기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 자체 관리형 Microsoft Active Directory 사용
조직에서 온프레미스 또는 클라우드에서 자체 관리형 Active Directory를 사용하여 ID 및 장치를 관리하는 경우, 생성 시 FSx for Windows File Server 파일 시스템을 Active Directory 도메인에 가입할 수 있습니다.
파일 시스템을 자체 관리 Active Directory에 가입하면, FSx for Windows File Server 파일 시스템은 도메인, 사용자 및 컴퓨터를 포함하는 Active Directory 구성의 최상위 논리 컨테이너인 Active Directory 포리스트와 사용자 및 기존 리소스(기존 파일 서버 포함)와 동일한 Active Directory 도메인에 상주하게 됩니다.
**참고**
Amazon FSx 파일 시스템을 비롯한 리소스를 사용자가 있는 Active Directory 포리스트와 별도의 Active Directory 포리스트로 분리할 수 있습니다. 이렇게 하려면 파일 시스템을 AWS 관리형 Microsoft Active Directory에 연결하고, 생성한 AWS 관리형 Microsoft Active Directory와 기존의 자체 관리형 Active Directory 간에 단방향 포리스트 신뢰 관계를 구축합니다.
+ Amazon FSx가 파일 시스템을 Active Directory 도메인에 조인하는 데 사용할 Active Directory 도메인에 있는 서비스 계정의 사용자 이름 및 암호입니다. 이러한 자격 증명을 일반 텍스트로 제공하거나에 저장 AWS Secrets Manager 하고 보안 암호 ARN(권장)을 제공할 수 있습니다.
+ (선택 사항) 파일 시스템을 조인하려는 도메인의 조직 구성 단위(OU).
+ (선택 사항) 파일 시스템에서 관리 작업을 수행할 권한을 위임하는 도메인 그룹. 예를 들어 도메인 그룹은 Windows 파일 공유를 관리하고, 파일 시스템의 루트 폴더에 있는 액세스 제어 목록(ACL)을 관리하고, 파일 및 폴더의 소유권을 가져오는 등의 작업을 수행할 수 있습니다. 이 그룹을 지정하지 않으면 Amazon FSx는 기본적으로 Active Directory 도메인의 도메인 관리 그룹에 이 권한을 위임합니다.
**참고**
제공하는 도메인 그룹 이름은 Active Directory에서 고유해야 합니다. FSx for Windows File Server는 다음과 같은 상황에서는 도메인 그룹을 생성하지 않습니다.
지정한 이름의 그룹이 이미 있는 경우
이름을 지정하지 않고 '도메인 관리자'라는 그룹이 Active Directory에 이미 있는 경우
자세한 내용은 [Amazon FSx 파일 시스템을 자체 관리형 Microsoft Active Directory 도메인에 조인](creating-joined-ad-file-systems.md) 단원을 참조하십시오.
**Topics**
+ [사전 조건](#self-manage-prereqs)
+ [서비스 계정 권한](#service-account-prereqs)
+ [자체 관리형 Active Directory를 사용할 경우의 모범 사례](#self-managed-AD-best-practices)
+ [Amazon FSx 서비스 계정](#self-managed-AD-service-account)
+ [Amazon FSx 서비스 계정에 권한 위임](assign-permissions-to-service-account.md)
+ [Active Directory 구성 검증](validate-ad-config.md)
+ [Amazon FSx 파일 시스템을 자체 관리형 Microsoft Active Directory 도메인에 조인](creating-joined-ad-file-systems.md)
+ [수동 DNS 항목에 사용할 올바른 파일 시스템 IP 주소 가져오기](file-system-ip-addresses-for-dns.md)
+ [자체 관리형 Active Directory 구성 업데이트](update-self-ad-config.md)
+ [Amazon FSx 서비스 계정 변경](changing-ad-service-account.md)
+ [자체 관리형 Active Directory 업데이트 모니터링](monitor-self-ad-update.md)
## 사전 조건
FSx for Windows File Server 파일 시스템을 자체 관리형 Microsoft Active Directory 도메인에 조인하기 전에 다음 사전 조건을 검토하여 Amazon FSx 파일 시스템을 자체 관리형 Active Directory에 성공적으로 조인할 수 있는지 확인합니다.
### 온프레미스 구성
다음은 Amazon FSx 파일 시스템에 가입할 온프레미스 또는 클라우드 기반 자체 관리형 Microsoft Active Directory의 사전 조건입니다.
+ Active Directory 도메인 컨트롤러.
+ Windows Server 2008 R2 이상에 도메인 기능 수준이 있어야 합니다.
+ 쓰기 가능해야 합니다.
+ 연결 가능한 도메인 컨트롤러 중 하나 이상이 포리스트의 글로벌 카탈로그여야 합니다.
+ DNS 서버는 다음과 같이 이름을 확인할 수 있어야 합니다.
+ 파일 시스템에 조인하는 도메인에서
+ 포리스트의 루트 도메인에서
+ DNS 서버 및 Active Directory 도메인 컨트롤러 IP 주소는 Amazon FSx 파일 시스템이 생성된 시기에 따라 달라지는 다음 요구 사항을 충족해야 합니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/fsx/latest/WindowsGuide/self-managed-AD.html)
프라이빗 IP 주소 범위 밖의 2020년 12월 17일 이전에 생성된 FSx for Windows File Server 파일 시스템에 액세스해야 하는 경우, 파일 시스템의 백업을 복원하여 새 파일 시스템을 생성할 수 있습니다. 자세한 내용은 [백업을 새 파일 시스템으로 복원](how-to-restore-backups.md) 단원을 참조하십시오.
+ 자체 관리형 Active Directory의 도메인 이름은 다음 요구 사항을 충족해야 합니다.
+ 도메인 이름이 SLD(단일 레이블 도메인) 형식이 아닙니다. Amazon FSx는 현재 SLD 도메인을 지원하지 않습니다.
+ Single-AZ 2 및 모든 다중 AZ 파일 시스템의 경우 도메인 이름은 47자를 초과할 수 없습니다.
+ 정의한 모든 Active Directory 사이트는 다음 사전 조건을 충족해야 합니다.
+ 파일 시스템과 연결된 VPC의 서브넷은 Active Directory 사이트에서 정의되어야 합니다.
+ VPC 서브넷과 Active Directory 사이트 서브넷 간에는 충돌이 없습니다.
Amazon FSx는 Active Directory 환경에 정의한 Active Directory 사이트 또는 도메인 컨트롤러에 대한 연결이 필요합니다. Amazon FSx는 포트 389에서 TCP 및 UDP가 차단된 도메인 컨트롤러를 무시합니다. Active Directory의 나머지 도메인 컨트롤러의 경우 Amazon FSx 연결 요구 사항을 충족하는지 확인합니다. 또한 서비스 계정에 대한 변경 사항이 이러한 모든 도메인 컨트롤러에 전파되는지 확인합니다.
**중요**
파일 시스템이 생성된 후 Amazon FSx가 OU에 생성한 컴퓨터 객체를 옮기지 마세요. 이렇게 하면 파일 시스템 구성이 잘못될 수 있습니다.
[Amazon FSx Active Directory 검증 도구](validate-ad-config.md)를 사용하여 여러 도메인 컨트롤러의 연결성 테스트 등 Active Directory 구성을 검증할 수 있습니다. 연결이 필요한 도메인 컨트롤러의 수를 제한하기 위해 온프레미스 도메인 컨트롤러와 AWS Managed Microsoft AD사이에 신뢰 관계를 구축할 수도 있습니다. 자세한 내용은 [리소스 포리스트 격리 모델 사용](fsx-aws-managed-ad.md#using-a-rfim) 단원을 참조하십시오.
**중요**
Amazon FSx는 Microsoft DNS를 기본 DNS 서비스로 사용하는 경우에만 파일 시스템의 DNS 레코드를 등록합니다. 타사 DNS를 사용하는 경우 파일 시스템을 만든 후 파일 시스템에 대한 DNS 레코드 항목을 수동으로 설정해야 합니다.
### 네트워크 구성
이 섹션에서는 파일 시스템을 자체 관리형 Active Directory에 조인하기 위한 네트워크 구성 요구 사항을 설명합니다. 파일 시스템을 자체 관리 Active Directory에 가입하기 전에 [Amazon FSx Active Directory 유효성 검사 도구](validate-ad-config.md#test-ad-network-config)를 사용하여 네트워크 설정을 테스트할 것을 강력히 권장합니다.
+ 방화벽 규칙이 Active Directory 도메인 컨트롤러와 Amazon FSx 간의 ICMP 트래픽을 허용하는지 확인합니다.
+ 파일 시스템을 생성하려는 Amazon VPC와 자체 관리형 Active Directory 간에 연결성이 있어야 합니다. [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html), [AWS Virtual Private Network](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html), [VPC 피어링](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) 또는 [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)를 사용하여 이 연결을 설정할 수 있습니다.
+ 기본 Amazon VPC의 기본 VPC 보안 그룹은 Amazon FSx 콘솔을 사용하여 파일 시스템에 추가해야 합니다. 파일 시스템을 만드는 서브넷의 보안 그룹과 VPC 네트워크 ACL이 다음 다이어그램에 표시된 방향으로 포트를 통한 트래픽을 허용하는지 확인합니다.
![\[VPC 보안 그룹에 대한 FSx for Windows File Server 포트 구성 요구 사항 및 파일 시스템이 생성되는 서브넷의 네트워크 ACL에 대한 구성 요구 사항\]](http://docs.aws.amazon.com/ko_kr/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)
다음 표에서는 프로토콜, 포트 및 해당 역할을 식별합니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/fsx/latest/WindowsGuide/self-managed-AD.html)
이러한 트래픽 규칙은 각 Active Directory 도메인 컨트롤러, DNS 서버, FSx 클라이언트 및 FSx 관리자에게 적용되는 방화벽에도 미러링되어야 합니다.
**참고**
VPC 네트워크 ACL을 사용하는 경우 파일 시스템의 동적 포트(49152\$165535)를 통한 아웃바운드 트래픽도 허용해야 합니다.
**중요**
Amazon VPC 보안 그룹에서는 네트워크 트래픽이 시작되는 방향으로만 포트를 열어야 하지만, 대부분의 Windows 방화벽과 VPC 네트워크 ACL에서는 포트가 양방향으로 열려 있어야 합니다.
## 서비스 계정 권한
컴퓨터 개체를 자체 관리 Active Directory 도메인에 가입하려면 자체 관리 Microsoft Active Directory에 위임된 권한이 있는 서비스 계정이 있어야 합니다. *서비스 계정*은 특정 작업을 수행할 권한이 위임된 자체 관리형 Active Directory의 사용자 계정입니다.
다음은 파일 시스템에 가입하려는 OU의 Amazon FSx 서비스 계정에 위임해야 하는 최소 권한 집합입니다.
+ Active Directory 사용자 및 컴퓨터 MMC에서 *제어 위임*을 사용하는 경우:
+ 암호 재설정
+ 읽기 및 쓰기 계정 제한
+ DNS 호스트 이름에 대한 검증된 쓰기
+ 서비스 보안 주체 이름에 대한 검증된 쓰기
+ Active Directory 사용자 및 컴퓨터 MMC에서 *고급 기능*을 사용하는 경우:
+ 권한 수정
+ 컴퓨터 객체 생성
+ 컴퓨터 객체 삭제
자세한 내용은 Microsoft Windows Server 설명서의 [오류: 제어를 위임받은 관리자가 아닌 사용자가 컴퓨터를 도메인 컨트롤러에 조인하려고 하면 액세스가 거부됨](https://support.microsoft.com/en-us/help/932455/error-message-when-non-administrator-users-who-have-been-delegated-con) 항목을 참조하세요.
필요한 권한 설정에 대한 자세한 내용은 [Amazon FSx 서비스 계정에 권한 위임](assign-permissions-to-service-account.md)을 참조하세요.
## 자체 관리형 Active Directory를 사용할 경우의 모범 사례
**Topics**
+ [를 사용하여 Active Directory 자격 증명 저장 AWS Secrets Manager](#bp-store-ad-creds-using-secret-manager-windows)
Amazon FSx for Windows File Server 파일 시스템을 자체 관리 Microsoft Active Directory에 가입할 때는 다음 모범 사례를 따르는 것이 좋습니다. 이러한 모범 사례는 파일 시스템의 중단 없는 가용성을 지속적으로 유지하는 데 도움이 됩니다.
**Amazon FSx에 별도의 서비스 계정 사용**
별도의 서비스 계정을 사용하여 Amazon FSx가 자체 관리형 Active Directory에 조인된 파일 시스템을 완전히 관리하는 데 [필요한 권한](#service-account-prereqs)을 위임합니다. 이 용도로 **도메인 관리자**를 사용하는 것은 권장하지 않습니다.
**Active Directory 그룹 사용**
Active Directory 그룹을 사용하여 Amazon FSx 서비스 계정과 연결된 Active Directory 권한 및 구성을 관리합니다.
**OU(조직 구성 단위) 분리하기**
Amazon FSx 컴퓨터 객체를 더 쉽게 찾고 관리할 수 있도록 FSx for Windows File Server 파일 시스템에 사용하는 Organizational Unit(OU)을 다른 도메인 컨트롤러 문제와 분리하는 것이 좋습니다.
**Active Directory 구성을 최신 상태로 유지**
파일 시스템의 Active Directory 구성을 변경 사항과 함께 최신 상태로 유지해야 합니다. 예를 들어 자체 관리형 Active Directory가 시간 기반 암호 재설정 정책을 사용하는 경우 암호가 재설정되는 즉시 파일 시스템에서 서비스 계정 암호를 업데이트해야 합니다. 자세한 내용은 [자체 관리형 Active Directory 구성 업데이트](update-self-ad-config.md) 단원을 참조하십시오.
**Amazon FSx 서비스 계정 변경**
파일 시스템을 새 서비스 계정으로 업데이트하는 경우 Active Directory에 가입하는 데 필요한 권한과 권한이 있어야 하며 파일 시스템과 연결된 기존 컴퓨터 객체에 대한 **전체 제어** 권한이 있어야 합니다. 자세한 내용은 [Amazon FSx 서비스 계정 변경](changing-ad-service-account.md) 단원을 참조하십시오.
**단일 Microsoft Active Directory 사이트에 서브넷 할당**
Active Directory 환경에 도메인 컨트롤러가 많은 경우 **Active Directory 사이트 및 서비스**를 사용하여 Amazon FSx 파일 시스템에서 사용하는 서브넷을 가용성과 안정성이 가장 높은 단일 Active Directory 사이트에 할당합니다. VPC 보안 그룹, VPC 네트워크 ACL, DC의 Windows 방화벽 규칙 및 Active Directory 인프라에 있는 기타 네트워크 라우팅 제어가 필요한 포트를 통해 Amazon FSx와의 통신을 허용하도록 해야 합니다. 이렇게 하면 Windows가 할당된 Active Directory 사이트를 사용할 수 없는 경우 다른 도메인 컨트롤러로 되돌릴 수 있습니다. 자세한 내용은 [Amazon VPC를 사용한 파일 시스템 액세스 제어](limit-access-security-groups.md) 단원을 참조하십시오.
**보안 그룹 규칙을 사용하여 트래픽 제한**
보안 그룹 규칙을 사용하여 Virtual Private Cloud(VPC)에서 최소 권한 원칙을 구현합니다. VPC 보안 그룹 규칙을 사용하여 파일에 허용되는 인바운드 및 아웃바운드 네트워크 트래픽 유형을 제한할 수 있습니다. 예를 들어 자체 관리형 Active Directory 도메인 컨트롤러 또는 사용 중인 서브넷 또는 보안 그룹 내의 에 대한 아웃바운드 트래픽만 허용하는 것이 좋습니다. 자세한 내용은 [Amazon VPC를 사용한 파일 시스템 액세스 제어](limit-access-security-groups.md) 단원을 참조하십시오.
**Amazon FSx에서 생성한 컴퓨터 객체를 이동하지 마세요.**
파일 시스템이 생성된 후 Amazon FSx가 OU에 생성한 컴퓨터 객체를 옮기지 마세요. 이렇게 하면 파일 시스템 구성이 잘못될 수 있습니다.
**Active Directory 구성 검증**
FSx for Windows File Server 파일 시스템을 Active Directory에 가입하기 전에 [Amazon FSx Active Directory 유효성 검사 도구](validate-ad-config.md)를 사용하여 Active Directory 구성의 유효성을 검사할 것을 강력히 권장합니다.
### 를 사용하여 Active Directory 자격 증명 저장 AWS Secrets Manager
AWS Secrets Manager 를 사용하여 Microsoft Active Directory 도메인 조인 서비스 계정 자격 증명을 안전하게 저장하고 관리할 수 있습니다. 이 접근 방식을 사용하면 애플리케이션 코드 또는 구성 파일에 민감한 자격 증명을 일반 텍스트로 저장할 필요가 없으므로 보안 태세가 강화됩니다.
보안 암호에 대한 액세스를 관리하도록 IAM 정책을 구성하고 암호에 대한 자동 교체 정책을 설정할 수도 있습니다.
#### 에 Active Directory 자격 증명 저장 AWS Secrets Manager (콘솔)
##### 1단계: KMS 키 생성
KMS 키를 생성하여 Secrets Manager에서 Active Directory 자격 증명을 암호화하고 해독합니다.
**키 생성**
**참고**
**암호화 키**의 경우 새 키를 생성하고 AWS 기본 KMS 키를 사용하지 마십시오. Active Directory에 조인하려는 파일 시스템이 포함된 동일한 리전 AWS KMS key 에서를 생성해야 합니다.
1. https://console.aws.amazon.com/kms AWS KMS 콘솔을 엽니다.
1. **키 생성**을 선택합니다.
1. **키 유형**에 대해 **대칭**을 선택합니다.
1. **키 사용**에서 **암호화 및 암호 해독**을 선택합니다.
1. **고급 옵션**에서 다음을 수행합니다.
1. **키 구성 요소 오리진**에서 **KMS**를 선택합니다.
1. **리전 구분**에서 **단일 리전 키**를 선택하고 **다음**을 선택합니다.
1. **다음**을 선택합니다.
1. **별칭**의 경우 KMS 키의 이름을 입력합니다.
1. (선택 사항) **설명**에 KMS 키에 대한 설명을 입력합니다.
1. (선택 사항) **태그**의 경우 KMS 키에 태그를 지정하고 **다음**을 선택합니다.
1. (선택 사항) **키 관리자**의 경우 이 키를 관리할 권한이 있는 IAM 사용자 및 역할을 제공합니다.
1. **키 삭제**의 경우 **키 관리자가 이 키를 삭제하도록 허용** 확인란을 선택한 상태로 유지하고 **다음**을 선택합니다.
1. (선택 사항) **키 사용자**의 경우 암호화 작업에 이 키를 사용할 권한이 있는 IAM 사용자 및 역할을 제공합니다. **다음**을 선택합니다.
1. **키 정책**의 경우 **편집**을 선택하고 정책 **설명**에 다음을 포함하여 Amazon FSx가 KMS 키를 사용하도록 허용하고 **다음**을 선택합니다. *us-west-2*를 파일 시스템이 배포 AWS 리전 되는 로 바꾸고 *123456789012*을 AWS 계정 ID로 바꿔야 합니다.
```
{
"Sid": "Allow FSx to use the KMS key",
"Version": "2012-10-17",
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-west-2.amazonaws.com",
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*"
}
}
}
```
1. **마침**을 클릭합니다.
**참고**
특정 보안 암호 및 파일 시스템을 대상으로 `Resource` 및 `aws:SourceArn` 필드를 수정하여 보다 세분화된 액세스 제어를 설정할 수 있습니다.
##### 2단계: AWS Secrets Manager 보안 암호 생성
**보안 암호 생성**
1. [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)에서 Secrets Manager 콘솔을 엽니다.
1. **새 보안 암호 저장**을 선택합니다.
1. **보안 암호 유형**에서 **다른 유형의 보안 암호**를 선택합니다.
1. **키/값 쌍**의 경우 다음을 수행하여 2개의 키를 추가합니다.
1. 첫 번째 키에는 `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`를 입력합니다.
1. 첫 번째 키 값에는 AD 사용자의 사용자 이름(도메인 접두사 제외)만 입력합니다.
1. 두 번째 키에는 `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`를 입력합니다.
1. 두 번째 키의 값으로 도메인의 AD 사용자에 대해 생성한 암호를 입력합니다.
1. **암호화 키**에는 이전 단계에서 생성한 KMS 키의 ARN을 입력하고 **다음**을 선택합니다.
1. **보안 암호 이름**에는 나중에 암호를 찾는 데 도움이 되는 설명이 포함된 이름을 입력합니다.
1. (선택 사항) **설명**에 보안 암호 이름에 대한 설명을 입력합니다.
1. **리소스 권한**의 경우 **편집**을 선택합니다.
권한 정책에 다음 정책을 추가하여 Amazon FSx가 보안 암호를 사용하도록 허용한 후 **다음**을 선택합니다. *us-west-2*를 파일 시스템이 배포 AWS 리전 되는 로 바꾸고 *123456789012*을 AWS 계정 ID로 바꿔야 합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*"
}
}
}
]
}
```
**참고**
특정 보안 암호 및 파일 시스템을 대상으로 `Resource` 및 `aws:SourceArn` 필드를 수정하여 보다 세분화된 액세스 제어를 설정할 수 있습니다.
1. (선택 사항) 자격 증명을 자동으로 교체하도록 Secrets Manager를 구성할 수 있습니다. **다음**을 선택합니다.
1. **마침**을 클릭합니다.
#### 에 Active Directory 자격 증명 저장 AWS Secrets Manager (CLI)
##### 1단계: KMS 키 생성
KMS 키를 생성하여 Secrets Manager에서 Active Directory 자격 증명을 암호화하고 해독합니다.
KMS 키를 생성하려면 AWS CLI 명령 [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html)를 사용합니다.
이 명령에서 `--policy` 파라미터를 설정하여 KMS 키에 대한 권한을 정의하는 키 정책을 지정합니다. 정책이 다음을 포함해야 합니다.
+ Amazon FSx의 서비스 보안 주체(`fsx.amazonaws.com`).
+ 필수 KMS 작업: `kms:Decrypt` 및 `kms:DescribeKey`.
+ AWS 리전 및 계정에 대한 리소스 ARN 패턴입니다.
+ 키 사용을 제한하는 조건 키:
+ `kms:ViaService` - Secrets Manager를 통해 요청이 들어오도록 함.
+ `aws:SourceAccount` - 사용자 계정으로 제한함.
+ `aws:SourceArn` - 특정 Amazon FSx 파일 시스템으로 제한함.
다음 예제에서는 Amazon FSx가 복호화 및 키 설명 작업에 키를 사용하도록 허용하는 정책을 사용하여 대칭 암호화 KMS 키를 생성합니다. 명령은 AWS 계정 ID와 리전을 자동으로 검색한 다음 이러한 값으로 키 정책을 구성하여 Amazon FSx, Secrets Manager 및 KMS 키 간의 적절한 액세스 제어를 보장합니다. AWS CLI 환경이 Active Directory에 조인할 파일 시스템과 동일한 리전에 있는지 확인합니다.
```
# Set region and get Account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Create Key
KMS_KEY_ARN=$(aws kms create-key --policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Sid\": \"Enable IAM User Permissions\",
\"Effect\": \"Allow\",
\"Principal\": {
\"AWS\": \"arn:aws:iam::$ACCOUNT_ID:root\"
},
\"Action\": \"kms:*\",
\"Resource\": \"*\"
},
{
\"Sid\": \"Allow FSx to use the KMS key\",
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"kms:Decrypt\",
\"kms:DescribeKey\"
],
\"Resource\": \"*\",
\"Condition\": {
\"StringEquals\": {
\"kms:ViaService\": \"secretsmanager.$REGION.amazonaws.com\",
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\"
}
}
}
]
}" --query 'KeyMetadata.Arn' --output text)
echo "KMS Key ARN: $KMS_KEY_ARN"
```
**참고**
특정 보안 암호 및 파일 시스템을 대상으로 `Resource` 및 `aws:SourceArn` 필드를 수정하여 보다 세분화된 액세스 제어를 설정할 수 있습니다.
##### 2단계: AWS Secrets Manager 보안 암호 생성
Amazon FSx가 Active Directory에 액세스할 수 있는 보안 암호를 생성하려면 [create-secret](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/create-secret.html) AWS CLI 명령을 사용하고 다음 파라미터를 설정합니다.
+ `--name`: 보안 암호의 식별자입니다.
+ `--description`: 보안 암호의 용도에 대한 설명입니다.
+ `--kms-key-id`: 저장 시 보안 암호를 암호화하기 위해 [1단계](#create-kms-key-windows-cli)에서 생성한 KMS 키의 ARN입니다.
+ `--secret-string`: AD 자격 증명을 다음 형식으로 포함하는 JSON 문자열입니다.
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`: `svc-fsx`와 같이 도메인 접두사가 없는 AD 서비스 계정 사용자 이름입니다. `CORP\svc-fsx`와 같은 도메인 접두사를 제공하지 **마세요**.
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`: AD 서비스 계정 암호입니다.
+ `--region`: AWS 리전 Amazon FSx 파일 시스템이 생성되는 입니다. `AWS_REGION`이 설정되지 않은 경우 기본적으로 구성된 리전으로 설정됩니다.
보안 암호를 생성한 후 [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/logs/put-resource-policy.html) 명령을 사용하여 리소스 정책을 연결하고 다음 파라미터를 설정합니다.
+ `--secret-id`: 정책을 연결할 보안 암호의 이름 또는 ARN입니다. 다음 예제에서는 **FSxSecret**을 `--secret-id`로 사용합니다.
+ `--region`: 보안 암호 AWS 리전 와 동일합니다.
+ `--resource-policy`: 보안 암호에 액세스할 수 있는 권한을 Amazon FSx에 부여하는 JSON 정책 문서입니다. 정책이 다음을 포함해야 합니다.
+ Amazon FSx의 서비스 보안 주체(**fsx.amazonaws.com**).
+ 필수 Secrets Manager 작업: `secretsmanager:GetSecretValue` 및 `secretsmanager:DescribeSecret`.
+ AWS 리전 및 계정에 대한 리소스 ARN 패턴입니다.
+ 액세스를 제한하는 다음 조건 키:
+ `aws:SourceAccount` - 사용자 계정으로 제한함.
+ `aws:SourceArn` - 특정 Amazon FSx 파일 시스템으로 제한함.
다음 예제에서는 필수 형식으로 보안 암호를 생성하고 Amazon FSx가 보안 암호를 사용하도록 허용하는 리소스 정책을 연결합니다. 이 예제에서는 AWS 계정 ID와 리전을 자동으로 검색한 다음 Amazon FSx와 보안 암호 간에 적절한 액세스 제어를 보장하기 위해 이러한 값으로 리소스 정책을 구성합니다.
`KMS_KEY_ARN`을 [1단계](#create-kms-key-windows-cli)에서 생성한 키의 ARN으로 바꾸고 `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME` 및 `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`를 Active Directory 서비스 계정 자격 증명으로 바꿔야 합니다. 또한 Active Directory에 조인할 파일 시스템과 동일한 리전에 대해 AWS CLI 환경이 구성되어 있는지 확인합니다.
```
# Set region and get account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Replace with your KMS key ARN from Step 1
KMS_KEY_ARN="arn:aws:kms:us-east-2:123456789012:key/1234542f-d114-555b-9ade-fec3c9200d8e"
# Replace with your Active Directory credentials
AD_USERNAME="Your_Username"
AD_PASSWORD="Your_Password"
# Create the secret
SECRET_ARN=$(aws secretsmanager create-secret \
--name "FSxSecret" \
--description "Secret for FSx access" \
--kms-key-id "$KMS_KEY_ARN" \
--secret-string "{\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"$AD_USERNAME\",\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"$AD_PASSWORD\"}" \
--region "$REGION" \
--query 'ARN' \
--output text)
echo "Secret created with ARN: $SECRET_ARN"
# Attach the resource policy with proper formatting
aws secretsmanager put-resource-policy \
--secret-id "FSxSecret" \
--region "$REGION" \
--resource-policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"secretsmanager:GetSecretValue\",
\"secretsmanager:DescribeSecret\"
],
\"Resource\": \"$SECRET_ARN\",
\"Condition\": {
\"StringEquals\": {
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\"
}
}
}
]
}"
echo "Resource policy attached successfully"
```
**참고**
특정 보안 암호 및 파일 시스템을 대상으로 `Resource` 및 `aws:SourceArn` 필드를 수정하여 보다 세분화된 액세스 제어를 설정할 수 있습니다.
## Amazon FSx 서비스 계정
자체 관리형 Active Directory에 조인된 Amazon FSx 파일 시스템에는 평생 유효한 서비스 계정이 필요합니다. Amazon FSx는 서비스 계정을 사용하여 파일 시스템을 완전히 관리하고 Active Directory 도메인에 대한 컴퓨터 객체의 가입을 취소하고 다시 가입해야 하는 관리 작업을 수행합니다. 이러한 작업에는 실패한 파일 서버 교체 및 Microsoft Windows Server 소프트웨어 패치 적용이 포함됩니다. Amazon FSx가 이러한 작업을 수행하려면 최소한 [서비스 계정 권한](#service-account-prereqs)에 설명된 권한 집합이 Amazon FSx 서비스 계정에 위임되어 있어야 합니다.
**도메인 관리자** 그룹의 구성원은 이러한 작업을 수행할 수 있는 충분한 권한이 있지만 별도의 서비스 계정을 사용하여 Amazon FSx 에 필요한 권한을 위임하는 것이 좋습니다.
**Active Directory 사용자 및 컴퓨터** MMC 스냅인에서 **제어 위임** 또는 **고급 기능** 기능을 사용하여 권한을 위임하는 방법에 대한 자세한 내용은 [Amazon FSx 서비스 계정에 권한 위임](assign-permissions-to-service-account.md)을 참조하세요.
새 서비스 계정으로 파일 시스템을 업데이트하는 경우 새 서비스 계정에는 Active Directory에 가입하는 데 필요한 권한과 권한이 있어야 하며 파일 시스템과 연결된 기존 컴퓨터 개체에 대한 **전체 제어** 권한이 있어야 합니다. 자세한 내용은 [Amazon FSx 서비스 계정 변경](changing-ad-service-account.md) 단원을 참조하십시오.
보안을 강화하려면 AWS Secrets Manager 에 Active Directory 서비스 계정 자격 증명을 저장하는 것이 좋습니다. 따라서 민감한 자격 증명을 일반 텍스트로 저장할 필요가 없으며 보안 모범 사례에 부합합니다. 자세한 내용은 [자체 관리형 Microsoft Active Directory 사용](#self-managed-AD) 단원을 참조하십시오.
# Amazon FSx 서비스 계정에 권한 위임
Amazon FSx 서비스 계정 또는 관리자 그룹에는 FSx for Windows File Server 파일 시스템을 자체 관리형 Active Directory 도메인에 조인하는 데 [필요한 권한](self-managed-AD.md#service-account-prereqs)이 있어야 합니다. 이러한 권한을 위임하려면 다음 절차에 설명된 대로 Active Directory User and Computers MMC 스냅인에서 **제어 위임** 또는 **고급 기능**를 사용할 수 있습니다.
## **제어 위임**을 사용하여 권한을 할당하려면
****위임 제어**를 사용하여 서비스 계정 또는 그룹에 권한을 할당하려면 다음과 같이 하세요.**
1. Active Directory 도메인의 도메인 관리자로 시스템에 로그인합니다.
1. **Active Directory User and Computers** MMC 스냅인을 엽니다.
1. 작업 창에서 도메인 노드를 확장합니다.
1. 수정하려는 OU에 대한 컨텍스트 메뉴(마우스 오른쪽 버튼 클릭)를 찾아 연 다음 **제어 위임**을 선택합니다.
1. **제어 위임 마법사** 페이지에서 **다음**을 선택합니다.
1. **추가**를 선택하여 Amazon FSx 서비스 계정 또는 그룹의 이름을 추가한 후 **다음**을 선택합니다.
1. **위임할 작업** 페이지에서 **위임할 사용자 지정 작업 만들기**를 선택하고 **다음**을 선택합니다.
1. **폴더의 다음 객체만**을 선택한 후 **컴퓨터 객체**를 선택합니다.
1. **이 폴더에서 선택한 객체 생성**을 선택한 후 **이 폴더에서 선택한 객체 삭제**를 선택합니다. 그리고 **다음**을 선택합니다.
1. **권한**에서 다음을 선택합니다.
+ **암호 재설정**
+ **읽기 및 쓰기 계정 제한**
+ **DNS 호스트 이름에 대한 검증된 쓰기**
+ **서비스 보안 주체 이름에 대한 검증된 쓰기**
1. **다음**을 선택한 후 **완료**를 선택합니다.
1. **Active Directory User and Computers** MMC 스냅인을 닫습니다.
## **고급 기능**을 사용하여 권한을 할당하려면 다음과 같이 하세요.
1. Active Directory 도메인의 도메인 관리자로 시스템에 로그인합니다.
1. **Active Directory User and Computers** MMC 스냅인을 엽니다.
1. 메뉴 표시줄에서 **보기**를 선택하고 **고급 기능**이 활성화되어 있는지 확인합니다(고급 기능이 활성화된 경우 고급 기능 옆에 체크 표시가 나타남).
1. 작업창에서 도메인 노드를 확장합니다.
1. 수정하려는 OU에 대한 컨텍스트 메뉴를 찾아 마우스 오른쪽 클릭으로 연 다음 **속성**을 선택합니다.
1. **OU 속성** 창에서 **보안** 탭을 선택합니다.
1. **보안** 탭에서 **고급**을 선택합니다. 그런 다음 **추가**를 선택합니다.
1. **권한 항목** 페이지에서 **보안 주체 선택**을 선택하고 Amazon FSx 서비스 계정 또는 그룹의 이름을 입력합니다. **적용 대상:**에서 **이 객체와 모든 하위 컴퓨터**를 선택합니다. 다음이 선택되었는지 확인합니다.
+ **권한 수정**
+ **컴퓨터 객체 생성**
+ **컴퓨터 객체 삭제**
1. **적용**을 선택한 다음 **확인**을 선택합니다.
1. **Active Directory User and Computers** MMC 스냅인을 닫습니다.
# Active Directory 구성 검증
Active Directory에 조인할 FSx for Windows File Server 파일 시스템을 생성하기 전에 Amazon FSx Active Directory 검증 도구를 사용하여 Active Directory 구성을 검증하는 것이 좋습니다. Active Directory 구성을 성공적으로 검증하려면 아웃바운드 인터넷 연결이 필요합니다.
**Active Directory 구성 검증**
1. FSx for Windows File Server 파일 시스템에 사용할 동일한 Amazon VPC 보안 그룹 및 동일한 서브넷에서 Amazon EC2 Windows 인스턴스를 시작합니다. EC2 인스턴스에 필요한 `AmazonEC2ReadOnlyAccess` IAM 권한이 있는지 확인하세요. IAM 정책 시뮬레이터를 사용하여 EC2 인스턴스 역할 권한을 검증할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM 정책 시뮬레이터로 IAM 정책 테스트](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)를 참조하세요.
1. EC2 Windows 인스턴스를 Active Directory에 조인합니다. 자세한 내용은 *AWS Directory Service 관리 안내서*의 [Windows 인스턴스 수동 조인](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/join_windows_instance.html)을 참조하세요.
1. EC2 인스턴스에 연결합니다. 자세한 내용은 **Amazon EC2 사용 설명서의 [Windows 인스턴스에 연결](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html)을 참조하세요.
1. EC2 인스턴스에서 Windows PowerShell 창을 엽니다(**관리자 권한으로 실행** 사용).
Windows PowerShell용 필수 Active Directory 모듈이 설치되어 있는지 테스트하려면 다음 테스트 명령을 사용합니다.
```
PS C:\> Import-Module ActiveDirectory
```
테스트 명령이 오류를 반환하면 다음 명령을 사용하여 모듈을 설치합니다.
```
PS C:\> Install-WindowsFeature RSAT-AD-PowerShell
```
1. 다음 명령을 사용하여 네트워크 검증 도구를 다운로드합니다.
```
PS C:\> Invoke-WebRequest "https://docs.aws.amazon.com/fsx/latest/WindowsGuide/samples/AmazonFSxADValidation.zip" -OutFile "AmazonFSxADValidation.zip"
```
1. 다음 명령을 사용하여 zip 파일을 확장합니다.
```
PS C:\> Expand-Archive -Path "AmazonFSxADValidation.zip"
```
1. `AmazonFSxADValidation` 모듈을 현재 세션에 추가합니다.
```
PS C:\> Import-Module .\AmazonFSxADValidation
```
1. 다음 명령에 필요한 변수를 넣어 설정합니다.
+ Active Directory 도메인 이름(*DOMAINNAME.COM*)
+ 다음 옵션 중 하나를 사용하여 서비스 계정 암호용 `$Credential` 객체를 준비합니다.
+ 대화형 방식으로 보안 인증 객체를 생성하려면 다음 명령을 사용합니다.
```
$Credential = Get-Credential
```
+ AWS Secrets Manager 리소스를 사용하여 자격 증명 객체를 생성하려면 다음 명령을 사용합니다.
```
$Secret = ConvertFrom-Json -InputObject (Get-SECSecretValue -SecretId $AdminSecret).SecretString
$Credential = (New-Object PSCredential($Secret.UserName,(ConvertTo-SecureString $Secret.Password -AsPlainText -Force)))
```
+ DNS 서버 IP 주소(*IP\$1ADDRESS\$11*, *IP\$1ADDRESS\$12*)
+ Amazon FSx 파일 시스템을 생성하려는 서브넷의 서브넷 ID(예: *SUBNET\$11*, *SUBNET\$12*, 예시: `subnet-04431191671ac0d19`).
```
PS C:\>
$FSxADValidationArgs = @{
# DNS root of ActiveDirectory domain
DomainDNSRoot = 'DOMAINNAME.COM'
# IP v4 addresses of DNS servers
DnsIpAddresses = @('IP_ADDRESS_1', 'IP_ADDRESS_2')
# Subnet IDs for Amazon FSx file server(s)
SubnetIds = @('SUBNET_1', 'SUBNET_2')
Credential = $Credential
}
```
1. (선택 사항) 검증 도구를 실행하기 전에, 들어있는 `README.md` 파일의 지침에 따라 조직 단위, 위임형 관리자 그룹, DomainControllersMaxCount를 설정하고 서비스 계정 권한 검증을 활성화합니다.
**참고**
운영 체제가 영어가 아닌 경우 `Domain Admins` 그룹 이름이 다릅니다. 예를 들어, 프랑스 OS 버전에서 그룹 이름은 `Administrateurs du domaine`입니다. 값을 지정하지 않으면 기본 `Domain Admins` 그룹 이름이 사용되고 파일 시스템 생성이 실패합니다.
1. 이 명령을 사용하여 유효성 검사 도구를 실행합니다.
```
PS C:\> $Result = Test-FSxADConfiguration @FSxADValidationArgs
```
1. 다음은 테스트에 성공한 결과의 예입니다.
```
Test 1 - Validate EC2 Subnets ...
...
Test 17 - Validate 'Delete Computer Objects' permission ...
Test computer object amznfsxtestd53f deleted!
...
SUCCESS - All tests passed! Please proceed to creating an Amazon FSx file system. For your convenience, SelfManagedActiveDirectoryConfiguration of result can be used directly in CreateFileSystemWindowsConfiguration for New-FSXFileSystem
PS C:\AmazonFSxADValidation> $Result.Failures.Count
0
PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0
```
다음은 테스트에 오류가 발생한 결과의 예입니다.
```
Test 1 - Validate EC2 Subnets ...
...
Test 7 - Validate that provided EC2 Subnets belong to a single AD Site ...
Name DistinguishedName Site
---- ----------------- ----
10.0.0.0/19 CN=10.0.0.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=SiteB,CN=Sites,CN=Configu...
10.0.128.0/19 CN=10.0.128.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=Default-First-Site-Name,C...
10.0.64.0/19 CN=10.0.64.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=SiteB,CN=Sites,CN=Configu...
Best match for EC2 subnet subnet-092f4caca69e360e7 is AD site CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st-ad,DC=local
Best match for EC2 subnet subnet-04431191671ac0d19 is AD site CN=SiteB,CN=Sites,CN=Configuration,DC=test-ad,DC=local
WARNING: EC2 subnets subnet-092f4caca69e360e7 subnet-04431191671ac0d19 matched to different AD sites! Make sure they
are in a single AD site.
...
9 of 16 tests skipped.
FAILURE - Tests failed. Please see error details below:
Name Value
---- -----
SubnetsInSeparateAdSites {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}
Please address all errors and warnings above prior to re-running validation to confirm fix.
PS C:\AmazonFSxADValidation> $Result.Failures.Count
1
PS C:\AmazonFSxADValidation> $Result.Failures
Name Value
---- -----
SubnetsInSeparateAdSites {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}
PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0
```
유효성 검사 도구를 실행할 때 경고 또는 오류가 발생하는 경우, 유효성 검사 도구 패키지(`TROUBLESHOOTING.md`) 및 [Amazon FSx 문제 해결](troubleshooting.md) 섹션에 포함된 문제 해결 안내서를 참조하세요.
# Amazon FSx 파일 시스템을 자체 관리형 Microsoft Active Directory 도메인에 조인
Windows File Server 파일 시스템에 대한 새 FSx를 생성할 때 자체 관리형 Microsoft Active Directory 도메인에 조인하도록 Microsoft Active Directory 통합을 구성할 수 있습니다. 이렇게 하려면 Microsoft Active Directory에 대한 다음 정보를 제공합니다.
+ 온프레미스 Microsoft Active Directory 디렉터리의 정규화된 도메인 이름(FQDN).
**참고**
Amazon FSx는 현재 단일 레이블 도메인(SLD) 도메인을 지원하지 않습니다.
+ 도메인의 DNS 서버의 IP 주소.
+ Amazon FSx가 파일 시스템을 도메인에 조인하는 데 사용하는 Active Directory 서비스 계정의 자격 증명입니다. 다음 중 하나로 제공할 수 있습니다.
+ **옵션 1**: AWS Secrets Manager 비밀 ARN - Active Directory 도메인의 서비스 계정에 대한 사용자 이름과 암호가 포함된 보안 암호입니다. 자세한 내용은 [를 사용하여 Active Directory 자격 증명 저장 AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows) 단원을 참조하십시오.
+ **옵션 2**: 일반 텍스트 자격 증명
+ **서비스 계정 사용자 이름** - 기존 Microsoft Active Directory에 있는 서비스 계정의 사용자 이름입니다. 도메인 접두사나 접미사를 포함하지 않습니다. 예를 들어 `EXAMPLE\ADMIN`에는 `ADMIN`만 사용합니다.
+ **서비스 계정 암호** - 서비스 계정의 암호입니다.
선택적으로 다음을 지정할 수도 있습니다.
+ Amazon FSx 파일 시스템을 조인하려는 도메인 내의 특정 조직 단위(OU).
+ 멤버에게 Amazon FSx 파일 시스템에 대한 관리 권한이 부여된 도메인 그룹의 이름. 제공하는 도메인 그룹 이름은 Active Directory에서 고유해야 합니다.
이 정보를 지정하면 Amazon FSx는 사용자가 제공한 서비스 계정을 사용하여 자체 관리형 Active Directory 도메인에 새 파일 시스템을 조인합니다.
**중요**
Amazon FSx는 파일 시스템을 조인하려는 Active Directory 도메인이 Microsoft DNS를 기본 DNS로 사용하는 경우에만 파일 시스템에 대한 DNS 레코드를 등록합니다. 서드 파티 DNS를 사용하는 경우 파일 시스템을 생성한 후 Amazon FSx 파일 시스템에 대한 DNS 항목을 수동으로 설정해야 합니다. 파일 시스템에 사용할 올바른 IP 주소를 선택하는 방법에 대한 자세한 내용은 [수동 DNS 항목에 사용할 올바른 파일 시스템 IP 주소 가져오기](file-system-ip-addresses-for-dns.md) 섹션을 참조하세요.
## 시작하기 전 준비 사항
[자체 관리형 Microsoft Active Directory 사용](self-managed-AD.md)에서 설명한 [사전 조건](self-managed-AD.md#self-manage-prereqs)을 완료했는지 확인합니다.
## 자체 관리형 Active Directory에 조인된 FSx for Windows File Server 파일 시스템 생성(콘솔)
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)에서 Amazon FSx 콘솔을 엽니다.
1. 대시보드에서 **파일 시스템 생성**을 선택하여 파일 시스템 생성 마법사를 시작합니다.
1. **FSx for Windows File Server**를 선택한 후 **다음**을 선택합니다. **파일 시스템 생성** 페이지가 표시됩니다.
1. 파일 시스템의 이름을 제공합니다. 최대 256개의 유니코드 문자, 공백 및 숫자와 특수 문자 \$1 - = . \$1 : /를 사용할 수 있습니다.
1. **스토리지 용량**에는 파일 시스템의 스토리지 용량을 GiB 단위로 입력합니다. SSD 스토리지를 사용하는 경우 32\$165,536 범위의 정수를 입력합니다. HDD 스토리지를 사용하는 경우 2,000\$165,536 범위의 정수를 입력합니다. 파일 시스템을 생성한 후 언제든지 필요에 따라 스토리지 용량을 늘릴 수 있습니다. 자세한 내용은 [스토리지 용량 관리](managing-storage-configuration.md#managing-storage-capacity) 섹션을 참조하세요.
1. **처리량 용량**을 기본 설정으로 유지합니다. **처리량 용량**은 파일 시스템을 호스팅하는 파일 서버가 데이터를 제공할 수 있는 지속 속도입니다. **권장 처리량 용량** 설정은 선택한 스토리지 용량을 기반으로 합니다. 권장 처리량 용량보다 많은 용량이 필요한 경우 **처리량 용량 지정**을 선택한 다음 값을 선택합니다. 자세한 내용은 [FSx for Windows File Server 성능성능](performance.md) 단원을 참조하십시오.
파일 시스템을 생성하고 나서 언제든지 필요에 따라 처리량 용량을 수정할 수 있습니다. 자세한 내용은 [처리량 용량 관리](managing-throughput-capacity.md) 단원을 참조하십시오.
1. 파일 시스템과 연결할 VPC를 선택합니다. 이 시작하기 연습에서는 Directory Service 디렉터리 및 Amazon EC2 인스턴스와 동일한 VPC를 선택합니다.
1. **가용 영역** 및 **서브넷**에서 원하는 값을 선택합니다.
1. **VPC 보안 그룹**의 경우 기본 Amazon VPC의 기본 보안 그룹이 콘솔의 파일 시스템에 이미 추가되었습니다. FSx 파일 시스템을 만드는 서브넷의 보안 그룹과 VPC 네트워크 ACL이 다음 다이어그램에 표시된 방향으로 포트를 통한 트래픽을 허용하는지 확인합니다.
![\[VPC 보안 그룹에 대한 FSx for Windows File Server 포트 구성 요구 사항 및 파일 시스템이 생성되는 서브넷의 네트워크 ACL에 대한 구성 요구 사항\]](http://docs.aws.amazon.com/ko_kr/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)
다음 테이블에는 각 포트의 역할이 나와 있습니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/fsx/latest/WindowsGuide/creating-joined-ad-file-systems.html)
**중요**
단일 AZ 2 및 모든 다중 AZ 파일 시스템 배포에는 TCP 포트 9389에서 아웃바운드 트래픽을 허용해야 합니다.
**참고**
VPC 네트워크 ACL을 사용하는 경우 FSx 파일 시스템의 동적 포트(49152\$165535)를 통한 아웃바운드 트래픽도 허용해야 합니다.
+ 아웃바운드 규칙은 자체 관리형 Microsoft Active Directory 도메인의 DNS 서버 및 도메인 컨트롤러와 연결된 IP 주소로 들어오는 모든 트래픽을 허용합니다. 자세한 내용은 [Active Directory 통신을 위한 방화벽 구성에 대한 Microsoft 설명서](https://support.microsoft.com/en-us/help/179442/how-to-configure-a-firewall-for-domains-and-trusts)를 참조하세요.
+ 이러한 트래픽 규칙이 각 Active Directory 도메인 컨트롤러, DNS 서버, FSx 클라이언트, FSx 관리자에 적용되는 방화벽에도 반영되는지 확인합니다.
**참고**
Microsoft Active Directory 사이트가 정의되어 있는 경우에는 Amazon FSx 파일 시스템과 연결된 VPC의 서브넷이 Microsoft Active Directory 사이트에 정의되어 있도록 하고 VPC의 서브넷과 다른 사이트의 서브넷 간에 충돌이 존재하지 않도록 해야 합니다. Active Directory Sites and Services MMC 스냅인을 사용하여 이러한 설정을 보고 변경할 수 있습니다.
**중요**
Amazon VPC 보안 그룹에서는 네트워크 트래픽이 시작되는 방향으로만 포트를 열어야 하지만, 대부분의 Windows 방화벽과 VPC 네트워크 ACL에서는 포트가 양방향으로 열려 있어야 합니다.
1. **Windows 인증**에서 **자체 관리형 Microsoft Active Directory**를 선택합니다.
1. 자체 관리형 Microsoft Active Directory 디렉터리의 **정규화된 도메인 이름**에 값을 입력합니다.
**참고**
도메인 이름은 단일 레이블 도메인(SLD) 형식일 수 없습니다. Amazon FSx는 현재 SLD 도메인을 지원하지 않습니다.
**중요**
단일 AZ 2 및 모든 다중 AZ 파일 시스템의 경우 Active Directory 도메인 이름은 47자를 초과할 수 없습니다.
1. 자체 관리형 Microsoft Active Directory 디렉터리의 **조직 단위**에 값을 입력합니다.
**참고**
제공한 서비스 계정에 여기서 지정하는 OU 또는 기본 OU(지정하지 않은 경우)에 위임된 권한이 있는지 확인합니다.
1. 자체 관리형 Microsoft Active Directory 디렉터리의 **DNS 서버 IP 주소** 값을 하나 이상 두 개 이하로 입력합니다.
1. **서비스 계정 자격 증명** - 서비스 계정 자격 증명을 제공하는 방법을 선택합니다.
+ **옵션 1**: AWS Secrets Manager 비밀 ARN - Active Directory 도메인의 서비스 계정에 대한 사용자 이름과 암호가 포함된 보안 암호입니다. 자세한 내용은 [를 사용하여 Active Directory 자격 증명 저장 AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows) 단원을 참조하십시오.
+ **옵션 2**: 일반 텍스트 자격 증명
+ **서비스 계정 사용자 이름** - 기존 Microsoft Active Directory에 있는 서비스 계정의 사용자 이름입니다. 도메인 접두사나 접미사를 포함하지 않습니다. 예를 들어 `EXAMPLE\ADMIN`에는 `ADMIN`만 사용합니다.
+ **서비스 계정 암호** - 서비스 계정의 암호입니다.
+ **암호 확인** - 서비스 계정의 암호입니다.
**중요**
**서비스 계정 사용자 이름**을 입력할 때 도메인 접두사(`corp.com\ServiceAcct`) 또는 도메인 접미사(`ServiceAcct@corp.com`)를 포함하지 않습니다.
**서비스 계정 사용자** 이름(`CN=ServiceAcct,OU=example,DC=corp,DC=com`)을 입력할 때 고유 이름(DN)을 사용하지 않습니다.
1. **위임된 파일 시스템 관리자 그룹**에서 `Domain Admins` 그룹 또는 사용자 지정 위임 파일 시스템 관리자 그룹(생성한 경우)을 지정합니다. 지정하는 그룹에는 파일 시스템에서 관리 작업을 수행할 수 있는 위임된 권한이 있어야 합니다. 값을 입력하지 않으면 Amazon FSx가 기본 제공 `Domain Admins` 그룹을 사용합니다. Amazon FSx는 기본 제공 컨테이너에 위치한 `Delegated file system administrators group`(`Domain Admins` 그룹 또는 사용자가 지정하는 사용자 지정 그룹)을 지원하지 않는다는 점에 유의하세요.
**중요**
**위임 파일 시스템 관리자 그룹**을 제공하지 않는 경우 Amazon FSx는 기본적으로 Active Directory 도메인의 기본 제공 `Domain Admins` 그룹을 사용하려고 시도합니다. 이 기본 제공 그룹의 이름이 변경되었거나 도메인 관리에 다른 그룹을 사용하는 경우 여기에 해당 그룹 이름을 입력해야 합니다.
**중요**
그룹 이름 파라미터를 제공할 때 도메인 접두사(corp.com\$1FSxAdmins) 또는 도메인 접미사(FSxAdmins@corp.com)를 포함하지 않습니다.
그룹에 DN(고유 이름)을 사용하지 않습니다. 고유 이름의 예는 CN=FSxAdmins,OU=Example,DC=Corp,DC=com입니다.
## 자체 관리형 Active Directory에 조인된 FSx for Windows File Server 파일 시스템 생성(AWS CLI)
다음 예제에서는 `us-east-2` 가용 영역에 `SelfManagedActiveDirectoryConfiguration`이 있는 FSx for Windows File Server 파일 시스템을 생성합니다.
```
aws fsx --region us-east-2 \
create-file-system \
--file-system-type WINDOWS \
--storage-capacity 300 \
--security-group-ids security-group-id \
--subnet-ids subnet-id\
--windows-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \
OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",FileSystemAdministratorsGroup="FSxAdmins", \
UserName="FSxService",Password="password", \
DnsIps=["10.0.1.18"]}',ThroughputCapacity=8
```
**중요**
파일 시스템이 생성된 후 Amazon FSx가 OU에서 생성한 컴퓨터 객체를 이동하지 않습니다. 이렇게 하면 파일 시스템이 잘못 구성될 수 있습니다.
# 수동 DNS 항목에 사용할 올바른 파일 시스템 IP 주소 가져오기
Amazon FSx는 Microsoft DNS를 기본 DNS 서비스로 사용하는 경우에만 파일 시스템의 DNS 레코드를 등록합니다. 타사 DNS를 사용하는 경우 Amazon FSx 파일 시스템의 DNS 항목을 수동으로 설정해야 합니다. 이 섹션에서는 DNS에 파일 시스템을 수동으로 추가해야 하는 경우에 올바른 파일 시스템 IP 주소 획득 방법을 설명합니다. 파일 시스템이 생성되면 해당 IP 주소는 파일 시스템이 삭제될 때까지 변경되지 않습니다.
**DNS A 항목에 사용할 파일 시스템 IP 주소 획득 방법**
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) 에서 IP 주소를 획득할 파일 시스템을 선택하여 파일 시스템 세부 정보 페이지를 표시합니다.
1. **네트워크 및 보안** 탭에서 다음 중 하나를 수행하세요.
+ 단일 AZ 1 파일 시스템의 경우:
+ **서브넷** 패널의 **네트워크 인터페이스** 아래에 표시된 탄력적 네트워크 인터페이스를 선택하여 Amazon EC2 콘솔에서 **네트워크 인터페이스** 페이지를 엽니다.
+ 사용할 단일 AZ 1 파일 시스템의 IP 주소는 **기본 프라이빗 IPv4 IP** 열에 표시됩니다.
+ 단일 AZ 2 또는 다중 AZ 파일 시스템의 경우:
+ **기본 서브넷** 패널의 **네트워크 인터페이스** 아래에 표시된 탄력적 네트워크 인터페이스를 선택하여 Amazon EC2 콘솔에서 **네트워크 인터페이스** 페이지를 엽니다.
+ 사용할 기본 서브넷의 IP 주소는 **보조 프라이빗 IPv4** IP 열에 표시됩니다.
+ Amazon FSx **대기 서브넷** 패널의 **네트워크 인터페이스** 아래에 표시된 탄력적 네트워크 인터페이스를 선택하여 Amazon EC2 콘솔에서 **네트워크 인터페이스** 페이지를 엽니다.
+ 사용할 대기 서브넷의 IP 주소는 **보조 프라이빗 IPv4** IP 열에 표시됩니다.
**참고**
단일 AZ 2 또는 다중 AZ 파일 시스템의 Windows 원격 PowerShell 엔드포인트 DNS 항목을 설정해야 하는 경우, **기본 서브넷**의 탄력적 네트워크 인터페이스의 **기본 프라이빗 IPv4 주소**를 사용해야 합니다. 자세한 내용은 [PowerShell용 Amazon FSx CLI 사용](administering-file-systems.md#remote-pwrshell) 단원을 참조하십시오.
# 자체 관리형 Active Directory 구성 업데이트
Amazon FSx 파일 시스템의 중단 없는 지속적인 가용성을 보장하려면 다음 Active Directory 속성 중 하나가 변경될 때 파일 시스템의 Active Directory 구성을 업데이트해야 합니다.
+ DNS 서버 IP 주소
+ 자체 관리형 Active Directory의 서비스 계정 자격 증명
Amazon FSx 파일 시스템의 자체 관리형 Active Directory 구성을 업데이트하면 업데이트가 적용되는 동안 파일 시스템의 상태가 **사용 가능**에서 **업데이트 중**으로 전환됩니다. 업데이트가 적용된 후 상태가 다시 **사용 가능**으로 전환되는지 확인합니다. 업데이트를 완료하는 데 몇 분 정도 걸릴 수 있습니다. 자세한 내용은 [자체 관리형 Active Directory 업데이트 모니터링](monitor-self-ad-update.md) 단원을 참조하십시오.
업데이트된 자체 관리형 Active Directory 구성에 문제가 있는 경우 파일 시스템 상태가 **잘못 구성됨**으로 전환됩니다. 이 상태에는 콘솔, API 및 CLI의 파일 시스템 설명 옆에 오류 메시지와 권장 수정 조치가 표시됩니다. 권장 수정 조치를 취한 후 파일 시스템 상태가 최종적으로 **사용 가능**으로 변경되는지 확인합니다.
**중요**
새 서비스 계정으로 파일 시스템을 업데이트하는 경우 파일 시스템과 연결된 기존 컴퓨터 객체에 대한 **전체 제어** 권한이 새 서비스 계정에 있는지 확인합니다.
자체 관리형 Active Directory 구성과 관련된 가능한 문제를 해결하는 방법에 대한 자세한 내용은 [파일 시스템이 잘못 구성된 상태](misconfigured-ad-config.md) 섹션을 참조하세요.
AWS Management Console Amazon FSx API 또는를 사용하여 파일 시스템의 자체 관리형 Active Directory 구성의 서비스 계정 자격 증명 및 DNS 서버 IP 주소를 AWS CLI 업데이트할 수 있습니다. AWS Management Console, CLI 및 API를 사용하여 언제든지 자체 관리형 Active Directory 구성 업데이트의 진행 상황을 추적할 수 있습니다. 자세한 내용은 [자체 관리형 Active Directory 업데이트 모니터링](monitor-self-ad-update.md) 단원을 참조하십시오.
**자체 관리형 Active Directory 구성 업데이트(콘솔)**
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)에서 Amazon FSx 콘솔을 엽니다.
1. **파일 시스템**으로 이동하여 자체 관리형 Active Directory 구성을 업데이트하려는 Windows 파일 시스템을 선택합니다.
1. **네트워크 및 보안** 탭에서 업데이트하려는 Active Directory 속성에 따라 **DNS 서버 IP 주소** 또는 서비스 계정 사용자 이름의 **업데이트**를 선택합니다.
1. 나타나는 대화 상자에 새 DNS 서버 IP 주소 또는 새 서비스 계정 자격 증명(사용자 이름 및 암호) 또는 보안 암호 ARN을 입력합니다. AWS Secrets Manager 를 사용하여 자격 증명을 저장할 수 있습니다. 자세한 내용은 [를 사용하여 Active Directory 자격 증명 저장 AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows) 단원을 참조하십시오.
1. **업데이트**를 선택하여 Active Directory 구성 업데이트를 시작합니다.
AWS Management Console 또는 [를 사용하여 업데이트 진행 상황을 모니터링할](monitor-self-ad-update.md) 수 있습니다 AWS CLI.
**자체 관리형 Active Directory 구성 업데이트(CLI)**
+ FSx for Windows File Server 파일 시스템의 자체 관리형 Active Directory 구성을 업데이트하려면 [update-file-system](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html) AWS CLI 명령을 사용합니다. 다음 파라미터를 설정합니다.
+ `--file-system-id` 업데이트하려는 파일 시스템 ID.
+ `UserName` 자체 관리형 Active Directory 서비스 계정의 새 사용자 이름.
+ `Password` 자체 관리형 Active Directory 서비스 계정의 새 암호.
+ `DomainJoinServiceAccountSecret` Active Directory 도메인의 서비스 계정에 대한 사용자 이름과 암호가 포함된 AWS Secrets Manager 보안 암호
**참고**
Active Directory에 연결하기 위해 사용자 이름/암호와 도메인 조인 서비스 계정 보안 암호를 모두 제공할 수는 없습니다. 자격 증명 세트를 하나만 제공합니다.
+ `DnsIps` 자체 관리형 Active Directory DNS 서버의 IP 주소
```
aws fsx update-file-system --file-system-id fs-0123456789abcdef0 \
--windows-configuration 'SelfManagedActiveDirectoryConfiguration={UserName=username,Password=password,\
DnsIps=[192.0.2.0,192.0.2.24]}'
```
업데이트 작업이 성공하면 서비스가 HTTP 200 응답을 다시 전송합니다. 응답의 `AdminstrativeActions` 객체는 요청과 상태를 설명합니다.
# Amazon FSx 서비스 계정 변경
새 서비스 계정으로 파일 시스템을 업데이트하는 경우 새 서비스 계정에는 Active Directory에 가입하는 데 필요한 권한과 권한이 있어야 하며 파일 시스템과 연결된 기존 컴퓨터 객체에 대한 **전체 제어** 권한이 있어야 합니다. 또한 새 서비스 계정이 활성화된 **그룹 정책** 설정 **도메인 컨트롤러: 도메인 조인 중에 컴퓨터 계정 재사용 허용**을 사용하는 신뢰할 수 있는 계정의 일부인지 확인합니다.
Active Directory 그룹을 사용하여 서비스 계정과 연결된 Active Directory 권한 및 구성을 관리하는 것이 좋습니다.
Amazon FSx의 서비스 계정을 변경할 때 서비스 계정에 다음 설정이 있는지 확인합니다.
+ 새 서비스 계정(또는 멤버인 Active Directory 그룹)에는 파일 시스템과 연결된 기존 컴퓨터 객체에 대한 **전체 제어** 권한이 있습니다.
+ 새 서비스 계정 및 이전 서비스 계정(또는 해당 계정이 멤버인 Active Directory 그룹)은 Active Directory의 모든 도메인 컨트롤러에서 **도메인 컨트롤러: 도메인 가입 중 컴퓨터 계정 재사용 허용** 그룹 정책 설정이 활성화된 신뢰할 수 있는 계정(또는 신뢰할 수 있는 Active Directory 그룹)의 일부입니다.
서비스 계정이 이러한 요구 사항을 충족하지 않으면 다음과 같은 상황이 발생할 수 있습니다.
+ 단일 AZ 파일 시스템의 경우 파일 시스템이 **[MISCONFIGURED\$1UNAVAILABLE](administering-file-systems.md#file-system-lifecycle-states)**가 될 수 있습니다.
+ 다중 AZ 파일 시스템의 경우 파일 시스템이 **[MISCONFIGURED](administering-file-systems.md#file-system-lifecycle-states)**가 되고 RemotePowerShell 엔드포인트 이름이 변경될 수 있습니다.
## 도메인 컨트롤러의 그룹 정책 구성
다음 [ Microsoft 권장 절차](https://support.microsoft.com/en-us/topic/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8#bkmk_take_action)에서는 도메인 컨트롤러 그룹 정책을 사용하여 허용 목록 정책을 구성하는 방법을 설명합니다.
**도메인 컨트롤러의 허용 목록 정책을 구성하려면**
1. 자체 관리형 Microsoft Active Directory의 모든 멤버 컴퓨터 및 도메인 컨트롤러에 2023년 9월 12일 이후의 Microsoft Windows 업데이트를 설치합니다.
1. 자체 관리형 Active Directory의 모든 도메인 컨트롤러에 적용되는 새 또는 기존 그룹 정책에서 다음 설정을 구성합니다.
1. **컴퓨터 구성>정책>Windows 설정>보안 설정> 로컬 정책>보안 옵션**으로 이동합니다.
1. **도메인 컨트롤러: 도메인 가입 중 컴퓨터 계정 재사용 허용**을 클릭합니다.
1. **이 정책 설정 정의 및 <보안 편집...>**을 선택합니다.
1. 객체 선택기를 사용하여 신뢰할 수 있는 컴퓨터 계정 생성자 및 소유자의 사용자 또는 그룹을 **허용** 권한에 추가합니다. (권한에 그룹을 사용하는 것이 가장 좋습니다.) **도메인 조인을 수행하는 사용자 계정을 추가하지 마세요.**
**주의**
정책 멤버십을 신뢰할 수 있는 사용자 및 서비스 계정으로 제한합니다. 인증된 사용자, 모든 사용자 또는 기타 대규모 그룹을 이 정책에 추가하지 마세요. 대신 특정 신뢰할 수 있는 사용자 및 서비스 계정을 그룹에 추가하고 해당 그룹을 정책에 추가합니다.
1. 그룹 정책 새로 고침 간격을 기다리거나 모든 도메인 컨트롤러에서 **gpupdate /force**를 실행합니다.
1. HKLM\$1System\$1CCS\$1Control\$1SAM – “ComputerAccountReuseAllowList ” 레지스트리 키가 원하는 SDDL로 채워져 있는지 확인합니다. **레지스트리를 수동으로 편집하지 마십시오**.
1. 2023년 9월 12일 또는 이후 업데이트가 설치된 컴퓨터에 조인을 시도합니다. 정책에 나열된 계정 중 하나가 컴퓨터 계정을 소유하고 있는지 확인합니다. 또한 레지스트리에 **NetJoinLegacyAccountReuse** 키가 활성화되어 있지 않은지 확인합니다(1로 설정). 도메인 조인이 실패하면 **`c:\windows\debug\netsetup.log`**를 확인합니다.
# 자체 관리형 Active Directory 업데이트 모니터링
다음 절차에 설명된 AWS CLI대로 AWS Management Console, API 또는를 사용하여 자체 관리형 Active Directory 구성 업데이트의 진행 상황을 모니터링할 수 있습니다.
파일 시스템의 자체 관리 Active Directory 구성을 업데이트하면 업데이트가 적용되는 동안 파일 시스템의 상태가 **사용 가능**에서 **업데이트 중**으로 전환됩니다. 업데이트가 완료되면 상태가 **사용 가능**으로 다시 전환됩니다. Active Directory 구성 업데이트를 완료하는 데 최대 몇 분이 걸릴 수 있습니다.
## 콘솔에서 업데이트 모니터링
**파일 시스템 세부 정보** 창의 **업데이트** 탭에서 각 업데이트 유형에 대한 최신 업데이트 10개를 볼 수 있습니다.
![\[최근 업데이트 목록을 보여 주는 콘솔의 스크린샷.\]](http://docs.aws.amazon.com/ko_kr/fsx/latest/WindowsGuide/images/fs-updates-panel.png)
자체 관리형 Active Directory 업데이트의 경우, 다음 정보를 볼 수 있습니다.
****업데이트 유형****
지원되는 유형은 다음과 같습니다.
+ DNS 서버 IP 주소
+ 서비스 계정 보안 인증 정보
****대상 값****
파일 시스템에서 업데이트할 원하는 값. **서비스 계정 보안 인증 정보** 업데이트의 경우, 사용자 이름만 표시되며 서비스 계정 암호는 이 필드에 절대 포함되지 않습니다.
****상태****
현재 업데이트 상태. 자체 관리형 Active Directory 업데이트에서 가능한 값은 다음과 같습니다.
+ **보류 중** – Amazon FSx가 업데이트 요청을 받았지만 처리를 시작하지 않았습니다.
+ **진행 중** – Amazon FSx에서 업데이트 요청을 처리하고 있습니다.
+ **완료** - 파일 시스템 업데이트가 성공적으로 완료되었습니다.
+ **실패** - 파일 시스템 업데이트에 실패했습니다. 실패의 세부 정보를 보려면 물음표(**?**)를 선택하세요.
****진행 %****
파일 시스템 업데이트 진행률을 완료율로 표시합니다.
****요청 시간****
Amazon FSx가 업데이트 작업 요청을 받은 시간입니다.
## AWS CLI 및 API를 사용하여 업데이트 모니터링
[describe-file-systems](https://docs.aws.amazon.com/cli/latest/reference/fsx/describe-file-systems.html) AWS CLI 명령과 [DescribeFileSystems](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeFileSystems.html) API 작업을 사용하여 진행 중인 파일 시스템 업데이트 요청을 보고 모니터링할 수 있습니다. `AdministrativeActions` 배열에 각 관리 작업 유형에 대한 가장 최근의 업데이트 작업 10개가 나열됩니다.
다음 예제는 **describe-file-systems** CLI 명령의 응답 발췌문을 보여줍니다. 출력에는 두 개의 자체 관리형 Active Directory 파일 시스템 업데이트가 표시됩니다.
```
{
"OwnerId": "111122223333",
.
.
.
"StorageCapacity": 1000,
"AdministrativeActions": [
{
"AdministrativeActionType": "FILE_SYSTEM_UPDATE",
"RequestTime": 1581694766.757,
"Status": "PENDING",
"TargetFileSystemValues": {
"WindowsConfiguration": {
"SelfManagedActiveDirectoryConfiguration": {
"UserName": "serviceUser",
}
}
}
},
{
"AdministrativeActionType": "FILE_SYSTEM_UPDATE",
"RequestTime": 1619032957.759,
"Status": "FAILED",
"TargetFileSystemValues": {
"WindowsConfiguration": {
"SelfManagedActiveDirectoryConfiguration": {
"DnsIps": [
"10.0.138.161"
]
}
}
},
"FailureDetails": {
"Message": "Failure details message."
}
}
],
.
.
.
```