Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Praktik terbaik untuk bekerja dengan Active Directory
Berikut adalah beberapa saran dan panduan yang harus Anda pertimbangkan saat bergabung dengan Amazon FSx untuk NetApp ONTAP SVMs ke Microsoft Active Directory yang dikelola sendiri. Perhatikan bahwa ini direkomendasikan sebagai praktik terbaik, tetapi tidak diwajibkan.
**Topics**
+ [Mendelegasikan izin ke akun layanan Amazon FSx Anda](#connect_delegate_privileges)
+ [Menjaga konfigurasi Direktori Aktif Anda diperbarui dengan Amazon FSx](#keep-ad-config-updated)
+ [Menggunakan grup keamanan untuk membatasi lalu lintas dalam VPC](#least-privilege-sg-rules)
+ [Membuat aturan grup keamanan keluar untuk antarmuka jaringan sistem file Anda](#sg-rules-fsx-eni)
+ [Menyimpan kredensil Active Directory menggunakan AWS Secrets Manager](#bp-store-ad-creds-using-secret-manager)
## Mendelegasikan izin ke akun layanan Amazon FSx Anda
Pastikan untuk mengonfigurasi akun layanan yang Anda berikan ke Amazon FSx dengan izin minimum yang diperlukan. Selain itu, pisahkan Unit Organisasi (OU) dari masalah pengontrol domain lainnya.
Untuk bergabung dengan Amazon FSx SVMs ke domain Anda, pastikan akun layanan telah mendelegasikan izin. Anggota grup **Admin Domain** memiliki izin yang cukup untuk melakukan tugas ini. Namun, sebagai praktik terbaik, gunakan akun layanan yang hanya memiliki izin minimum yang diperlukan untuk melakukan ini. Prosedur berikut menunjukkan cara mendelegasikan hanya izin yang diperlukan FSx untuk bergabung ONTAP SVMs ke domain Anda.
Lakukan prosedur ini pada mesin yang bergabung dengan direktori Anda dan menginstal snap-in Active Directory User and Computers MMC.
**Untuk membuat akun layanan untuk domain Microsoft Active Directory**Buat akun layanan untuk iklan
1. Pastikan Anda masuk sebagai administrator domain untuk domain Microsoft Active Directory Anda.
1. Buka MMC snap-in **Pengguna Direktori Aktif dan Komputer**.
1. Dalam panel tugas, perluas simpul domain.
1. Temukan dan buka menu konteks (klik kanan) untuk OU yang ingin Anda ubah, lalu pilih **Delegasikan Kontrol**.
1. Pada halaman **Delegasi Control Wizard**, pilih **Selanjutnya**.
1. Pilih **Tambahkan** untuk menambahkan pengguna tertentu atau grup tertentu untuk **Pengguna dan grup yang dipilih**, lalu pilih **Selanjutnya**.
1. Pada halaman **Tugas untuk Didelegasikan**, pilih **Buat tugas kustom untuk didelegasikan**, lalu pilih **Selanjutnya**.
1. Pilih **Hanya objek berikut dalam folder**, lalu pilih **Objek komputer**.
1. Pilih **Buat objek yang dipilih dalam folder ini** dan **Hapus objek yang dipilih dalam folder ini**. Lalu pilih **Selanjutnya**.
1. Di bawah **Tampilkan izin ini**, pastikan bahwa **Umum** dan **Properti spesifik dipilih**.
1. Untuk **Izin**, pilih:
+ **Setel Ulang Kata Sandi**
+ **Baca dan tulis Pembatasan Akun**
+ **Menulis tervalidasi ke nama host DNS**
+ **Menulis tervalidasi ke nama utama layanan**
+ **Tulis MSDs- SupportedEncryptionTypes**
1. Pilih **Selanjutnya**, dan kemudian pilih **Selesai**.
1. Tutup snap-in **Active Directory User and Computers** MMC.
**penting**
Jangan pindahkan objek komputer yang FSx dibuat Amazon di OU setelah Anda SVMs dibuat. Melakukannya akan menyebabkan Anda SVMs menjadi salah konfigurasi.
## Menjaga konfigurasi Direktori Aktif Anda diperbarui dengan Amazon FSx
Untuk ketersediaan Amazon yang tidak terputus FSx SVMs, perbarui konfigurasi Active Directory (AD) SVM yang dikelola sendiri saat Anda mengubah pengaturan AD yang dikelola sendiri.
Misalnya, ketika AD Anda menggunakan kebijakan pengaturan ulang kata sandi berbasis waktu. Dalam hal ini, segera setelah kata sandi diatur ulang, pastikan untuk memperbarui kata sandi akun layanan dengan Amazon FSx. Untuk melakukan ini, gunakan FSx konsol Amazon, Amazon FSx API, atau AWS CLI. Demikian pula, jika alamat IP server DNS berubah untuk domain Active Directory Anda, segera setelah perubahan terjadi perbarui alamat IP server DNS dengan Amazon. FSx
**Jika ada masalah dengan konfigurasi AD yang dikelola sendiri yang diperbarui, status SVM akan beralih ke Salah Konfigurasi.** Status ini menampilkan pesan kesalahan dan tindakan yang disarankan di samping deskripsi SVM di konsol, API, dan CLI. Jika terjadi masalah dengan konfigurasi AD SVM Anda, pastikan untuk mengambil tindakan korektif yang disarankan untuk properti konfigurasi. Jika masalah teratasi, verifikasi bahwa status SVM Anda berubah menjadi **Dibuat**.
Untuk informasi selengkapnya, lihat [Memperbarui konfigurasi SVM Active Directory yang ada menggunakan Konsol Manajemen AWS, AWS CLI, dan API](update-svm-ad-config.md) dan [Ubah konfigurasi Active Directory menggunakan ONTAP CLI](manage-svm-ad-config-ontap-cli.md#using-ontap-cli-to-modify-ad).
## Menggunakan grup keamanan untuk membatasi lalu lintas dalam VPC
Untuk membatasi lalu lintas jaringan di virtual private cloud (VPC) Anda, Anda dapat menerapkan prinsip pengurangan hak istimewa dalam VPC Anda. Dengan kata lain, Anda dapat membatasi izin ke yang minimum yang diperlukan. Untuk melakukannya, gunakan aturan grup keamanan. Untuk mempelajari selengkapnya, lihat [Grup keamanan Amazon VPC](limit-access-security-groups.md#fsx-vpc-security-groups).
## Membuat aturan grup keamanan keluar untuk antarmuka jaringan sistem file Anda
Untuk keamanan yang lebih besar, pertimbangkan untuk mengkonfigurasi grup keamanan dengan aturan lalu lintas keluar. Aturan ini harus mengizinkan lalu lintas keluar hanya ke pengontrol domain AD yang dikelola sendiri atau dalam subnet atau grup keamanan. Terapkan grup keamanan ini ke VPC yang terkait dengan elastic network interface sistem FSx file Amazon Anda. Untuk mempelajari selengkapnya, lihat [Kontrol Akses Sistem File dengan Amazon VPC](limit-access-security-groups.md).
## Menyimpan kredensil Active Directory menggunakan AWS Secrets Manager
Anda dapat menggunakan AWS Secrets Manager untuk menyimpan dan mengelola domain Microsoft Active Directory bergabung dengan kredenal akun layanan dengan aman. Pendekatan ini menghilangkan kebutuhan untuk menyimpan kredensil sensitif dalam teks biasa dalam kode aplikasi atau file konfigurasi, memperkuat postur keamanan Anda.
Anda juga dapat mengonfigurasi kebijakan IAM untuk mengelola akses ke rahasia Anda, dan menyiapkan kebijakan rotasi otomatis untuk kata sandi Anda.
### Simpan kredensil Direktori Aktif di AWS Secrets Manager (Konsol)
#### Langkah 1: Buat kunci KMS
Buat kunci KMS untuk mengenkripsi dan mendekripsi kredensil Active Directory Anda di Secrets Manager.
**Untuk membuat kunci**
**catatan**
Untuk **Encryption Key**, buat kunci baru, jangan gunakan kunci KMS AWS default. Pastikan untuk membuat AWS KMS key di Wilayah yang sama yang berisi SVM yang ingin Anda gabungkan ke Direktori Aktif Anda.
1. Buka AWS KMS konsol di https://console.aws.amazon.com /kms.
1. Pilih **Buat kunci**.
1. Untuk **Tipe Kunci**, pilih **Simetris**.
1. Untuk **Penggunaan Kunci**, pilih **Enkripsi dan dekripsi**.
1. Untuk **opsi Lanjutan**, lakukan hal berikut:
1. Untuk **Asal materi kunci**, pilih **KMS**.
1. **Untuk **Regionalitas**, pilih **kunci Wilayah Tunggal** dan pilih Berikutnya.**
1. Pilih **Berikutnya**.
1. Untuk **Alias**, berikan nama untuk kunci KMS.
1. (Opsional) Untuk **Deskripsi**, berikan deskripsi kunci KMS.
1. (Opsional) Untuk **Tag**, berikan tag untuk kunci KMS dan pilih **Berikutnya**.
1. (Opsional) Untuk **administrator Key**, berikan pengguna IAM dan peran yang diizinkan untuk mengelola kunci ini.
1. **Untuk **penghapusan Kunci**, simpan kotak yang dipilih untuk **Izinkan administrator kunci** untuk menghapus kunci ini dan pilih Berikutnya.**
1. (Opsional) Untuk **pengguna Kunci**, berikan pengguna IAM dan peran yang berwenang untuk menggunakan kunci ini dalam operasi kriptografi. Pilih **Berikutnya**.
1. Untuk **kebijakan Kunci**, pilih **Edit** dan sertakan yang berikut ini ke **Pernyataan** kebijakan FSx untuk mengizinkan Amazon menggunakan kunci KMS dan pilih **Berikutnya**. Pastikan untuk mengganti *us-west-2* ke Wilayah AWS tempat sistem file digunakan dan *123456789012* ke Akun AWS ID Anda.
```
{
"Sid": "Allow FSx to use the KMS key",
"Version": "2012-10-17",
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-west-2.amazonaws.com",
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:fsx:us-west-2:123456789012:file-system/*",
"arn:aws:fsx:us-west-2:123456789012:storage-virtual-machine/fs-*/svm-*"
]
}
}
}
```
1. Pilih **Selesai**.
**catatan**
Anda dapat mengatur kontrol akses yang lebih terperinci dengan memodifikasi `Resource` dan `aws:SourceArn` bidang untuk menargetkan rahasia dan sistem file tertentu.
#### Langkah 2: Buat AWS Secrets Manager rahasia
**Untuk membuat rahasia**
1. Buka konsol Secrets Manager di [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Pilih **Simpan rahasia baru**.
1. Untuk **Tipe rahasia**, pilih **Tipe rahasia lainnya**.
1. Untuk **pasangan kunci/nilai**, lakukan hal berikut untuk menambahkan dua kunci Anda:
1. Untuk kunci pertama, masukkan `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`.
1. Untuk nilai kunci pertama, masukkan hanya nama pengguna (tanpa awalan domain) dari pengguna AD.
1. Untuk kunci kedua, masukkan `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`.
1. Untuk nilai kunci kedua, masukkan kata sandi yang Anda buat untuk pengguna AD di domain Anda.
1. **Untuk **kunci Enkripsi**, masukkan ARN dari kunci KMS yang Anda buat pada langkah sebelumnya dan pilih Berikutnya.**
1. Untuk **Nama rahasia**, masukkan nama deskriptif yang akan membantu Anda menemukan rahasia Anda nanti.
1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk nama rahasia.
1. Untuk **izin Sumber Daya**, pilih **Edit**.
Tambahkan kebijakan berikut ke kebijakan izin untuk mengizinkan Amazon FSx menggunakan rahasia, lalu pilih **Berikutnya**. Pastikan untuk mengganti *us-west-2* ke Wilayah AWS tempat sistem file digunakan dan *123456789012* ke Akun AWS ID Anda.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:fsx:us-west-2:123456789012:file-system/*",
"arn:aws:fsx:us-west-2:123456789012:storage-virtual-machine/fs-*/svm-*"
]
}
}
}
]
}
```
1. (Opsional) Anda dapat mengonfigurasi Secrets Manager untuk memutar kredensil Anda secara otomatis. Pilih **Berikutnya**.
1. Pilih **Selesai**.
### Simpan kredensil Direktori Aktif di ( AWS Secrets Manager CLI)
#### Langkah 1: Buat kunci KMS
Buat kunci KMS untuk mengenkripsi dan mendekripsi kredensil Active Directory Anda di Secrets Manager.
Untuk membuat kunci KMS, gunakan AWS CLI perintah [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html).
Dalam perintah ini, atur `--policy` parameter untuk menentukan kebijakan kunci yang mendefinisikan izin untuk kunci KMS. Kebijakan tersebut harus mencakup yang berikut:
+ Prinsip layanan untuk Amazon FSx, yaitu`fsx.amazonaws.com`.
+ Tindakan KMS yang diperlukan: `kms:Decrypt` dan`kms:DescribeKey`.
+ Pola ARN sumber daya untuk Anda Wilayah AWS dan akun.
+ Kunci kondisi yang membatasi penggunaan kunci:
+ `kms:ViaService`untuk memastikan permintaan datang melalui Secrets Manager.
+ `aws:SourceAccount`untuk membatasi ke akun Anda.
+ `aws:SourceArn`untuk membatasi sistem FSx file Amazon tertentu.
Contoh berikut membuat kunci KMS enkripsi simetris dengan kebijakan yang memungkinkan Amazon menggunakan kunci FSx untuk operasi dekripsi dan deskripsi kunci. Perintah secara otomatis mengambil Akun AWS ID dan Region Anda, lalu mengonfigurasi kebijakan kunci dengan nilai-nilai ini untuk memastikan kontrol akses yang tepat antara Amazon FSx, Secrets Manager, dan kunci KMS. Pastikan AWS CLI lingkungan Anda berada di wilayah yang sama dengan SVM yang akan bergabung dengan Active Directory.
```
# Set region and get Account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Create Key
KMS_KEY_ARN=$(aws kms create-key --policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Sid\": \"Enable IAM User Permissions\",
\"Effect\": \"Allow\",
\"Principal\": {
\"AWS\": \"arn:aws:iam::$ACCOUNT_ID:root\"
},
\"Action\": \"kms:*\",
\"Resource\": \"*\"
},
{
\"Sid\": \"Allow FSx to use the KMS key\",
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"kms:Decrypt\",
\"kms:DescribeKey\"
],
\"Resource\": \"*\",
\"Condition\": {
\"StringEquals\": {
\"kms:ViaService\": \"secretsmanager.$REGION.amazonaws.com\",
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": [
\"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\",
\"arn:aws:fsx:$REGION:$ACCOUNT_ID:storage-virtual-machine/fs-*/svm-*\"]
}
}
}
]
}" --query 'KeyMetadata.Arn' --output text)
echo "KMS Key ARN: $KMS_KEY_ARN"
```
**catatan**
Anda dapat mengatur kontrol akses yang lebih terperinci dengan memodifikasi `Resource` dan `aws:SourceArn` bidang untuk menargetkan rahasia dan sistem file tertentu.
#### Langkah 2: Buat AWS Secrets Manager rahasia
Untuk membuat rahasia bagi Amazon FSx untuk mengakses Active Directory Anda, gunakan AWS CLI perintah [create-secret](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/create-secret.html) dan atur parameter berikut:
+ `--name`: Pengidentifikasi rahasia Anda.
+ `--description`: Deskripsi tujuan rahasia.
+ `--kms-key-id`: ARN dari kunci KMS yang Anda buat di [Langkah 1](#create-kms-key-cli) untuk mengenkripsi rahasia saat istirahat.
+ `--secret-string`: String JSON yang berisi kredensi AD Anda dalam format berikut:
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`: Nama pengguna akun layanan AD Anda tanpa awalan domain, seperti`svc-fsx`. **Jangan** berikan awalan domain, seperti`CORP\svc-fsx`.
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`: Kata sandi akun layanan AD Anda
+ `--region`: Wilayah AWS Tempat SVM Anda akan dibuat. Ini default ke wilayah yang dikonfigurasi jika tidak `AWS_REGION` disetel.
Setelah membuat rahasia, lampirkan kebijakan sumber daya menggunakan [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/logs/put-resource-policy.html)perintah, dan atur parameter berikut:
+ `--secret-id`: Nama atau ARN rahasia untuk melampirkan kebijakan. Contoh berikut menggunakan **FSxSecret** sebagai`--secret-id`.
+ `--region`: Sama Wilayah AWS seperti rahasiamu.
+ `--resource-policy`: Dokumen kebijakan JSON yang memberikan FSx izin Amazon untuk mengakses rahasia. Kebijakan tersebut harus mencakup yang berikut:
+ Prinsip layanan untuk Amazon FSx, yaitu**fsx.amazonaws.com**.
+ Tindakan Secrets Manager yang diperlukan: `secretsmanager:GetSecretValue` dan`secretsmanager:DescribeSecret`.
+ Pola ARN sumber daya untuk Anda Wilayah AWS dan akun.
+ Kunci kondisi berikut yang membatasi akses:
+ `aws:SourceAccount`untuk membatasi ke akun Anda.
+ `aws:SourceArn`untuk membatasi sistem FSx file Amazon tertentu.
Contoh berikut membuat rahasia dengan format yang diperlukan dan melampirkan kebijakan sumber daya yang FSx memungkinkan Amazon menggunakan rahasia tersebut. Contoh ini secara otomatis mengambil Akun AWS ID dan Wilayah Anda, lalu mengonfigurasi kebijakan sumber daya dengan nilai-nilai ini untuk memastikan kontrol akses yang tepat antara Amazon FSx dan rahasia.
Pastikan untuk mengganti `KMS_KEY_ARN` dengan ARN dari kunci yang Anda buat di [Langkah 1](#create-kms-key-cli)`CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`, dan `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD` dengan kredenal akun layanan Active Directory Anda. Selain itu, verifikasi bahwa AWS CLI lingkungan Anda dikonfigurasi untuk wilayah yang sama dengan SVM yang akan bergabung dengan Active Directory.
```
# Set region and get account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Replace with your KMS key ARN from Step 1
KMS_KEY_ARN="arn:aws:kms:us-east-2:123456789012:key/1234542f-d114-555b-9ade-fec3c9200d8e"
# Replace with your Active Directory credentials
AD_USERNAME="Your_Username"
AD_PASSWORD="Your_Password"
# Create the secret
SECRET_ARN=$(aws secretsmanager create-secret \
--name "FSxSecret" \
--description "Secret for FSx access" \
--kms-key-id "$KMS_KEY_ARN" \
--secret-string "{\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"$AD_USERNAME\",\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"$AD_PASSWORD\"}" \
--region "$REGION" \
--query 'ARN' \
--output text)
echo "Secret created with ARN: $SECRET_ARN"
# Attach the resource policy with proper formatting
aws secretsmanager put-resource-policy \
--secret-id "FSxSecret" \
--region "$REGION" \
--resource-policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"secretsmanager:GetSecretValue\",
\"secretsmanager:DescribeSecret\"
],
\"Resource\": \"$SECRET_ARN\",
\"Condition\": {
\"StringEquals\": {
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": [
\"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\",
\"arn:aws:fsx:$REGION:$ACCOUNT_ID:storage-virtual-machine/fs-*/svm-*\"]
}
}
}
]
}"
echo "Resource policy attached successfully"
```
**catatan**
Anda dapat mengatur kontrol akses yang lebih terperinci dengan memodifikasi `Resource` dan `aws:SourceArn` bidang untuk menargetkan rahasia dan sistem file tertentu.