Praktik terbaik untuk bekerja dengan Active Directory - FSx untuk ONTAP
Mendelegasikan izin ke akun layanan Amazon FSx AndaTetap perbarui konfigurasi ADBatasi lalu lintas dalam VPC dengan grup keamananMembuat aturan grup keamanan keluarMenyimpan kredensil Active Directory menggunakan AWS Secrets Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik untuk bekerja dengan Active Directory

Berikut adalah beberapa saran dan panduan yang harus Anda pertimbangkan saat bergabung dengan Amazon FSx untuk NetApp ONTAP SVMs ke Microsoft Active Directory yang dikelola sendiri. Perhatikan bahwa ini direkomendasikan sebagai praktik terbaik, tetapi tidak diwajibkan.

Mendelegasikan izin ke akun layanan Amazon FSx Anda

Pastikan untuk mengonfigurasi akun layanan yang Anda berikan ke Amazon FSx dengan izin minimum yang diperlukan. Selain itu, pisahkan Unit Organisasi (OU) dari masalah pengontrol domain lainnya.

Untuk bergabung dengan Amazon FSx SVMs ke domain Anda, pastikan akun layanan telah mendelegasikan izin. Anggota grup Admin Domain memiliki izin yang cukup untuk melakukan tugas ini. Namun, sebagai praktik terbaik, gunakan akun layanan yang hanya memiliki izin minimum yang diperlukan untuk melakukan ini. Prosedur berikut menunjukkan cara mendelegasikan hanya izin yang diperlukan FSx untuk bergabung ONTAP SVMs ke domain Anda.

Lakukan prosedur ini pada mesin yang bergabung dengan direktori Anda dan menginstal snap-in Active Directory User and Computers MMC.

Untuk membuat akun layanan untuk domain Microsoft Active Directory

  1. Pastikan Anda masuk sebagai administrator domain untuk domain Microsoft Active Directory Anda.

  2. Buka MMC snap-in Pengguna Direktori Aktif dan Komputer.

  3. Dalam panel tugas, perluas simpul domain.

  4. Temukan dan buka menu konteks (klik kanan) untuk OU yang ingin Anda ubah, lalu pilih Delegasikan Kontrol.

  5. Pada halaman Delegasi Control Wizard, pilih Selanjutnya.

  6. Pilih Tambahkan untuk menambahkan pengguna tertentu atau grup tertentu untuk Pengguna dan grup yang dipilih, lalu pilih Selanjutnya.

  7. Pada halaman Tugas untuk Didelegasikan, pilih Buat tugas kustom untuk didelegasikan, lalu pilih Selanjutnya.

  8. Pilih Hanya objek berikut dalam folder, lalu pilih Objek komputer.

  9. Pilih Buat objek yang dipilih dalam folder ini dan Hapus objek yang dipilih dalam folder ini. Lalu pilih Selanjutnya.

  10. Di bawah Tampilkan izin ini, pastikan bahwa Umum dan Properti spesifik dipilih.

  11. Untuk Izin, pilih:

    • Setel Ulang Kata Sandi

    • Baca dan tulis Pembatasan Akun

    • Menulis tervalidasi ke nama host DNS

    • Menulis tervalidasi ke nama utama layanan

    • Tulis MSDs- SupportedEncryptionTypes

  12. Pilih Selanjutnya, dan kemudian pilih Selesai.

  13. Tutup snap-in Active Directory User and Computers MMC.

penting

Jangan pindahkan objek komputer yang FSx dibuat Amazon di OU setelah Anda SVMs dibuat. Melakukannya akan menyebabkan Anda SVMs menjadi salah konfigurasi.

Menjaga konfigurasi Direktori Aktif Anda diperbarui dengan Amazon FSx

Untuk ketersediaan Amazon yang tidak terputus FSx SVMs, perbarui konfigurasi Active Directory (AD) SVM yang dikelola sendiri saat Anda mengubah pengaturan AD yang dikelola sendiri.

Misalnya, ketika AD Anda menggunakan kebijakan pengaturan ulang kata sandi berbasis waktu. Dalam hal ini, segera setelah kata sandi diatur ulang, pastikan untuk memperbarui kata sandi akun layanan dengan Amazon FSx. Untuk melakukan ini, gunakan FSx konsol Amazon, Amazon FSx API, atau AWS CLI. Demikian pula, jika alamat IP server DNS berubah untuk domain Active Directory Anda, segera setelah perubahan terjadi perbarui alamat IP server DNS dengan Amazon. FSx

Jika ada masalah dengan konfigurasi AD yang dikelola sendiri yang diperbarui, status SVM akan beralih ke Salah Konfigurasi. Status ini menampilkan pesan kesalahan dan tindakan yang disarankan di samping deskripsi SVM di konsol, API, dan CLI. Jika terjadi masalah dengan konfigurasi AD SVM Anda, pastikan untuk mengambil tindakan korektif yang disarankan untuk properti konfigurasi. Jika masalah teratasi, verifikasi bahwa status SVM Anda berubah menjadi Dibuat.

Untuk informasi selengkapnya, lihat Memperbarui konfigurasi SVM Active Directory yang ada menggunakan Konsol Manajemen AWS, AWS CLI, dan API dan Ubah konfigurasi Active Directory menggunakan ONTAP CLI.

Menggunakan grup keamanan untuk membatasi lalu lintas dalam VPC

Untuk membatasi lalu lintas jaringan di virtual private cloud (VPC) Anda, Anda dapat menerapkan prinsip pengurangan hak istimewa dalam VPC Anda. Dengan kata lain, Anda dapat membatasi izin ke yang minimum yang diperlukan. Untuk melakukannya, gunakan aturan grup keamanan. Untuk mempelajari selengkapnya, lihat Grup keamanan Amazon VPC.

Membuat aturan grup keamanan keluar untuk antarmuka jaringan sistem file Anda

Untuk keamanan yang lebih besar, pertimbangkan untuk mengkonfigurasi grup keamanan dengan aturan lalu lintas keluar. Aturan ini harus mengizinkan lalu lintas keluar hanya ke pengontrol domain AD yang dikelola sendiri atau dalam subnet atau grup keamanan. Terapkan grup keamanan ini ke VPC yang terkait dengan elastic network interface sistem FSx file Amazon Anda. Untuk mempelajari selengkapnya, lihat Kontrol Akses Sistem File dengan Amazon VPC.

Menyimpan kredensil Active Directory menggunakan AWS Secrets Manager

Anda dapat menggunakan AWS Secrets Manager untuk menyimpan dan mengelola domain Microsoft Active Directory bergabung dengan kredenal akun layanan dengan aman. Pendekatan ini menghilangkan kebutuhan untuk menyimpan kredensil sensitif dalam teks biasa dalam kode aplikasi atau file konfigurasi, memperkuat postur keamanan Anda.

Anda juga dapat mengonfigurasi kebijakan IAM untuk mengelola akses ke rahasia Anda, dan menyiapkan kebijakan rotasi otomatis untuk kata sandi Anda.

Langkah 1: Buat kunci KMS

Buat kunci KMS untuk mengenkripsi dan mendekripsi kredensil Active Directory Anda di Secrets Manager.

Untuk membuat kunci
catatan

Untuk Encryption Key, buat kunci baru, jangan gunakan kunci KMS AWS default. Pastikan untuk membuat AWS KMS key di Wilayah yang sama yang berisi SVM yang ingin Anda gabungkan ke Direktori Aktif Anda.

  1. Buka AWS KMS konsol di https://console.aws.amazon.com /kms.

  2. Pilih Buat kunci.

  3. Untuk Tipe Kunci, pilih Simetris.

  4. Untuk Penggunaan Kunci, pilih Enkripsi dan dekripsi.

  5. Untuk opsi Lanjutan, lakukan hal berikut:

    1. Untuk Asal materi kunci, pilih KMS.

    2. Untuk Regionalitas, pilih kunci Wilayah Tunggal dan pilih Berikutnya.

  6. Pilih Berikutnya.

  7. Untuk Alias, berikan nama untuk kunci KMS.

  8. (Opsional) Untuk Deskripsi, berikan deskripsi kunci KMS.

  9. (Opsional) Untuk Tag, berikan tag untuk kunci KMS dan pilih Berikutnya.

  10. (Opsional) Untuk administrator Key, berikan pengguna IAM dan peran yang diizinkan untuk mengelola kunci ini.

  11. Untuk penghapusan Kunci, simpan kotak yang dipilih untuk Izinkan administrator kunci untuk menghapus kunci ini dan pilih Berikutnya.

  12. (Opsional) Untuk pengguna Kunci, berikan pengguna IAM dan peran yang berwenang untuk menggunakan kunci ini dalam operasi kriptografi. Pilih Berikutnya.

  13. Untuk kebijakan Kunci, pilih Edit dan sertakan yang berikut ini ke Pernyataan kebijakan FSx untuk mengizinkan Amazon menggunakan kunci KMS dan pilih Berikutnya. Pastikan untuk mengganti us-west-2 ke Wilayah AWS tempat sistem file digunakan dan 123456789012 ke Akun AWS ID Anda.

    {
    "Sid": "Allow FSx to use the KMS key",
    "Version": "2012-10-17", 		 	 	 
    "Effect": "Allow",
    "Principal": {
        "Service": "fsx.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
    ],
    "Resource": "arn:aws:kms:us-west-2:123456789012:key/*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": "secretsmanager.us-west-2.amazonaws.com",
            "aws:SourceAccount": "123456789012"
        },
        "ArnLike": {
            "aws:SourceArn": [
                "arn:aws:fsx:us-west-2:123456789012:file-system/*",
                "arn:aws:fsx:us-west-2:123456789012:storage-virtual-machine/fs-*/svm-*"
            ]
        }
    }
}

  14. Pilih Selesai.

catatan

Anda dapat mengatur kontrol akses yang lebih terperinci dengan memodifikasi Resource dan aws:SourceArn bidang untuk menargetkan rahasia dan sistem file tertentu.

Langkah 2: Buat AWS Secrets Manager rahasia

Untuk membuat rahasia

  1. Buka konsol Secrets Manager di https://console.aws.amazon.com/secretsmanager/.

  2. Pilih Simpan rahasia baru.

  3. Untuk Tipe rahasia, pilih Tipe rahasia lainnya.

  4. Untuk pasangan kunci/nilai, lakukan hal berikut untuk menambahkan dua kunci Anda:

    1. Untuk kunci pertama, masukkan CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME.

    2. Untuk nilai kunci pertama, masukkan hanya nama pengguna (tanpa awalan domain) dari pengguna AD.

    3. Untuk kunci kedua, masukkan CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD.

    4. Untuk nilai kunci kedua, masukkan kata sandi yang Anda buat untuk pengguna AD di domain Anda.

  5. Untuk kunci Enkripsi, masukkan ARN dari kunci KMS yang Anda buat pada langkah sebelumnya dan pilih Berikutnya.

  6. Untuk Nama rahasia, masukkan nama deskriptif yang akan membantu Anda menemukan rahasia Anda nanti.

  7. (Opsional) Untuk Deskripsi, masukkan deskripsi untuk nama rahasia.

  8. Untuk izin Sumber Daya, pilih Edit.

    Tambahkan kebijakan berikut ke kebijakan izin untuk mengizinkan Amazon FSx menggunakan rahasia, lalu pilih Berikutnya. Pastikan untuk mengganti us-west-2 ke Wilayah AWS tempat sistem file digunakan dan 123456789012 ke Akun AWS ID Anda.

    {
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "fsx.amazonaws.com"
            },
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:fsx:us-west-2:123456789012:file-system/*",
                        "arn:aws:fsx:us-west-2:123456789012:storage-virtual-machine/fs-*/svm-*"
                    ]
                }
            }
        }
    ]
}

  9. (Opsional) Anda dapat mengonfigurasi Secrets Manager untuk memutar kredensil Anda secara otomatis. Pilih Berikutnya.

  10. Pilih Selesai.

Langkah 1: Buat kunci KMS

Buat kunci KMS untuk mengenkripsi dan mendekripsi kredensil Active Directory Anda di Secrets Manager.

Untuk membuat kunci KMS, gunakan AWS CLI perintah create-key.

Dalam perintah ini, atur --policy parameter untuk menentukan kebijakan kunci yang mendefinisikan izin untuk kunci KMS. Kebijakan tersebut harus mencakup yang berikut:

  • Prinsip layanan untuk Amazon FSx, yaitufsx.amazonaws.com.

  • Tindakan KMS yang diperlukan: kms:Decrypt dankms:DescribeKey.

  • Pola ARN sumber daya untuk Anda Wilayah AWS dan akun.

  • Kunci kondisi yang membatasi penggunaan kunci:

    • kms:ViaServiceuntuk memastikan permintaan datang melalui Secrets Manager.

    • aws:SourceAccountuntuk membatasi ke akun Anda.

    • aws:SourceArnuntuk membatasi sistem FSx file Amazon tertentu.

Contoh berikut membuat kunci KMS enkripsi simetris dengan kebijakan yang memungkinkan Amazon menggunakan kunci FSx untuk operasi dekripsi dan deskripsi kunci. Perintah secara otomatis mengambil Akun AWS ID dan Region Anda, lalu mengonfigurasi kebijakan kunci dengan nilai-nilai ini untuk memastikan kontrol akses yang tepat antara Amazon FSx, Secrets Manager, dan kunci KMS. Pastikan AWS CLI lingkungan Anda berada di wilayah yang sama dengan SVM yang akan bergabung dengan Active Directory.

# Set region and get Account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)

# Create Key
KMS_KEY_ARN=$(aws kms create-key --policy "{
  \"Version\": \"2012-10-17\", 		 	 	 
  \"Statement\": [
    {
      \"Sid\": \"Enable IAM User Permissions\",
      \"Effect\": \"Allow\",
      \"Principal\": {
        \"AWS\": \"arn:aws:iam::$ACCOUNT_ID:root\"
      },
      \"Action\": \"kms:*\",
      \"Resource\": \"*\"
    },
    {
      \"Sid\": \"Allow FSx to use the KMS key\",
      \"Effect\": \"Allow\",
      \"Principal\": {
        \"Service\": \"fsx.amazonaws.com\"
      },
      \"Action\": [
        \"kms:Decrypt\",
        \"kms:DescribeKey\"
      ],
      \"Resource\": \"*\",
      \"Condition\": {
        \"StringEquals\": {
          \"kms:ViaService\": \"secretsmanager.$REGION.amazonaws.com\",
          \"aws:SourceAccount\": \"$ACCOUNT_ID\"
        },
        \"ArnLike\": {
          \"aws:SourceArn\": [
            \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\",
            \"arn:aws:fsx:$REGION:$ACCOUNT_ID:storage-virtual-machine/fs-*/svm-*\"]
        }
      }
    }
  ]
}" --query 'KeyMetadata.Arn' --output text)

echo "KMS Key ARN: $KMS_KEY_ARN"
catatan

Anda dapat mengatur kontrol akses yang lebih terperinci dengan memodifikasi Resource dan aws:SourceArn bidang untuk menargetkan rahasia dan sistem file tertentu.

Langkah 2: Buat AWS Secrets Manager rahasia

Untuk membuat rahasia bagi Amazon FSx untuk mengakses Active Directory Anda, gunakan AWS CLI perintah create-secret dan atur parameter berikut:

  • --name: Pengidentifikasi rahasia Anda.

  • --description: Deskripsi tujuan rahasia.

  • --kms-key-id: ARN dari kunci KMS yang Anda buat di Langkah 1 untuk mengenkripsi rahasia saat istirahat.

  • --secret-string: String JSON yang berisi kredensi AD Anda dalam format berikut:

    • CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME: Nama pengguna akun layanan AD Anda tanpa awalan domain, sepertisvc-fsx. Jangan berikan awalan domain, sepertiCORP\svc-fsx.

    • CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD: Kata sandi akun layanan AD Anda

  • --region: Wilayah AWS Tempat SVM Anda akan dibuat. Ini default ke wilayah yang dikonfigurasi jika tidak AWS_REGION disetel.

Setelah membuat rahasia, lampirkan kebijakan sumber daya menggunakan put-resource-policyperintah, dan atur parameter berikut:

  • --secret-id: Nama atau ARN rahasia untuk melampirkan kebijakan. Contoh berikut menggunakan FSxSecret sebagai--secret-id.

  • --region: Sama Wilayah AWS seperti rahasiamu.

  • --resource-policy: Dokumen kebijakan JSON yang memberikan FSx izin Amazon untuk mengakses rahasia. Kebijakan tersebut harus mencakup yang berikut:

    • Prinsip layanan untuk Amazon FSx, yaitufsx.amazonaws.com.

    • Tindakan Secrets Manager yang diperlukan: secretsmanager:GetSecretValue dansecretsmanager:DescribeSecret.

    • Pola ARN sumber daya untuk Anda Wilayah AWS dan akun.

    • Kunci kondisi berikut yang membatasi akses:

      • aws:SourceAccountuntuk membatasi ke akun Anda.

      • aws:SourceArnuntuk membatasi sistem FSx file Amazon tertentu.

Contoh berikut membuat rahasia dengan format yang diperlukan dan melampirkan kebijakan sumber daya yang FSx memungkinkan Amazon menggunakan rahasia tersebut. Contoh ini secara otomatis mengambil Akun AWS ID dan Wilayah Anda, lalu mengonfigurasi kebijakan sumber daya dengan nilai-nilai ini untuk memastikan kontrol akses yang tepat antara Amazon FSx dan rahasia.

Pastikan untuk mengganti KMS_KEY_ARN dengan ARN dari kunci yang Anda buat di Langkah 1CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME, dan CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD dengan kredenal akun layanan Active Directory Anda. Selain itu, verifikasi bahwa AWS CLI lingkungan Anda dikonfigurasi untuk wilayah yang sama dengan SVM yang akan bergabung dengan Active Directory.

# Set region and get account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)

# Replace with your KMS key ARN from Step 1
KMS_KEY_ARN="arn:aws:kms:us-east-2:123456789012:key/1234542f-d114-555b-9ade-fec3c9200d8e"

# Replace with your Active Directory credentials
AD_USERNAME="Your_Username"  
AD_PASSWORD="Your_Password"

# Create the secret
SECRET_ARN=$(aws secretsmanager create-secret \
  --name "FSxSecret" \
  --description "Secret for FSx access" \
  --kms-key-id "$KMS_KEY_ARN" \
  --secret-string "{\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"$AD_USERNAME\",\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"$AD_PASSWORD\"}" \
  --region "$REGION" \
  --query 'ARN' \
  --output text)

echo "Secret created with ARN: $SECRET_ARN"

# Attach the resource policy with proper formatting
aws secretsmanager put-resource-policy \
  --secret-id "FSxSecret" \
  --region "$REGION" \
  --resource-policy "{
    \"Version\": \"2012-10-17\", 		 	 	 
    \"Statement\": [
      {
        \"Effect\": \"Allow\",
        \"Principal\": {
          \"Service\": \"fsx.amazonaws.com\"
        },
        \"Action\": [
          \"secretsmanager:GetSecretValue\",
          \"secretsmanager:DescribeSecret\"
        ],
        \"Resource\": \"$SECRET_ARN\",
        \"Condition\": {
          \"StringEquals\": {
            \"aws:SourceAccount\": \"$ACCOUNT_ID\"
          },
          \"ArnLike\": {
            \"aws:SourceArn\": [
              \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\",
              \"arn:aws:fsx:$REGION:$ACCOUNT_ID:storage-virtual-machine/fs-*/svm-*\"]
          }
        }
      }
    ]
  }"

echo "Resource policy attached successfully"
catatan

Anda dapat mengatur kontrol akses yang lebih terperinci dengan memodifikasi Resource dan aws:SourceArn bidang untuk menargetkan rahasia dan sistem file tertentu.