Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de un Active Directory de Microsoft autoadministrado
Si la organización administra identidades y dispositivos mediante un Active Directory autoadministrado en las instalaciones o en la nube, puede unir el sistema de archivos de FSx para Windows File Server al dominio de Active Directory en el momento de crearlo.
Al unir el sistema de archivos al Active Directory autoadministrado, el sistema de archivos de FSx para Windows File Server residirá en el mismo bosque del Active Directory (el contenedor lógico superior de una configuración de Active Directory que contiene los dominios, usuarios y computadoras). A su vez, también residirá en el mismo dominio del Active Directory de los usuarios y recursos existentes (incluidos los servidores de archivos existentes).
nota
Puede aislar los recursos, incluso los sistemas de archivos de Amazon FSx, en un bosque de Active Directory independiente del bosque en el que residen los usuarios. Para ello, una el sistema de archivos a un Active Directory administrado de Microsoft de AWS y establezca una relación unidireccional de confianza en el bosque entre un Active Directory administrado de Microsoft de AWS que cree y el Active Directory autoadministrado existente.
-
Un nombre de usuario y una contraseña de una cuenta de servicio en el dominio del Active Directory para que Amazon FSx los utilice para unir el sistema de archivos al dominio del Active Directory Puede proporcionar estas credenciales como texto sin formato o almacenarlas AWS Secrets Manager y proporcionar el ARN secreto (recomendado).
-
(Opcional) La unidad organizativa (OU) del dominio a la que desea unir el sistema de archivos.
-
(Opcional) El grupo de dominios en el que quiere delegar la autoridad para realizar acciones administrativas en el sistema de archivos. Por ejemplo, este grupo de dominios podría administrar los recursos compartidos de archivos de Windows y las listas de control de acceso (ACL) de la carpeta raíz del sistema de archivos, y podría hacerse con la propiedad de los archivos y las carpetas, etc. Si no especifica este grupo, Amazon FSx delega esta autoridad en el grupo de Administradores de dominio de su dominio del Active Directory de forma predeterminada.
nota
El nombre del grupo de dominios que proporcione debe ser único en el Active Directory. FSx para Windows File Server no creará el grupo de dominios en las siguientes circunstancias:
Si ya existe un grupo con el nombre que especifique
Si no especifica un nombre y ya existe un grupo denominado “Administradores de dominio” en el Active Directory.
Para obtener más información, consulte Unir un sistema de archivos de Amazon FSx a un dominio de Microsoft Active Directory autoadministrado.
Temas
Requisitos previos
Antes de unir un sistema de archivos de FSx para Windows File Server a su dominio autoadministrado de Microsoft Active Directory, revise los siguientes requisitos previos para asegurarse de que puede unir correctamente el sistema de archivos de Amazon FSx al Active Directory autoadministrado.
On-premises configuraciones
Estos son los requisitos previos para el Microsoft Active Directory autoadministrado, ya sea en las instalaciones o en la nube, al que se unirá el sistema de archivos de Amazon FSx.
-
Controladores de dominio del Active Directory:
Debe tener un nivel funcional de dominio en Windows Server 2008 R2 o superior.
Debe tener permisos de escritura.
Al menos uno de los controladores de dominio accesibles debe ser un catálogo global del bosque.
-
El servidor DNS debe poder resolver los nombres de la siguiente manera:
en el dominio al que se va a unir al sistema de archivos
en el dominio raíz del bosque
-
Las direcciones IP del servidor de DNS y del controlador de dominio del Active Directory deben cumplir los siguientes requisitos, que varían en función del momento en que se creó el sistema de archivos Amazon FSx:
Para los sistemas de archivos creados antes del 17 de diciembre de 2020 Para sistemas de archivos creados después del 17 de diciembre de 2020 Las direcciones IP deben estar en un rango de direcciones IP privadas según la norma RFC 1918
: 10.0.0. 0/8
172,16,0. 0/12
192.168.0. 0/16
Las direcciones IP pueden estar en cualquier rango, excepto:
Direcciones IP que entran en conflicto con las direcciones IP propiedad de Amazon Web Services en el Región de AWS que se encuentra el sistema de archivos. Para obtener una lista de las direcciones IP AWS propias por región, consulte los rangos de direcciones AWS IP.
Direcciones IP en el rango de bloques CIDR de 198.19.0. 0/16
Si necesita acceder a un sistema de archivos de FSx para Windows File Server creado antes del 17 de diciembre de 2020 con un intervalo de direcciones IP no privadas, puede restaurar una copia de seguridad del sistema de archivo y así crear uno nuevo. Para obtener más información, consulte Restauración de una copia de seguridad en un nuevo sistema de archivos.
-
El nombre de dominio del Active Directory autoadministrado debe cumplir los siguientes requisitos:
El nombre de dominio no está en formato de dominio de etiqueta única (SLD). Amazon FSx no admite dominios SLD.
Para Single-AZ 2 y todos los sistemas de Multi-AZ archivos, el nombre de dominio no puede superar los 47 caracteres.
-
Todos los sitios de Active Directory que haya definido deben cumplir los siguientes requisitos previos:
Las subredes de la VPC asociada al sistema de archivos deben definirse en un sitio del Active Directory.
No hay discrepancias entre las subredes de VPC y ninguna de las subredes del sitio de Active Directory.
Amazon FSx requiere la conectividad con los controladores de dominio o los sitios de Active Directory que definió en el entorno de Active Directory. Amazon FSx ignorará cualquier controlador de dominio con protocolo de control de transmisión (TCP) y protocolo de datagramas de usuario (UDP) bloqueados en el puerto 389. Para el resto de los controladores de dominio de Active Directory, asegúrese de que cumplen los requisitos de conectividad de Amazon FSx. Además, compruebe que los cambios que haga en la cuenta de servicio se propaguen a todos estos controladores de dominio.
importante
No mueva los objetos informáticos que Amazon FSx crea en la OU después de crear el sistema de archivos. Si lo hace, el sistema de archivos no se configurará de manera correcta.
Puede validar la configuración de Active Directory, incluso las pruebas de conectividad de varios controladores de dominio, con la Herramienta de validación de Active Directory de Amazon FSx. Para restringir la cantidad de controladores de dominio que requieren conectividad, también puede establecer una relación de confianza entre los controladores de dominio en las instalaciones y el AWS Managed Microsoft AD. Para obtener más información, consulte Uso de un modelo de aislamiento de bosques de recursos.
importante
Amazon FSx solo ingresa los registros del DNS de un sistema de archivos si utiliza el DNS de Microsoft como servicio de DNS predeterminado. Si utiliza un DNS de terceros, tendrá que configurar las entradas de registro del DNS para el sistema de archivos de forma manual después de crearlo.
Configuraciones de red
En esta sección, se describen los requisitos de configuración de la red para unir un sistema de archivos al Active Directory autoadministrado. Le recomendamos encarecidamente que use la herramienta de validación del Active Directory de Amazon FSx para probar estas configuraciones de red antes de intentar unir el sistema de archivos al Active Directory autoadministrado.
Corrobore que las reglas del firewall permitan el tráfico según el protocol de mensajes de control de Internet (ICMP) entre los controladores de dominio de Active Directory y Amazon FSx.
-
La Conectividad debe estar configurada entre la Amazon VPC donde desea crear el sistema de archivos y el Active Directory autoadministrado. Puede configurar esta conectividad con Direct Connect, AWS Virtual Private Network, el emparejamiento de VPC o AWS Transit Gateway.
-
El grupo de seguridad de VPC predeterminado para la VPC de Amazon predeterminada se debe agregar al sistema de archivos mediante la consola de Amazon FSx. Corrobore que el grupo de seguridad y las ACL de la red de VPC para las subredes en las que crea el sistema de archivos permitan el tráfico en los puertos y en las direcciones que se muestran en el siguiente diagrama.
En la siguiente, tabla se identifican el protocolo, los puertos y la función.
Protocolo
Puertos
Rol
TCP/UDP
53
Sistema de nombres de dominio (DNS)
TCP/UDP
88
Autenticación de Kerberos
TCP/UDP
464
Change/set contraseña
TCP/UDP
389
Protocolo ligero de acceso a directorios (LDAP)
UDP 123 Protocolo de tiempo de red (NTP)
TCP 135 Mapeador de Environment/End puntos de computación distribuida () DCE/EPMAP
TCP
445
Uso compartido de archivos SMB de Directory Services
TCP
636
Protocolo ligero de acceso a directorios a través del protocolo TLS/SSL LDAPS
TCP
3268
Catálogo global de Microsoft
TCP
3269
Catálogo global de Microsoft mediante SSL
TCP
5985
WinRM 2.0 (Administración remota de Microsoft Windows)
TCP
9389
Servicios web Microsoft Active Directory DS, PowerShell
importante
Es necesario permitir el tráfico saliente en el puerto TCP 9389 para las implementaciones de Single-AZ 2 y sistemas de Multi-AZ archivos.
TCP
49152 - 65535
Puertos efímeros para RPC
Estas reglas de tráfico también deben reflejarse en los firewalls que se aplican a cada uno de los controladores del dominio del Active Directory, los servidores del DNS y los clientes y administradores de FSx.
nota
Si usa ACL de la red de VPC, también debe permitir el tráfico saliente en los puertos dinámicos (49152-65535) desde el sistema de archivos.
importante
Si bien los grupos de seguridad de Amazon VPC requieren que los puertos se abran solo en la dirección en la que se inicia el tráfico de red, la mayoría de los firewalls de Windows y las ACL de red de VPC requieren que los puertos estén abiertos en ambas direcciones.
Permisos de cuentas de servicio
Debe tener una cuenta de servicio en el Microsoft Active Directory autoadministrado con permisos delegados para unir objetos de equipos al dominio del Active Directory autoadministrado. Una cuenta de servicio es una cuenta de usuario del Active Directory autoadministrado a la que se le delegó permiso para realizar determinadas tareas.
A continuación, se indica el conjunto mínimo de permisos que se deben delegar a la cuenta de servicio de Amazon FSx en la OU a la que va a unir el sistema de archivos.
Si usa el control delegado en la Microsoft Management Console (MMC) usuarios y computadoras del Active Directory:
-
Restablecer contraseñas
-
Leer y escribir las restricciones de la cuenta
-
Escritura validada en el nombre de host DNS
-
Escritura validada en el nombre de entidad principal del servicio
-
-
Si usa funciones avanzadas en la MMC usuarios y computadoras del Active Directory:
-
Modificar los permisos
-
Crear objetos de equipo
-
Eliminar objetos informáticos
-
Para obtener más información, consulte, en la documentación de Microsoft Windows Server, el tema Error: se deniega el acceso cuando los usuarios que no son administradores a los que se les delegó el control intentan unir los equipos a un controlador de dominio
Para obtener más información sobre cómo establecer los permisos necesarios, consulte Delegación de permisos a la cuenta de servicio o grupo de Amazon FSx.
Las prácticas recomendadas al usar un Active Directory autoadministrado
Recomendamos que siga estas prácticas para unir los sistemas de archivos de Amazon FSx para Windows File Server al Microsoft Active Directory autoadministrado. Estas prácticas recomendadas le ayudarán a mantener la disponibilidad continua e ininterrumpida del sistema de archivos.
- Usar una cuenta de servicio independiente para Amazon FSx
-
Use una cuenta de servicio independiente para delegar los privilegios requeridos para que Amazon FSx administre completamente los sistemas de archivos que están unidos al Active Directory autoadministrado. No recomendamos usar los administradores de dominio para este fin.
- Uso de un grupo de Active Directory
Use un grupo de Active Directory para administrar los permisos y las configuraciones del Active Directory asociados a la cuenta de servicio de Amazon FSx.
- Segregar la unidad organizativa (OU)
-
Para facilitar la búsqueda y la administración de objetos de equipo de Amazon FSx, le recomendamos que divida la unidad organizativa (OU) que usa en los sistemas de archivos de FSx para Windows File Server de otros problemas asociados a controladores de dominio.
- Cómo mantener la configuración del Active Directory actualizada
Es fundamental que mantenga actualizada la configuración del Active Directory del sistema de archivos ante cualquier cambio. Por ejemplo, si el Active Directory autoadministrado usa una política de restablecimiento de contraseñas en función del tiempo, apenas se restablezca la contraseña, procure actualizar la contraseña de la cuenta de servicio en el sistema de archivos. Para obtener más información, consulte Actualización de la configuración de un Active Directory autoadministrado.
- Cambio de la cuenta de servicio de Amazon FSx
-
Si actualiza el sistema de archivos con una cuenta de servicio nueva, debe tener los permisos y privilegios requeridos para unirse al Active Directory y tener permisos de control total sobre los objetos de equipos existentes asociados al sistema de archivos. Para obtener más información, consulte Cambio de la cuenta de servicio de Amazon FSx.
- Asigne subredes a un único sitio de Microsoft Active Directory
-
Si su entorno de AD tiene una gran cantidad de controladores de dominio, utilice los sitios y servicios de Active Directory para asignar las subredes que utilizan los sistemas de archivos de Amazon FSx a un único sitio de Active Directory con la máxima disponibilidad y fiabilidad. Asegúrese de que el grupo de seguridad de VPC, la ACL de la red de VPC, las reglas de firewall de Windows de sus DC y cualquier otro control de enrutamiento de red que tenga en su infraestructura de Active Directory permitan la comunicación desde Amazon FSx en los puertos necesarios. Esto permite a Windows volver a otros controladores de dominio si no puede usar el sitio de Active Directory asignado. Para obtener más información, consulte Control de acceso al sistema de archivos con Amazon VPC.
- Usar reglas de grupos de seguridad para limitar el tráfico
Use las reglas de los grupos de seguridad para implementar el principio del privilegio mínimo en la nube privada virtual (VPC). Puede limitar el tipo de tráfico de red entrante y saliente permitido para el archivo mediante reglas de grupos de seguridad de VPC. Por ejemplo, recomendamos permitir el tráfico saliente únicamente a los controladores de dominio del Active Directory autoadministrado o dentro de la subred o el grupo de seguridad que esté usando. Para obtener más información, consulte Control de acceso al sistema de archivos con Amazon VPC.
- No mueva los objetos de ordenador creados por Amazon FSx
importante
No mueva los objetos informáticos que Amazon FSx crea en la OU después de crear el sistema de archivos. Si lo hace, el sistema de archivos no se configurará de manera correcta.
- Validar la configuración de Active Directory
Antes de intentar unir un sistema de archivos de FSx para Windows File Server al Active Directory, recomendamos encarecidamente que valide la configuración del Active Directory con la herramienta de validación de Active Directory de Amazon FSx.
Almacenar las credenciales de Active Directory mediante AWS Secrets Manager
Puede usarlo AWS Secrets Manager para almacenar y administrar de forma segura las credenciales de su cuenta de servicio de unión a dominios de Microsoft Active Directory. Este enfoque elimina la necesidad de almacenar las credenciales confidenciales en texto plano en el código de la aplicación o en los archivos de configuración, lo que refuerza su postura de seguridad.
También puede configurar políticas de IAM para administrar el acceso a sus secretos y establecer políticas de rotación automática para sus contraseñas.
Paso 1: crear una clave de KMS
Cree una clave de KMS para cifrar y descifrar las credenciales de Active Directory en Secrets Manager.
Creación de una clave
nota
Para la clave de cifrado, cree una clave nueva, no utilice la clave KMS AWS predeterminada. Asegúrese de crearla AWS KMS key en la misma región que contiene el sistema de archivos que desea unir a su Active Directory.
Abra la AWS KMS consola en https://console.aws.amazon.com/kms.
-
Elija Crear clave.
-
En Tipo de clave, elija Simétrica.
-
Para Uso de claves, elija Cifrar y descifrar.
-
En Opciones avanzadas, realice lo siguiente:
-
En Origen del material de claves, elija Externo.
-
En Regionalidad, elija la Single-Region clave y elija Siguiente.
-
-
Elija Siguiente.
-
Para Alias, proporcione un nombre para la clave de KMS.
-
(Opcional) En Description, proporcione una descripción de la clave de KMS.
-
(Opcional) En Etiquetas, introduzca una etiqueta para la clave de KMS y seleccione Siguiente.
-
(Opcional) Para los Administradores de claves, indique los usuarios y roles de IAM autorizados para administrar esta clave.
-
En Eliminación de la clave, mantenga seleccionada la casilla Permitir que los administradores de claves eliminen esta clave y seleccione Siguiente.
-
(Opcional) En el caso de los Usuarios clave, indique los usuarios y roles de IAM autorizados a utilizar esta clave en las operaciones criptográficas. Elija Siguiente.
-
En Política de claves, seleccione Editar e incluya lo siguiente en la Declaración de política para permitir que Amazon FSx utilice la clave de KMS y seleccione Siguiente. Asegúrese de sustituir el nombre por el
us-west-2Región de AWS lugar donde está desplegado el sistema de archivos y123456789012por su Cuenta de AWS ID.{ "Sid": "Allow FSx to use the KMS key", "Version": "2012-10-17", "Effect": "Allow", "Principal": { "Service": "fsx.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-west-2.amazonaws.com", "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*" } } } -
Seleccione Finalizar.
nota
Puede establecer un control de acceso más detallado modificando los campos Resource y aws:SourceArn para que se dirijan a secretos y sistemas de archivos específicos.
Paso 2: Crea un AWS Secrets Manager secreta
Creación de un secreto
-
Abra la consola de Secrets Manager en https://console.aws.amazon.com/secretsmanager/
. -
Elija Almacenar un secreto nuevo.
-
En Secret type (Tipo de secreto), elija Other type of secret (Otro tipo de secreto).
-
En el Key/value caso de los pares, haz lo siguiente para añadir tus dos claves:
-
Para la primera clave, introduzca
CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME. -
Para el valor de la primera clave, ingrese solo el nombre de usuario (sin el prefijo de dominio) del usuario de AD.
-
Para la segunda clave, introduzca
CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD. -
Para el valor de la segunda clave, introduzca la contraseña que creó para el usuario de AD en su dominio.
-
-
Para la Clave de cifrado, introduzca el ARN del KMS que creó en el paso anterior y haga clic en Siguiente.
-
En Nombre de secreto, introduzca un nombre descriptivo que le ayude a buscar el secreto más adelante.
-
(Opcional) En Descripción, escriba una descripción del nombre del secreto.
-
En Permisos de recursos, seleccione Editar.
Añada la siguiente política a la política de permisos para permitir que Amazon FSx utilice el secreto y, a continuación, seleccione Siguiente. Asegúrese de sustituir la ubicación en la
us-west-2Región de AWS que está desplegado el sistema de archivos y123456789012por su Cuenta de AWS ID.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "fsx.amazonaws.com" }, "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*" } } } ] }nota
Puede establecer un control de acceso más detallado modificando los campos
Resourceyaws:SourceArnpara que se dirijan a secretos y sistemas de archivos específicos. -
(Opcional) Puede configurar Secrets Manager para que rote sus credenciales automáticamente. Elija Siguiente.
-
Seleccione Finalizar.
Paso 1: crear una clave de KMS
Cree una clave de KMS para cifrar y descifrar las credenciales de Active Directory en Secrets Manager.
Para crear una clave KMS, utilice el AWS CLI comando create-key.
En este comando, defina el parámetro --policy para especificar la política de claves que define los permisos para la clave de KMS. La política debe incluir lo siguiente:
-
La entidad principal de servicio de Amazon FSx, que es
fsx.amazonaws.com. -
Acciones de KMS obligatorias:
kms:Decryptykms:DescribeKey. -
Patrón de ARN de recursos para su cuenta Región de AWS AND.
-
Claves de condición que restringen el uso de las claves:
-
kms:ViaServicepara garantizar que las solicitudes lleguen a través de Secrets Manager. -
aws:SourceAccountpara limitarlo a su cuenta. -
aws:SourceArnpara restringirlo a sistemas de archivos de Amazon FSx específicos.
-
En el siguiente ejemplo, se crea una clave de KMS de cifrado simétrico con una política que permite a Amazon FSx usarla para operaciones de descifrado y descripción de claves. El comando recupera automáticamente su Cuenta de AWS ID y región y, a continuación, configura la política de claves con estos valores para garantizar los controles de acceso adecuados entre Amazon FSx, Secrets Manager y la clave KMS. Asegúrese de que su AWS CLI entorno esté en la misma región que el sistema de archivos que se unirá a Active Directory.
# Set region and get Account ID REGION=${AWS_REGION:-$(aws configure get region)} ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text) # Create Key KMS_KEY_ARN=$(aws kms create-key --policy "{ \"Version\": \"2012-10-17\", \"Statement\": [ { \"Sid\": \"Enable IAM User Permissions\", \"Effect\": \"Allow\", \"Principal\": { \"AWS\": \"arn:aws:iam::$ACCOUNT_ID:root\" }, \"Action\": \"kms:*\", \"Resource\": \"*\" }, { \"Sid\": \"Allow FSx to use the KMS key\", \"Effect\": \"Allow\", \"Principal\": { \"Service\": \"fsx.amazonaws.com\" }, \"Action\": [ \"kms:Decrypt\", \"kms:DescribeKey\" ], \"Resource\": \"*\", \"Condition\": { \"StringEquals\": { \"kms:ViaService\": \"secretsmanager.$REGION.amazonaws.com\", \"aws:SourceAccount\": \"$ACCOUNT_ID\" }, \"ArnLike\": { \"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\" } } } ] }" --query 'KeyMetadata.Arn' --output text) echo "KMS Key ARN: $KMS_KEY_ARN"
nota
Puede establecer un control de acceso más detallado modificando los campos Resource y aws:SourceArn para que se dirijan a secretos y sistemas de archivos específicos.
Paso 2: Crear un AWS Secrets Manager secreta
Para crear un secreto para que Amazon FSx pueda acceder a Active Directory, utilice el AWS CLI comando create-secret y defina los siguientes parámetros:
-
--name: el identificador de su secreto -
--description: una descripción del objetivo del secreto -
--kms-key-id: el ARN de la clave de KMS que creó en el Paso 1 para cifrar el secreto en reposo -
--secret-string: una cadena JSON que contiene sus credenciales de AD en el siguiente formato:-
CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME: el nombre de usuario de su cuenta de servicio de AD sin el prefijo de dominio, comosvc-fsx. No proporcione el prefijo de dominio, comoCORP\svc-fsx. -
CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD: la contraseña de su cuenta de servicio de AD.
-
-
--region: el Región de AWS lugar donde se creará su sistema de archivos Amazon FSx. De forma predeterminada, será la región que haya configurado siAWS_REGIONno está establecida.
Tras crear el secreto, adjunte una política de recursos mediante el comando put-resource-policy y establezca los siguientes parámetros:
-
--secret-id: el ARN o nombre del secreto para adjuntar la política En este ejemplo se usaFSxSecretcomo--secret-id. -
--region: Igual Región de AWS que tu secreto. -
--resource-policy: un documento de política de JSON que concede permiso a Amazon FSx para acceder al secreto La política debe incluir lo siguiente:-
La entidad principal de servicio de Amazon FSx, que es
fsx.amazonaws.com. -
Acciones requeridas de Secrets Manager:
secretsmanager:GetSecretValueysecretsmanager:DescribeSecret. -
Patrón de ARN de recursos para su cuenta Región de AWS AND.
-
Las siguientes claves de condición que restringen el acceso:
-
aws:SourceAccountpara limitarlo a su cuenta. -
aws:SourceArnpara restringirlo a sistemas de archivos de Amazon FSx específicos.
-
-
En el siguiente ejemplo, se crea un secreto con el formato necesario y se adjunta una política de recursos que permite a Amazon FSx utilizar el secreto. Este ejemplo recupera automáticamente su Cuenta de AWS ID y su región y, a continuación, configura la política de recursos con estos valores para garantizar los controles de acceso adecuados entre Amazon FSx y el secreto.
Asegúrese de sustituir el KMS_KEY_ARN con el ARN de la clave que creó en el Paso 1, CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME y CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD con las credenciales de la cuenta de servicio de Active Directory. Además, compruebe que su AWS CLI entorno esté configurado para la misma región que el sistema de archivos que se unirá a Active Directory.
# Set region and get account ID REGION=${AWS_REGION:-$(aws configure get region)} ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text) # Replace with your KMS key ARN from Step 1 KMS_KEY_ARN="arn:aws:kms:us-east-2:123456789012:key/1234542f-d114-555b-9ade-fec3c9200d8e" # Replace with your Active Directory credentials AD_USERNAME="Your_Username" AD_PASSWORD="Your_Password" # Create the secret SECRET_ARN=$(aws secretsmanager create-secret \ --name "FSxSecret" \ --description "Secret for FSx access" \ --kms-key-id "$KMS_KEY_ARN" \ --secret-string "{\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"$AD_USERNAME\",\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"$AD_PASSWORD\"}" \ --region "$REGION" \ --query 'ARN' \ --output text) echo "Secret created with ARN: $SECRET_ARN" # Attach the resource policy with proper formatting aws secretsmanager put-resource-policy \ --secret-id "FSxSecret" \ --region "$REGION" \ --resource-policy "{ \"Version\": \"2012-10-17\", \"Statement\": [ { \"Effect\": \"Allow\", \"Principal\": { \"Service\": \"fsx.amazonaws.com\" }, \"Action\": [ \"secretsmanager:GetSecretValue\", \"secretsmanager:DescribeSecret\" ], \"Resource\": \"$SECRET_ARN\", \"Condition\": { \"StringEquals\": { \"aws:SourceAccount\": \"$ACCOUNT_ID\" }, \"ArnLike\": { \"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\" } } } ] }" echo "Resource policy attached successfully"
nota
Puede establecer un control de acceso más detallado modificando los campos Resource y aws:SourceArn para que se dirijan a secretos y sistemas de archivos específicos.
Cuenta de servicio de Amazon FSx
Los sistemas de archivos Amazon FSx unidos a un Active Directory autoadministrado requieren una cuenta de servicio válida durante toda su vida útil. Amazon FSx usa la cuenta de servicio para administrar completamente los sistemas de archivos y realizar tareas administrativas que requieren separar y volver a unir objetos de equipo al dominio de Active Directory. Estas tareas incluyen reemplazar un servidor de archivos defectuoso y aplicar parches al software de Microsoft Windows Server. Para que Amazon FSx realice estas tareas, la cuenta de servicio de Amazon FSx debe tener, como mínimo, el conjunto de permisos que se delegó y se describe en Permisos de cuentas de servicio.
Si bien los miembros del grupo de administradores de dominio tienen privilegios suficientes para realizar estas tareas, recomendamos encarecidamente que use una cuenta de servicio independiente para delegar los privilegios necesarios en Amazon FSx.
Para obtener más información sobre cómo delegar privilegios mediante las características de delegar control o características avanzadas del complemento MMC usuarios y computadoras de Active Directory, consulte Delegación de permisos a la cuenta de servicio o grupo de Amazon FSx.
Si actualiza el sistema de archivos con una cuenta de servicio nueva, esta debe tener los permisos y privilegios requeridos para unirse al Active Directory y tener permisos de control total sobre los objetos de equipos existentes asociados al sistema de archivos. Para obtener más información, consulte Cambio de la cuenta de servicio de Amazon FSx.
Se recomienda almacenar las credenciales de la cuenta de servicio de Active Directory en AWS Secrets Manager para mejorar la seguridad. Esto elimina la necesidad de almacenar credenciales confidenciales en texto sin formato y se alinea con las mejores prácticas de seguridad. Para obtener más información, consulte Uso de un Active Directory de Microsoft autoadministrado.