Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configura Connector per AD
I passaggi di questa sezione sono prerequisiti per l'utilizzo di Connector for AD. Si presuppone che tu abbia già creato un AWS account. Dopo aver completato i passaggi indicati in questa pagina, puoi iniziare a creare un connettore per AD.
## Passaggio 1: creare una CA privata utilizzando AWS Private CA
Configura un'autorità di certificazione (CA) privata per l'emissione di certificati per gli oggetti della directory. Per ulteriori informazioni, consulta [Autorità di certificazione in AWS Private CA](creating-managing.md).
La CA privata deve trovarsi `Active` nello stato in cui è possibile creare un Connector for AD. Il nome del soggetto della CA privata deve includere un nome comune. La creazione del connettore avrà esito negativo se si tenta di creare un connettore utilizzando una CA privata senza un nome comune.
## Passaggio 2: configurare un Active Directory
Oltre a una CA privata, è necessaria una directory attiva in un cloud privato virtuale (VPC). Connector for AD supporta i seguenti tipi di directory offerti da Directory Service:
+ [AWS Microsoft Active Directory gestito](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad): con Directory Service è possibile eseguire Microsoft Active Directory (AD) come servizio gestito. AWS Directory Service for Microsoft Active Directory noto anche come AWS Managed Microsoft AD, è basato su Windows Server 2019. Con AWS Managed Microsoft AD, puoi eseguire carichi di lavoro compatibili con le directory in, Cloud AWS tra cui Microsoft Sharepoint e applicazioni personalizzate basate su .Net e SQL Server.
+ [Active Directory Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector): AD Connector è un gateway di directory in grado di reindirizzare le richieste di directory a Microsoft Active Directory locale, senza memorizzare nella cache alcuna informazione nel cloud. AD Connector supporta la connessione a un dominio ospitato su Amazon EC2
## (Solo Active Directory Connector) Fase 3: Delegare le autorizzazioni all'account di servizio
**Nota**
Se utilizzi AWS Managed Microsoft AD le autorizzazioni aggiuntive, le autorizzazioni vengono delegate automaticamente quando autorizzi il servizio Connector for AD con la tua directory. È possibile saltare questo passaggio preliminare.
Quando si utilizza il Directory Service AD Connector, è necessario delegare autorizzazioni aggiuntive all'account del servizio. Imposta l'elenco di controllo degli accessi (ACL) sull'account del servizio per consentire la possibilità di:
+ Aggiungi e rimuovi un Service Principal Name (SPN) a se stesso
+ Creare e aggiornare le autorità di certificazione nei seguenti container:
```
#containers
CN=Public Key Services,CN=Services,CN=Configuration
CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration
CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration
```
+ Crea e aggiorna un oggetto NTAuth Certificates Certification Authority (CA). Nota: se l'oggetto NTAuth Certificates CA esiste, è necessario delegare le relative autorizzazioni. Se l'oggetto non esiste, è necessario delegare la possibilità di creare oggetti secondari nel contenitore Public Key Services.
```
#objects
CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration
```
Lo PowerShell script disponibile nell'archivio ufficiale di [Connector for Active Directory](https://github.com/aws-samples/sample-aws-privateca-connector-for-active-directory) può essere utilizzato per delegare le autorizzazioni aggiuntive richieste per l'account del servizio Directory Service AD Connector.
Questo script crea l'oggetto dell'autorità di certificazione NTAuth Certificates.
Per la versione più recente dello script e i dettagli sull'utilizzo, consultate il file README nel [GitHub repository](https://github.com/aws-samples/sample-aws-privateca-connector-for-active-directory).
## Fase 4: Creare una politica IAM
Per creare un connettore per AD, è necessaria una policy IAM che consenta di creare risorse per i connettori, condividere la CA privata con il servizio Connector for AD e autorizzare il servizio Connector for AD con la directory.
Questo è un esempio di policy gestita dagli utenti:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "pca-connector-ad:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"acm-pca:DescribeCertificateAuthority",
"acm-pca:GetCertificate",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:ListCertificateAuthorities",
"acm-pca:ListTags",
"acm-pca:PutPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "acm-pca:IssueCertificate",
"Resource": "*",
"Condition": {
"ArnLike": {
"acm-pca:TemplateArn": "arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V*"
},
"ForAnyValue:StringEquals": {
"aws:CalledVia": "pca-connector-ad.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:DescribeDirectories",
"ds:ListTagsForResource",
"ds:UnauthorizeApplication",
"ds:UpdateAuthorizedApplication"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ec2:DeleteVpcEndpoints"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeTags",
"ec2:DeleteTags",
"ec2:CreateTags"
],
"Resource": "arn:*:ec2:*:*:vpc-endpoint/*"
}
]
}
```
------
Connector for AD richiede AWS RAM autorizzazioni aggiuntive, sia per l'utilizzo da console che da riga di comando.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ram:CreateResourceShare",
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"ram:Principal": "pca-connector-ad.amazonaws.com",
"ram:RequestedResourceType": "acm-pca:CertificateAuthority"
}
}
},
{
"Effect": "Allow",
"Action": [
"ram:GetResourcePolicies",
"ram:GetResourceShareAssociations",
"ram:GetResourceShares",
"ram:ListPrincipals",
"ram:ListResources",
"ram:ListResourceSharePermissions",
"ram:ListResourceTypes"
],
"Resource": "*"
}
]
}
```
------
## Passaggio 5: condividi la tua CA privata con Connector for AD
Dovrai condividere la tua CA privata con il servizio Connectors utilizzando la condivisione dei principali AWS Resource Access Manager servizi.
Quando crei un connettore nella AWS console, la condivisione delle risorse viene creata automaticamente per te.
Quando crei una condivisione di risorse utilizzando AWS CLI, utilizzerai il AWS RAM **create-resource-share** comando.
Il comando seguente crea una condivisione di risorse:
```
$ aws ram create-resource-share \
--region {{us-east-1}} \
--name {{MyPcaConnectorAdResourceShare}} \
--permission-arns arn:aws:ram::aws:permission/AWSRAMBlankEndEntityCertificateAPIPassthroughIssuanceCertificateAuthority \
--resource-arns arn:aws:acm-pca:{{region}}:{{account}}:certificate-authority/{{CA_ID}} \
--principals pca-connector-ad.amazonaws.com \
--sources {{account}}
```
Il responsabile del servizio che chiama CreateConnector dispone delle autorizzazioni per l'emissione di certificati sul PCA. Per evitare che gli amministratori del servizio che utilizzano Connector for AD abbiano accesso generale alle tue CA privata AWS risorse, limita le loro autorizzazioni di utilizzo. `CalledVia`
## Fase 6: Creare la registrazione della directory
Autorizzate il servizio Connector for AD con la vostra directory in modo che il connettore possa comunicare con la vostra directory. Per autorizzare il servizio Connector for AD, è necessario creare una registrazione alla directory. Per ulteriori informazioni sulla creazione di una registrazione di directory, vedere [Gestire le registrazioni degli elenchi](directory-registration.md)
## Fase 7: Configurazione dei gruppi di sicurezza
La comunicazione tra il tuo VPC e il connettore Connector for AD avviene tramite AWS PrivateLink, il che richiede uno o più gruppi di sicurezza con regole in entrata che aprano la porta 443 TCP sul tuo VPC. Ti verrà richiesto questo gruppo di sicurezza quando crei un connettore. Puoi specificare la fonte come personalizzata e selezionare il blocco CIDR del tuo VPC. Puoi scegliere di limitarlo ulteriormente (ad esempio IP, CIDR e ID del gruppo di sicurezza).
## Fase 8: Configurare l'accesso alla rete per gli oggetti della directory
Gli oggetti di directory richiedono l'accesso pubblico a Internet per convalidare l'Online Certificate Status Protocol (OCSP) e gli elenchi di revoca dei certificati (CRLs) dai seguenti domini:
```
*.windowsupdate.com
*.amazontrust.com
```
Regole di accesso minime richieste:
+ Richiesto per la comunicazione OCSP e CRL:
```
TCP 80: (HTTP) to 0.0.0.0/0
```
+ Richiesto per Connector for AD:
```
TCP 443: (HTTPS) to 0.0.0.0/0
```
+ Richiesto per Active Directory:
```
TCP 88: (Kerberos) to Domain Controller IP range
TCP/UDP 389/636: (LDAP/LDAPS) to Domain Controller IP range, depending on Domain Controller configuration
TCP/UDP 53: (DNS) to 0.0.0.0/0
```
Se i dispositivi non dispongono di accesso pubblico a Internet, l'emissione del certificato fallirà a intermittenza con il codice di errore ` WS_E_OPERATION_TIMED_OUT. `
**Nota**
Se stai configurando un gruppo di sicurezza per un'istanza Amazon EC2, non è necessario che sia lo stesso nella fase 7.