Especifique a unidade organizacional e o nome de domínio do diretório para seu AD Especifique a conta de serviço para o AD

Especifique detalhes do Active Directory para o diretório WorkSpaces Pools

Neste tópico, mostramos como especificar os detalhes do Active Directory (AD) na página de diretório Create WorkSpaces Pool do console do WorkSpaces. Ao criar seu diretório do WorkSpaces Pool, você deve especificar os detalhes do AD se planeja usar um AD com seus WorkSpaces Pools. Você não pode editar as configurações do Active Directory para o diretório do WorkSpaces Pools depois de criá-lo. Veja um exemplo da seção Active Directory Config da página de diretório Create WorkSpaces Pool a seguir.

Veja um exemplo da seção Active Directory Config da página de diretório Create WorkSpaces Pool.

nota

O processo completo de criação de um diretório do WorkSpaces Pool está descrito no tópico Configurar o SAML 2.0 e criar um diretório do WorkSpaces Pools. Os procedimentos descritos nesta página representam somente um subconjunto de etapas do processo completo para criar um diretório do WorkSpaces Pool.

Tópicos

Especifique a unidade organizacional e o nome de domínio do diretório para seu AD
Especifique a conta de serviço para o AD

Especifique a unidade organizacional e o nome de domínio do diretório para seu AD

Conclua o procedimento para especificar uma unidade organizacional (OU) e um nome de domínio de diretório para seu AD na página de diretório Create a WorkSpaces Pool a seguir.

Em Organization Unit, insira a OU à qual o pool pertence. As contas da máquina de WorkSpace ficam na unidade organizacional (UO) padrão para o diretório WorkSpaces.

nota
O nome da UO não pode conter espaços. Se você especificar um nome de UO que contenha espaços, quando tentar se associar novamente ao domínio do Active Directory, o WorkSpaces não poderá alternar os objetos de computador corretamente e a reassociação ao domínio não será bem-sucedida.
Em Directory Name, informe o nome do domínio totalmente qualificado (FQDN) do domínio do Active Directory (por exemplo, corp.example.com). Cada região da AWS pode ter apenas um valor de configuração de diretório com um nome de diretório específico.
- Você pode unir seus diretórios do WorkSpaces Pool aos domínios no Microsoft Active Directory. Também é possível usar os domínios existentes do Active Directory, sejam baseados na nuvem ou on-premises, para iniciar WorkSpaces associados a um domínio.
- Também é possível usar o AWS Directory Service for Microsoft Active Directory, também conhecido como AWS Managed Microsoft AD, para criar um domínio do Active Directory. Em seguida, você pode usar esse domínio para oferecer suporte aos seus recursos do WorkSpaces.
- Ingressando o WorkSpaces no domínio do Active Directory, é possível:
  - Permitir que os usuários e os aplicativos acessem os recursos do Active Directory, como impressoras e compartilhamentos de arquivos, em sessões de streaming.
  - Use as configurações da Group Policy (Política de grupo) disponíveis no Console de Gerenciamento de Diretiva de Grupo (GPMC) para definir a experiência do usuário final.
  - Transmitir aplicativos que requerem autenticação dos usuários usando suas credenciais de login do Active Directory.
  - Aplicar sua conformidade empresarial e políticas de segurança a suas instâncias de streaming do WorkSpaces.
Para a conta de serviço, vá para a Especifique a conta de serviço para o AD próxima seção desta página.

Especifique a conta de serviço para o AD

Ao configurar o Active Directory (AD) para seus WorkSpaces Pools como parte do processo de criação do diretório, você deve especificar a conta de serviço do AD a ser usada para gerenciar o AD. Isso exige que você forneça as credenciais da conta de serviço, que devem ser armazenadas AWS Secrets Manager e criptografadas usando uma chave do AWS Key Management Service (AWS KMS) gerenciada pelo cliente. Nesta seção, mostramos como criar a chave gerenciada pelo cliente do AWS KMS e o segredo do Secrets Manager para armazenar as credenciais da sua conta de serviço do AD.

Etapa 1: Criar uma chave gerenciada pelo cliente do AWS KMS

Efetue o procedimento a seguir para criar uma chave gerenciada pelo cliente do AWS KMS.

Abra o console do AWS KMS em https://console.aws.amazon.com/kms.
Para alterar o Região da AWS, use o seletor de Região no canto superior direito da página.
Escolha Criar uma chave e, em seguida, Próximo.
Em Uso da chave, escolha Criptografar e descriptografar e, em seguida, escolha Próximo.
Insira um alias para a chave, como WorkSpacesPoolDomainSecretKey, e escolha Próximo.
Não escolha um administrador de chave. Escolha Próximo para continuar.
Na página Definir permissões de uso da chave: Escolha Próximo para continuar.

Na seção Key Policy (Política de chaves) da página, adicione o seguinte:


        {
            "Sid": "Allow access for Workspaces SP",
            "Effect": "Allow",
            "Principal": {
                "Service": "workspaces.amazonaws.com"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }

O resultado será algo semelhante a este exemplo:

Um exemplo de uma política de chave do AWS KMS.

Escolha Concluir.

Sua chave gerenciada pelo AWS KMS cliente agora está pronta para ser usada com o Secrets Manager. Continue até a seção Etapa 2: Crie o segredo do Secrets Manager para armazenar as credenciais da sua conta de serviço do AD desta página.

Etapa 2: Crie o segredo do Secrets Manager para armazenar as credenciais da sua conta de serviço do AD

Complete o procedimento a seguir para criar um segredo do Secrets Manager para armazenar as credenciais da conta do serviço do AD.

Abra o console do AWS Secrets Manager em https://console.aws.amazon.com/secretsmanager/.
Selecione Create a new secret (Criar um segredo).
Selecione Outro tipo de segredo.
Para o primeiro par de chave/valor, insira Service Account Name como a chave e o nome da conta de serviço para o valor, como domain\username.
Para o primeiro par de chave/valor, insira Service Account Password como a chave e o nome da conta de serviço para o valor.
Para a chave de criptografia, escolha a chave gerenciada pelo cliente do AWS KMS que você criou anteriormente e, em seguida, escolha Próximo.
Digite um nome para o segredo, como WorkSpacesPoolDomainSecretAD.
Escolha Editar permissões na seção Permissões de recursos da página.

Insira a seguinte política de permissão:

Escolha Salvar para salvar a política de permissão.
Escolha Próximo para continuar.
Não configure a rotação automática. Escolha Próximo para continuar.
Escolha Armazenar para terminar de armazenar seu segredo.

As credenciais da conta do serviço do AD agora estão armazenadas no Secrets Manager. Continue até a seção Etapa 3: selecione o segredo do Secrets Manager que contém as credenciais da conta do serviço do AD desta página.

Etapa 3: selecione o segredo do Secrets Manager que contém as credenciais da conta do serviço do AD

Conclua o procedimento a seguir para selecionar o segredo do Secrets Manager que você criou na configuração do Active Directory para o diretório do WorkSpaces Pool.

Em Conta de serviço, escolha o segredo do AWS Secrets Manager que contém as credenciais da sua conta de serviço. Complete as etapas a seguir para criar o segredo, caso ainda não o tenha feito. Isso significa que os segredos devem ser criptografados usando uma chave gerenciada pelo cliente do AWS Key Management Service.

Agora que você preencheu todos os campos na seção Active Directory Config do Create WorkSpaces Pool directory, é possível terminar de criar seu diretório WorkSpaces Pool. Vá para Etapa 4: criar diretório do WorkSpace Pool para a etapa 9 do procedimento e inicie-a.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Configurar o SAML 2.0 e criar um diretório de grupo

Atualizar detalhes do diretório