Práticas recomendadas para trabalhar com o Active Directory - FSx para ONTAP
Delegando permissões à sua conta de FSx serviço da AmazonMantenha uma configuração do AD atualizadaLimite o tráfego em uma VPC com grupos de segurançaComo criar regras de saída de grupo de segurançaArmazenando credenciais do Active Directory usando AWS Secrets Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Práticas recomendadas para trabalhar com o Active Directory

Aqui estão algumas sugestões e diretrizes que você deve considerar ao associar o Amazon FSx for NetApp ONTAP SVMs ao seu Microsoft Active Directory autogerenciado. Observe que elas são práticas recomendadas, mas não obrigatórias.

Delegando permissões à sua conta de FSx serviço da Amazon

Certifique-se de configurar a conta de serviço que você fornece à Amazon FSx com as permissões mínimas necessárias. Além disso, separe a unidade organizacional (UO) de outras preocupações do controlador de domínio.

Para associar FSx SVMs a Amazon ao seu domínio, certifique-se de que a conta de serviço tenha permissões delegadas. Os membros do grupo Administradores de domínio têm permissões suficientes para realizar essa tarefa. No entanto, como prática recomendada, use uma conta de serviço que tenha apenas as permissões mínimas necessárias para fazer isso. O procedimento a seguir demonstra como delegar somente as permissões necessárias FSx para ingressar no ONTAP em SVMs seu domínio.

Execute este procedimento em uma máquina que esteja associada ao seu diretório e tenha instalado o snap-in do MMC Active Directory User and Computers.

Para criar uma conta de serviço para seu domínio do Microsoft Active Directory

  1. Verifique se você está conectado como administrador de domínio para o domínio do Microsoft Active Directory.

  2. Abra o snap-in do MMC de Computadores e Uuários do Active Directory.

  3. No painel de tarefas, expanda o nó do domínio.

  4. Localize e abra o menu de contexto (clique com o botão direito do mouse) na UO que deseja modificar e selecione Delegar controle.

  5. Na página Assistente de delegação de controle, escolha Próximo.

  6. Escolha Adicionar para adicionar um usuário específico ou um grupo específico em Usuários e grupos selecionados e selecione Próximo.

  7. Na página Tasks to Delegate (Tarefas para delegar), selecione Create a custom task to delegate (Criar uma tarefa personalizada para delegar) e, em seguida, selecione Next (Avançar).

  8. Escolha Somente os objetos a seguir na pasta, e depois Objetos de computador.

  9. Selecione Criar objetos selecionados nesta pasta e Excluir objetos selecionados nesta pasta. Escolha Próximo.

  10. Em Mostrar essas permissões, verifique se Geral e Específico da propriedade estão selecionados.

  11. Em Permissões, escolha o seguinte:

    • Redefinir senha

    • Restrições de leitura e gravação da conta

    • Gravação validada no nome do host DNS

    • Gravação validada no nome da entidade principal do serviço

    • Escreva MSDs- SupportedEncryptionTypes

  12. Escolha Next (Próximo) e, em seguida, escolha Finish (Concluir).

  13. Feche o snap-in do MMC de Computadores e Usuários do Active Directory.

Importante

Não mova objetos de computador que a Amazon FSx cria na OU após sua SVMs criação. Fazer isso fará com que seu SVMs seja configurado incorretamente.

Mantendo sua configuração do Active Directory atualizada com a Amazon FSx

Para uma disponibilidade ininterrupta de sua Amazon FSx SVMs, atualize a configuração autogerenciada do Active Directory (AD) de uma SVM ao alterar sua configuração autogerenciada do AD.

Por exemplo, suponha que o seu AD use uma política de redefinição de senha baseada em tempo. Nesse caso, assim que a senha for redefinida, certifique-se de atualizar a senha da conta de serviço na Amazon FSx. Para fazer isso, use o FSx console da Amazon, a FSx API da Amazon ou AWS CLI. Da mesma forma, se os endereços IP do servidor DNS mudarem para seu domínio do Active Directory, assim que a alteração ocorrer, atualize os endereços IP do servidor DNS com a Amazon. FSx

Se houver um problema com a configuração atualizada do AD autogerenciado, o estado da SVM mudará para Configuração incorreta. Esse estado mostra uma mensagem de erro e uma ação recomendada ao lado da descrição da SVM no console, na API e na CLI. Se ocorrer um problema com a configuração do AD da SVM, certifique-se de seguir a ação corretiva recomendada para as propriedades de configuração. Se o problema for resolvido, verifique se o estado da SVM muda para Criado.

Para obter mais informações, consulte Atualizando as configurações existentes do SVM Active Directory usando a API AWS Management Console, AWS CLI, e e Modificar uma configuração do Active Directory usando a CLI do ONTAP.

Como usar grupos de segurança para limitar o tráfego na VPC

Para limitar o tráfego de rede na nuvem privada virtual (VPC), você pode implementar o princípio do privilégio mínimo na VPC. Em outras palavras, você pode limitar as permissões ao mínimo necessário. Para isso, use as regras do grupo de segurança. Para saber mais, consulte Grupos de segurança da Amazon VPC.

Como criar regras de saída de grupo de segurança para a interface de rede do sistema de arquivos

Para maior segurança, considere configurar um grupo de segurança com regras de tráfego de saída. Essas regras devem permitir o tráfego de saída somente para os controladores de domínios do AD autogerenciado ou dentro da sub-rede ou do grupo de segurança. Aplique esse grupo de segurança à VPC associada à interface de rede elástica do seu sistema de FSx arquivos Amazon. Para saber mais, consulte Controle de acesso ao sistema de arquivos com a Amazon VPC.

Armazenando credenciais do Active Directory usando AWS Secrets Manager

Você pode usar AWS Secrets Manager para armazenar e gerenciar com segurança suas credenciais da conta de serviço de ingresso no domínio do Microsoft Active Directory. Essa abordagem elimina a necessidade de armazenar credenciais confidenciais em texto simples no código da aplicação ou nos arquivos de configuração, fortalecendo sua postura de segurança.

Você também pode configurar políticas do IAM para gerenciar o acesso aos seus segredos e configurar políticas de rotação automática para suas senhas.

Etapa 1: criar uma chave do KMS

Crie uma chave do KMS para criptografar e descriptografar suas credenciais do Active Directory no Secrets Manager.

Para criar uma chave
nota

Para Chave de criptografia, crie uma nova chave, não use a chave KMS AWS padrão. Certifique-se de criar o AWS KMS key na mesma região que contém o SVM que você deseja associar ao seu Active Directory.

  1. Abra o AWS KMS console em https://console.aws.amazon.com /kms.

  2. Escolha Criar chave.

  3. Em Tipo de chave, escolha Simétrica.

  4. Em Uso da chave, escolha Criptografar e descriptografar.

  5. Em Opções avançadas, faça o seguinte:

    1. Em Origem do material de chaves, escolha Externa.

    2. Em Regionalidade, escolha Chave de região única e escolha Próximo.

  6. Escolha Próximo.

  7. Em Alias, forneça um nome para a chave do KMS.

  8. (Opcional) Em Descrição, forneça uma descrição da chave do KMS.

  9. (Opcional) Em Tags, forneça uma tag da chave do KMS e clique em Próximo.

  10. (Opcional) Para administradores de chaves, forneça os usuários e usuários e perfis do IAM autorizados a gerenciar essa chave.

  11. Em Exclusão de chaves, mantenha a caixa Permitir administradores de chaves selecionada para que eles possam excluir essa chave, e escolha Próximo.

  12. (Opcional) Para usuários de chaves, forneça os usuários e perfis do IAM autorizados a usar essa chave em operações criptográficas. Escolha Próximo.

  13. Em Política de chaves, escolha Editar e inclua o seguinte na Declaração de política para permitir que FSx a Amazon use a chave KMS e escolha Avançar. Certifique-se de substituir o no local em us-west-2 Região da AWS que o sistema de arquivos está implantado e 123456789012 pelo seu Conta da AWS ID.

    {
    "Sid": "Allow FSx to use the KMS key",
    "Version": "2012-10-17", 		 	 	 
    "Effect": "Allow",
    "Principal": {
        "Service": "fsx.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
    ],
    "Resource": "arn:aws:kms:us-west-2:123456789012:key/*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": "secretsmanager.us-west-2.amazonaws.com",
            "aws:SourceAccount": "123456789012"
        },
        "ArnLike": {
            "aws:SourceArn": [
                "arn:aws:fsx:us-west-2:123456789012:file-system/*",
                "arn:aws:fsx:us-west-2:123456789012:storage-virtual-machine/fs-*/svm-*"
            ]
        }
    }
}

  14. Escolha Terminar.

nota

Você pode definir um controle de acesso mais granular modificando os campos aws:SourceArn e Resource para alcançar segredos e sistemas de arquivos específicos.

Etapa 2: criar um AWS Secrets Manager segredo

Como criar um segredo

  1. Abra o console do Secrets Manager em https://console.aws.amazon.com/secretsmanager/.

  2. Selecione Armazenar um novo segredo.

  3. Em Tipo de segredo, escolha Outro tipo de segredo.

  4. Em Pares de chave/valor, faça o seguinte para adicionar suas duas chaves:

    1. Para a primeira chave, insira CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME.

    2. Para o valor da primeira chave, insira somente o nome de usuário (sem o prefixo do domínio) do usuário do AD.

    3. Para a segunda chave, insira CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD.

    4. Para o valor da segunda chave, insira a senha que você criou para o usuário do AD no domínio.

  5. Em Chave de criptografia, insira a chave do KMS que você criou em uma etapa anterior e escolha Próximo.

  6. Em Nome do secreto, insira um nome descritivo que ajude você a encontrar o segredo posteriormente.

  7. (Opcional) Em Descrição, insira uma descrição para o nome do segredo.

  8. Em Permissão de recurso, escolha Editar.

    Adicione a política a seguir à política de permissão para permitir que FSx a Amazon use o segredo e escolha Avançar. Certifique-se de substituir o no local em us-west-2 Região da AWS que o sistema de arquivos está implantado e 123456789012 pelo seu Conta da AWS ID.

    {
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "fsx.amazonaws.com"
            },
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:fsx:us-west-2:123456789012:file-system/*",
                        "arn:aws:fsx:us-west-2:123456789012:storage-virtual-machine/fs-*/svm-*"
                    ]
                }
            }
        }
    ]
}

  9. (Opcional) Você pode configurar o Secrets Manager para alternar suas credenciais automaticamente. Escolha Próximo.

  10. Escolha Terminar.

Etapa 1: criar uma chave do KMS

Crie uma chave do KMS para criptografar e descriptografar suas credenciais do Active Directory no Secrets Manager.

Para criar uma chave KMS, use o AWS CLI comando create-key.

Nesse comando, defina o parâmetro --policy para especificar a política de chave que define as permissões para a chave do KMS. A política deve incluir o seguinte:

  • O principal serviço da Amazon FSx, qual éfsx.amazonaws.com.

  • Ações necessárias do KMS: kms:Decrypt e kms:DescribeKey.

  • Padrão de ARN de recurso para sua conta Região da AWS e conta.

  • Chaves de condição que restringem o uso da chave:

    • kms:ViaService para garantir que as solicitações cheguem por meio do Secrets Manager.

    • aws:SourceAccount para limitar sua conta.

    • aws:SourceArnpara restringir a sistemas de FSx arquivos específicos da Amazon.

O exemplo a seguir cria uma chave KMS de criptografia simétrica com uma política que permite que FSx a Amazon use a chave para operações de descriptografia e descrição da chave. O comando recupera automaticamente seu Conta da AWS ID e região e, em seguida, configura a política de chaves com esses valores para garantir controles de acesso adequados entre a Amazon FSx, o Secrets Manager e a chave KMS. Certifique-se de que seu AWS CLI ambiente esteja na mesma região do SVM que se juntará ao Active Directory.

# Set region and get Account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)

# Create Key
KMS_KEY_ARN=$(aws kms create-key --policy "{
  \"Version\": \"2012-10-17\", 		 	 	 
  \"Statement\": [
    {
      \"Sid\": \"Enable IAM User Permissions\",
      \"Effect\": \"Allow\",
      \"Principal\": {
        \"AWS\": \"arn:aws:iam::$ACCOUNT_ID:root\"
      },
      \"Action\": \"kms:*\",
      \"Resource\": \"*\"
    },
    {
      \"Sid\": \"Allow FSx to use the KMS key\",
      \"Effect\": \"Allow\",
      \"Principal\": {
        \"Service\": \"fsx.amazonaws.com\"
      },
      \"Action\": [
        \"kms:Decrypt\",
        \"kms:DescribeKey\"
      ],
      \"Resource\": \"*\",
      \"Condition\": {
        \"StringEquals\": {
          \"kms:ViaService\": \"secretsmanager.$REGION.amazonaws.com\",
          \"aws:SourceAccount\": \"$ACCOUNT_ID\"
        },
        \"ArnLike\": {
          \"aws:SourceArn\": [
            \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\",
            \"arn:aws:fsx:$REGION:$ACCOUNT_ID:storage-virtual-machine/fs-*/svm-*\"]
        }
      }
    }
  ]
}" --query 'KeyMetadata.Arn' --output text)

echo "KMS Key ARN: $KMS_KEY_ARN"
nota

Você pode definir um controle de acesso mais granular modificando os campos aws:SourceArn e Resource para alcançar segredos e sistemas de arquivos específicos.

Etapa 2: criar um AWS Secrets Manager segredo

Para criar um segredo para FSx a Amazon acessar seu Active Directory, use o AWS CLI comando create-secret e defina os seguintes parâmetros:

  • --name: o identificador do seu segredo.

  • --description: uma descrição da finalidade do segredo.

  • --kms-key-id: o ARN da chave do KMS que você criou na Etapa 1 para criptografar o segredo em repouso.

  • --secret-string: uma string JSON contendo suas credenciais do AD no seguinte formato:

    • CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME: o nome de usuário da sua conta de serviço do AD sem o prefixo do domínio, como svc-fsx. Não forneça o prefixo do domínio, como CORP\svc-fsx.

    • CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD: sua senha da conta de serviço do AD

  • --region: o Região da AWS local em que sua SVM será criada. Isso é padronizado para sua região configurada, se a AWS_REGION não estivesse definida.

Depois de criar o segredo, anexe uma política de recursos usando o put-resource-policycomando e defina os seguintes parâmetros:

  • --secret-id: o nome ou ARN do segredo para anexar à política. O exemplo a seguir usa FSxSecret como --secret-id.

  • --region: O mesmo Região da AWS que seu segredo.

  • --resource-policy: um documento de política JSON que concede FSx permissão à Amazon para acessar o segredo. A política deve incluir o seguinte:

    • O principal serviço da Amazon FSx, qual éfsx.amazonaws.com.

    • Ações necessárias do Secrets Manager: secretsmanager:GetSecretValue e secretsmanager:DescribeSecret.

    • Padrão de ARN de recurso para sua conta Região da AWS e conta.

    • As seguintes chaves de condição que restringem o acesso:

      • aws:SourceAccount para limitar sua conta.

      • aws:SourceArnpara restringir a sistemas de FSx arquivos específicos da Amazon.

O exemplo a seguir cria um segredo com o formato necessário e anexa uma política de recursos que permite que FSx a Amazon use o segredo. Este exemplo recupera automaticamente seu Conta da AWS ID e sua região e, em seguida, configura a política de recursos com esses valores para garantir controles de acesso adequados entre a Amazon FSx e o segredo.

Certifique-se de substituir KMS_KEY_ARN o pelo ARN da chave que você criou na Etapa 1, CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME e CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD pelas credenciais da sua conta de serviço do Active Directory. Além disso, verifique se seu AWS CLI ambiente está configurado para a mesma região do SVM que ingressará no Active Directory.

# Set region and get account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)

# Replace with your KMS key ARN from Step 1
KMS_KEY_ARN="arn:aws:kms:us-east-2:123456789012:key/1234542f-d114-555b-9ade-fec3c9200d8e"

# Replace with your Active Directory credentials
AD_USERNAME="Your_Username"  
AD_PASSWORD="Your_Password"

# Create the secret
SECRET_ARN=$(aws secretsmanager create-secret \
  --name "FSxSecret" \
  --description "Secret for FSx access" \
  --kms-key-id "$KMS_KEY_ARN" \
  --secret-string "{\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"$AD_USERNAME\",\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"$AD_PASSWORD\"}" \
  --region "$REGION" \
  --query 'ARN' \
  --output text)

echo "Secret created with ARN: $SECRET_ARN"

# Attach the resource policy with proper formatting
aws secretsmanager put-resource-policy \
  --secret-id "FSxSecret" \
  --region "$REGION" \
  --resource-policy "{
    \"Version\": \"2012-10-17\", 		 	 	 
    \"Statement\": [
      {
        \"Effect\": \"Allow\",
        \"Principal\": {
          \"Service\": \"fsx.amazonaws.com\"
        },
        \"Action\": [
          \"secretsmanager:GetSecretValue\",
          \"secretsmanager:DescribeSecret\"
        ],
        \"Resource\": \"$SECRET_ARN\",
        \"Condition\": {
          \"StringEquals\": {
            \"aws:SourceAccount\": \"$ACCOUNT_ID\"
          },
          \"ArnLike\": {
            \"aws:SourceArn\": [
              \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\",
              \"arn:aws:fsx:$REGION:$ACCOUNT_ID:storage-virtual-machine/fs-*/svm-*\"]
          }
        }
      }
    ]
  }"

echo "Resource policy attached successfully"
nota

Você pode definir um controle de acesso mais granular modificando os campos aws:SourceArn e Resource para alcançar segredos e sistemas de arquivos específicos.