Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Bonnes pratiques d'utilisation d'Active Directory
Voici quelques suggestions et directives à prendre en compte lorsque vous rejoignez Amazon FSx for NetApp ONTAP sur SVMs votre Microsoft Active Directory autogéré. Notez qu'elles sont recommandées en tant que meilleures pratiques, mais qu'elles ne sont pas obligatoires.
**Topics**
+ [Délégation d'autorisations à votre compte de FSx service Amazon](#connect_delegate_privileges)
+ [Maintien à jour de votre configuration Active Directory avec Amazon FSx](#keep-ad-config-updated)
+ [Utilisation de groupes de sécurité pour limiter le trafic au sein de votre VPC](#least-privilege-sg-rules)
+ [Création de règles de groupe de sécurité sortant pour l'interface réseau de votre système de fichiers](#sg-rules-fsx-eni)
+ [Stockage des informations d'identification Active Directory à l'aide AWS Secrets Manager](#bp-store-ad-creds-using-secret-manager)
## Délégation d'autorisations à votre compte de FSx service Amazon
Assurez-vous de configurer le compte de service que vous fournissez à Amazon FSx avec les autorisations minimales requises. En outre, séparez l'unité organisationnelle (UO) des autres domaines concernés par le contrôleur de domaine.
Pour associer Amazon FSx SVMs à votre domaine, assurez-vous que le compte de service dispose d'autorisations déléguées. Les membres du groupe des **administrateurs de domaine** disposent des autorisations suffisantes pour effectuer cette tâche. Toutefois, il est recommandé d'utiliser un compte de service qui ne dispose que des autorisations minimales nécessaires pour ce faire. La procédure suivante explique comment déléguer uniquement les autorisations nécessaires FSx pour rejoindre ONTAP SVMs à votre domaine.
Effectuez cette procédure sur un ordinateur joint à votre annuaire et sur lequel le composant logiciel enfichable MMC Active Directory User and Computers est installé.
**Pour créer un compte de service pour votre domaine Microsoft Active Directory**Création d'un compte de service pour l'AD
1. Assurez-vous d'être connecté en tant qu'administrateur de domaine pour votre domaine Microsoft Active Directory.
1. Ouvrez le composant logiciel enfichable MMC **Active Directory User and Computers**.
1. Dans le volet des tâches, développez le nœud de domaine.
1. Localisez et ouvrez le menu contextuel (clic droit) de l'unité d'organisation que vous souhaitez modifier, puis choisissez **Déléguer le contrôle**.
1. Sur la page **Assistant de délégation de contrôle**, choisissez **Next**.
1. Choisissez **Ajouter** pour ajouter un utilisateur ou un groupe spécifique **aux utilisateurs et groupes sélectionnés**, puis cliquez sur **Suivant**.
1. Sur la page **Tâches à déléguer**, sélectionnez **Créer une tâche personnalisée à déléguer**, puis choisissez **Suivant**.
1. Choisissez **Uniquement les objets suivants dans le dossier**, puis choisissez **Objets informatiques**.
1. Choisissez **Créer les objets sélectionnés dans ce dossier** et **Supprimer les objets sélectionnés dans ce dossier**. Ensuite, sélectionnez **Suivant**.
1. Sous **Afficher ces autorisations**, assurez-vous que les options **Général et Spécifique** à **la propriété sont sélectionnées**.
1. Pour **Autorisations**, choisissez ce qui suit :
+ **Réinitialisation du mot**
+ **Restrictions relatives aux comptes en lecture et en écriture**
+ **Écriture validée sur le nom d'hôte DNS**
+ **Écriture validée sur le nom principal du service**
+ **Rédiger des MSDs- SupportedEncryptionTypes**
1. Cliquez sur **Suivant**, puis sur **Terminer**.
1. Fermez le composant logiciel enfichable MMC **Active Directory User and Computers**.
**Important**
Ne déplacez pas les objets informatiques créés par Amazon dans l'unité d'organisation FSx une fois SVMs les vôtres créés. Cela entraînera une mauvaise configuration SVMs de votre ordinateur.
## Maintien à jour de votre configuration Active Directory avec Amazon FSx
Pour une disponibilité ininterrompue de votre Amazon FSx SVMs, mettez à jour la configuration Active Directory (AD) autogérée d'une SVM lorsque vous modifiez votre configuration AD autogérée.
Supposons, par exemple, que votre AD utilise une politique de réinitialisation des mots de passe basée sur le temps. Dans ce cas, dès que le mot de passe est réinitialisé, assurez-vous de mettre à jour le mot de passe du compte de service auprès d'Amazon FSx. Pour ce faire, utilisez la FSx console Amazon, FSx l'API Amazon ou AWS CLI. De même, si les adresses IP du serveur DNS changent pour votre domaine Active Directory, mettez à jour les adresses IP du serveur DNS auprès d'Amazon dès que le changement se produit FSx.
**En cas de problème avec la mise à jour de la configuration AD autogérée, l'état de la SVM passe à Mauvaise configuration.** Cet état affiche un message d'erreur et une action recommandée à côté de la description de la SVM dans la console, l'API et la CLI. En cas de problème lié à la configuration Active Directory de votre SVM, veillez à prendre les mesures correctives recommandées pour les propriétés de configuration. Si le problème est résolu, vérifiez que l'état de votre SVM passe à **Créé**.
Pour plus d’informations, consultez [Mise à jour des configurations SVM Active Directory existantes à l'aide de l' AWS Management Console API AWS CLI,, et](update-svm-ad-config.md) et [Modifier une configuration Active Directory à l'aide de la CLI ONTAP](manage-svm-ad-config-ontap-cli.md#using-ontap-cli-to-modify-ad).
## Utilisation de groupes de sécurité pour limiter le trafic au sein de votre VPC
Pour limiter le trafic réseau dans votre cloud privé virtuel (VPC), vous pouvez mettre en œuvre le principe du moindre privilège dans votre VPC. En d'autres termes, vous pouvez limiter les autorisations au minimum nécessaire. Pour ce faire, utilisez les règles des groupes de sécurité. Pour en savoir plus, veuillez consulter la section [Groupes de sécurité Amazon VPC](limit-access-security-groups.md#fsx-vpc-security-groups).
## Création de règles de groupe de sécurité sortant pour l'interface réseau de votre système de fichiers
Pour plus de sécurité, envisagez de configurer un groupe de sécurité avec des règles de trafic sortant. Ces règles doivent autoriser le trafic sortant uniquement vers vos contrôleurs de domaines AD autogérés ou au sein du sous-réseau ou du groupe de sécurité. Appliquez ce groupe de sécurité au VPC associé à l'interface Elastic Network Interface de votre système de FSx fichiers Amazon. Pour en savoir plus, veuillez consulter la section [Contrôle d'accès au système de fichiers avec Amazon VPC](limit-access-security-groups.md).
## Stockage des informations d'identification Active Directory à l'aide AWS Secrets Manager
Vous pouvez l'utiliser AWS Secrets Manager pour stocker et gérer en toute sécurité les informations d'identification de votre compte de service de connexion à un domaine Microsoft Active Directory. Cette approche élimine le besoin de stocker les informations d'identification sensibles en texte clair dans le code de l'application ou les fichiers de configuration, renforçant ainsi votre posture de sécurité.
Vous pouvez également configurer des politiques IAM pour gérer l'accès à vos secrets et configurer des politiques de rotation automatique pour vos mots de passe.
### Stocker les informations d'identification Active Directory dans AWS Secrets Manager (console)
#### Étape 1 : créer une clé KMS
Créez une clé KMS pour chiffrer et déchiffrer vos informations d'identification Active Directory dans Secrets Manager.
**Pour créer une clé**
**Note**
Pour la **clé de chiffrement**, créez une nouvelle clé, n'utilisez pas la clé KMS AWS par défaut. Veillez à créer la SVM AWS KMS key dans la même région que celle où se trouve la SVM que vous souhaitez joindre à votre Active Directory.
1. Ouvrez la AWS KMS console à l'adresse https://console.aws.amazon.com /kms.
1. Choisissez **Create key**.
1. Pour **Type de clé**, choisissez **Symétrique**.
1. Pour **Utilisation de la clé**, choisissez **Chiffrer et déchiffrer**.
1. Pour les **options avancées**, procédez comme suit :
1. Pour **Origine des clés**, choisissez **KMS**.
1. **Pour **Régionalité**, choisissez la **clé à région unique**, puis cliquez sur Suivant.**
1. Choisissez **Suivant**.
1. Pour **Alias**, attribuez un nom à la clé KMS.
1. (Facultatif) Pour **Description**, fournissez une description de la clé KMS.
1. (Facultatif) Pour les **balises**, fournissez une balise pour la clé KMS et choisissez **Next**.
1. (Facultatif) Pour **les administrateurs de clés**, indiquez les utilisateurs et les rôles IAM autorisés à gérer cette clé.
1. Pour **supprimer une clé**, maintenez la case **Autoriser les administrateurs clés** à supprimer cette clé et choisissez **Next**.
1. (Facultatif) Pour **les utilisateurs de clés**, indiquez les utilisateurs et les rôles IAM autorisés à utiliser cette clé dans les opérations cryptographiques. Choisissez **Suivant**.
1. Pour la **politique en matière de clés**, choisissez **Modifier** et incluez ce qui suit dans la **déclaration** de politique pour autoriser Amazon FSx à utiliser la clé KMS, puis choisissez **Next**. Assurez-vous de remplacer le par *us-west-2* l' Région AWS endroit où le système de fichiers est déployé et *123456789012* par votre Compte AWS identifiant.
```
{
"Sid": "Allow FSx to use the KMS key",
"Version": "2012-10-17",
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-west-2.amazonaws.com",
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:fsx:us-west-2:123456789012:file-system/*",
"arn:aws:fsx:us-west-2:123456789012:storage-virtual-machine/fs-*/svm-*"
]
}
}
}
```
1. Choisissez **Finish** (Terminer).
**Note**
Vous pouvez définir un contrôle d'accès plus précis en modifiant les `aws:SourceArn` champs `Resource` et pour cibler des secrets et des systèmes de fichiers spécifiques.
#### Étape 2 : créer un AWS Secrets Manager secret
**Pour créer un secret**
1. Ouvrez la console Secrets Manager à l'adresse [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Choisissez **Store a new secret** (Stocker un nouveau secret).
1. Pour **Secret type** (Type de secret), choisissez **Other type of secret** (Autre type de secret).
1. Pour les **paires clé/valeur**, procédez comme suit pour ajouter vos deux clés :
1. Pour la première clé, entrez `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`.
1. Pour la valeur de la première clé, saisissez uniquement le nom utilisateur (sans le préfixe de domaine) de l’utilisateur AD.
1. Pour la deuxième clé, entrez `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`.
1. Pour la valeur de la deuxième clé, saisissez le mot de passe que vous avez créé pour l'utilisateur AD sur votre domaine.
1. Pour **Clé de chiffrement**, entrez l'ARN de la clé KMS que vous avez créée à l'étape précédente et choisissez **Next**.
1. Dans **Nom du secret**, saisissez un nom descriptif qui vous aidera à rechercher votre secret ultérieurement.
1. (Facultatif) Pour **Description**, saisissez une description du nom du secret.
1. Pour l'**autorisation des ressources**, choisissez **Modifier**.
Ajoutez la politique suivante à la politique d'autorisation pour autoriser Amazon FSx à utiliser le secret, puis choisissez **Next**. Assurez-vous de remplacer le par *us-west-2* l' Région AWS endroit où le système de fichiers est déployé et *123456789012* par votre Compte AWS identifiant.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:fsx:us-west-2:123456789012:file-system/*",
"arn:aws:fsx:us-west-2:123456789012:storage-virtual-machine/fs-*/svm-*"
]
}
}
}
]
}
```
1. (Facultatif) Vous pouvez configurer Secrets Manager pour qu'il fasse automatiquement pivoter vos informations d'identification. Choisissez **Suivant**.
1. Choisissez **Finish** (Terminer).
### Stocker les informations d'identification Active Directory dans AWS Secrets Manager (CLI)
#### Étape 1 : créer une clé KMS
Créez une clé KMS pour chiffrer et déchiffrer vos informations d'identification Active Directory dans Secrets Manager.
Pour créer une clé KMS, utilisez la AWS CLI commande [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html).
Dans cette commande, définissez le `--policy` paramètre pour spécifier la politique de clé qui définit les autorisations pour la clé KMS. La politique doit inclure les éléments suivants :
+ Le principal du service pour Amazon FSx, qui est`fsx.amazonaws.com`.
+ Actions KMS requises : `kms:Decrypt` et`kms:DescribeKey`.
+ Modèle d'ARN de ressources pour votre compte Région AWS et.
+ Clés de condition qui limitent l'utilisation des clés :
+ `kms:ViaService`pour s'assurer que les demandes passent par Secrets Manager.
+ `aws:SourceAccount`pour vous limiter à votre compte.
+ `aws:SourceArn`pour se limiter à des systèmes de FSx fichiers Amazon spécifiques.
L'exemple suivant crée une clé KMS de chiffrement symétrique avec une politique qui permet FSx à Amazon d'utiliser la clé pour les opérations de déchiffrement et de description des clés. La commande récupère automatiquement votre Compte AWS identifiant et votre région, puis configure la politique clé avec ces valeurs afin de garantir des contrôles d'accès appropriés entre Amazon FSx, Secrets Manager et la clé KMS. Assurez-vous que votre AWS CLI environnement se trouve dans la même région que la SVM qui va rejoindre Active Directory.
```
# Set region and get Account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Create Key
KMS_KEY_ARN=$(aws kms create-key --policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Sid\": \"Enable IAM User Permissions\",
\"Effect\": \"Allow\",
\"Principal\": {
\"AWS\": \"arn:aws:iam::$ACCOUNT_ID:root\"
},
\"Action\": \"kms:*\",
\"Resource\": \"*\"
},
{
\"Sid\": \"Allow FSx to use the KMS key\",
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"kms:Decrypt\",
\"kms:DescribeKey\"
],
\"Resource\": \"*\",
\"Condition\": {
\"StringEquals\": {
\"kms:ViaService\": \"secretsmanager.$REGION.amazonaws.com\",
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": [
\"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\",
\"arn:aws:fsx:$REGION:$ACCOUNT_ID:storage-virtual-machine/fs-*/svm-*\"]
}
}
}
]
}" --query 'KeyMetadata.Arn' --output text)
echo "KMS Key ARN: $KMS_KEY_ARN"
```
**Note**
Vous pouvez définir un contrôle d'accès plus précis en modifiant les `aws:SourceArn` champs `Resource` et pour cibler des secrets et des systèmes de fichiers spécifiques.
#### Étape 2 : créer un AWS Secrets Manager secret
Pour créer un secret permettant FSx à Amazon d'accéder à votre Active Directory, utilisez la AWS CLI commande [create-secret](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/create-secret.html) et définissez les paramètres suivants :
+ `--name`: L'identifiant de votre secret.
+ `--description`: description de l'objectif du secret.
+ `--kms-key-id`: ARN de la clé KMS que vous avez créée à [l'étape 1](#create-kms-key-cli) pour chiffrer le secret au repos.
+ `--secret-string`: chaîne JSON contenant vos informations d'identification AD au format suivant :
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`: le nom d'utilisateur de votre compte de service AD sans le préfixe de domaine, tel que`svc-fsx`. **Ne fournissez pas** le préfixe de domaine, tel que`CORP\svc-fsx`.
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`: le mot de passe de votre compte de service AD
+ `--region`: L' Région AWS endroit où votre SVM sera créée. Par défaut, c'est la région que vous avez configurée si elle n'`AWS_REGION`est pas définie.
Après avoir créé le secret, associez une politique de ressources à l'aide de la [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/logs/put-resource-policy.html)commande et définissez les paramètres suivants :
+ `--secret-id`: nom ou ARN du secret auquel associer la politique. L'exemple suivant utilise **FSxSecret** comme`--secret-id`.
+ `--region`: Région AWS Identique à ton secret.
+ `--resource-policy`: document de politique JSON qui FSx autorise Amazon à accéder au secret. La politique doit inclure les éléments suivants :
+ Le principal du service pour Amazon FSx, qui est**fsx.amazonaws.com**.
+ Actions requises de Secrets Manager : `secretsmanager:GetSecretValue` et`secretsmanager:DescribeSecret`.
+ Modèle d'ARN de ressources pour votre compte Région AWS et.
+ Les clés de condition suivantes qui limitent l'accès :
+ `aws:SourceAccount`pour vous limiter à votre compte.
+ `aws:SourceArn`pour se limiter à des systèmes de FSx fichiers Amazon spécifiques.
L'exemple suivant crée un secret au format requis et y joint une politique de ressources qui autorise Amazon FSx à utiliser le secret. Cet exemple récupère automatiquement votre Compte AWS identifiant et votre région, puis configure la politique de ressources avec ces valeurs afin de garantir des contrôles d'accès appropriés entre Amazon FSx et le secret.
Assurez-vous de le `KMS_KEY_ARN` remplacer par l'ARN de la clé que vous avez créée à l'[étape 1](#create-kms-key-cli) et par `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME` les informations `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD` d'identification de votre compte de service Active Directory. Vérifiez également que votre AWS CLI environnement est configuré pour la même région que la SVM qui va rejoindre Active Directory.
```
# Set region and get account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Replace with your KMS key ARN from Step 1
KMS_KEY_ARN="arn:aws:kms:us-east-2:123456789012:key/1234542f-d114-555b-9ade-fec3c9200d8e"
# Replace with your Active Directory credentials
AD_USERNAME="Your_Username"
AD_PASSWORD="Your_Password"
# Create the secret
SECRET_ARN=$(aws secretsmanager create-secret \
--name "FSxSecret" \
--description "Secret for FSx access" \
--kms-key-id "$KMS_KEY_ARN" \
--secret-string "{\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"$AD_USERNAME\",\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"$AD_PASSWORD\"}" \
--region "$REGION" \
--query 'ARN' \
--output text)
echo "Secret created with ARN: $SECRET_ARN"
# Attach the resource policy with proper formatting
aws secretsmanager put-resource-policy \
--secret-id "FSxSecret" \
--region "$REGION" \
--resource-policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"secretsmanager:GetSecretValue\",
\"secretsmanager:DescribeSecret\"
],
\"Resource\": \"$SECRET_ARN\",
\"Condition\": {
\"StringEquals\": {
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": [
\"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\",
\"arn:aws:fsx:$REGION:$ACCOUNT_ID:storage-virtual-machine/fs-*/svm-*\"]
}
}
}
]
}"
echo "Resource policy attached successfully"
```
**Note**
Vous pouvez définir un contrôle d'accès plus précis en modifiant les `aws:SourceArn` champs `Resource` et pour cibler des secrets et des systèmes de fichiers spécifiques.