Configurazione di Active Directory autogestito - Amazon Relational Database Service
Fase 1: creazione di un'unità organizzativa in ADFase 2: creazione un account del servizio di dominio AD in AD.Fase 3: delega del controllo all’account del servizio di dominio ADFase 4: Creare una AWS KMS chiave.Fase 5: Creare un AWS segreto.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di Active Directory autogestito

Per configurare AD autogestito, si procede nel modo descritto di seguito.

Fase 1: creazione di un'unità organizzativa in AD

Importante

Ti consigliamo di creare un'unità organizzativa dedicata e una credenziale di servizio con ambito a tale unità organizzativa per qualsiasi AWS account che possiede un'istanza DB RDS per SQL Server aggiunto al tuo dominio AD autogestito. Dedicando un'unità organizzativa e le credenziali di servizio, puoi evitare autorizzazioni in conflitto e seguire il principio del privilegio minimo.

Creazione di un'unità organizzativa in AD

  1. Stabilisci una connessione al dominio AD come amministratore del dominio.

  2. Apri Utenti e computer di Active Directory e seleziona il dominio in cui desideri creare l'unità organizzativa.

  3. Fai clic con il pulsante destro del mouse sul dominio e scegli Nuovo, quindi Unità organizzativa.

  4. Inserisci un nome per l'unità operativa.

  5. Mantieni selezionata la casella Proteggi il container dall'eliminazione accidentale.

  6. Fai clic su OK. La nuova unità organizzativa apparirà sotto il dominio.

Fase 2: creazione un account del servizio di dominio AD in AD

Le credenziali dell'account del servizio di dominio verranno utilizzate per il segreto in AWS Secrets Manager.

Per creare un account del servizio di dominio AD in AD

  1. Apri Utenti e computer di Active Directory e seleziona il dominio e l'unità organizzativa in cui desideri creare l'utente.

  2. Fai clic con il pulsante destro del mouse sull'oggetto Utenti, scegli Nuovo, quindi Utente.

  3. Immetti il nome, il cognome e il nome di accesso per l'utente. Fare clic su Avanti.

  4. Immetti una password per l'utente. Non selezionare "L'utente deve cambiare la password al prossimo accesso". Non selezionare "L'account è disabilitato". Fare clic su Avanti.

  5. Fai clic su OK. Il nuovo utente apparirà sotto il dominio.

Fase 3: delega del controllo all’account del servizio di dominio AD

Per delegare il controllo all’account del servizio di dominio AD nel dominio

  1. Apri lo snap-in MMC Utenti e computer di Active Directory e seleziona il dominio e l'unità organizzativa in cui desideri creare l'utente.

  2. Fai clic con il pulsante destro del mouse sull'unità organizzativa creata in precedenza e scegli Controllo delegato.

  3. Nella pagina Delega guidata del controllo, fai clic su Avanti.

  4. Nella sezione Utenti o gruppi, fai clic su Aggiungi.

  5. Nella sezione Seleziona utenti, computer o gruppi, inserisci l’account del servizio di dominio AD creato in precedenza e fai clic su Controlla nomi. Se il controllo dell’account del servizio di dominio AD ha esito positivo, fai clic su OK.

  6. Nella sezione Utenti o gruppi, verifica che l’account del servizio di dominio AD sia stato aggiunto e fai clic su Avanti.

  7. Nella pagina Operazioni da delegare, seleziona Crea un'operazione personalizzata da delegare, quindi scegli Avanti.

  8. Nella sezione Tipo di oggetto Active Directory:

    1. Seleziona Solo i seguenti oggetti contenuti nella cartella.

    2. Seleziona Oggetti computer.

    3. Seleziona Crea oggetti selezionati in questa cartella.

    4. Seleziona Elimina gli oggetti selezionati in questa cartella e fai clic su Avanti.

  9. Nella sezione Autorizzazioni:

    1. Mantieni selezionata l'opzione Generale.

    2. Seleziona Scrittura convalidata in nome host DNS.

    3. Seleziona Scrittura convalidata in nome principale servizio e fai clic su Avanti.

    4. Per abilitare l'autenticazione Kerberos, mantieni selezionata la proprietà specifica e seleziona Scrivi dall'elenco. servicePrincipalName

  10. Per completare la procedura guidata di delega del controllo, rivedi e conferma le impostazioni e fai clic su Fine.

  11. Per l’autenticazione Kerberos, apri la gestione DNS e le proprietà del server.

    1. Nella finestra di dialogo Windows, digita dnsmgmt.msc.

    2. Aggiungi l’account del servizio di dominio AD nella scheda Sicurezza.

    3. Seleziona l’autorizzazione di lettura e applica le modifiche.

Fase 4: Creare una chiave AWS KMS

La chiave KMS viene utilizzata per crittografare il tuo AWS segreto.

Per creare una chiave AWS KMS
Nota

Per la chiave di crittografia, non utilizzare la chiave KMS AWS predefinita. Assicurati di creare la AWS KMS chiave nello stesso AWS account che contiene l'istanza DB di RDS per SQL Server a cui desideri aggiungere al tuo AD autogestito.

  1. Nella AWS KMS console, scegli Crea chiave.

  2. In Tipo di chiave, scegli Simmetrica.

  3. In Utilizzo delle chiavi, scegli Crittografa e decrittografa.

  4. In Advanced options (Opzioni avanzate):

    1. In Origine materiale chiave, scegli KMS.

    2. In Regionalità, scegli Chiave a regione singola e fai clic su Avanti.

  5. In Alias, fornisci un nome per la chiave KMS.

  6. (Facoltativo) In Descrizione, immetti una descrizione per la chiave KMS.

  7. (Facoltativo) In Tag, inserisci un tag come chiave KMS e fai clic su Avanti.

  8. In Amministratori delle chiavi, fornisci il nome di un utente IAM e selezionalo.

  9. In Eliminazione chiave, mantieni selezionata la casella Consenti agli amministratori delle chiavi di eliminare questa chiave e fai clic su Avanti.

  10. In Utenti delle chiavi, fornisci lo stesso utente IAM della fase precedente e selezionalo. Fare clic su Avanti.

  11. Riesamina la configurazione.

  12. In Policy delle chiavi, includi quanto segue nel campo Dichiarazione associato alla policy:

    {
    "Sid": "Allow use of the KMS key on behalf of RDS",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "rds.amazonaws.com"
        ]
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}

  13. Fare clic su Fine.

Passaggio 5: crea un AWS segreto

Per creare un segreto
Nota

Assicurati di creare il segreto nello stesso AWS account che contiene l'istanza DB di RDS per SQL Server che desideri aggiungere al tuo AD autogestito.

  1. In AWS Secrets Manager, scegli Memorizza un nuovo segreto.

  2. Per Secret type (Tipo di segreto), scegli Other type of secret (Altro tipo di segreto).

  3. In Coppie chiave/valore, aggiungi le due chiavi:

    1. Per la prima chiave, immetti SELF_MANAGED_ACTIVE_DIRECTORY_USERNAME.

    2. Per il valore della prima chiave, immetti solo il nome utente (senza il prefisso di dominio) dell’utente AD. Non includere il nome di dominio in quanto impedisce la creazione dell’istanza.

    3. Per la seconda chiave, immetti SELF_MANAGED_ACTIVE_DIRECTORY_PASSWORD.

    4. Per il valore della seconda chiave, immetti la password creata per l'utente AD nel dominio.

  4. In Chiave di crittografia, inserisci la chiave KMS creata in una delle fasi precedenti e fai clic su Avanti.

  5. In Nome del segreto, inserisci un nome descrittivo che semplifichi l'individuazione del segreto in un secondo momento.

  6. (Facoltativo) In Descrizione, inserisci una descrizione per il nome del segreto.

  7. In Autorizzazioni a livello di risorsa, fai clic su Modifica.

  8. Aggiungi la seguente policy alla policy dell'autorizzazione:

    Nota

    Si consiglia di utilizzare le condizione aws:sourceAccount e aws:sourceArn nella policy per evitare problemi di tipo confused deputy. Usa il tuo Account AWS nome aws:sourceAccount e l'aws:sourceArnARN dell'istanza DB di RDS per SQL Server. Per ulteriori informazioni, consulta Prevenzione del problema "confused deputy" tra servizi.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement":
    [
        {
            "Effect": "Allow",
            "Principal":
            {
                "Service": "rds.amazonaws.com"
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "aws:sourceAccount": "123456789012"
                },
                "ArnLike":
                {
                    "aws:sourceArn": "arn:aws:rds:us-west-2:123456789012:db:*"
                }
            }
        }
    ]
}

  9. Fai clic su Salva, quindi su Avanti.

  10. In Configura impostazioni di rotazione, non modificare i valori predefiniti e scegli Avanti.

  11. Controlla le impostazioni relative al segreto e fai clic su Archivio.

  12. Scegli il segreto creato e copia il valore in ARN secreto. Questa informazione verrà utilizzata nella fase successiva per configurare Active Directory gestito dal cliente.