Configurar um Active Directory autogerenciado - Amazon Relational Database Service
Etapa 1: Criar uma unidade organizacional no ADEtapa 2: criar uma conta de serviço de domínio AD em seu AD.Etapa 3: delegar controle à conta de serviço de domínio ADEtapa 4: criar uma chave do AWS KMS.Etapa 5: criar um segredo da AWS.

Configurar um Active Directory autogerenciado

Para configurar um AD autogerenciado, siga as etapas abaixo.

Etapa 1: Criar uma unidade organizacional no AD

Importante

Recomendamos criar uma OU e uma credencial de serviço dedicadas com escopo para essa OU para todas as contas da AWS que tenham uma instância de banco de dados do RDS para SQL Server associada ao seu domínio de AD autogerenciado. Ao dedicar uma OU e uma credencial de serviço, você pode evitar permissões conflitantes e seguir o princípio de privilégio mínimo.

Como criar uma OU no AD

  1. Conecte-se ao seu domínio de AD como administrador do domínio.

  2. Abra Usuários e computadores do Active Directory e selecione o domínio em que deseja criar a OU.

  3. Clique com o botão direito do mouse no domínio, escolha Novo e selecione Unidade organizacional.

  4. Insira um nome para a OU.

  5. Mantenha a caixa Proteger o contêiner contra exclusão acidental selecionada.

  6. Clique em OK. A nova OU será exibida em seu domínio.

Etapa 2: criar uma conta de serviço de domínio AD em seu AD

As credenciais da conta de serviço de domínio serão usadas para o segredo no AWS Secrets Manager.

Como criar uma conta de serviço de domínio AD em seu AD

  1. Abra Usuários e computadores do Active Directory e selecione o domínio e a OU em que deseja criar o usuário.

  2. Clique com o botão direito do mouse no objeto Usuários, escolha Novo e selecione Usuário.

  3. Insira um nome, sobrenome e nome de login para o usuário. Clique em Next.

  4. Insira uma senha para o usuário. Não selecione a opção “O usuário deve alterar a senha no próximo login”. Não selecione a opção “A conta está desabilitada”. Clique em Next.

  5. Clique em OK. O novo usuário será exibido em seu domínio.

Etapa 3: delegar controle à conta de serviço de domínio AD

Como delegar controle à conta de serviço de domínio AD em seu domínio

  1. Abra o snap-in do MMC Usuários e computadores do Active Directory e selecione o domínio em que deseja criar o usuário.

  2. Clique com o botão direito do mouse na OU criada anteriormente e escolha Delegar controle.

  3. No Assistente de delegação de controle, clique em Próximo.

  4. Na seção Usuários ou grupos, clique em Adicionar.

  5. Na seção Selecionar usuários, computadores ou grupos, insira a conta de serviço de domínio AD que você criou e clique em Conferir nomes. Se a verificação de sua conta de serviço de domínio AD for bem-sucedida, clique em OK.

  6. Na seção Usuários ou grupos, confirme se seu serviço de domínio AD foi adicionado e clique em Próximo.

  7. Na página Tarefas para delegar, selecione Criar uma tarefa personalizada para delegar e escolha Próximo.

  8. Na seção Tipo de objeto do Active Directory:

    1. Selecione Somente os objetos a seguir na pasta.

    2. Selecione Objetos do computador.

    3. Selecione Criar objetos selecionados nesta pasta.

    4. Selecione Excluir objetos selecionados nesta pasta e clique em Próximo.

  9. Na seção Permissões:

    1. Mantenha a opção Geral selecionada.

    2. Selecione Gravação validada no nome do host DNS.

    3. Selecione Gravação validada no nome da entidade principal de serviço e clique em Próximo.

    4. Para habilitar a autenticação Kerberos, mantenha a opção Específico da propriedade selecionada e escolha Gravar servicePrincipalName na lista.

  10. Em Concluir o assistente de delegação de controle, revise e confirme as configurações e clique em Concluir.

  11. Para a autenticação Kerberos, abra o Gerenciador DNS e abra as propriedades do servidor.

    1. Na caixa de diálogo do Windows, digite dnsmgmt.msc.

    2. Inclua a conta do serviço de domínio AD na guia Segurança.

    3. Selecione a permissão de leitura e aplique suas alterações.

Etapa 4: Criar uma chave do AWS KMS

A chave do KMS é usada para criptografar o segredo da AWS.

Para criar uma chave do AWS KMS
nota

Em Chave de criptografia, não use a chave do KMS padrão da AWS. Crie a chave do AWS KMS na mesma conta da AWS que contém a instância de banco de dados do RDS para SQL Server que você deseja associar ao AD autogerenciado.

  1. No console do AWS KMS, escolha Criar chave.

  2. Em Tipo de chave, escolha Simétrica.

  3. Em Uso da chave, escolha Criptografar e descriptografar.

  4. Em Advanced options (Opções avançadas):

    1. Em Origem do material de chaves, escolha Externa.

    2. Em Regionalidade, escolha Chave de região única e clique em Próximo.

  5. Em Alias, forneça um nome para a chave do KMS.

  6. (Opcional) Em Descrição, forneça uma descrição da chave do KMS.

  7. (Opcional) Em Etiquetas, forneça uma etiqueta da chave do KMS e clique em Próximo.

  8. Em Administradores de chaves, forneça o nome de um usuário do IAM e selecione-o.

  9. Em Exclusão de chaves, mantenha a caixa Permitir que administradores de chaves excluam esta chave selecionada e clique em Próximo.

  10. Em Usuários de chaves, informe o mesmo usuário do IAM da etapa anterior e selecione-o. Clique em Next.

  11. Revise a configuração.

  12. Em Política de chave, inclua o seguinte na Instrução da política:

    {
    "Sid": "Allow use of the KMS key on behalf of RDS",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "rds.amazonaws.com"
        ]
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}

  13. Clique em Finish (Concluir).

Etapa 5: Criar um segredo da AWS

Como criar um segredo
nota

Crie o segredo na mesma conta da AWS que contém a instância de banco de dados do RDS para SQL Server que você deseja associar ao AD autogerenciado.

  1. No AWS Secrets Manager, escolha Armazenar um novo segredo.

  2. Em Tipo de segredo, escolha Outro tipo de segredo.

  3. Em Pares de chave/valor, adicione suas duas chaves:

    1. Para a primeira chave, insira  SELF_MANAGED_ACTIVE_DIRECTORY_USERNAME.

    2. Para o valor da primeira chave, insira somente o nome de usuário (sem o prefixo do domínio) do usuário do AD. Não inclua o nome do domínio, pois isso faz com que a criação da instância falhe.

    3. Para a segunda chave, insira  SELF_MANAGED_ACTIVE_DIRECTORY_PASSWORD.

    4. Para o valor da segunda chave, insira a senha que você criou para o usuário do AD no domínio.

  4. Em Chave de criptografia, insira a chave do KMS que você criou em uma etapa anterior e clique em Próximo.

  5. Em Nome do secreto, insira um nome descritivo que ajude você a encontrar o segredo posteriormente.

  6. (Opcional) Em Descrição, insira uma descrição para o nome do segredo.

  7. Em Permissão de recurso, clique em Editar.

  8. Adicione a política a seguir à política de permissões:

    nota

    Recomendamos que você use as condições aws:sourceAccount e aws:sourceArn na política para evitar o problema de representante confuso. Use sua Conta da AWS em aws:sourceAccount e o ARN da instância de banco de dados do RDS para SQL Server em aws:sourceArn. Para obter mais informações, consulte Prevenção do problema do substituto confuso entre serviços.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement":
    [
        {
            "Effect": "Allow",
            "Principal":
            {
                "Service": "rds.amazonaws.com"
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "aws:sourceAccount": "123456789012"
                },
                "ArnLike":
                {
                    "aws:sourceArn": "arn:aws:rds:us-west-2:123456789012:db:*"
                }
            }
        }
    ]
}

  9. Clique em Salvar, depois em Próximo.

  10. Em Definir configurações de rotação, mantenha os valores padrão e escolha Próximo.

  11. Revise as configurações do segredo e clique em Armazenar.

  12. Escolha o segredo que você criou e copie o valor do ARN do segredo. Isso será usado na próxima etapa para configurar o Active Directory autogerenciado.