Voraussetzungen - Amazon AppStream 2.0

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Voraussetzungen

Führen Sie die folgenden Schritte aus, bevor Sie die zertifikatbasierte Authentifizierung aktivieren.

  1. Richten Sie eine in eine Domäne eingebundene Flotte ein und konfigurieren Sie 2.0. SAML Stellen Sie sicher, dass Sie das username@domain.com userPrincipalName Format für den SAML _Subject verwenden. NameID Weitere Informationen finden Sie unter Schritt 5: Assertionen für die SAML Authentifizierungsantwort erstellen.

    Anmerkung

    Aktivieren Sie die Smartcard-Anmeldung für Active Directory nicht in Ihrem Stack, wenn Sie die zertifikatbasierte Authentifizierung verwenden möchten. Weitere Informationen finden Sie unter Smartcards.

  2. Verwenden Sie AppStream 2.0 Agent Version 10-13-2022 oder höher mit Ihrem Bild. Weitere Informationen finden Sie unter Behalten Sie Ihr Amazon AppStream 2.0-Image Up-to-Date.

  3. Konfigurieren Sie das ObjectSid Attribut in Ihrer SAML Assertion. Sie können dieses Attribut verwenden, um eine starke Zuordnung mit dem Active-Directory-Benutzer durchzuführen. Die zertifikatsbasierte Authentifizierung schlägt fehl, wenn das ObjectSid Attribut nicht mit der Active Directory-Sicherheitskennung (SID) für den im _Subject angegebenen Benutzer übereinstimmt. SAML NameID Weitere Informationen finden Sie unter Schritt 5: Assertionen für die SAML Authentifizierungsantwort erstellen. Das ObjectSid ist für die zertifikatsbasierte Authentifizierung nach dem 10. September 2025 verpflichtend. Weitere Informationen finden Sie unter KB5014754: Änderungen der zertifikatsbasierten Authentifizierung auf Windows-Domänencontrollern.

  4. Fügen Sie die sts:TagSession Berechtigung zur IAM Rollenvertrauensrichtlinie hinzu, die Sie mit Ihrer 2.0-Konfiguration verwenden. SAML Weitere Informationen finden Sie unter Übergeben von Sitzungs-Tags in AWS STS. Diese Berechtigung ist erforderlich, um die zertifikatsbasierte Authentifizierung zu verwenden. Weitere Informationen finden Sie unter Schritt 2: Erstellen Sie eine SAML IAM 2.0-Verbundrolle.

  5. Erstellen Sie eine private Zertifizierungsstelle (CA) mithilfe von AWS Private CA, falls Sie keine mit Ihrem Active Directory konfiguriert haben. AWS Für die Verwendung der zertifikatsbasierten Authentifizierung ist eine private Zertifizierungsstelle erforderlich. Weitere Informationen finden Sie unter Planen der Bereitstellung der AWS Private CA. Die folgenden Einstellungen für AWS private Zertifizierungsstellen sind für viele Anwendungsfälle der zertifikatsbasierten Authentifizierung üblich:

    • Optionen für den CA-Typ

      • CA-Verwendungsmodus für kurzlebige Zertifikate – empfohlen, wenn Sie die CA nur zur Ausstellung von Endbenutzerzertifikaten für die zertifikatsbasierte Authentifizierung verwenden.

      • Einstufige Hierarchie mit einer Stammzertifizierungsstelle –Wählen Sie eine untergeordnete Zertifizierungsstelle aus, wenn Sie eine Integration in eine bestehende Zertifizierungsstellenhierarchie vornehmen möchten.

    • Wichtige Algorithmusoptionen — 2048 RSA

    • Optionen für den definierten Namen des Antragstellers – Verwenden Sie eine möglichst geeignete Kombination von Optionen, um diese Zertifizierungsstelle in Ihrem Active-Directory-Speicher für vertrauenswürdige Stammzertifizierungsstellen zu identifizieren.

    • Optionen für den Widerruf von Zertifikaten — Verteilung CRL

      Anmerkung

      Für die zertifikatsbasierte Authentifizierung ist ein CRL Online-Verteilungspunkt erforderlich, auf den sowohl von der AppStream 2.0-Flotteninstanz als auch vom Domänencontroller aus zugegriffen werden kann. Dies erfordert einen nicht authentifizierten Zugriff auf den Amazon S3 S3-Bucket, der für AWS private CRL CA-Einträge konfiguriert ist, oder eine CloudFront Distribution mit Zugriff auf den Amazon S3 S3-Bucket, falls dieser den öffentlichen Zugriff blockiert. Weitere Informationen zu diesen Optionen finden Sie unter Planung einer Zertifikatssperrliste () CRL.

  6. Kennzeichnen Sie Ihre private Zertifizierungsstelle mit einem Schlüssel, mit dem euc-private-ca die Zertifizierungsstelle für die Verwendung mit der zertifikatsbasierten AppStream 2.0-Authentifizierung bestimmt werden kann. Dieser Schlüssel benötigt keinen Wert. Weitere Informationen finden Sie unter Verwalten von Tags für Ihre private CA. Weitere Informationen zu den AWS verwalteten Richtlinien, die mit AppStream 2.0 verwendet werden, um Berechtigungen für Ressourcen in Ihrem AWS-Konto zu gewähren, finden Sie unter. AWS Für den Zugriff auf AppStream 2.0-Ressourcen sind verwaltete Richtlinien erforderlich

  7. Bei der zertifikatsbasierten Authentifizierung werden virtuelle Smartcards für die Anmeldung verwendet. Weitere Informationen finden Sie unter Richtlinien für die Aktivierung der Smartcard-Anmeldung bei Zertifizierungsstellen von Drittanbietern. Dazu gehen Sie wie folgt vor:

    1. Konfigurieren Sie Domaincontroller mit einem Domaincontrollerzertifikat, um Smartcard-Benutzer zu authentifizieren. Wenn Sie in Ihrem Active Directory eine Unternehmenszertifizierungsstelle für Active-Directory-Zertifikatsdienste konfiguriert haben, werden Domaincontroller automatisch mit Zertifikaten registriert, um die Smartcard-Anmeldung zu ermöglichen. Wenn Sie nicht über Active Directory-Zertifikatsdienste verfügen, finden Sie weitere Informationen unter Anforderungen für Domänencontrollerzertifikate von einer Drittanbieter-Zertifizierungsstelle. AWS empfiehlt Active Directory-Zertifizierungsstellen für Unternehmen, die Registrierung von Domänencontrollerzertifikaten automatisch zu verwalten.

      Anmerkung

      Wenn Sie AWS Managed Microsoft AD verwenden, können Sie Certificate Services auf einer EC2 Amazon-Instance konfigurieren, die die Anforderungen für Domain-Controller-Zertifikate erfüllt. Weitere Informationen finden Sie unter Bereitstellen von Active Directory in einer neuen Amazon Virtual Private Cloud, z. B. Bereitstellungen von AWS Managed Microsoft AD, konfiguriert mit Active Directory-Zertifikatsdiensten.

      Bei AWS Managed Microsoft AD und Active Directory Certificate Services müssen Sie auch Regeln für ausgehenden Datenverkehr von der VPC Sicherheitsgruppe des Controllers zur EC2 Amazon-Instance erstellen, auf der Certificate Services ausgeführt wird. Sie müssen der Sicherheitsgruppe Zugriff auf TCP Port 135 und die Ports 49152 bis 65535 gewähren, um die automatische Zertifikatsregistrierung zu aktivieren. Die EC2 Amazon-Instance muss auch eingehenden Zugriff auf dieselben Ports von Domain-Instances, einschließlich Domain-Controllern, zulassen. Weitere Informationen zum Auffinden der Sicherheitsgruppe für AWS Managed Microsoft AD finden Sie unter Konfigurieren Ihrer VPC Subnetze und Sicherheitsgruppen.

    2. Exportieren Sie das AWS private CA-Zertifikat auf der privaten CA-Konsole SDK oder CLI mit der Taste oder. Weitere Informationen finden Sie unter Exportieren eines privaten Zertifikats.

    3. Veröffentlichen Sie die private CA in Active Directory. Melden Sie sich an einem Domaincontroller oder einem Computer an, der Domainmitglied ist. Kopieren Sie das private CA-Zertifikat in einen beliebigen <path>\<file> und führen Sie die folgenden Befehle als Domainadministrator aus. Sie können auch Gruppenrichtlinien und das Microsoft PKI Health Tool (PKIView) verwenden, um die CA zu veröffentlichen. Weitere Informationen finden Sie in den Konfigurationsanweisungen.

      certutil -dspublish -f <path>\<file> RootCA
      certutil -dspublish -f <path>\<file> NTAuthCA

      Stellen Sie sicher, dass die Befehle erfolgreich ausgeführt wurden. Entfernen Sie dann die private Zertifikatsdatei. Abhängig von Ihren Active Directory-Replikationseinstellungen kann es mehrere Minuten dauern, bis die CA auf Ihren Domänencontrollern und AppStream 2.0-Flotteninstanzen veröffentlicht ist.

      Anmerkung

      Active Directory muss die CA automatisch an die vertrauenswürdigen Stammzertifizierungsstellen und Enterprise NTAuth Stores für AppStream 2.0-Flotteninstanzen verteilen, wenn diese der Domäne beitreten.

Bei Windows-Betriebssystemen erfolgt die Verteilung der CA (Certificate Authority) automatisch. Für Rocky Linux und Red Hat Enterprise Linux müssen Sie jedoch das/die Root-CA-Zertifikat (e) von der CA herunterladen, die von Ihrer AppStream 2.0-Verzeichniskonfiguration verwendet wird. Wenn Ihre KDC Root-CA-Zertifikate unterschiedlich sind, müssen Sie diese ebenfalls herunterladen. Bevor Sie die zertifikatsbasierte Authentifizierung verwenden können, müssen Sie diese Zertifikate in ein Image oder einen Snapshot importieren.

Auf dem Bild sollte sich eine Datei mit dem Namen/befinden. etc/sssd/pki/sssd_auth_ca_db.pem Sie sollte wie folgt aussehen:

-----BEGIN CERTIFICATE-----
Base64-encoded certificate chain from ACM Private CA 
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded certificate body from ACM private CA
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded root CA KDC certificate chain
-----END CERTIFICATE-----
Anmerkung

Wenn Sie ein Bild zwischen Regionen oder Konten kopieren oder ein Bild erneut einem neuen Active Directory zuordnen, muss diese Datei vor der Verwendung mit den entsprechenden Zertifikaten in einem Image Builder neu konfiguriert und erneut als Snapshot erstellt werden.

Im Folgenden finden Sie Anweisungen zum Herunterladen der Root-CA-Zertifikate:

  1. Erstellen Sie im Image Builder eine Datei mit dem Namen/etc/sssd/pki/sssd_auth_ca_db.pem.

  2. Öffnen Sie die AWSPrivate CA-Konsole.

  3. Wählen Sie das private Zertifikat aus, das mit Ihrer AppStream 2.0-Verzeichniskonfiguration verwendet wird.

  4. Wählen Sie die Registerkarte CA-Zertifikat.

  5. Kopieren Sie die Zertifikatskette und den /etc/sssd/pki/sssd_auth_ca_db.pem Zertifikatshauptteil in den Image Builder.

Wenn sich die von der verwendeten Root-CA-Zertifikate von dem KDCs unterscheiden, das von Ihrer AppStream 2.0-Verzeichniskonfiguration verwendet wird, gehen Sie wie folgt vor, um sie herunterzuladen:

  1. Stellen Sie eine Connect zu einer Windows-Instanz her, die derselben Domäne angehört wie Ihr Image Builder.

  2. Öffnen Sie certlm.msc.

  3. Wählen Sie im linken Bereich Trusted Root Certificate Authorities und dann Certificates aus.

  4. Öffnen Sie für jedes Root-CA-Zertifikat das Kontextmenü (Rechtsklick).

  5. Wählen Sie Alle Aufgaben, dann Exportieren, um den Zertifikatsexport-Assistenten zu öffnen, und klicken Sie dann auf Weiter.

  6. Wählen Sie Base64-kodiertes X.509 (. CER) und wählen Sie Weiter.

  7. Wählen Sie „Durchsuchen“, geben Sie einen Dateinamen ein und wählen Sie „Weiter“.

  8. Wählen Sie Finish (Abschließen).

  9. Öffnen Sie das exportierte Zertifikat in einem Texteditor.

  10. Kopieren Sie den Inhalt der Datei in /etc/sssd/pki/sssd_auth_ca_db.pem den Image Builder.