# Configuración de Active Directory autoadministrado
Para configurar un AD autoadministrado, siga estos pasos.
**Topics**
+ [Paso 1: Crear una unidad organizativa en el AD](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateOU)
+ [Paso 2: creación de una cuenta de servicio de dominio de AD en el AD](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateADuser)
+ [Paso 3: delegación del control a la cuenta de servicio de dominio de AD](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.DelegateControl)
+ [Paso 4: Crear una clave de AWS KMS](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateKMSkey)
+ [Paso 5: Crear un secreto de AWS](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateSecret)
## Paso 1: Crear una unidad organizativa en el AD
**importante**
Se recomienda crear una credencial de servicio y una OU dedicadas a esa unidad organizativa para todas las cuentas de AWS que posean una instancia de base de datos de RDS para SQL Server que se haya unido a su dominio de AD autoadministrado. Al crear credenciales de servicio u OU dedicadas, puede evitar conflictos de permisos y seguir el principio de privilegio mínimo.
**Para crear una OU en su AD**
1. Conéctese a su dominio de AD como administrador de dominio.
1. Abra **Usuarios y equipos de Active Directory** y seleccione el dominio en el que desea crear la OU.
1. Haga clic con el botón derecho en el dominio y seleccione **Nuevo** y, a continuación, **Unidad organizativa**.
1. Escriba un nombre para la OU.
1. Mantenga la casilla seleccionada para **Proteger el contenedor contra la eliminación accidental**.
1. Haga clic en **OK (Aceptar)**. La nueva OU aparecerá en su dominio.
## Paso 2: creación de una cuenta de servicio de dominio de AD en el AD
Las credenciales de la cuenta de servicio de dominio se utilizarán para el secreto en AWS Secrets Manager.
**Creación de una cuenta de servicio de dominio de AD en el AD**
1. Abra **Usuarios y equipos de Active Directory** y seleccione el dominio y la OU en los que desea crear el usuario.
1. Haga clic con el botón derecho en el objeto **Usuarios** y seleccione **Nuevo** y, a continuación, **Usuario**.
1. Introduzca el nombre, los apellidos y el nombre de inicio de sesión del usuario. Haga clic en **Next (Siguiente)**.
1. Introduzca una contraseña para el usuario. No seleccione **El usuario debe cambiar la contraseña en el próximo inicio de sesión**. No seleccione **La cuenta está deshabilitada**. Haga clic en **Next (Siguiente)**.
1. Haga clic en **OK (Aceptar)**. El nuevo usuario aparecerá en su dominio.
## Paso 3: delegación del control a la cuenta de servicio de dominio de AD
**Delegación del control a la cuenta de servicio de dominio de AD en el dominio**
1. Abra el complemento MMC **Usuarios y equipos de Active Directory** y seleccione el dominio en el que desea crear el usuario.
1. Haga clic con el botón derecho en la OU que creó anteriormente y seleccione **Delegar control**.
1. En **Asistente para delegación de control**, haga clic en **Siguiente**.
1. En la sección **Usuarios o grupos**, haga clic en **Agregar**.
1. En la sección **Seleccionar usuarios, equipos o grupos**, ingrese la cuenta de servicio de dominio de AD que creó y haga clic en **Verificar nombres**. Si la comprobación de la cuenta de servicio de dominio de AD se ha realizado correctamente, haga clic en **Aceptar**.
1. En la sección **Usuarios o grupos**, confirme que se ha agregado la cuenta de servicio de dominio de AD y haga clic en **Siguiente**.
1. En la página **Tareas que se delegarán**, seleccione **Crear una tarea personalizada para delegar** y haga clic en **Siguiente**.
1. En la sección **Tipo de objeto de Active Directory**:
1. Elija **Solo los siguientes objetos de la carpeta**.
1. Seleccione **Objetos computacionales**.
1. Seleccione **Crear objetos seleccionados en esta carpeta**.
1. Seleccione **Eliminar los objetos seleccionados en esta carpeta** y haga clic en **Siguiente**.
1. En la sección **Permisos**:
1. Mantenga seleccionada la opción **General**.
1. Seleccione **Escritura validada en el nombre de host DNS**.
1. Seleccione **Escritura validada en el nombre de la entidad de servicio** y haga clic en **Siguiente**.
1. Para habilitar la autenticación Kerberos, mantenga seleccionado **Property-specific** y seleccione **Escribir servicePrincipalName** de la lista.
1. Para **Completar el asistente para delegación de control**, revise y confirme la configuración y haga clic en **Finalizar**.
1. Para la autenticación Kerberos, abra el Administrador de DNS y abra las propiedades del **Servidor**.
1. En el cuadro de diálogo de Windows, escriba `dnsmgmt.msc`.
1. Agregue la cuenta de servicio de dominio de AD en la pestaña **Seguridad**.
1. Seleccione el permiso de **lectura** y aplique los cambios.
## Paso 4: Crear una clave de AWS KMS
La clave de KMS se utiliza para cifrar el secreto de AWS.
**Para crear una clave de AWS KMS**
**nota**
En **Clave de cifrado**, no utilice la clave de KMS predeterminada de AWS. Asegúrese de crear la clave de AWS KMS en la misma cuenta de AWS que contiene la instancia de base de datos de RDS para SQL Server que desea unir a su AD autoadministrado.
1. En la consola de AWS KMS, elija **Crear API**.
1. En **Tipo de clave**, elija **Simétrica**.
1. Para **Uso de claves**, elija **Cifrar y descifrar**.
1. Para **Advanced options (Opciones avanzadas)**:
1. En **Origen del material de claves**, elija **Externo**.
1. Para **Regionalidad**, elija **Clave de región única** y haga clic en **Siguiente**.
1. Para **Alias**, proporcione un nombre para la clave de KMS.
1. (Opcional) En **Description**, proporcione una descripción de la clave de KMS.
1. (Opcional) En **etiquetas**, introduzca una etiqueta para la clave KMS, y haga clic en **Siguiente**.
1. En **Administradores de claves**, proporcione el nombre de un usuario de IAM y selecciónelo.
1. En **Eliminación de la clave**, mantenga seleccionada la casilla **Permitir que los administradores de claves eliminen esta clave** y haga clic en **Siguiente**.
1. En **Usuarios de clave**, proporcione el mismo usuario de IAM del paso anterior y selecciónelo. Haga clic en **Next (Siguiente)**.
1. Revise la configuración.
1. Para **Política de claves**, incluya lo siguiente en la política **Instrucción**:
```
{
"Sid": "Allow use of the KMS key on behalf of RDS",
"Effect": "Allow",
"Principal": {
"Service": [
"rds.amazonaws.com"
]
},
"Action": "kms:Decrypt",
"Resource": "*"
}
```
1. Haga clic en **Finish (Finalizar)**.
## Paso 5: Crear un secreto de AWS
**Creación de un secreto**
**nota**
Asegúrese de crear la clave de en la misma cuenta de AWS que contiene la instancia de base de datos de RDS para SQL Server que desea unir a su AD autoadministrado.
1. En AWS Secrets Manager, elija **Almacenar un nuevo secreto**.
1. En **Secret type** (Tipo de secreto), elija **Other type of secret** (Otro tipo de secreto).
1. En los **pares clave/valor**, añada sus dos claves:
1. Para la primera clave, introduzca `SELF_MANAGED_ACTIVE_DIRECTORY_USERNAME`.
1. Para el valor de la primera clave, ingrese solo el nombre de usuario (sin el prefijo de dominio) del usuario de AD. No incluya el nombre de dominio, ya que esto provocará un error en la creación de la instancia.
1. Para la segunda clave, introduzca `SELF_MANAGED_ACTIVE_DIRECTORY_PASSWORD`.
1. Para el valor de la segunda clave, introduzca la contraseña que creó para el usuario de AD en su dominio.
1. Para la **Clave de cifrado**, introduzca la clave de KMS que creó en el paso anterior y haga clic en **Siguiente**.
1. En **Nombre de secreto**, introduzca un nombre descriptivo que le ayude a buscar el secreto más adelante.
1. (Opcional) En **Descripción**, escriba una descripción del nombre del secreto.
1. En **Permisos de recursos**, haga clic en **Editar**.
1. Añada la siguiente política a la política de permisos:
**nota**
Le recomendamos que utilice la `aws:sourceAccount` y las condiciones `aws:sourceArn` de la política para evitar el problema del *suplente confuso*. Utilice su Cuenta de AWS para `aws:sourceAccount` y el ARN de la instancia de base de datos de RDS para SQL Server para `aws:sourceArn`. Para obtener más información, consulte [Prevención de los problemas del suplente confuso entre servicios](cross-service-confused-deputy-prevention.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Principal":
{
"Service": "rds.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "*",
"Condition":
{
"StringEquals":
{
"aws:sourceAccount": "123456789012"
},
"ArnLike":
{
"aws:sourceArn": "arn:aws:rds:us-west-2:123456789012:db:*"
}
}
}
]
}
```
------
1. Haz clic en **Guardar** y, a continuación, en **Siguiente**.
1. En **Configurar los ajustes de rotación**, mantenga los valores predeterminados y seleccione **Siguiente**.
1. Revise la configuración del secreto y haga clic en **Guardar**.
1. Elija el secreto que creó y copie el valor del **ARN del secreto**. Esto se utilizará en el siguiente paso para configurar Active Directory autoadministrado.