Création d'une relation d'approbation - AWS Directory Service
PrérequisCréation de la relation d'approbation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'une relation d'approbation

Vous pouvez configurer des relations d'approbation externes et forestières unidirectionnelles ou bidirectionnelles entre votre Service d' AWS annuaire pour Microsoft Active Directory et les annuaires autogérés (sur site), ainsi qu'entre plusieurs annuaires AWS Microsoft AD gérés dans le cloud. AWS AWS Managed Microsoft AD prend en charge les trois directions des relations de confiance : entrante, sortante et bidirectionnelle (bidirectionnelle).

Pour plus d'informations sur les relations de confiance, voir Tout ce que vous vouliez savoir sur les approbations avec AWS Managed Microsoft AD.

Note

Lorsque vous configurez des relations de confiance, vous devez vous assurer que votre annuaire autogéré est et reste compatible avec AWS Directory Service s. Pour plus d'informations sur vos responsabilités, veuillez consulter notre modèle de responsabilité partagée.

AWS Managed Microsoft AD prend en charge les approbations externes et forestières. Pour passer en revue un exemple de scénario montrant comment créer une approbation de forêt, veuillez consulter Didacticiel : créer une relation d'approbation entre votre AWS Managed Microsoft AD et votre domaine Active Directory..

Une confiance bidirectionnelle est requise pour les applications AWS d'entreprise telles qu'Amazon Chime, Amazon Connect, QuickSight Amazon AWS IAM Identity Center, Amazon WorkDocs, Amazon WorkMail, WorkSpaces Amazon et le. AWS Management Console AWS Managed Microsoft AD doit être en mesure d'interroger les utilisateurs et les groupes de votre service autogéréActive Directory.

Amazon EC2, Amazon RDS et Amazon FSx fonctionneront avec une confiance unidirectionnelle ou bidirectionnelle.

Prérequis

La création de l'approbation s'effectue en quelques étapes seulement, mais vous devez d'abord effectuer plusieurs étapes préalables à la phase de configuration de la relation d'approbation.

Note

AWS Managed Microsoft AD ne prend pas en charge la confiance avec les domaines à étiquette unique.

Connexion au VPC

Si vous créez une relation de confiance avec votre annuaire autogéré, vous devez d'abord connecter votre réseau autogéré au VPC Amazon contenant votre Microsoft AD géré AWS . Le pare-feu de vos réseaux Microsoft AD AWS autogérés et gérés doit avoir les ports réseau ouverts répertoriés dans WindowsServer 2008 et versions ultérieures dans Microsoft la documentation.

Pour utiliser votre nom NetBIOS au lieu de votre nom de domaine complet pour l'authentification auprès de vos AWS applications telles qu'Amazon ou WorkDocs Amazon QuickSight, vous devez autoriser le port 9389. Pour plus d'informations sur les ports et protocoles Active Directory, consultez la section Présentation des services et exigences relatives aux ports réseau Windows dans Microsoft la documentation.

Il s'agit des ports minimum requis pour vous permettre de vous connecter à votre annuaire. Votre configuration spécifique peut nécessiter l'ouverture de ports supplémentaires.

Configuration de votre VPC

Le VPC qui contient votre AWS Microsoft AD géré doit disposer des règles sortantes et entrantes appropriées.

Pour configurer vos règles sortantes VPC

  1. Dans la AWS Directory Service console, sur la page Détails du répertoire, notez votre ID d'annuaire Microsoft AD AWS géré.

  2. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  3. Choisissez Security Groups.

  4. Recherchez votre ID d'annuaire Microsoft AD AWS géré. Dans les résultats de recherche, sélectionnez l'élément avec la description « groupe de sécuritéAWS créé pour les contrôleurs de répertoire ID ».

    Note

    Le groupe de sécurité sélectionné est un groupe de sécurité qui est créé automatiquement lorsque vous créez initialement votre annuaire.

  5. Accédez à l'onglet Outbound Rules de ce groupe de sécurité. Sélectionnez Edit, puis Add another rule. Pour la nouvelle règle, saisissez les valeurs suivantes :

    • Type : All Traffic

    • Protocole : All

    • La Destination détermine le trafic qui peut quitter vos contrôleurs de domaine et les directions possible sur votre réseau autogéré. Indiquez une adresse IP unique ou une plage d'adresses IP dans une notation CIDR (par exemple, 203.0.113.5/32). Vous pouvez également indiquer le nom ou l'ID d'un autre groupe de sécurité dans la même région. Pour plus d’informations, consultez Comprenez la configuration et l'utilisation AWS des groupes de sécurité de votre annuaire.

  6. Sélectionnez Save.

Activation de l'authentification préalable Kerberos

Vos comptes d'utilisateur doivent avoir une pré-authentification Kerberos activée. Pour plus d'informations sur ce paramètre, consultez la section Préauthentification sur Microsoft TechNet.

Configuration des redirecteurs conditionnels DNS sur votre domaine autogéré

Vous devez configurer des redirecteurs conditionnels DNS sur votre domaine autogéré. Reportez-vous à la section Affecter un redirecteur conditionnel pour un nom de domaine sur Microsoft TechNet pour plus de détails sur les redirecteurs conditionnels.

Pour effectuer les étapes suivantes, vous devez avoir accès aux outils Windows Server suivants pour votre domaine autogéré :

  • Outils AD DS et AD LDS

  • DNS

Pour configurer les redirecteurs conditionnels sur votre domaine autogéré

  1. Vous devez d'abord obtenir des informations sur votre AWS Managed Microsoft AD. Connectez-vous à AWS Management Console et ouvrez la console AWS Directory Service.

  2. Dans le volet de navigation, sélectionnez Directories.

  3. Choisissez l'ID de répertoire de votre AWS Managed Microsoft AD.

  4. Prenez note du nom de domaine complet (FQDN) et des adresses DNS de votre annuaire.

  5. Retournez maintenant à votre contrôleur de domaine autogéré. Ouvrez le Gestionnaire de serveur.

  6. Dans le menu Tools, choisissez DNS.

  7. Dans l'arborescence de la console, développez le serveur DNS du domaine pour lequel vous configurez la relation d'approbation.

  8. Dans l'arborescence de la console, sélectionnez Conditional Forwarders.

  9. Dans le menu Action, choisissez New conditional forwarder.

  10. Dans le domaine DNS, tapez le nom de domaine complet (FQDN) de votre AWS Managed Microsoft AD, comme vous l'avez indiqué précédemment.

  11. Choisissez les adresses IP des serveurs principaux et saisissez les adresses DNS de votre annuaire Microsoft AD AWS géré, comme vous l'avez indiqué précédemment.

    Après avoir saisi les adresses DNS, il se peut que l'erreur « timeout » ou « Impossible à résoudre » s'affiche. Vous pouvez généralement ignorer ces erreurs.

  12. Sélectionnez Store this conditional forwarder in Active Directory and replicate as follows: All DNS servers in this domain. Choisissez OK.

Mot de passe de relation d'approbation

Si vous créez une relation d'approbation avec un domaine existant, configurez la relation d'approbation sur ce domaine à l'aide des outils d'administration de Windows Server. Pensez à relever le mot de passe de la relation d'approbation que vous utilisez. Vous devrez utiliser ce même mot de passe lors de la configuration de la relation de confiance sur AWS Managed Microsoft AD. Pour plus d'informations, consultez la section Gestion des approbations sur Microsoft TechNet.

Vous êtes maintenant prêt à créer la relation de confiance sur votre AWS Managed Microsoft AD.

Noms de domaine et NetBIOS

Les noms de domaine et NetBIOS doivent être uniques et ne peuvent pas être identiques pour établir une relation d'approbation.

Création, vérification ou suppression d'une relation d'approbation

Note

Les relations de confiance sont une fonctionnalité globale de AWS Managed Microsoft AD. Si vous utilisez Réplication multi-régions, les procédures suivantes doivent être effectuées dans Région principale. Les modifications seront appliquées automatiquement à toutes les régions répliquées. Pour plus d’informations, consultez Caractéristiques mondiales et régionales.

Pour créer une relation de confiance avec votre Microsoft AD AWS géré

  1. Ouvrez la AWS Directory Service console.

  2. Sur la page Répertoires, choisissez votre identifiant Microsoft AD AWS géré.

  3. Sur la page Détails de l'annuaire, procédez de l'une des manières suivantes :

    • Si plusieurs régions apparaissent sous Réplication sur plusieurs régions, sélectionnez la région principale, puis cliquez sur l'onglet Mise en réseau et sécurité. Pour plus d’informations, consultez Régions principales et régions supplémentaires.

    • Si aucune région n'apparaît sous Réplication sur plusieurs régions, choisissez l'onglet Réseau et sécurité.

  4. Dans la section Trust relationships (Relations d'approbation), choisissez Actions, puis sélectionnez Add trust relationship (Ajouter une relation d'approbation).

  5. Sur la page Ajouter une relation d'approbation, fournissez les informations requises, y compris le type d'approbation, le nom de domaine complet (FQDN) de votre domaine approuvé, le mot de passe et la direction d'approbation.

  6. (Facultatif) Si vous souhaitez autoriser uniquement les utilisateurs autorisés à accéder aux ressources de votre répertoire AWS Managed Microsoft AD, vous pouvez éventuellement cocher la case Authentification sélective. Pour des informations générales sur l'authentification sélective, consultez la section Considérations relatives à la sécurité pour les entreprises de confiance chez Microsoft TechNet.

  7. Pour Redirecteur conditionnel, saisissez l'adresse IP de votre serveur DNS autogéré. Si vous avez créé précédemment des redirecteurs conditionnels, vous pouvez saisir le nom de domaine complet de votre domaine autogéré au lieu d'une adresse IP DNS.

  8. (Facultatif) Choisissez Add another IP (Ajouter une autre adresse IP) et entrez l'adresse IP d'un autre serveur DNS autogéré. Vous pouvez répéter cette étape pour chaque adresse de serveur DNS applicable pour un total de quatre adresses.

  9. Choisissez Ajouter.

  10. Si le serveur DNS ou le réseau de votre domaine autogéré utilise un espace d'adresse IP publique (non RFC 1918), accédez à la section IP routing (Routage IP) et choisissez Actions, puis Add route (Ajouter une route). Tapez le bloc d'adresse IP de votre serveur DNS ou réseau autogéré selon le format CIDR, par exemple 203.0.113.0/24. Cette étape n'est pas nécessaire si votre serveur DNS et votre réseau autogéré utilisent des espaces d'adressage IP RFC 1918.

    Note

    Lorsque vous définissez un espace d'adressage IP publique, assurez-vous de ne pas utiliser l'une des plages d'adresses IP AWS ; en effet, celles-ci ne peuvent pas être exploitées dans ce type de cas.

  11. (Facultatif) Nous vous recommandons de sélectionner Add routes to the security group for this directory's VPC (Ajouter des routes au groupe de sécurité pour le VPC de cet annuaire) pendant que vous êtes sur la page Add routes (Ajouter des routes). Cela va permettre de configurer les groupes de sécurité comme indiqué ci-dessus dans la section « Configuration de votre VPC ». Ces règles de sécurité ont un impact sur une interface réseau interne qui n'est pas exposée publiquement. Si cette option n'est pas disponible, un message s'affichera pour indiquer que vous avez déjà personnalisé vos groupes de sécurité.

Vous devez configurer la relation d'approbation sur les deux domaines. Les relations doivent être complémentaires. Par exemple, si vous créez une relation d'approbation sortante sur un domaine, vous devez créer une relation d'approbation entrante sur l'autre.

Si vous créez une relation d'approbation avec un domaine existant, configurez la relation d'approbation sur ce domaine à l'aide des outils d'administration de Windows Server.

Vous pouvez créer plusieurs approbations entre votre Microsoft AD AWS géré et différents domaines Active Directory. Cependant, vous ne pouvez avoir qu'une seule relation d'approbation par paire. Par exemple, si vous avez une relation d'approbation unidirectionnelle dans la « direction entrante » et que vous souhaitez configurer une autre relation d'approbation dans la « direction sortante », vous devrez supprimer la relation d'approbation existante et créer une nouvelle approbation « bidirectionnelle ».

Pour vérifier une relation d'approbation sortante

  1. Ouvrez la AWS Directory Service console.

  2. Sur la page Répertoires, choisissez votre identifiant Microsoft AD AWS géré.

  3. Sur la page Détails de l'annuaire, procédez de l'une des manières suivantes :

    • Si plusieurs régions apparaissent sous Réplication sur plusieurs régions, sélectionnez la région principale, puis cliquez sur l'onglet Mise en réseau et sécurité. Pour plus d’informations, consultez Régions principales et régions supplémentaires.

    • Si aucune région n'apparaît sous Réplication sur plusieurs régions, choisissez l'onglet Réseau et sécurité.

  4. Dans la section Trust relationships (Relations d'approbation), sélectionnez la relation d'approbation que vous voulez vérifier et choisissez Actions, puis Verify trust relationship (Vérifier la relation d'approbation).

Ce processus vérifie uniquement le sens sortant d'une confiance bidirectionnelle. AWS ne prend pas en charge la vérification des trusts entrants. Pour plus d'informations sur la façon de vérifier une approbation depuis ou vers votre Active Directory autogéré, consultez Vérifier une approbation sur Microsoft TechNet.

Suppression d'une relation d'approbation existante

  1. Ouvrez la AWS Directory Service console.

  2. Sur la page Répertoires, choisissez votre identifiant Microsoft AD AWS géré.

  3. Sur la page Détails de l'annuaire, procédez de l'une des manières suivantes :

    • Si plusieurs régions apparaissent sous Réplication sur plusieurs régions, sélectionnez la région principale, puis cliquez sur l'onglet Mise en réseau et sécurité. Pour plus d’informations, consultez Régions principales et régions supplémentaires.

    • Si aucune région n'apparaît sous Réplication sur plusieurs régions, choisissez l'onglet Réseau et sécurité.

  4. Dans la section Trust relationships (Relations d'approbation), sélectionnez la relation d'approbation que vous voulez supprimer et choisissez Actions, puis Delete trust relationship (Supprimer la relation d'approbation).

  5. Sélectionnez Supprimer.