As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configurar o Connector for AD
As etapas desta seção são pré-requisitos para usar o Connector for AD. Ele pressupõe que você já tenha criado uma AWS conta. Depois de concluir as etapas desta página, você pode começar a criar um conector para o AD.
## Etapa 1: criar uma CA privada usando CA Privada da AWS
Configure uma autoridade de certificação (CA) privada para emitir certificados para seus objetos de diretório. Para obter mais informações, consulte [Autoridades certificadoras em CA Privada da AWS](creating-managing.md).
A CA privada deve estar no `Active` estado para criar um conector para o AD. O nome do requerente da CA privada deve incluir um nome comum. A criação do conector falhará se você tentar criar um conector usando uma CA privada sem um nome comum.
## Etapa 2: configurar um Active Directory
Além de uma CA privada, você precisa de um diretório ativo em uma nuvem privada virtual (VPC). O Connector para AD oferece suporte aos seguintes tipos de diretório oferecidos pelo Directory Service:
+ [AWS Microsoft Active Directory gerenciado](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad): Com Directory Service você pode executar o Microsoft Active Directory (AD) como um serviço gerenciado. AWS Directory Service for Microsoft Active Directory também conhecido como AWS Managed Microsoft AD, é alimentado pelo Windows Server 2019. Com AWS Managed Microsoft AD, você pode executar cargas de trabalho com reconhecimento de diretório no, Nuvem AWS incluindo o Microsoft Sharepoint e aplicativos personalizados baseados em .Net e SQL Server.
+ [ Active Directory Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector): o AD Connector é um gateway de diretório que pode redirecionar solicitações de diretório para seu Microsoft Active Directory on-premises sem armazenar nenhuma informação em cache na nuvem. O AD Connector oferece suporte à conexão com um domínio hospedado no Amazon EC2.
## (Somente conector do Active Directory) Etapa 3: delegar permissões à conta de serviço
**nota**
Se você estiver usando AWS Managed Microsoft AD , as permissões adicionais serão delegadas automaticamente quando você autorizar o serviço Connector for AD com seu diretório. É possível ignorar essa etapa de pré-requisito.
Ao usar o Directory Service AD Connector, você precisa delegar permissões adicionais à conta de serviço. Defina uma lista de controle de acesso (ACL) na conta de serviço para poder:
+ Adicionar e remover um nome de entidade principal do serviço (SPN) a si mesmo
+ Criar e atualizar autoridades de certificação nos seguintes contêineres:
```
#containers
CN=Public Key Services,CN=Services,CN=Configuration
CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration
CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration
```
+ Crie e atualize um objeto da Autoridade de NTAuth Certificação (CA). Nota: se o objeto NTAuth Certificates CA existir, você deverá delegar permissões para ele. Se o objeto não existir, você deverá delegar a capacidade de criar objetos secundários no contêiner de serviços de chave pública.
```
#objects
CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration
```
O PowerShell script disponível no [repositório oficial do Connector for Active Directory](https://github.com/aws-samples/sample-aws-privateca-connector-for-active-directory) pode ser usado para delegar as permissões adicionais necessárias para a conta de serviço AD Connector do Directory Service.
Esse script cria o objeto de autoridade de certificação de NTAuth certificados.
Para obter a versão mais recente do script e os detalhes de uso, consulte o README no [GitHub repositório](https://github.com/aws-samples/sample-aws-privateca-connector-for-active-directory).
## Etapa 4: criar uma política do IAM
atributPara criar um conector do Connector para AD, você precisa de uma política do IAM que permita criar recursos de conectores, compartilhar a CA privada com o serviço Connector para AD e autorizar esse serviço com seu diretório.
Este é um exemplo de política gerenciada pelo usuário:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "pca-connector-ad:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"acm-pca:DescribeCertificateAuthority",
"acm-pca:GetCertificate",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:ListCertificateAuthorities",
"acm-pca:ListTags",
"acm-pca:PutPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "acm-pca:IssueCertificate",
"Resource": "*",
"Condition": {
"ArnLike": {
"acm-pca:TemplateArn": "arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V*"
},
"ForAnyValue:StringEquals": {
"aws:CalledVia": "pca-connector-ad.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:DescribeDirectories",
"ds:ListTagsForResource",
"ds:UnauthorizeApplication",
"ds:UpdateAuthorizedApplication"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ec2:DeleteVpcEndpoints"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeTags",
"ec2:DeleteTags",
"ec2:CreateTags"
],
"Resource": "arn:*:ec2:*:*:vpc-endpoint/*"
}
]
}
```
------
O Connector for AD requer AWS RAM permissões adicionais, tanto para uso no console quanto na linha de comando.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ram:CreateResourceShare",
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"ram:Principal": "pca-connector-ad.amazonaws.com",
"ram:RequestedResourceType": "acm-pca:CertificateAuthority"
}
}
},
{
"Effect": "Allow",
"Action": [
"ram:GetResourcePolicies",
"ram:GetResourceShareAssociations",
"ram:GetResourceShares",
"ram:ListPrincipals",
"ram:ListResources",
"ram:ListResourceSharePermissions",
"ram:ListResourceTypes"
],
"Resource": "*"
}
]
}
```
------
## Etapa 5: compartilhe sua CA privada com o Connector for AD
Você precisará compartilhar sua CA privada com o serviço de conectores usando o compartilhamento principal do AWS Resource Access Manager serviço.
Quando você cria um conector no AWS console, o compartilhamento de recursos é criado automaticamente para você.
Ao criar um compartilhamento de recursos usando o AWS CLI, você usará o AWS RAM **create-resource-share** comando.
O comando a seguir cria um compartilhamento de recurso:
```
$ aws ram create-resource-share \
--region us-east-1 \
--name MyPcaConnectorAdResourceShare \
--permission-arns arn:aws:ram::aws:permission/AWSRAMBlankEndEntityCertificateAPIPassthroughIssuanceCertificateAuthority \
--resource-arns arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
--principals pca-connector-ad.amazonaws.com \
--sources account
```
O responsável pelo serviço que liga CreateConnector tem permissões de emissão de certificados no PCA. Para evitar que as entidades principais de serviços que usam o Connector para AD tenham acesso geral aos recursos da sua CA privada da AWS , restrinja suas permissões usando `CalledVia`.
## Etapa 6: Criar registro de diretório
Você autoriza o serviço Connector para AD no seu diretório para ele possa se comunicar com esse diretório. Para autorizar o serviço Connector para AD, crie uma inscrição de diretório. Para obter mais informações sobre como criar uma inscrição de diretório, consulte [Gerenciar registros de diretórios](directory-registration.md)
## Etapa 7: Configurar grupos de segurança
A comunicação entre sua VPC e o conector Connector for AD é feita por meio AWS PrivateLink, o que requer um (s) grupo (s) de segurança com regras de entrada que abram a porta TCP 443 em sua VPC. Esse grupo de segurança será solicitado quando você criar um conector. É possível especificar a origem como personalizada e selecionar o bloco CIDR da sua VPC. É possível optar por restringir ainda mais isso (ou seja, IP, CIDR e ID do grupo de segurança).
## Etapa 8: Configurar o acesso à rede para objetos de diretório
Os objetos de diretório exigem acesso público à Internet para validar o Online Certificate Status Protocol (OCSP) e as listas de revogação de certificados (CRLs) dos seguintes domínios:
```
*.windowsupdate.com
*.amazontrust.com
```
Regras mínimas de acesso exigidas:
+ Necessário para comunicação OCSP e CRL:
```
TCP 80: (HTTP) to 0.0.0.0/0
```
+ Necessário para o Connector for AD:
```
TCP 443: (HTTPS) to 0.0.0.0/0
```
+ Necessário para o Active Directory:
```
TCP 88: (Kerberos) to Domain Controller IP range
TCP/UDP 389/636: (LDAP/LDAPS) to Domain Controller IP range, depending on Domain Controller configuration
TCP/UDP 53: (DNS) to 0.0.0.0/0
```
Se os dispositivos não tiverem acesso público à Internet, a emissão do certificado falhará intermitentemente com o código de erro ` WS_E_OPERATION_TIMED_OUT. `
**nota**
Se você estiver configurando um grupo de segurança para uma instância do Amazon EC2, ele não precisa ser o mesmo na Etapa 7.