Prácticas recomendadas para trabajar con Oracle - FSx para ONTAP
Delegar permisos a tu cuenta de FSx servicio de AmazonMantenga actualizada la configuración de ADLimitar el tráfico dentro de una VPC con grupos de seguridadCreación de reglas de grupos de seguridad de salida

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas para trabajar con Oracle

Estas son algunas sugerencias y pautas que debe tener en cuenta al incorporar Amazon FSx for NetApp ONTAP SVMs a su Microsoft Active Directory autogestionado. Tenga en cuenta que se recomiendan como prácticas recomendadas, pero no son obligatorias.

Delegar permisos a tu cuenta de FSx servicio de Amazon

Asegúrese de configurar la cuenta de servicio que proporciona a Amazon FSx con los permisos mínimos necesarios. Además, separe la unidad organizativa (OU) de otras cuestiones relacionadas con el controlador de dominio.

Para unir Amazon FSx SVMs a tu dominio, asegúrate de que la cuenta de servicio tenga permisos delegados. Los miembros del grupo de Administradores de dominio tienen permisos suficientes para realizar esta tarea. Sin embargo, como práctica recomendada, utilice una cuenta de servicio que solo tenga los permisos mínimos necesarios para hacerlo. El siguiente procedimiento muestra cómo delegar únicamente los permisos necesarios FSx para unir ONTAP SVMs a su dominio.

Realice este procedimiento en un equipo que esté unido a su directorio y que tenga instalado el complemento MMC Usuarios y equipos de Active Directory.

Cómo crear una cuenta de servicio para el dominio de Microsoft Active Directory

  1. Procure haber iniciado sesión como administrador de dominio del dominio del Microsoft Active Directory.

  2. Abra el complemento MMC Usuarios y equipos del Active Directory.

  3. En el panel de tareas, expanda el nodo del dominio.

  4. Busque y abra el menú contextual (botón derecho) de la unidad organizativa que quiera modificar y, a continuación, elija Delegate Control (Delegar control).

  5. En la página Delegation of Control Wizard (Asistente de delegación de control), elija Next (Siguiente).

  6. Elija Add (Agregar) para agregar un usuario específico o un grupo específico para los usuarios y grupos seleccionados y, a continuación, elija Next (Siguiente).

  7. En la página Tareas que se delegarán, elija Crear una tarea personalizada para delegar y luego elija Siguiente.

  8. Elija Only the following objects in the folder (Sólo los siguientes objetos en la carpeta) y, a continuación, seleccione Computer objects (Objetos de equipo).

  9. Elija Create selected objects in this folder (Crear los objetos seleccionados en esta carpeta) y Delete selected objects in this folder (Eliminar los objetos seleccionados en esta carpeta). A continuación, elija Siguiente.

  10. En Mostrar estos permisos, procure seleccionar General y Específico de propiedad.

  11. Para los Permisos, elija lo siguiente:

    • Restablecer contraseña

    • Leer y escribir las restricciones de la cuenta

    • Escritura validada en el nombre de host DNS

    • Escritura validada en el nombre de entidad principal del servicio

    • Escribe MSDs- SupportedEncryptionTypes

  12. Elija Siguiente y, a continuación, elija Finalizar.

  13. Cierre el complemento MMC Usuarios y equipos del Active Directory.

importante

No muevas los objetos de ordenador que Amazon FSx cree en la unidad organizativa una vez creados SVMs los tuyos. Si lo hace, se configurará mal. SVMs

Mantener la configuración de Active Directory actualizada con Amazon FSx

Para una disponibilidad ininterrumpida de su Amazon FSx SVMs, actualice la configuración de Active Directory (AD) autogestionada de una SVM cuando cambie la configuración de AD autogestionada.

Por ejemplo, suponga que su AD utiliza una política de restablecimiento de contraseñas basada en el tiempo. En este caso, tan pronto como se restablezca la contraseña, asegúrate de actualizar la contraseña de la cuenta de servicio con Amazon FSx. Para ello, utilice la FSx consola de Amazon, la FSx API de Amazon o AWS CLI. Del mismo modo, si las direcciones IP del servidor DNS cambian para su dominio de Active Directory, tan pronto como se produzca el cambio, actualice las direcciones IP del servidor DNS con Amazon FSx.

Si hay un problema con la configuración AD autogestionada actualizada, el estado SVM cambia a Misconfigured (Desconfigurado). Este estado muestra un mensaje de error y una acción recomendada junto a la descripción de la SVM en la consola, la API y la CLI. Si se produce un problema con la configuración de AD de su SVM, asegúrese de tomar las medidas correctivas recomendadas para las propiedades de configuración. Si el problema se ha resuelto, compruebe que el estado de su SVM cambie a Created (Creado).

Para obtener más información, consulte Actualización de las configuraciones de SVM Active Directory existentes mediante la AWS Management Console API AWS CLI, y y Modificar una configuración de Active Directory mediante la CLI de ONTAP.

Uso de grupos de seguridad para limitar el tráfico dentro de la VPC

Para limitar el tráfico de red en la nube privada virtual (VPC), puede implementar el principio del privilegio mínimo en la VPC. En otras palabras, puedes limitar los permisos al mínimo necesario. Para ello, utilice las reglas de los grupos de seguridad. Para obtener más información, consulte Grupos de seguridad de Amazon VPC.

Crear reglas de grupos de seguridad salientes para la interfaz de red del sistema de archivos

Para mayor seguridad, considere la posibilidad de configurar un grupo de seguridad con reglas de tráfico saliente. Estas reglas deben permitir el tráfico saliente sólo a sus controladores de dominios AD autogestionados o dentro de la subred o grupo de seguridad. Aplique este grupo de seguridad a la VPC asociada a la interfaz de red elástica de su sistema de FSx archivos de Amazon. Para obtener más información, consulte Control de acceso al sistema de archivos con Amazon VPC.