Práticas recomendadas para trabalhar com o Active Directory - FSx para ONTAP
Delegar permissões à conta de serviço do Amazon FSxMantenha uma configuração do AD atualizadaLimite o tráfego em uma VPC com grupos de segurançaComo criar regras de saída de grupo de segurançaComo armazenar credenciais do Active Directory usando o AWS Secrets Manager

Práticas recomendadas para trabalhar com o Active Directory

Aqui estão algumas sugestões e diretrizes que você deve considerar ao associar as SVMs do Amazon FSx para NetApp ONTAP ao Microsoft Active Directory autogerenciado. Observe que elas são práticas recomendadas, mas não obrigatórias.

Delegar permissões à conta de serviço do Amazon FSx

Certifique-se de configurar a conta de serviço fornecida ao Amazon FSx com as permissões mínimas necessárias. Além disso, separe a unidade organizacional (UO) de outras preocupações do controlador de domínio.

Para associar as SVMs do Amazon FSx ao seu domínio, certifique-se de que a conta de serviço tenha as permissões delegadas. Os membros do grupo Administradores de domínio têm permissões suficientes para realizar essa tarefa. No entanto, como prática recomendada, use uma conta de serviço que tenha apenas as permissões mínimas necessárias para fazer isso. O procedimento a seguir demonstra como delegar somente as permissões necessárias para associar as SVMs do FSx para ONTAP ao domínio.

Execute este procedimento em uma máquina que esteja associada ao seu diretório e tenha instalado o snap-in do MMC Active Directory User and Computers.

Para criar uma conta de serviço para seu domínio do Microsoft Active Directory

  1. Verifique se você está conectado como administrador de domínio para o domínio do Microsoft Active Directory.

  2. Abra o snap-in do MMC de Computadores e Uuários do Active Directory.

  3. No painel de tarefas, expanda o nó do domínio.

  4. Localize e abra o menu de contexto (clique com o botão direito do mouse) na UO que deseja modificar e selecione Delegar controle.

  5. Na página Assistente de delegação de controle, escolha Próximo.

  6. Escolha Adicionar para adicionar um usuário específico ou um grupo específico em Usuários e grupos selecionados e selecione Próximo.

  7. Na página Tasks to Delegate (Tarefas para delegar), selecione Create a custom task to delegate (Criar uma tarefa personalizada para delegar) e, em seguida, selecione Next (Avançar).

  8. Escolha Somente os objetos a seguir na pasta, e depois Objetos de computador.

  9. Selecione Criar objetos selecionados nesta pasta e Excluir objetos selecionados nesta pasta. Escolha Próximo.

  10. Em Mostrar essas permissões, verifique se Geral e Específico da propriedade estão selecionados.

  11. Em Permissões, escolha o seguinte:

    • Redefinir senha

    • Restrições de leitura e gravação da conta

    • Gravação validada no nome do host DNS

    • Gravação validada no nome da entidade principal do serviço

    • Digite msDS-SupportedEncryptionTypes

  12. Escolha Next (Próximo) e, em seguida, escolha Finish (Concluir).

  13. Feche o snap-in do MMC de Computadores e Usuários do Active Directory.

Importante

Não mova objetos de computador que o Amazon FSx cria na UO após a criação das SVMs. Isso fará com que as SVMs sejam configuradas incorretamente.

Manter a configuração do Active Directory atualizada com o Amazon FSx

Para obter disponibilidade ininterrupta das SVMs do Amazon FSx, atualize a configuração do Active Directory (AD) autogerenciado de uma SVM ao alterar sua configuração do AD autogerenciado.

Por exemplo, suponha que o seu AD use uma política de redefinição de senha baseada em tempo. Nesse caso, assim que a senha for redefinida, certifique-se de atualizar a senha da conta de serviço com o Amazon FSx. Para isso, use o console do Amazon FSx, a API do Amazon FSx ou a AWS CLI. Da mesma forma, se os endereços IP do servidor DNS mudarem no seu domínio do Active Directory, assim que a alteração ocorrer, atualize os endereços IP do servidor DNS com o Amazon FSx.

Se houver um problema com a configuração atualizada do AD autogerenciado, o estado da SVM mudará para Configuração incorreta. Esse estado mostra uma mensagem de erro e uma ação recomendada ao lado da descrição da SVM no console, na API e na CLI. Se ocorrer um problema com a configuração do AD da SVM, certifique-se de seguir a ação corretiva recomendada para as propriedades de configuração. Se o problema for resolvido, verifique se o estado da SVM muda para Criado.

Para obter mais informações, consulte Atualizar configurações de Active Directory para SVM existente usando o Console de gerenciamento da AWS, a AWS CLI e a API e Modificar uma configuração do Active Directory usando a CLI do ONTAP.

Como usar grupos de segurança para limitar o tráfego na VPC

Para limitar o tráfego de rede na nuvem privada virtual (VPC), você pode implementar o princípio do privilégio mínimo na VPC. Em outras palavras, você pode limitar as permissões ao mínimo necessário. Para isso, use as regras do grupo de segurança. Para saber mais, consulte Grupos de segurança da Amazon VPC.

Como criar regras de saída de grupo de segurança para a interface de rede do sistema de arquivos

Para maior segurança, considere configurar um grupo de segurança com regras de tráfego de saída. Essas regras devem permitir o tráfego de saída somente para os controladores de domínios do AD autogerenciado ou dentro da sub-rede ou do grupo de segurança. Aplique esse grupo de segurança à VPC associada à interface de rede elástica do sistema de arquivos do Amazon FSx. Para saber mais, consulte Controle de acesso ao sistema de arquivos com a Amazon VPC.

Como armazenar credenciais do Active Directory usando o AWS Secrets Manager

Você pode usar o AWS Secrets Manager para armazenar e gerenciar com segurança suas credenciais de conta de serviço de ingresso no domínio do Microsoft Active Directory. Essa abordagem elimina a necessidade de armazenar credenciais confidenciais em texto simples no código da aplicação ou nos arquivos de configuração, fortalecendo sua postura de segurança.

Você também pode configurar políticas do IAM para gerenciar o acesso aos seus segredos e configurar políticas de rotação automática para suas senhas.

Etapa 1: criar uma chave do KMS

Crie uma chave do KMS para criptografar e descriptografar suas credenciais do Active Directory no Secrets Manager.

Para criar uma chave
nota

Em Chave de criptografia, crie uma nova chave. Não use a chave do KMS padrão da AWS. Crie AWS KMS key na mesma região da que contém a SVM que você deseja associar ao Active Directory.

  1. Abra o console do AWS KMS em https://console.aws.amazon.com/kms.

  2. Escolha Criar chave.

  3. Em Tipo de chave, escolha Simétrica.

  4. Em Uso da chave, escolha Criptografar e descriptografar.

  5. Em Opções avançadas, faça o seguinte:

    1. Em Origem do material de chaves, escolha Externa.

    2. Em Regionalidade, escolha Chave de região única e escolha Próximo.

  6. Escolha Próximo.

  7. Em Alias, forneça um nome para a chave do KMS.

  8. (Opcional) Em Descrição, forneça uma descrição da chave do KMS.

  9. (Opcional) Em Tags, forneça uma tag da chave do KMS e clique em Próximo.

  10. (Opcional) Para administradores de chaves, forneça os usuários e usuários do IAM autorizados a gerenciar essa chave.

  11. Em Exclusão de chaves, mantenha a caixa Permitir administradores de chaves selecionada para que eles possam excluir essa chave, e escolha Próximo.

  12. (Opcional) Para usuários de chaves, forneça os usuários e perfis do IAM autorizados a usar essa chave em operações criptográficas. Escolha Próximo.

  13. Em Política de chave, escolha Editar e inclua o seguinte na Declaração de política para permitir que o Amazon FSx use a chave do KMS e, então, escolha Avançar. Certifique-se de substituir o us-west-2 pela Região da AWS em que o sistema de arquivos está implantado, e 123456789012 pelo seu ID da Conta da AWS.

    {
    "Sid": "Allow FSx to use the KMS key",
    "Version": "2012-10-17", 		 	 	 
    "Effect": "Allow",
    "Principal": {
        "Service": "fsx.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
    ],
    "Resource": "arn:aws:kms:us-west-2:123456789012:key:*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*",
            "kms:ViaService": "secretsmanager.us-west-2.amazonaws.com",
            "aws:SourceAccount": "123456789012"
        },
        "ArnLike": {
            "aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*"
        }
    }
}

  14. Escolha Terminar.

nota

Você pode definir um controle de acesso mais granular modificando os campos aws:SourceArn e Resource para alcançar segredos e sistemas de arquivos específicos.

Etapa 2: criar um segredo do AWS Secrets Manager

Como criar um segredo

  1. Abra o console Secrets Manager em https://console.aws.amazon.com/secretsmanager/.

  2. Escolha Armazenar Novo Segredo.

  3. Em Tipo de segredo, escolha Outro tipo de segredo.

  4. Em Pares de chave/valor, faça o seguinte para adicionar suas duas chaves:

    1. Para a primeira chave, insira CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME.

    2. Para o valor da primeira chave, insira somente o nome de usuário (sem o prefixo do domínio) do usuário do AD.

    3. Para a segunda chave, insira CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD.

    4. Para o valor da segunda chave, insira a senha que você criou para o usuário do AD no domínio.

  5. Em Chave de criptografia, insira a chave do KMS que você criou em uma etapa anterior e escolha Próximo.

  6. Em Nome do secreto, insira um nome descritivo que ajude você a encontrar o segredo posteriormente.

  7. (Opcional) Em Descrição, insira uma descrição para o nome do segredo.

  8. Em Permissão de recurso, escolha Editar.

    Adicione o seguinte à política de permissão para permitir que o Amazon FSx use o segredo e escolha Avançar. Certifique-se de substituir o us-west-2 pela Região da AWS em que o sistema de arquivos está implantado, e 123456789012 pelo seu ID da Conta da AWS.

    {
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "fsx.amazonaws.com"
            },
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*"
                }
            }
        }
    ]
}

  9. (Opcional) Você pode configurar o Secrets Manager para alternar suas credenciais automaticamente. Escolha Próximo.

  10. Escolha Terminar.

Etapa 1: criar uma chave do KMS

Crie uma chave do KMS para criptografar e descriptografar suas credenciais do Active Directory no Secrets Manager.

Para criar uma chave do KMS, use o seguinte comando da AWS CLI create-key.

Nesse comando, defina o parâmetro --policy para especificar a política de chave que define as permissões para a chave do KMS. A política deve incluir o seguinte:

  • A entidade principal do serviço do Amazon FSx, que é fsx.amazonaws.com.

  • Ações necessárias do KMS: kms:Decrypt e kms:DescribeKey.

  • Padrão do ARN de recurso para sua Região da AWS e conta.

  • Chaves de condição que restringem o uso da chave:

    • kms:ViaService para garantir que as solicitações cheguem por meio do Secrets Manager.

    • aws:SourceAccount para limitar sua conta.

    • aws:SourceArn para restringir a sistemas de arquivos específicos do Amazon FSx.

O exemplo a seguir cria uma chave do KMS simétrica com uma política que permite que o Amazon FSx use a chave para descriptografar e descriptografar a chave. O comando recupera automaticamente o ID e região da sua Conta da AWS e, em seguida, configura a política de chave com esses valores para garantir controles de acesso adequados entre o Amazon FSx, o Secrets Manager e a chave do KMS. Certifique-se de que seu ambiente da AWS CLI esteja na mesma região da SVM que se associará ao Active Directory.

# Set region and get Account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)

# Create Key
KMS_KEY_ARN=$(aws kms create-key --policy "{
  \"Version\": \"2012-10-17\", 		 	 	 
  \"Statement\": [
    {
      \"Sid\": \"Enable IAM User Permissions\",
      \"Effect\": \"Allow\",
      \"Principal\": {
        \"AWS\": \"arn:aws:iam::$ACCOUNT_ID:root\"
      },
      \"Action\": \"kms:*\",
      \"Resource\": \"*\"
    },
    {
      \"Sid\": \"Allow FSx to use the KMS key\",
      \"Effect\": \"Allow\",
      \"Principal\": {
        \"Service\": \"fsx.amazonaws.com\"
      },
      \"Action\": [
        \"kms:Decrypt\",
        \"kms:DescribeKey\"
      ],
      \"Resource\": \"*\",
      \"Condition\": {
        \"StringEquals\": {
          \"kms:ViaService\": \"secretsmanager.$REGION.amazonaws.com\",
          \"aws:SourceAccount\": \"$ACCOUNT_ID\"
        },
        \"ArnLike\": {
          \"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\"
        }
      }
    }
  ]
}" --query 'KeyMetadata.Arn' --output text)

echo "KMS Key ARN: $KMS_KEY_ARN"
nota

Você pode definir um controle de acesso mais granular modificando os campos aws:SourceArn e Resource para alcançar segredos e sistemas de arquivos específicos.

Etapa 2: criar um segredo do AWS Secrets Manager

Para criar um segredo para o Amazon FSx acessar seu Active Directory, use o comando da AWS CLI create-secret e defina os seguintes parâmetros:

  • --name: o identificador do seu segredo.

  • --description: uma descrição da finalidade do segredo.

  • --kms-key-id: o ARN da chave do KMS que você criou na Etapa 1 para criptografar o segredo em repouso.

  • --secret-string: uma string JSON contendo suas credenciais do AD no seguinte formato:

    • CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME: o nome de usuário da sua conta de serviço do AD sem o prefixo do domínio, como svc-fsx. Não forneça o prefixo do domínio, como CORP\svc-fsx.

    • CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD: sua senha da conta de serviço do AD

  • --region: o Região da AWS local em que sua SVM será criada. Isso é padronizado para sua região configurada, se a AWS_REGION não estivesse definida.

Depois de criar o segredo, anexe uma política de recursos usando o comando put-resource-policy e defina os seguintes parâmetros:

  • --secret-id: o nome ou ARN do segredo para anexar à política. O exemplo a seguir usa FSxSecret como --secret-id.

  • --region: a mesma Região da AWS que seu segredo.

  • --resource-policy: um documento de política JSON que concede permissão ao Amazon FSx para acessar o segredo. A política deve incluir o seguinte:

    • A entidade principal do serviço do Amazon FSx, que é fsx.amazonaws.com.

    • Ações necessárias do Secrets Manager: secretsmanager:GetSecretValue e secretsmanager:DescribeSecret.

    • Padrão do ARN de recurso para sua Região da AWS e conta.

    • As seguintes chaves de condição que restringem o acesso:

      • aws:SourceAccount para limitar sua conta.

      • aws:SourceArn para restringir a sistemas de arquivos específicos do Amazon FSx.

O exemplo a seguir cria um segredo com o formato necessário e anexa uma política de recursos que permite que o Amazon FSx use o segredo. O exemplo recupera automaticamente o ID e região da sua Conta da AWS e, em seguida, configura a política de recursos com esses valores para garantir controles de acesso adequados entre o Amazon FSx, o segredo.

Certifique-se de substituir KMS_KEY_ARN o pelo ARN da chave que você criou na Etapa 1, CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME e CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD pelas credenciais da sua conta de serviço do Active Directory. Além disso, verifique se seu ambiente da AWS CLI está configurado para a mesma região da SVM que se associará ao Active Directory.

# Set region and get account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)

# Replace with your KMS key ARN from Step 1
KMS_KEY_ARN="arn:aws:kms:us-east-2:123456789012:key/1234542f-d114-555b-9ade-fec3c9200d8e"

# Replace with your Active Directory credentials
AD_USERNAME="Your_Username"  
AD_PASSWORD="Your_Password"

# Create the secret
SECRET_ARN=$(aws secretsmanager create-secret \
  --name "FSxSecret" \
  --description "Secret for FSx access" \
  --kms-key-id "$KMS_KEY_ARN" \
  --secret-string "{\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"$AD_USERNAME\",\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"$AD_PASSWORD\"}" \
  --region "$REGION" \
  --query 'ARN' \
  --output text)

echo "Secret created with ARN: $SECRET_ARN"

# Attach the resource policy with proper formatting
aws secretsmanager put-resource-policy \
  --secret-id "FSxSecret" \
  --region "$REGION" \
  --resource-policy "{
    \"Version\": \"2012-10-17\", 		 	 	 
    \"Statement\": [
      {
        \"Effect\": \"Allow\",
        \"Principal\": {
          \"Service\": \"fsx.amazonaws.com\"
        },
        \"Action\": [
          \"secretsmanager:GetSecretValue\",
          \"secretsmanager:DescribeSecret\"
        ],
        \"Resource\": \"$SECRET_ARN\",
        \"Condition\": {
          \"StringEquals\": {
            \"aws:SourceAccount\": \"$ACCOUNT_ID\"
          },
          \"ArnLike\": {
            \"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\"
          }
        }
      }
    ]
  }"

echo "Resource policy attached successfully"
nota

Você pode definir um controle de acesso mais granular modificando os campos aws:SourceArn e Resource para alcançar segredos e sistemas de arquivos específicos.