Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configuration d’Active Directory autogéré
Pour configurer un AD autogéré, procédez comme suit.
**Topics**
+ [Étape 1 : Création d’une unité organisationnelle dans votre AD](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateOU)
+ [Étape 2 : Création d’un compte de service de domaine AD dans votre AD](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateADuser)
+ [Étape 3 : Délégation du contrôle au compte de service de domaine AD](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.DelegateControl)
+ [Étape 4 : Création d'une AWS KMS clé](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateKMSkey)
+ [Étape 5 : Créez un AWS secret](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateSecret)
## Étape 1 : Création d’une unité organisationnelle dans votre AD
**Important**
Nous vous recommandons de créer une unité d'organisation dédiée et des informations d'identification de service étendues à cette unité d'organisation pour tout AWS compte propriétaire d'une instance de base de données RDS pour SQL Server jointe à votre domaine AD autogéré. En dédiant une unité organisationnelle et des informations d’identification de service, vous pouvez éviter les conflits d’autorisations et suivre le principe de moindre privilège.
**Pour créer une unité organisationnelle dans votre annuaire AD**
1. Connectez-vous à votre domaine AD en tant qu'administrateur de domaine.
1. Ouvrez **Utilisateurs et ordinateurs Active Directory** et sélectionnez le domaine où vous souhaitez créer votre unité organisationnelle.
1. Cliquez avec le bouton droit sur le domaine et choisissez **Nouveau**, puis **Unité d'organisation**.
1. Saisissez un nom pour l’unité organisationnelle.
1. Laissez la case cochée pour **Protéger le conteneur contre la suppression accidentelle**.
1. Cliquez sur **OK**. Votre nouvelle unité organisationnelle apparaîtra sous votre domaine.
## Étape 2 : Création d’un compte de service de domaine AD dans votre AD
Les informations d'identification du compte du service de domaine seront utilisées pour le secret dans AWS Secrets Manager.
**Pour créer un compte de service de domaine AD dans votre AD**
1. Ouvrez **Utilisateurs et ordinateurs Active Directory** et sélectionnez le domaine et l’unité organisationnelle où vous souhaitez créer votre utilisateur.
1. Cliquez avec le bouton droit sur l'objet **Utilisateurs** et choisissez **Nouveau**, puis **Utilisateur**.
1. Saisissez le prénom, le nom de famille et le nom de connexion de l'utilisateur. Cliquez sur **Suivant**.
1. Saisissez un mot de passe pour l'utilisateur. Ne sélectionnez pas **« L'utilisateur doit modifier le mot de passe lors de sa prochaine connexion »**. Ne sélectionnez pas **« Le compte est désactivé »**. Cliquez sur **Suivant**.
1. Cliquez sur **OK**. Votre nouvel utilisateur apparaîtra sous votre domaine.
## Étape 3 : Délégation du contrôle au compte de service de domaine AD
**Pour déléguer le contrôle au compte de service de domaine AD dans votre domaine**
1. Ouvrez le composant logiciel enfichable MMC **Utilisateurs et ordinateurs Active Directory** et sélectionnez le domaine où vous souhaitez créer votre utilisateur.
1. Cliquez avec le bouton droit sur l’unité organisationnelle que vous avez créée précédemment et choisissez **Déléguer le contrôle**.
1. Sur la page **Assistant Délégation de contrôle**, cliquez sur **Suivant**.
1. Dans la section **Utilisateurs ou groupes**, cliquez sur **Ajouter**.
1. Dans la section **Sélectionner les utilisateurs, les ordinateurs ou les groupes**, entrez le compte de service de domaine AD que vous avez créé et cliquez sur **Vérifier les noms**. Si votre vérification du compte de service de domaine AD aboutit, cliquez sur **OK**.
1. Dans la section **Utilisateurs ou groupes**, confirmez que votre compte de service de domaine AD a été ajouté et cliquez sur **Suivant**.
1. Dans la section **Tâches à déléguer**, choisissez **Créer une tâche personnalisée à déléguer** et cliquez sur **Suivant**.
1. Dans la section **Type d'objet Active Directory** :
1. Choisissez **Seulement les objets suivants dans le dossier**.
1. Sélectionnez **Objets informatiques**.
1. Sélectionnez **Créer les objets sélectionnés dans ce dossier**.
1. Sélectionnez **Supprimer les objets sélectionnés dans ce dossier** et cliquez sur **Suivant**.
1. Dans la section **Autorisations** :
1. Gardez l'option **Général** sélectionnée.
1. Sélectionnez **Écriture validée sur le nom d'hôte DNS**.
1. Sélectionnez **Écriture validée sur le nom du principal de service** et cliquez sur **Suivant**.
1. Pour activer l'authentification Kerberos, maintenez l'option **Spécifique à la propriété** sélectionnée et sélectionnez **Écrire servicePrincipalName** dans la liste.
1. Pour **Fin de l'Assistant Délégation de contrôle**, passez en revue et confirmez vos paramètres, puis cliquez sur **Terminer**.
1. Pour l’authentification Kerberos, ouvrez le Gestionnaire DNS et ouvrez les propriétés **Serveur**.
1. Dans la boîte de dialogue Windows, tapez `dnsmgmt.msc`.
1. Ajoutez le compte de service de domaine AD sous l’onglet **Sécurité**.
1. Sélectionnez l’autorisation **Lecture** et appliquez vos modifications.
## Étape 4 : Création d'une AWS KMS clé
La clé KMS est utilisée pour chiffrer votre AWS secret.
**Pour créer une AWS KMS clé**
**Note**
Pour la **clé de chiffrement**, n'utilisez pas la clé KMS AWS par défaut. Assurez-vous de créer la AWS KMS clé dans le même AWS compte qui contient l'instance de base de données RDS pour SQL Server que vous souhaitez joindre à votre AD autogéré.
1. Dans la AWS KMS console, choisissez **Create key**.
1. Pour **Type de clé**, choisissez **Symétrique**.
1. Pour **Utilisation de la clé**, choisissez **Chiffrer et déchiffrer**.
1. Pour **Options avancées** :
1. Pour **Origine des clés**, choisissez **KMS**.
1. Pour **Régionalité**, choisissez **Clé à région unique** et cliquez sur **Suivant**.
1. Pour **Alias**, attribuez un nom à la clé KMS.
1. (Facultatif) Pour **Description**, fournissez une description de la clé KMS.
1. (Facultatif) Pour **Balises**, spécifiez une balise pour la clé KMS et cliquez sur **Suivant**.
1. Pour **Administrateurs de clé**, spécifiez le nom d'un utilisateur IAM et sélectionnez-le.
1. Pour **Suppression de clé**, laissez la case cochée pour **Autoriser les administrateurs de clé à supprimer cette clé** et cliquez sur **Suivant**.
1. Pour **Utilisateurs de clé**, spécifiez le même utilisateur IAM que celui de l'étape précédente et sélectionnez-le. Cliquez sur **Suivant**.
1. Passez en revue la configuration.
1. Pour **Stratégie de clé**, ajoutez ce qui suit à la **déclaration** de stratégie :
```
{
"Sid": "Allow use of the KMS key on behalf of RDS",
"Effect": "Allow",
"Principal": {
"Service": [
"rds.amazonaws.com"
]
},
"Action": "kms:Decrypt",
"Resource": "*"
}
```
1. Cliquez sur **Finish**.
## Étape 5 : Créez un AWS secret
**Pour créer un secret**
**Note**
Assurez-vous de créer le secret dans le même AWS compte qui contient l'instance de base de données RDS pour SQL Server que vous souhaitez joindre à votre AD autogéré.
1. Dans AWS Secrets Manager, choisissez **Enregistrer un nouveau secret**.
1. Pour **Secret type** (Type de secret), choisissez **Other type of secret** (Autre type de secret).
1. Pour **Paires clé/valeur**, ajoutez vos deux clés :
1. Pour la première clé, entrez `SELF_MANAGED_ACTIVE_DIRECTORY_USERNAME`.
1. Pour la valeur de la première clé, saisissez uniquement le nom utilisateur (sans le préfixe de domaine) de l’utilisateur AD. N’incluez pas le nom de domaine, car cela entraîne l’échec de la création de l’instance.
1. Pour la deuxième clé, entrez `SELF_MANAGED_ACTIVE_DIRECTORY_PASSWORD`.
1. Pour la valeur de la deuxième clé, saisissez le mot de passe que vous avez créé pour l'utilisateur AD sur votre domaine.
1. Pour **Clé de chiffrement**, saisissez la clé KMS que vous avez créée à une étape précédente et cliquez sur **Suivant**.
1. Dans **Nom du secret**, saisissez un nom descriptif qui vous aidera à rechercher votre secret ultérieurement.
1. (Facultatif) Pour **Description**, saisissez une description du nom du secret.
1. Pour **Autorisation des ressources**, cliquez sur **Modifier**.
1. Ajoutez la politique suivante à la politique d'autorisation :
**Note**
Nous vous recommandons d'utiliser les conditions `aws:sourceAccount` et `aws:sourceArn` dans la politique pour éviter le problème de l’*adjoint confus*. Utilisez votre Compte AWS for `aws:sourceAccount` et l'ARN de votre instance de base de données RDS pour SQL Server pour`aws:sourceArn`. Pour de plus amples informations, veuillez consulter [Prévention des problèmes d'adjoint confus entre services](cross-service-confused-deputy-prevention.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Principal":
{
"Service": "rds.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "*",
"Condition":
{
"StringEquals":
{
"aws:sourceAccount": "123456789012"
},
"ArnLike":
{
"aws:sourceArn": "arn:aws:rds:us-west-2:123456789012:db:*"
}
}
}
]
}
```
------
1. Cliquez sur **Enregistrer**, puis sur **Suivant**.
1. Pour **Configurer les paramètres de rotation**, conservez les valeurs par défaut et choisissez **Suivant**.
1. Passez en revue les paramètres du secret et cliquez sur **Stocker**.
1. Choisissez le secret que vous avez créé et copiez la valeur de l'**ARN du secret**. Il sera utilisé à l'étape suivante pour configurer Active Directory autogéré.