Menyiapkan Direktori Aktif yang dikelola sendiri - Layanan Basis Data Relasional Amazon
Langkah 1: Buat Unit Organisasi di AD AndaLangkah 2: Buat akun layanan domain AD di AD Anda.Langkah 3: Delegasikan kontrol ke akun layanan domain ADLangkah 4: Buat AWS KMS kunci.Langkah 5: Buat AWS rahasia.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan Direktori Aktif yang dikelola sendiri

Untuk menyiapkan iklan yang dikelola sendiri, lakukan langkah-langkah berikut.

Langkah 1: Buat Unit Organisasi di AD Anda

penting

Sebaiknya buat kredensi OU dan layanan khusus yang dicakup oleh OU tersebut untuk AWS akun apa pun yang memiliki instans RDS untuk SQL Server DB yang bergabung dengan domain AD yang dikelola sendiri. Dengan mengkhususkan kredensial OU dan layanan, Anda dapat menghindari izin yang bertentangan dan mengikuti prinsip hak akses paling rendah.

Untuk membuat OU di AD Anda

  1. Hubungkan ke domain AD Anda sebagai administrator domain.

  2. Buka Active Directory Users and Computers dan pilih domain tempat Anda ingin membuat OU Anda.

  3. Klik kanan domain dan pilih New, lalu Organizational Unit.

  4. Masukkan nama untuk OU.

  5. Biarkan kotak tetap dicentang untuk Protect container from accidental deletion.

  6. Klik OK. OU baru Anda akan muncul di bawah domain Anda.

Langkah 2: Buat akun layanan domain AD di AD Anda

Kredensyal akun layanan domain akan digunakan untuk AWS rahasia di Secrets Manager.

Untuk membuat akun layanan domain AD di AD

  1. Buka Active Directory Users and Computers dan pilih domain dan OU tempat Anda ingin membuat pengguna Anda.

  2. Klik kanan objek Users dan pilih New, lalu User.

  3. Masukkan nama depan, nama belakang, dan nama login untuk pengguna. Klik Next.

  4. Masukkan kata sandi untuk pengguna. Jangan pilih "User must change password at next login". Jangan pilih "Account is disabled". Klik Next.

  5. Klik OK. Pengguna baru Anda akan muncul di bawah domain Anda.

Langkah 3: Delegasikan kontrol ke akun layanan domain AD

Untuk mendelegasikan kontrol ke akun layanan domain AD di domain Anda

  1. Buka snap-in MMC Active Directory Users and Computers dan pilih domain tempat Anda ingin membuat pengguna Anda.

  2. Klik kanan OU yang Anda buat sebelumnya dan pilih Delegate Control.

  3. Pada bagian Delegation of Control Wizard, klik Next.

  4. Pada bagian Users or Groups, klik Add.

  5. Pada bagian Pilih Pengguna, Komputer, atau Grup, masukkan akun layanan domain AD yang Anda buat dan klik Periksa Nama. Jika pemeriksaan akun layanan domain AD Anda berhasil, klik OK.

  6. Pada bagian Pengguna atau Grup, konfirmasikan akun layanan domain AD Anda telah ditambahkan dan klik Berikutnya.

  7. Pada bagian Tasks to Delegate, pilih Create a custom task to delegate lalu klik Next.

  8. Pada bagian Active Directory Object Type:

    1. Pilih Only the following objects in the folder.

    2. Pilih Computer Objects.

    3. Pilih Create selected objects in this folder.

    4. Pilih Delete selected objects in this folder lalu klik Next.

  9. Pada bagian Permissions:

    1. Tetap pilih General.

    2. Pilih Validated write to DNS host name.

    3. Pilih Validated write to service principal name lalu klik Next.

    4. Untuk mengaktifkan otentikasi Kerberos, tetap pilih Property-specific dan pilih Write dari daftar. servicePrincipalName

  10. Untuk Completing the Delegation of Control Wizard, tinjau dan konfirmasikan pengaturan Anda lalu klik Finish.

  11. Untuk otentikasi Kerberos, buka DNS Manager dan buka properti Server.

    1. Di kotak dialog Windows, ketikdnsmgmt.msc.

    2. Tambahkan akun layanan domain AD di bawah tab Keamanan.

    3. Pilih izin Baca dan terapkan perubahan Anda.

Langkah 4: Buat AWS KMS kunci

Kunci KMS digunakan untuk mengenkripsi rahasia Anda AWS .

Untuk membuat AWS KMS kunci
catatan

Untuk Kunci Enkripsi, jangan gunakan kunci KMS AWS default. Pastikan untuk membuat AWS KMS kunci di AWS akun yang sama yang berisi instans RDS untuk SQL Server DB yang ingin Anda gabungkan ke AD yang dikelola sendiri.

  1. Di AWS KMS konsol, pilih tombol Buat.

  2. Untuk Tipe Kunci, pilih Simetris.

  3. Untuk Penggunaan Kunci, pilih Enkripsi dan dekripsi.

  4. Untuk Opsi lanjutan:

    1. Untuk Asal materi kunci, pilih KMS.

    2. Untuk Regionalitas, pilih Kunci Wilayah Tunggal lalu klik Berikutnya.

  5. Untuk Alias, berikan nama untuk kunci KMS.

  6. (Opsional) Untuk Deskripsi, berikan deskripsi kunci KMS.

  7. (Opsional) Untuk Tag, berikan tag kunci KMS lalu klik Berikutnya.

  8. Untuk Administrator kunci, berikan nama pengguna IAM dan pilih nama pengguna tersebut.

  9. Untuk Penghapusan kunci, biarkan kotak dipilih untuk Izinkan administrator kunci untuk menghapus kunci ini lalu klik Berikutnya.

  10. Untuk Pengguna kunci, berikan pengguna IAM yang sama dari langkah sebelumnya dan pilih nama pengguna tersebut. Klik Berikutnya.

  11. Tinjau konfigurasi tersebut.

  12. Untuk Kebijakan kunci, sertakan yang berikut pada Pernyataan kebijakan:

    {
    "Sid": "Allow use of the KMS key on behalf of RDS",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "rds.amazonaws.com"
        ]
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}

  13. Klik Selesai.

Langkah 5: Buat AWS rahasia

Untuk membuat rahasia
catatan

Pastikan untuk membuat rahasia di AWS akun yang sama yang berisi instans RDS untuk SQL Server DB yang ingin Anda gabungkan ke AD yang dikelola sendiri.

  1. Di AWS Secrets Manager, pilih Simpan rahasia baru.

  2. Untuk Tipe rahasia, pilih Tipe rahasia lainnya.

  3. Untuk Pasangan kunci/nilai, tambahkan dua kunci Anda:

    1. Untuk kunci pertama, masukkan SELF_MANAGED_ACTIVE_DIRECTORY_USERNAME.

    2. Untuk nilai kunci pertama, masukkan hanya nama pengguna (tanpa awalan domain) dari pengguna AD. Jangan sertakan nama domain karena ini menyebabkan pembuatan instance gagal.

    3. Untuk kunci kedua, masukkan SELF_MANAGED_ACTIVE_DIRECTORY_PASSWORD.

    4. Untuk nilai kunci kedua, masukkan kata sandi yang Anda buat untuk pengguna AD di domain Anda.

  4. Untuk Kunci enkripsi, masukkan kunci KMS yang Anda buat pada langkah sebelumnya lalu klik Berikutnya.

  5. Untuk Nama rahasia, masukkan nama deskriptif yang akan membantu Anda menemukan rahasia Anda nanti.

  6. (Opsional) Untuk Deskripsi, masukkan deskripsi untuk nama rahasia.

  7. Untuk Izin sumber daya, klik Edit.

  8. Tambahkan kebijakan berikut ke kebijakan izin:

    catatan

    Kami menyarankan Anda menggunakan kondisi aws:sourceAccount dan aws:sourceArn dalam kebijakan untuk menghindari masalah confused deputy. Gunakan Akun AWS untuk aws:sourceAccount dan RDS untuk SQL Server DB instance ARN untuk. aws:sourceArn Untuk informasi selengkapnya, lihat Pencegahan masalah confused deputy lintas layanan.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement":
    [
        {
            "Effect": "Allow",
            "Principal":
            {
                "Service": "rds.amazonaws.com"
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "aws:sourceAccount": "123456789012"
                },
                "ArnLike":
                {
                    "aws:sourceArn": "arn:aws:rds:us-west-2:123456789012:db:*"
                }
            }
        }
    ]
}

  9. Klik Simpan lalu klik Berikutnya.

  10. Untuk Konfigurasikan pengaturan rotasi, pertahankan nilai default dan pilih Berikutnya.

  11. Tinjau pengaturan untuk rahasia lalu klik Simpan.

  12. Pilih rahasia yang Anda buat dan salin nilai ARN Rahasia. Nilai ini akan digunakan pada langkah berikutnya untuk mengatur Directory Active yang dikelola sendiri.