기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Active Directory용 AWS Private CA 커넥터 시작하기
Active Directory용 AWS Private CA 커넥터를 사용하면 인증 및 암호화를 위해 프라이빗 CA에서 Active Directory 객체로 인증서를 발급할 수 있습니다. 커넥터를 만들면 AWS Private Certificate Authority 가 디렉터리 객체가 인증서를 요청할 수 있도록 VPC에 엔드포인트를 생성합니다.
인증서를 발급하려면 커넥터와 커넥터용 AD 호환 템플릿을 만들어야 합니다. 템플릿을 생성하는 경우 AD 그룹에 대한 등록 권한을 설정할 수 있습니다.
**Topics**
+ [시작하기 전 준비 사항](#connector-for-ad-before-you-begin)
+ [1단계: 커넥터 생성](#connector-for-ad-getting-started-step1)
+ [2단계: Microsoft Active Directory 정책 구성](#connector-for-ad-getting-started-step2)
+ [3단계: 템플릿 생성](#connector-for-ad-getting-started-step3)
+ [4단계: Microsoft 그룹 권한 구성](#connector-for-ad-getting-started-step4)
## 시작하기 전 준비 사항
다음 자습서에서는 AD용 커넥터 및 커넥터 템플릿을 생성하는 프로세스를 안내합니다. 이 자습서를 따르려면 먼저 섹션에 나열된 사전 조건을 충족해야 합니다.
## 1단계: 커넥터 생성
커넥터를 생성하려면 섹션을 참조하세요[Active Directory용 커넥터 생성](create-connector-for-ad.md).
## 2단계: Microsoft Active Directory 정책 구성
AD용 커넥터는 고객의 그룹 정책 객체(GPO) 구성을 보거나 관리할 수 없습니다. GPO는 AD 요청을 고객의 AWS Private CA 또는 다른 인증 또는 인증서 판매 서버로 라우팅하는 것을 제어합니다. 잘못된 GPO 구성으로 인해 요청이 잘못 라우팅될 수 있습니다. AD용 커넥터를 구성하고 테스트하는 것은 고객의 몫입니다.
그룹 정책은 커넥터와 연결되며 단일 AD에 대해 여러 커넥터를 생성하도록 선택할 수 있습니다. 그룹 정책 구성이 다른 경우 각 커넥터에 대한 액세스 제어를 관리하는 것은 사용자의 몫입니다.
데이터 플레인 호출의 보안은 Kerberos 및 VPC 구성에 따라 달라집니다. VPC에 대한 액세스 권한이 있는 사람은 누구나 해당 AD에 인증되어 있는 한 데이터 플레인 호출을 할 수 있습니다. 이는 AWSauth 경계 외부에 존재하며 권한 부여 및 인증 관리는 고객 여러분에게 달려 있습니다.
를 Directory Service **enable-ca-enrollment-policy** 사용하는 경우 명령을 AWS Managed Microsoft AD사용하여 AWS Managed Microsoft AD 인스턴스의 도메인 컨트롤러에서 GPOs를 구성합니다.
다음 명령은 도메인 컨트롤러 등록을 활성화합니다.
```
$ aws ds enable-ca-enrollment-policy \
--pca-connector-arn MyPcaConnectorAdArn \
--directory-id MyDirectoryId
```
AD 커넥터를 사용하는 경우 다음 단계에 따라 커넥터를 생성할 때 생성된 URI를 가리키는 GPO를 생성합니다. 콘솔 또는 명령줄에서 AD용 커넥터를 사용하려면 이 단계가 *필요합니다*.
GPO를 구성합니다.
1. DC에서 **서버 관리자**를 엽니다.
1. **도구**로 이동하여 콘솔 오른쪽 상단에 있는 **그룹 정책 관리**를 선택합니다.
1. **포리스트 > 도메인**으로 이동합니다. 도메인 이름을 선택하고 도메인을 마우스 오른쪽 버튼으로 클릭합니다. *이 도메인에서 GPO를 만들고 여기에 연결…*을 선택한 다음 이름에 `PCA GPO`를 입력합니다.
1. 이제 새로 만든 GPO가 도메인 이름 아래에 표시됩니다.
1. **PCA GPO**를 선택하고 **편집**을 선택합니다. *이 링크이며 변경 내용이 전역으로 전파된다*는 경고 메시지가 표시된 대화 상자가 열리면 계속하려면 메시지를 확인합니다. **그룹 정책 관리 편집기**가 열려야 합니다.
1. **그룹 정책 관리 편집기**에서 **컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 공개 키 정책(폴더 선택)**으로 이동합니다.
1. **객체 유형**으로 이동하여 **인증서 서비스 클라이언트 - 인증서 등록 정책**을 선택합니다.
1. 옵션에서 **구성 모델**을 **활성화**로 변경합니다.
1. **Active Directory 등록 정책**이 **선택되어 있고** **활성화**되었는지 확인합니다. **추가**를 선택합니다.
1. **인증서 등록 정책 서버** 창이 열려야 합니다.
1. **등록 서버 정책 URI 입력** 필드에 커넥터를 만들 때 생성된 인증서 등록 정책 서버 엔드포인트를 입력합니다.
1. **인증 유형**은 **Windows 통합**으로 그대로 둡니다.
1. **검증**을 선택합니다. 검증에 성공한 후 **추가**를 선택합니다. 대화 상자가 닫힙니다.
1. **인증서 서비스 클라이언트 - 인증서 등록 정책**으로 돌아가서 새로 만든 커넥터 옆의 확인란을 선택하여 커넥터가 기본 등록 정책인지 확인합니다.
1. **Active Directory 등록 정책**을 선택하고 **제거**를 선택합니다.
1. 확인 대화 상자에서 **예**를 선택하여 LDAP 기반 인증을 삭제합니다.
1. **인증서 서비스 클라이언트 > 인증서 등록 정책** 창에서 **적용** 및 **확인**을 선택하고 창을 닫습니다.
1. **공개 키 정책** 폴더로 이동하여 **인증서 서비스 클라이언트 - 자동 등록**을 선택합니다.
1. **구성 모델** 옵션을 **활성화**로 변경합니다.
1. **만료된 인증서 갱신**과 **인증서 업데이트**가 모두 선택되어 있는지 확인합니다. 다른 설정은 현재 값 그대로 둡니다.
1. **적용을** 선택한 다음 **확인을** 선택하고 대화 상자를 닫습니다.
다음으로 사용자 구성을 위한 퍼블릭 키 정책을 구성합니다. **사용자 구성 > 정책 > Windows 설정 > 보안 설정 > 퍼블릭 키 정책**으로 이동합니다. 6단계부터 21단계까지 설명된 절차에 따라 사용자 구성을 위한 공개 키 정책을 구성합니다.
GPOs 및 퍼블릭 키 정책 구성을 완료하면 도메인의 객체가 AD용 AWS Private CA 커넥터에서 인증서를 요청하고에서 발급한 인증서를 가져옵니다 AWS Private CA.
## 3단계: 템플릿 생성
템플릿을 생성하려면 섹션을 참조하세요[커넥터 템플릿 생성](create-ad-template.md).
## 4단계: Microsoft 그룹 권한 구성
Microsoft 그룹 권한을 구성하려면 섹션을 참조하세요[AD 템플릿용 커넥터 액세스 제어 항목 관리](ad-groups-permissions.md).