretValue` et`secretsmanager:DescribeSecret`.
  + Modèle d'ARN de ressources pour votre compte Région AWS et.
  + Les clés de condition suivantes qui limitent l'accès :
    + `aws:SourceAccount`pour vous limiter à votre compte.
    + `aws:SourceArn`pour se limiter à des systèmes de FSx fichiers Amazon spécifiques.

L'exemple suivant crée un secret au format requis et y joint une politique de ressources qui autorise Amazon FSx à utiliser le secret. Cet exemple récupère automatiquement votre Compte AWS identifiant et votre région, puis configure la politique de ressources avec ces valeurs afin de garantir des contrôles d'accès appropriés entre Amazon FSx et le secret.

Assurez-vous de le `KMS_KEY_ARN` remplacer par l'ARN de la clé que vous avez créée à l'[étape 1](#create-kms-key-cli) et par `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME` les informations `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD` d'identification de votre compte de service Active Directory. Vérifiez également que votre AWS CLI environnement est configuré pour la même région que la SVM qui va rejoindre Active Directory.

```
# Set region and get account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)

# Replace with your KMS key ARN from Step 1
KMS_KEY_ARN="arn:aws:kms:us-east-2:123456789012:key/1234542f-d114-555b-9ade-fec3c9200d8e"

# Replace with your Active Directory credentials
AD_USERNAME="Your_Username"  
AD_PASSWORD="Your_Password"

# Create the secret
SECRET_ARN=$(aws secretsmanager create-secret \
  --name "FSxSecret" \
  --description "Secret for FSx access" \
  --kms-key-id "$KMS_KEY_ARN" \
  --secret-string "{\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"$AD_USERNAME\",\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"$AD_PASSWORD\"}" \
  --region "$REGION" \
  --query 'ARN' \
  --output text)

echo "Secret created with ARN: $SECRET_ARN"

# Attach the resource policy with proper formatting
aws secretsmanager put-resource-policy \
  --secret-id "FSxSecret" \
  --region "$REGION" \
  --resource-policy "{
    \"Version\": \"2012-10-17\", 		 	 	 
    \"Statement\": [
      {
        \"Effect\": \"Allow\",
        \"Principal\": {
          \"Service\": \"fsx.amazonaws.com\"
        },
        \"Action\": [
          \"secretsmanager:GetSecretValue\",
          \"secretsmanager:DescribeSecret\"
        ],
        \"Resource\": \"$SECRET_ARN\",
        \"Condition\": {
          \"StringEquals\": {
            \"aws:SourceAccount\": \"$ACCOUNT_ID\"
          },
          \"ArnLike\": {
            \"aws:SourceArn\": [
              \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\",
              \"arn:aws:fsx:$REGION:$ACCOUNT_ID:storage-virtual-machine/fs-*/svm-*\"]
          }
        }
      }
    ]
  }"

echo "Resource policy attached successfully"
```

**Note**  
Vous pouvez définir un contrôle d'accès plus précis en modifiant les `aws:SourceArn` champs `Resource` et pour cibler des secrets et des systèmes de fichiers spécifiques.

# Comment fonctionne SVMs l'adhésion à Microsoft Active Directory
<a name="self-managed-AD-join"></a>

Votre organisation peut gérer les identités et les appareils à l'aide d'un Active Directory, que ce soit sur site ou dans le cloud. Avec FSx for ONTAP, vous pouvez vous connecter SVMs directement à votre domaine Active Directory existant de la manière suivante :
+ Ajouter un nouveau membre SVMs à un Active Directory lors de sa création :
  + En utilisant l'option de **création standard** de FSx la console Amazon pour créer un nouveau système de fichiers FSx pour ONTAP, vous pouvez associer la SVM par défaut à un Active Directory autogéré. Pour de plus amples informations, veuillez consulter [Pour créer un système de fichiers (console)](creating-file-systems.md#create-MAZ-file-system-console).
  + Utilisation de la FSx console Amazon ou de FSx l'API Amazon pour créer une nouvelle SVM sur un système de fichiers FSx pour ONTAP existant. AWS CLI Pour de plus amples informations, veuillez consulter [Création de machines virtuelles de stockage (SVM)](creating-svms.md).
+ Rejoindre un SVMs fichier existant à un Active Directory :
  + Utilisation de l'API AWS Management Console AWS CLI, et pour joindre une SVM à un Active Directory et pour réessayer de joindre une SVM à Active Directory en cas d'échec de la première tentative de connexion. Vous pouvez également mettre à jour certaines propriétés de configuration Active Directory pour celles SVMs qui sont déjà jointes à un Active Directory. Pour de plus amples informations, veuillez consulter [Gestion des configurations Active Directory des SVM](manage-svm-ad-config.md).
  + Utilisation de la CLI NetApp ONTAP ou de l'API REST pour joindre, réessayer ou dissocier des configurations SVM Active Directory. Pour de plus amples informations, veuillez consulter [Mise à jour des configurations Active Directory de la SVM à l'aide de la CLI NetApp](manage-svm-ad-config-ontap-cli.md).

**Important**  
Amazon enregistre les enregistrements DNS pour une SVM FSx uniquement si vous utilisez Microsoft DNS comme service DNS par défaut. Si vous utilisez un DNS tiers, vous devez configurer les entrées DNS manuellement pour votre Amazon FSx SVMs après les avoir créées.
Si vous l'utilisez AWS Managed Microsoft AD, vous devez spécifier un groupe tel que FSx les administrateurs AWS délégués, les administrateurs AWS délégués ou un groupe personnalisé doté d'autorisations déléguées sur l'unité d'organisation.

 Lorsque vous associez une SVM FSx for ONTAP directement à un Active Directory autogéré, la SVM réside dans la même forêt Active Directory (le conteneur logique supérieur d'une configuration Active Directory qui contient des domaines, des utilisateurs et des ordinateurs) et dans le même domaine Active Directory que vos utilisateurs et les ressources existantes, y compris les serveurs de fichiers existants.

## Informations nécessaires pour joindre une SVM à un Active Directory
<a name="ad-info-for-svm-join"></a>

Vous devez fournir les informations suivantes concernant votre Active Directory lorsque vous associez une SVM à un Active Directory, quelle que soit l'opération d'API que vous choisissez :
+ Nom NetBIOS de l'objet informatique Active Directory à créer pour votre SVM. Il s'agit du nom de la SVM dans Active Directory, qui doit être unique au sein de votre Active Directory. N'utilisez pas le nom NetBIOS du domaine d'origine. Le nom NetBIOS ne peut pas dépasser 15 caractères.
+ Le nom de domaine complet (FQDN) de votre Active Directory. Le FQDN ne peut pas dépasser 255 caractères.
**Note**  
Le FQDN ne peut pas être au format SLD (Single Label Domain). Amazon FSx ne prend pas en charge les domaines SLD.
+ Jusqu'à trois adresses IP des serveurs DNS ou des hôtes de domaine de votre domaine.

  Les adresses IP du serveur DNS et les adresses IP du contrôleur de domaine Active Directory peuvent se situer dans n'importe quelle plage d'adresses IP, sauf :
  + Des adresses IP qui entrent en conflit avec les adresses IP appartenant à Amazon Web Services à cet égard. Région AWS Pour obtenir la liste des adresses AWS IP par région, consultez les [plages d'adresses AWS IP](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html). 
  + Adresses IP comprises dans la plage de blocs CIDR suivante : 198.19.0.0/16
+ Informations d'identification d'un compte de service Active Directory FSx utilisé par Amazon pour associer la SVM à votre domaine. Vous pouvez les fournir sous la forme suivante :
  + **Option 1 :** ARN AWS Secrets Manager secret - Le secret contenant le nom d'utilisateur et le mot de passe d'un compte de service sur votre domaine Active Directory. Pour de plus amples informations, veuillez consulter [Stockage des informations d'identification Active Directory à l'aide AWS Secrets Manager](self-managed-AD-best-practices.md#bp-store-ad-creds-using-secret-manager).
  + **Option 2 : informations d'identification** en texte brut
    + **Nom d'utilisateur du compte de service** : nom d'utilisateur du compte de service dans votre Microsoft Active Directory existant. N'incluez pas de préfixe ou de suffixe de domaine. Par exemple, pour`EXAMPLE\ADMIN`, utiliser uniquement`ADMIN`.
    + Mot de **passe du compte de service** : mot de passe du compte de service.
+ (Facultatif) Unité organisationnelle (UO) du domaine auquel vous joignez la SVM.
**Note**  
Si vous associez votre SVM à un AWS Directory Service Active Directory, vous devez fournir une unité d'organisation située dans l'unité d'organisation par défaut qui Directory Service crée pour les objets de répertoire auxquels ils sont associés. AWS Cela est dû au fait que le Directory Service ne donne pas accès à l'unité d'organisation par défaut de votre Active `Computers` Directory. Par exemple, si votre domaine Active Directory est`example.com`, vous pouvez spécifier l'unité d'organisation suivante :`OU=Computers,OU=example,DC=example,DC=com`.
+ (Facultatif) Le groupe de domaines auquel vous déléguez l'autorité pour effectuer des actions administratives sur votre système de fichiers. Par exemple, ce groupe de domaines peut gérer les partages de fichiers Windows SMB, s'approprier des fichiers et des dossiers, etc. Si vous ne spécifiez pas ce groupe, Amazon FSx délègue cette autorité au groupe des administrateurs de domaine de votre domaine Active Directory par défaut.

# Gestion des configurations Active Directory des SVM
<a name="manage-svm-ad-config"></a>

Cette section décrit comment utiliser l' FSx API AWS Management Console, AWS CLI, et la CLI ONTAP pour effectuer les opérations suivantes :
+ Joindre une SVM existante à un Active Directory
+ Modification de la configuration Active Directory d'une SVM existante
+ Suppression SVMs d'un Active Directory

Pour supprimer une SVM d'un Active Directory, vous devez utiliser la NetApp CLI ONTAP.

**Topics**
+ [Connexion SVMs à Active Directory à l'aide de AWS Management Console l'API AWS CLI et](join-svm-to-ad.md)
+ [Mise à jour des configurations SVM Active Directory existantes à l'aide de l' AWS Management Console API AWS CLI,, et](update-svm-ad-config.md)
+ [Mise à jour des configurations Active Directory de la SVM à l'aide de la CLI NetApp](manage-svm-ad-config-ontap-cli.md)

# Connexion SVMs à Active Directory à l'aide de AWS Management Console l'API AWS CLI et
<a name="join-svm-to-ad"></a>

Pour joindre une SVM existante à un Active Directory, procédez comme suit. Dans cette procédure, la SVM *n'est pas* déjà jointe à un Active Directory.

**Pour joindre une SVM à un Active Directory ()AWS Management Console**

1. Ouvrez la FSx console Amazon à l'adresse [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).

1. Choisissez la SVM que vous souhaitez associer à un Active Directory :
   + Dans le volet de navigation de gauche, choisissez **Systèmes de fichiers**, puis choisissez le système de fichiers ONTAP contenant la SVM que vous souhaitez mettre à jour.
   + Choisissez l'onglet **Machines virtuelles de stockage**.

     —Ou—
   + Pour afficher la liste de toutes les options disponibles SVMs, dans le volet de navigation de gauche, développez **ONTAP** et choisissez **Machines virtuelles de stockage**. Une liste de tous SVMs les éléments de votre compte Région AWS s'affiche.

   Sélectionnez dans la liste la SVM que vous souhaitez associer à un Active Directory.

1. Dans le coin supérieur droit du panneau **récapitulatif** de la SVM, choisissez **Actions** > **Joindre/Mettre à jour Active Directory**. La fenêtre **Joindre la SVM à un Active Directory** apparaît.

1. Entrez les informations suivantes pour l'Active Directory auquel vous souhaitez rejoindre la SVM :
   + **Nom NetBIOS** de l'objet informatique Active Directory à créer pour votre SVM. Il s'agit du nom de la SVM dans Active Directory, qui doit être unique au sein de votre Active Directory. N'utilisez pas le nom NetBIOS du domaine d'origine. Le nom NetBIOS ne peut pas dépasser 15 caractères.
   + Le **nom de domaine complet (FQDN)** de votre Active Directory. Le nom de domaine ne peut pas dépasser 255 caractères.
   + **Adresses IP des serveurs DNS** : IPv6 adresses IPv4 ou adresses des serveurs DNS de votre domaine.
   + **Informations d'identification du compte de service** — Choisissez comment fournir les informations d'identification de votre compte de service :
     + **Option 1** : ARN AWS Secrets Manager secret - Le secret contenant le nom d'utilisateur et le mot de passe d'un compte de service sur votre domaine Active Directory. Pour de plus amples informations, veuillez consulter [Stockage des informations d'identification Active Directory à l'aide AWS Secrets Manager](self-managed-AD-best-practices.md#bp-store-ad-creds-using-secret-manager).
     + **Option 2 : informations** d'identification en texte brut
       + **Nom d'utilisateur du compte de service** : nom d'utilisateur du compte de service dans votre Microsoft Active Directory existant. N'incluez pas de préfixe ou de suffixe de domaine. Par exemple, pour`EXAMPLE\ADMIN`, utiliser uniquement`ADMIN`.
       + Mot de **passe du compte de service** : mot de passe du compte de service.
       + **Confirmer le mot** de passe : mot de passe du compte de service.
     + **Géré dans Secrets Manager** (par défaut) : fournissez l'ARN d'un secret Secrets Manager qui contient les informations d'identification de votre compte de service. Le secret doit contenir les paires `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME` clé-valeur et. `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`
     + (Facultatif) **Unité organisationnelle (UO)** : nom du chemin unique de l'unité organisationnelle à laquelle vous souhaitez joindre votre SVM.
     + **Groupe d'administrateurs de systèmes de fichiers délégués** : nom du groupe de votre Active Directory qui peut administrer votre système de fichiers.

       Si vous utilisez AWS Managed Microsoft AD, vous devez spécifier un groupe tel que FSx les administrateurs AWS délégués, les administrateurs AWS délégués ou un groupe personnalisé doté d'autorisations déléguées sur l'unité d'organisation.

       Si vous rejoignez un Active Directory autogéré, utilisez le nom du groupe dans votre Active Directory. Le groupe par défaut est`Domain Admins`.

1. Choisissez **Join Active Directory** pour associer la SVM à Active Directory en utilisant la configuration que vous avez fournie.

**Pour joindre une SVM à un Active Directory (AWS CLI)**
+ Pour joindre une SVM FSx for ONTAP à un Active Directory, utilisez la commande [update-storage-virtual-machine](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-storage-virtual-machine.html)CLI (ou une opération [UpdateStorageVirtualMachine](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateStorageVirtualMachine.html)API équivalente), comme indiqué dans l'exemple suivant.

  ```
  aws fsx update-storage-virtual-machine \
    --storage-virtual-machine-id svm-abcdef0123456789a\
    --active-directory-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \
      OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",\
      FileSystemAdministratorsGroup="FSxAdmins",UserName="FSxService",\
      Password="password", \
      DnsIps=["10.0.1.18"]}',NetBiosName=amznfsx12345
  ```

  Après avoir créé avec succès la machine virtuelle de stockage, Amazon FSx renvoie sa description au format JSON, comme illustré dans l'exemple suivant.

  ```
  {
    "StorageVirtualMachine": {
      "ActiveDirectoryConfiguration": {
        "NetBiosName": "amznfsx12345",
        "SelfManagedActiveDirectoryConfiguration": {
          "UserName": "Admin",
          "DnsIps": [
            "10.0.1.3",
            "10.0.91.97"
          ],
          "OrganizationalUnitDistinguishedName": "OU=Computers,OU=customer-ad,DC=customer-ad,DC=example,DC=com",
          "DomainName": "customer-ad.example.com"
        }
      }
      "CreationTime": 1625066825.306,
      "Endpoints": {
        "Management": {
          "DnsName": "svm-abcdef0123456789a.fs-0123456789abcdef0.fsx.us-east-1.amazonaws.com",
          "IpAddressses": ["198.19.0.4"]    
        },
        "Nfs": {
          "DnsName": "svm-abcdef0123456789a.fs-0123456789abcdef0.fsx.us-east-1.amazonaws.com",
          "IpAddressses": ["198.19.0.4"]    
        },
        "Smb": {
          "DnsName": "amznfsx12345",
          "IpAddressses": ["198.19.0.4"]        
        },
        "SmbWindowsInterVpc": {
          "IpAddressses": ["198.19.0.5", "198.19.0.6"]    
        },
        "Iscsi": {
          "DnsName": "iscsi.svm-abcdef0123456789a.fs-0123456789abcdef0.fsx.us-east-1.amazonaws.com",
          "IpAddressses": ["198.19.0.7", "198.19.0.8"]    
        }
      },
      "FileSystemId": "fs-0123456789abcdef0",
      "Lifecycle": "CREATED",
      "Name": "vol1",
      "ResourceARN": "arn:aws:fsx:us-east-1:123456789012:storage-virtual-machine/fs-0123456789abcdef0/svm-abcdef0123456789a",
      "StorageVirtualMachineId": "svm-abcdef0123456789a",
      "Subtype": "default",
      "Tags": [],
  
    }
  }
  ```

# Mise à jour des configurations SVM Active Directory existantes à l'aide de l' AWS Management Console API AWS CLI,, et
<a name="update-svm-ad-config"></a>

Pour mettre à jour la configuration Active Directory d'une SVM déjà jointe à Active Directory, procédez comme suit.

**Pour mettre à jour la configuration Active Directory d'une SVM ()AWS Management Console**

1. Ouvrez la FSx console Amazon à l'adresse [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).

1. Choisissez la SVM à mettre à jour comme suit :
   + Dans le volet de navigation de gauche, sélectionnez **Systèmes de fichiers**, puis choisissez le système de fichiers ONTAP contenant la SVM que vous souhaitez mettre à jour.
   + Choisissez l'onglet **Machines virtuelles de stockage**.

     —Ou—
   + Pour afficher la liste de toutes les options SVMs disponibles, dans le volet de navigation de gauche, développez **ONTAP** et choisissez **Machines virtuelles de stockage**.

   Sélectionnez dans la liste la SVM que vous souhaitez mettre à jour.

1. Dans le panneau **récapitulatif** de la SVM, choisissez **Actions** > **Joindre/Mettre à jour Active Directory**. La fenêtre de **configuration Active Directory de Update SVM** apparaît.

1. Vous pouvez mettre à jour les propriétés de configuration Active Directory suivantes dans cette fenêtre.
   + **Adresses IP des serveurs DNS** : IPv6 adresses IPv4 ou adresses des serveurs DNS de votre domaine.
   + **Informations d'identification du compte de service** — Choisissez comment fournir les informations d'identification de votre compte de service :
     + **Option 1** : ARN AWS Secrets Manager secret - Le secret contenant le nom d'utilisateur et le mot de passe d'un compte de service sur votre domaine Active Directory. Pour de plus amples informations, veuillez consulter [Stockage des informations d'identification Active Directory à l'aide AWS Secrets Manager](self-managed-AD-best-practices.md#bp-store-ad-creds-using-secret-manager).
     + **Option 2 : informations** d'identification en texte brut
       + **Nom d'utilisateur du compte de service** : nom d'utilisateur du compte de service dans votre Microsoft Active Directory existant. N'incluez pas de préfixe ou de suffixe de domaine. Par exemple, pour`EXAMPLE\ADMIN`, utiliser uniquement`ADMIN`.
       + Mot de **passe du compte de service** : mot de passe du compte de service.
       + **Confirmer le mot** de passe : mot de passe du compte de service.

1. Après avoir saisi vos mises à jour, choisissez **Mettre à jour Active Directory** pour effectuer les modifications.

Pour mettre à jour la configuration Active Directory d'une SVM déjà jointe à Active Directory, procédez comme suit.

**Pour mettre à jour la configuration Active Directory d'une SVM ()AWS CLI**
+ Pour mettre à jour la configuration Active Directory d'une SVM avec l'API AWS CLI or, utilisez la commande [update-storage-virtual-machine](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-storage-virtual-machine.html)CLI (ou une opération [UpdateStorageVirtualMachine](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateStorageVirtualMachine.html)API équivalente), comme indiqué dans l'exemple suivant.

  ```
  aws fsx update-storage-virtual-machine \
      --storage-virtual-machine-id svm-abcdef0123456789a\
      --active-directory-configuration \
      SelfManagedActiveDirectoryConfiguration='{UserName="FSxService",\
      Password="password", \
      DnsIps=["10.0.1.18"]}'
  ```

# Mise à jour des configurations Active Directory de la SVM à l'aide de la CLI NetApp
<a name="manage-svm-ad-config-ontap-cli"></a>

Vous pouvez utiliser la CLI NetApp ONTAP pour joindre et dissocier votre SVM à un Active Directory, et pour modifier la configuration d'une SVM Active Directory existante.

## Joindre une SVM à un Active Directory à l'aide de la CLI ONTAP
<a name="using-ontap-cli-to-connect-to-ad"></a>

Vous pouvez joindre un répertoire existant SVMs à un Active Directory à l'aide de la CLI ONTAP, comme décrit dans la procédure suivante. Vous pouvez le faire même si votre SVM est déjà jointe à un Active Directory. 

1. Pour accéder à la ONTAP CLI, établissez une session SSH sur le port de gestion du système de fichiers Amazon FSx for NetApp ONTAP ou de la SVM en exécutant la commande suivante. Remplacez `management_endpoint_ip` par l'adresse IP du port de gestion du système de fichiers.

   ```
   [~]$ ssh fsxadmin@management_endpoint_ip
   ```

   Pour de plus amples informations, veuillez consulter [Gestion des systèmes de fichiers à l'aide de la ONTAP CLI](managing-resources-ontap-apps.md#fsxadmin-ontap-cli). 

1.  Créez une entrée DNS pour votre Active Directory en fournissant le nom DNS complet du répertoire (`corp.example.com`) et au moins une adresse IP du serveur DNS.

   ```
   ::>vserver services name-service dns create -vserver svm_name -domains corp.example.com -name-servers dns_ip_1, dns_ip_2 
   ```

   Pour vérifier la connexion à vos serveurs DNS, exécutez la commande suivante. Remplacez *svm\$1name* par vos propres informations. 

   ```
   FsxId0ae30e5b7f1a50b6a::>vserver services name-service dns check -vserver svm_name 
   
                                 Name Server
   Vserver       Name Server     Status       Status Details
   ------------- --------------- ------------ --------------------------
   svm_name      172.31.14.245   up           Response time (msec): 0
   svm_name      172.31.25.207   up           Response time (msec): 1
   2 entries were displayed.
   ```

1. Pour associer votre SVM à Active Directory, exécutez la commande suivante. Notez que vous devez spécifier un nom `computer_name` qui n'existe pas encore dans votre Active Directory et fournir le nom DNS du répertoire pour`-domain`. Pour`-OU`, entrez le nom OUs auquel vous souhaitez associer la SVM, ainsi que le nom DNS complet au format DC.

   ```
   ::>vserver cifs create -vserver svm_name -cifs-server computer_name -domain corp.example.com -OU OU=Computers,OU=example,DC=corp,DC=example,DC=com
   ```

   Pour vérifier l'état de votre connexion Active Directory, exécutez la commande suivante :

   ```
   ::>vserver cifs check -vserver svm_name
                                 
                 Vserver : svm_name
                       Cifs NetBIOS Name : svm_netBIOS_name
                             Cifs Status : Running
                                    Site : Default-First-Site-Name
   Node Name       DC Server Name  DC Server IP    Status   Status Details
   --------------- --------------  --------------- ------   --------------
   FsxId0ae30e5b7f1a50b6a-01 
                   corp.example.com  
                                   172.31.14.245   up       Response time (msec): 5
   FsxId0ae30e5b7f1a50b6a-02 
                   corp.example.com  
                                   172.31.14.245   up       Response time (msec): 20
   2 entries were displayed.
   ```

1. Si vous ne pouvez pas accéder aux partages après cette inscription, déterminez si le compte que vous utilisez pour accéder au partage dispose d'autorisations. Par exemple, si vous utilisez le `Admin` compte par défaut (un administrateur délégué) avec un Active Directory AWS géré, vous devez exécuter la commande suivante dans ONTAP. `netbios_domain`Correspond au nom de domaine de votre Active Directory (pour`corp.example.com`, le nom `netbios_domain` utilisé ici est`example`).

   ```
   FsxId0123456789a::>vserver cifs users-and-groups local-group add-members -vserver svm_name -group-name BUILTIN\Administrators -member-names netbios_domain\admin
   ```

## Modifier une configuration Active Directory à l'aide de la CLI ONTAP
<a name="using-ontap-cli-to-modify-ad"></a>

Vous pouvez utiliser la CLI ONTAP pour modifier une configuration Active Directory existante.


1. Pour accéder à la ONTAP CLI, établissez une session SSH sur le port de gestion du système de fichiers Amazon FSx for NetApp ONTAP ou de la SVM en exécutant la commande suivante. Remplacez `management_endpoint_ip` par l'adresse IP du port de gestion du système de fichiers.

   ```
   [~]$ ssh fsxadmin@management_endpoint_ip
   ```

   Pour de plus amples informations, veuillez consulter [Gestion des systèmes de fichiers à l'aide de la ONTAP CLI](managing-resources-ontap-apps.md#fsxadmin-ontap-cli). 

1. Exécutez la commande suivante pour arrêter temporairement le serveur CIFS de la SVM :


   ```
   FsxId0123456789a::>vserver cifs modify -vserver svm_name -status-admin down
   ```

1. Si vous devez modifier les entrées DNS de votre Active Directory, exécutez la commande suivante :


   ```
   ::>vserver services name-service dns modify -vserver svm_name -domains corp.example.com -name-servers dns_ip_1,dns_ip_2
   ```

   Vous pouvez valider l'état de connexion aux serveurs DNS de votre Active Directory à l'aide de la `vserver services name-service dns check -vserver svm_name` commande.

   ```
   ::>vserver services name-service dns check -vserver svm_name
                                 Name Server
   Vserver       Name Server     Status       Status Details
   ------------- --------------- ------------ --------------------------
   svmciad       dns_ip_1        up           Response time (msec): 1
   svmciad       dns_ip_2        up           Response time (msec): 1
   2 entries were displayed.
   ```

1. Si vous devez modifier la configuration d'Active Directory elle-même, vous pouvez modifier les champs existants à l'aide de la commande suivante, en remplaçant :
   + *computer\$1name*, si vous souhaitez modifier le nom NetBIOS (compte machine) de la SVM.
   + *domain\$1name*, si vous souhaitez modifier le nom du domaine. Cela doit correspondre à l'entrée de domaine DNS indiquée à l'étape 3 de cette section (`corp.example.com`).
   + `organizational_unit`, si vous souhaitez modifier l'unité d'organisation (`OU=Computers,OU=example,DC=corp,DC=example,DC=com`).

   Vous devrez saisir à nouveau les informations d'identification Active Directory que vous avez utilisées pour associer cet appareil à Active Directory.

   ```
   ::>vserver cifs modify -vserver svm_name -cifs-server computer_name -domain domain_name -OU organizational_unit
   ```

   Vous pouvez vérifier l'état de votre connexion Active Directory à l'aide de la `vserver cifs check -vserver svm_name` commande.

1. Lorsque vous avez terminé de modifier votre configuration Active Directory et DNS, réactivez le serveur CIFS en exécutant la commande suivante :

   ```
   ::>vserver cifs modify -vserver svm_name -status-admin up
   ```

## Dissocier un Active Directory de votre SVM à l'aide de la NetApp CLI ONTAP
<a name="using-ontap-cli-to-unjoin-ad"></a>

La CLI NetApp ONTAP peut également être utilisée pour dissocier votre SVM d'un Active Directory en suivant les étapes ci-dessous :

1. Pour accéder à la ONTAP CLI, établissez une session SSH sur le port de gestion du système de fichiers Amazon FSx for NetApp ONTAP ou de la SVM en exécutant la commande suivante. Remplacez `management_endpoint_ip` par l'adresse IP du port de gestion du système de fichiers.

   ```
   [~]$ ssh fsxadmin@management_endpoint_ip
   ```

   Pour de plus amples informations, veuillez consulter [Gestion des systèmes de fichiers à l'aide de la ONTAP CLI](managing-resources-ontap-apps.md#fsxadmin-ontap-cli). 

1. Supprimez le serveur CIFS qui a dissocié votre appareil d'Active Directory en exécutant la commande suivante. Pour qu'ONTAP supprime le compte de machine associé à votre SVM, veuillez fournir les informations d'identification que vous avez initialement utilisées pour associer la SVM à Active Directory. 


   ```
   FsxId0123456789a::>vserver cifs modify -vserver svm_name -status-admin down
   ```

1. Si vous devez modifier les entrées DNS de votre Active Directory, exécutez la commande suivante :


   ```
   FsxId0123456789a::vserver cifs delete -vserver svm_name
   
   In order to delete an Active Directory machine account for the CIFS server, you must supply the name and password of a Windows account with
   sufficient privileges to remove computers from the "CORP.ADEXAMPLE.COM" domain. 
   
   Enter the user name: user_name
   
   Enter the password: 
   
   Warning: There are one or more shares associated with this CIFS server
            Do you really want to delete this CIFS server and all its shares? {y|n}: y
   ```

1. Supprimez les serveurs DNS de votre Active Directory en exécutant la commande suivante :

   ```
   ::vserver services name-service dns delete -vserver svm_name
   ```

   Si vous voyez un avertissement comme celui-ci, indiquant qu'il `dns` doit être supprimé en tant que tel, `ns-switch` et si vous ne prévoyez pas de rattacher cet appareil à un Active Directory, vous pouvez supprimer les entrées. `ns-switch`

   ```
   Warning: "DNS" is present as one of the sources in one or more ns-switch databases but no valid DNS configuration was found for Vserver
            "svm_name". Remove "DNS" from ns-switch using the "vserver services name-service ns-switch" command. Configuring "DNS" as a source
            in the ns-switch setting when there is no valid configuration can cause protocol access issues.
   ```

1. (Facultatif) Supprimez les `ns-switch` entrées pour en `dns` exécutant la commande suivante. Vérifiez l'ordre des sources, puis supprimez l'`dns`entrée de la `hosts` base de données en modifiant le `sources` afin qu'il ne contienne que les autres sources répertoriées. Dans cet exemple, la seule autre source est`files`. 

   ```
   ::>vserver services name-service ns-switch show -vserver svm_name -database hosts
   
                        Vserver: svm_name
   Name Service Switch Database: hosts
      Name Service Source Order: files, dns
   ```

   ```
   ::>vserver services name-service ns-switch modify -vserver svm_name -database hosts -sources files
   ```

1.  (Facultatif) Supprimez l'`dns`entrée en modifiant le `sources` pour l'hôte de base de données afin de l'inclure uniquement`files`. 

   ```
   ::>vserver services name-service ns-switch modify -vserver svm_name -database hosts -sources files
   ```