Prácticas recomendadas para trabajar con Oracle - FSx para ONTAP
Delegación de privilegios a la cuenta de servicio Amazon FSxMantenga actualizada la configuración de ADLimitar el tráfico dentro de una VPC con grupos de seguridadCreación de reglas de grupos de seguridad de salida

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas para trabajar con Oracle

Estas son algunas sugerencias y directrices que debe tener en cuenta al incorporar Amazon FSx for NetApp ONTAP SVM a su Microsoft Active Directory autogestionado. Tenga en cuenta que se recomiendan como prácticas recomendadas, pero no son obligatorias.

Delegación de privilegios a la cuenta de servicio Amazon FSx

Asegúrese de configurar la cuenta de servicio que proporciona a Amazon FSx con los permisos mínimos requeridos. Además, separe la unidad organizativa (OU) de otras cuestiones relacionadas con el controlador de dominio.

Para unir las SVM de Amazon FSx a su dominio, asegúrese de que la cuenta de servicio tenga permisos delegados. Los miembros del grupo de Administradores de dominio tienen permisos suficientes para realizar esta tarea. Sin embargo, como práctica recomendada, utilice una cuenta de servicio que solo tenga los permisos mínimos necesarios para hacerlo. El siguiente procedimiento muestra cómo delegar solo los permisos necesarios para unir FSx for ONTAP SVM a su dominio.

Realice este procedimiento en un equipo que esté unido a su directorio y que tenga instalado el complemento MMC Usuarios y equipos de Active Directory.

Para crear una cuenta de servicio para su dominio de Microsoft Active Directory

  1. Asegúrese de haber iniciado sesión como administrador de dominio de su dominio de Microsoft Active Directory.

  2. Abra el complemento MMC Usuarios y equipos del Active Directory.

  3. En el panel de tareas, expanda el nodo del dominio.

  4. Busque y abra el menú contextual (botón derecho) de la unidad organizativa que quiera modificar y, a continuación, elija Delegar control.

  5. En la página Delegation of Control Wizard (Asistente de delegación de control), elija Next (Siguiente).

  6. Elija Add (Agregar) para agregar un usuario específico o un grupo específico para los usuarios y grupos seleccionados y, a continuación, elija Next (Siguiente).

  7. En la página Tareas que se delegarán, elija Crear una tarea personalizada para delegar y luego elija Siguiente.

  8. Elija Sólo los siguientes objetos en la carpeta y, a continuación, seleccione objetos informáticos.

  9. Elija Crear los objetos seleccionados en esta carpeta y Eliminar los objetos seleccionados en esta carpeta. A continuación, elija Siguiente.

  10. En Mostrar estos permisos, asegúrate de seleccionar General y Específico de propiedad.

  11. Para los Permisos, elija lo siguiente:

    • Restablecer contraseña

    • Leer y escribir las restricciones de la cuenta

    • Escritura validada en el nombre de host DNS

    • Escritura validada en el nombre de entidad principal del servicio

    • Escribe MSDs- SupportedEncryptionTypes

  12. Elija Siguiente y, a continuación, elija Finalizar.

  13. Cierre el complemento MMC Usuarios y equipos del Active Directory.

importante

No mueva los objetos informáticos que Amazon FSx crea en la OU después de la creación de sus SVMs. Si lo hace, las SVM se desconfigurarán.

Mantener la configuración del Active Directory actualizada con Amazon FSx

Para una disponibilidad ininterrumpida de sus SVM de Amazon FSx, actualice la configuración de Active Directory (AD) autogestionada de una SVM cuando cambie la configuración de AD autogestionada.

Por ejemplo, suponga que su AD utiliza una política de restablecimiento de contraseñas basada en el tiempo. En este caso, tan pronto como se restablezca la contraseña, asegúrese de actualizar la contraseña de la cuenta de servicio con Amazon FSx. Para ello, utilice la consola Amazon FSx, la API de Amazon FSx o la AWS CLI. Del mismo modo, si las direcciones IP del servidor DNS cambian para su dominio de Active Directory, en cuanto se produzca el cambio actualice las direcciones IP del servidor DNS con Amazon FSx.

Si hay un problema con la configuración AD autogestionada actualizada, el estado SVM cambia a Misconfigured (Desconfigurado). Este estado muestra un mensaje de error y una acción recomendada junto a la descripción de la SVM en la consola, la API y la CLI. Si se produce un problema con la configuración de AD de su SVM, asegúrese de tomar las medidas correctivas recomendadas para las propiedades de configuración. Si el problema se ha resuelto, compruebe que el estado de su SVM cambie a Created (Creado).

Para obtener más información, consulte Actualización de una configuración de SVM de Active Directory existente mediante las AWS Management Console API, y AWS CLI y Modificar una configuración de Active Directory mediante la CLI de ONTAP.

Uso de grupos de seguridad para limitar el tráfico dentro de la VPC

Para limitar el tráfico de red en la nube privada virtual (VPC), puede implementar el principio del privilegio mínimo en la VPC. En otras palabras, puedes limitar los permisos al mínimo necesario. Para ello, utilice las reglas de los grupos de seguridad. Para obtener más información, consulte Grupos de seguridad de Amazon VPC.

Crear reglas de grupos de seguridad salientes para la interfaz de red del sistema de archivos

Para mayor seguridad, considere la posibilidad de configurar un grupo de seguridad con reglas de tráfico saliente. Estas reglas deben permitir el tráfico saliente sólo a sus controladores de dominios AD autogestionados o dentro de la subred o grupo de seguridad. Aplique este grupo de seguridad a la VPC asociada con la interfaz de red elástica del sistema de archivos Amazon FSx. Para obtener más información, consulte Control de acceso al sistema de archivos con Amazon VPC.