As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Práticas recomendadas para trabalhar com o Active Directory
Aqui estão algumas sugestões e diretrizes que você deve considerar ao associar o Amazon FSx for NetApp ONTAP SVMs ao seu Microsoft Active Directory autogerenciado. Observe que elas são práticas recomendadas, mas não obrigatórias.
**Topics**
+ [Delegando permissões à sua conta de FSx serviço da Amazon](#connect_delegate_privileges)
+ [Mantendo sua configuração do Active Directory atualizada com a Amazon FSx](#keep-ad-config-updated)
+ [Como usar grupos de segurança para limitar o tráfego na VPC](#least-privilege-sg-rules)
+ [Como criar regras de saída de grupo de segurança para a interface de rede do sistema de arquivos](#sg-rules-fsx-eni)
+ [Armazenando credenciais do Active Directory usando AWS Secrets Manager](#bp-store-ad-creds-using-secret-manager)
## Delegando permissões à sua conta de FSx serviço da Amazon
Certifique-se de configurar a conta de serviço que você fornece à Amazon FSx com as permissões mínimas necessárias. Além disso, separe a unidade organizacional (UO) de outras preocupações do controlador de domínio.
Para associar FSx SVMs a Amazon ao seu domínio, certifique-se de que a conta de serviço tenha permissões delegadas. Os membros do grupo **Administradores de domínio** têm permissões suficientes para realizar essa tarefa. No entanto, como prática recomendada, use uma conta de serviço que tenha apenas as permissões mínimas necessárias para fazer isso. O procedimento a seguir demonstra como delegar somente as permissões necessárias FSx para ingressar no ONTAP em SVMs seu domínio.
Execute este procedimento em uma máquina que esteja associada ao seu diretório e tenha instalado o snap-in do MMC Active Directory User and Computers.
**Para criar uma conta de serviço para seu domínio do Microsoft Active Directory**Criar uma conta de serviço para o AD
1. Verifique se você está conectado como administrador de domínio para o domínio do Microsoft Active Directory.
1. Abra o snap-in do MMC de **Computadores e Uuários do Active Directory**.
1. No painel de tarefas, expanda o nó do domínio.
1. Localize e abra o menu de contexto (clique com o botão direito do mouse) na UO que deseja modificar e selecione **Delegar controle**.
1. Na página **Assistente de delegação de controle**, escolha **Próximo**.
1. Escolha **Adicionar** para adicionar um usuário específico ou um grupo específico em **Usuários e grupos selecionados** e selecione **Próximo**.
1. Na página **Tasks to Delegate** (Tarefas para delegar), selecione **Create a custom task to delegate** (Criar uma tarefa personalizada para delegar) e, em seguida, selecione **Next** (Avançar).
1. Escolha **Somente os objetos a seguir na pasta**, e depois **Objetos de computador**.
1. Selecione **Criar objetos selecionados nesta pasta** e **Excluir objetos selecionados nesta pasta**. Escolha **Próximo**.
1. Em **Mostrar essas permissões**, verifique se **Geral** e **Específico da propriedade** estão selecionados.
1. Em **Permissões**, escolha o seguinte:
+ **Redefinir senha**
+ **Restrições de leitura e gravação da conta**
+ **Gravação validada no nome do host DNS**
+ **Gravação validada no nome da entidade principal do serviço**
+ **Escreva MSDs- SupportedEncryptionTypes**
1. Escolha **Next (Próximo)** e, em seguida, escolha **Finish (Concluir)**.
1. Feche o snap-in do MMC de **Computadores e Usuários do Active Directory**.
**Importante**
Não mova objetos de computador que a Amazon FSx cria na OU após sua SVMs criação. Fazer isso fará com que seu SVMs seja configurado incorretamente.
## Mantendo sua configuração do Active Directory atualizada com a Amazon FSx
Para uma disponibilidade ininterrupta de sua Amazon FSx SVMs, atualize a configuração autogerenciada do Active Directory (AD) de uma SVM ao alterar sua configuração autogerenciada do AD.
Por exemplo, suponha que o seu AD use uma política de redefinição de senha baseada em tempo. Nesse caso, assim que a senha for redefinida, certifique-se de atualizar a senha da conta de serviço na Amazon FSx. Para fazer isso, use o FSx console da Amazon, a FSx API da Amazon ou AWS CLI. Da mesma forma, se os endereços IP do servidor DNS mudarem para seu domínio do Active Directory, assim que a alteração ocorrer, atualize os endereços IP do servidor DNS com a Amazon. FSx
Se houver um problema com a configuração atualizada do AD autogerenciado, o estado da SVM mudará para **Configuração incorreta**. Esse estado mostra uma mensagem de erro e uma ação recomendada ao lado da descrição da SVM no console, na API e na CLI. Se ocorrer um problema com a configuração do AD da SVM, certifique-se de seguir a ação corretiva recomendada para as propriedades de configuração. Se o problema for resolvido, verifique se o estado da SVM muda para **Criado**.
Para obter mais informações, consulte [Atualizando as configurações existentes do SVM Active Directory usando a API Console de gerenciamento da AWS, AWS CLI, e](update-svm-ad-config.md) e [Modificar uma configuração do Active Directory usando a CLI do ONTAP](manage-svm-ad-config-ontap-cli.md#using-ontap-cli-to-modify-ad).
## Como usar grupos de segurança para limitar o tráfego na VPC
Para limitar o tráfego de rede na nuvem privada virtual (VPC), você pode implementar o princípio do privilégio mínimo na VPC. Em outras palavras, você pode limitar as permissões ao mínimo necessário. Para isso, use as regras do grupo de segurança. Para saber mais, consulte [Grupos de segurança da Amazon VPC](limit-access-security-groups.md#fsx-vpc-security-groups).
## Como criar regras de saída de grupo de segurança para a interface de rede do sistema de arquivos
Para maior segurança, considere configurar um grupo de segurança com regras de tráfego de saída. Essas regras devem permitir o tráfego de saída somente para os controladores de domínios do AD autogerenciado ou dentro da sub-rede ou do grupo de segurança. Aplique esse grupo de segurança à VPC associada à interface de rede elástica do seu sistema de FSx arquivos Amazon. Para saber mais, consulte [Controle de acesso ao sistema de arquivos com a Amazon VPC](limit-access-security-groups.md).
## Armazenando credenciais do Active Directory usando AWS Secrets Manager
Você pode usar AWS Secrets Manager para armazenar e gerenciar com segurança suas credenciais da conta de serviço de ingresso no domínio do Microsoft Active Directory. Essa abordagem elimina a necessidade de armazenar credenciais confidenciais em texto simples no código da aplicação ou nos arquivos de configuração, fortalecendo sua postura de segurança.
Você também pode configurar políticas do IAM para gerenciar o acesso aos seus segredos e configurar políticas de rotação automática para suas senhas.
### Armazene as credenciais do Active Directory em AWS Secrets Manager (Console)
#### Etapa 1: criar uma chave do KMS
Crie uma chave do KMS para criptografar e descriptografar suas credenciais do Active Directory no Secrets Manager.
**Para criar uma chave**
**nota**
Para **Chave de criptografia**, crie uma nova chave, não use a chave KMS AWS padrão. Certifique-se de criar o AWS KMS key na mesma região que contém o SVM que você deseja associar ao seu Active Directory.
1. Abra o AWS KMS console em https://console.aws.amazon.com /kms.
1. Escolha **Criar chave**.
1. Em **Tipo de chave**, escolha **Simétrica**.
1. Em **Uso da chave**, escolha **Criptografar e descriptografar**.
1. Em **Opções avançadas**, faça o seguinte:
1. Em **Origem do material de chaves**, escolha **Externa**.
1. Em **Regionalidade**, escolha **Chave de região única** e escolha **Próximo**.
1. Escolha **Próximo**.
1. Em **Alias**, forneça um nome para a chave do KMS.
1. (Opcional) Em **Descrição**, forneça uma descrição da chave do KMS.
1. (Opcional) Em **Tags**, forneça uma tag da chave do KMS e clique em **Próximo**.
1. (Opcional) Para **administradores de chaves**, forneça os usuários e usuários e perfis do IAM autorizados a gerenciar essa chave.
1. Em **Exclusão de chaves**, mantenha a caixa **Permitir administradores de chaves** selecionada para que eles possam excluir essa chave, e escolha **Próximo**.
1. (Opcional) Para **usuários de chaves**, forneça os usuários e perfis do IAM autorizados a usar essa chave em operações criptográficas. Escolha **Próximo**.
1. Em **Política de chaves**, escolha **Editar** e inclua o seguinte na **Declaração** de política para permitir que FSx a Amazon use a chave KMS e escolha **Avançar**. Certifique-se de substituir o no local em *us-west-2* Região da AWS que o sistema de arquivos está implantado e *123456789012* pelo seu Conta da AWS ID.
```
{
"Sid": "Allow FSx to use the KMS key",
"Version": "2012-10-17",
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-west-2.amazonaws.com",
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:fsx:us-west-2:123456789012:file-system/*",
"arn:aws:fsx:us-west-2:123456789012:storage-virtual-machine/fs-*/svm-*"
]
}
}
}
```
1. Escolha **Terminar**.
**nota**
Você pode definir um controle de acesso mais granular modificando os campos `aws:SourceArn` e `Resource` para alcançar segredos e sistemas de arquivos específicos.
#### Etapa 2: criar um AWS Secrets Manager segredo
**Como criar um segredo**
1. Abra o console do Secrets Manager em [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Selecione **Armazenar um novo segredo**.
1. Em **Tipo de segredo**, escolha **Outro tipo de segredo**.
1. Em **Pares de chave/valor**, faça o seguinte para adicionar suas duas chaves:
1. Para a primeira chave, insira `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`.
1. Para o valor da primeira chave, insira somente o nome de usuário (sem o prefixo do domínio) do usuário do AD.
1. Para a segunda chave, insira `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`.
1. Para o valor da segunda chave, insira a senha que você criou para o usuário do AD no domínio.
1. Em **Chave de criptografia**, insira a chave do KMS que você criou em uma etapa anterior e escolha **Próximo**.
1. Em **Nome do secreto**, insira um nome descritivo que ajude você a encontrar o segredo posteriormente.
1. (Opcional) Em **Descrição**, insira uma descrição para o nome do segredo.
1. Em **Permissão de recurso**, escolha **Editar**.
Adicione a política a seguir à política de permissão para permitir que FSx a Amazon use o segredo e escolha **Avançar**. Certifique-se de substituir o no local em *us-west-2* Região da AWS que o sistema de arquivos está implantado e *123456789012* pelo seu Conta da AWS ID.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:fsx:us-west-2:123456789012:file-system/*",
"arn:aws:fsx:us-west-2:123456789012:storage-virtual-machine/fs-*/svm-*"
]
}
}
}
]
}
```
1. (Opcional) Você pode configurar o Secrets Manager para alternar suas credenciais automaticamente. Escolha **Próximo**.
1. Escolha **Terminar**.
### Armazene as credenciais do Active Directory em AWS Secrets Manager (CLI)
#### Etapa 1: criar uma chave do KMS
Crie uma chave do KMS para criptografar e descriptografar suas credenciais do Active Directory no Secrets Manager.
Para criar uma chave KMS, use o AWS CLI comando [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html).
Nesse comando, defina o parâmetro `--policy` para especificar a política de chave que define as permissões para a chave do KMS. A política deve incluir o seguinte:
+ O principal serviço da Amazon FSx, qual é`fsx.amazonaws.com`.
+ Ações necessárias do KMS: `kms:Decrypt` e `kms:DescribeKey`.
+ Padrão de ARN de recurso para sua conta Região da AWS e conta.
+ Chaves de condição que restringem o uso da chave:
+ `kms:ViaService` para garantir que as solicitações cheguem por meio do Secrets Manager.
+ `aws:SourceAccount` para limitar sua conta.
+ `aws:SourceArn`para restringir a sistemas de FSx arquivos específicos da Amazon.
O exemplo a seguir cria uma chave KMS de criptografia simétrica com uma política que permite que FSx a Amazon use a chave para operações de descriptografia e descrição da chave. O comando recupera automaticamente seu Conta da AWS ID e região e, em seguida, configura a política de chaves com esses valores para garantir controles de acesso adequados entre a Amazon FSx, o Secrets Manager e a chave KMS. Certifique-se de que seu AWS CLI ambiente esteja na mesma região do SVM que se juntará ao Active Directory.
```
# Set region and get Account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Create Key
KMS_KEY_ARN=$(aws kms create-key --policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Sid\": \"Enable IAM User Permissions\",
\"Effect\": \"Allow\",
\"Principal\": {
\"AWS\": \"arn:aws:iam::$ACCOUNT_ID:root\"
},
\"Action\": \"kms:*\",
\"Resource\": \"*\"
},
{
\"Sid\": \"Allow FSx to use the KMS key\",
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"kms:Decrypt\",
\"kms:DescribeKey\"
],
\"Resource\": \"*\",
\"Condition\": {
\"StringEquals\": {
\"kms:ViaService\": \"secretsmanager.$REGION.amazonaws.com\",
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": [
\"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\",
\"arn:aws:fsx:$REGION:$ACCOUNT_ID:storage-virtual-machine/fs-*/svm-*\"]
}
}
}
]
}" --query 'KeyMetadata.Arn' --output text)
echo "KMS Key ARN: $KMS_KEY_ARN"
```
**nota**
Você pode definir um controle de acesso mais granular modificando os campos `aws:SourceArn` e `Resource` para alcançar segredos e sistemas de arquivos específicos.
#### Etapa 2: criar um AWS Secrets Manager segredo
Para criar um segredo para FSx a Amazon acessar seu Active Directory, use o AWS CLI comando [create-secret](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/create-secret.html) e defina os seguintes parâmetros:
+ `--name`: o identificador do seu segredo.
+ `--description`: uma descrição da finalidade do segredo.
+ `--kms-key-id`: o ARN da chave do KMS que você criou na [Etapa 1](#create-kms-key-cli) para criptografar o segredo em repouso.
+ `--secret-string`: uma string JSON contendo suas credenciais do AD no seguinte formato:
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`: o nome de usuário da sua conta de serviço do AD sem o prefixo do domínio, como `svc-fsx`. **Não** forneça o prefixo do domínio, como `CORP\svc-fsx`.
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`: sua senha da conta de serviço do AD
+ `--region`: o Região da AWS local em que sua SVM será criada. Isso é padronizado para sua região configurada, se a `AWS_REGION` não estivesse definida.
Depois de criar o segredo, anexe uma política de recursos usando o [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/logs/put-resource-policy.html)comando e defina os seguintes parâmetros:
+ `--secret-id`: o nome ou ARN do segredo para anexar à política. O exemplo a seguir usa **FSxSecret** como `--secret-id`.
+ `--region`: O mesmo Região da AWS que seu segredo.
+ `--resource-policy`: um documento de política JSON que concede FSx permissão à Amazon para acessar o segredo. A política deve incluir o seguinte:
+ O principal serviço da Amazon FSx, qual é**fsx.amazonaws.com**.
+ Ações necessárias do Secrets Manager: `secretsmanager:GetSecretValue` e `secretsmanager:DescribeSecret`.
+ Padrão de ARN de recurso para sua conta Região da AWS e conta.
+ As seguintes chaves de condição que restringem o acesso:
+ `aws:SourceAccount` para limitar sua conta.
+ `aws:SourceArn`para restringir a sistemas de FSx arquivos específicos da Amazon.
O exemplo a seguir cria um segredo com o formato necessário e anexa uma política de recursos que permite que FSx a Amazon use o segredo. Este exemplo recupera automaticamente seu Conta da AWS ID e sua região e, em seguida, configura a política de recursos com esses valores para garantir controles de acesso adequados entre a Amazon FSx e o segredo.
Certifique-se de substituir `KMS_KEY_ARN` o pelo ARN da chave que você criou na [Etapa 1](#create-kms-key-cli), `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME` e `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD` pelas credenciais da sua conta de serviço do Active Directory. Além disso, verifique se seu AWS CLI ambiente está configurado para a mesma região do SVM que ingressará no Active Directory.
```
# Set region and get account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Replace with your KMS key ARN from Step 1
KMS_KEY_ARN="arn:aws:kms:us-east-2:123456789012:key/1234542f-d114-555b-9ade-fec3c9200d8e"
# Replace with your Active Directory credentials
AD_USERNAME="Your_Username"
AD_PASSWORD="Your_Password"
# Create the secret
SECRET_ARN=$(aws secretsmanager create-secret \
--name "FSxSecret" \
--description "Secret for FSx access" \
--kms-key-id "$KMS_KEY_ARN" \
--secret-string "{\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"$AD_USERNAME\",\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"$AD_PASSWORD\"}" \
--region "$REGION" \
--query 'ARN' \
--output text)
echo "Secret created with ARN: $SECRET_ARN"
# Attach the resource policy with proper formatting
aws secretsmanager put-resource-policy \
--secret-id "FSxSecret" \
--region "$REGION" \
--resource-policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"secretsmanager:GetSecretValue\",
\"secretsmanager:DescribeSecret\"
],
\"Resource\": \"$SECRET_ARN\",
\"Condition\": {
\"StringEquals\": {
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": [
\"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\",
\"arn:aws:fsx:$REGION:$ACCOUNT_ID:storage-virtual-machine/fs-*/svm-*\"]
}
}
}
]
}"
echo "Resource policy attached successfully"
```
**nota**
Você pode definir um controle de acesso mais granular modificando os campos `aws:SourceArn` e `Resource` para alcançar segredos e sistemas de arquivos específicos.