Bonnes pratiques d'utilisation d'Active Directory - FSx pour ONTAP
Délégation d'autorisations à votre compte de service Amazon FSxMaintenir une configuration AD à jourLimiter le trafic au sein d'un VPC avec des groupes de sécuritéCréation de règles de groupes de sécurité sortants

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques d'utilisation d'Active Directory

Voici quelques suggestions et directives à prendre en compte lorsque vous associez des SVM Amazon FSx for NetApp ONTAP à votre Microsoft Active Directory autogéré. Notez qu'elles sont recommandées en tant que meilleures pratiques, mais qu'elles ne sont pas obligatoires.

Délégation d'autorisations à votre compte de service Amazon FSx

Assurez-vous de configurer le compte de service que vous fournissez à Amazon FSx avec les autorisations minimales requises. En outre, séparez l'unité organisationnelle (UO) des autres domaines concernés par le contrôleur de domaine.

Pour associer des SVM Amazon FSx à votre domaine, assurez-vous que le compte de service dispose d'autorisations déléguées. Les membres du groupe des administrateurs de domaine disposent des autorisations suffisantes pour effectuer cette tâche. Toutefois, il est recommandé d'utiliser un compte de service qui ne dispose que des autorisations minimales nécessaires pour ce faire. La procédure suivante explique comment déléguer uniquement les autorisations nécessaires pour joindre les SVM FSx for ONTAP à votre domaine.

Effectuez cette procédure sur un ordinateur joint à votre annuaire et sur lequel le composant logiciel enfichable MMC Active Directory User and Computers est installé.

Pour créer un compte de service pour votre domaine Microsoft Active Directory

  1. Assurez-vous d'être connecté en tant qu'administrateur de domaine pour votre domaine Microsoft Active Directory.

  2. Ouvrez le composant logiciel enfichable MMC Active Directory User and Computers.

  3. Dans le volet des tâches, développez le nœud de domaine.

  4. Localisez et ouvrez le menu contextuel (clic droit) de l'unité d'organisation que vous souhaitez modifier, puis choisissez Déléguer le contrôle.

  5. Sur la page Assistant de délégation de contrôle, choisissez Next.

  6. Choisissez Ajouter pour ajouter un utilisateur ou un groupe spécifique aux utilisateurs et groupes sélectionnés, puis cliquez sur Suivant.

  7. Sur la page Tâches à déléguer, sélectionnez Créer une tâche personnalisée à déléguer, puis choisissez Suivant.

  8. Choisissez Uniquement les objets suivants dans le dossier, puis choisissez Objets informatiques.

  9. Choisissez Créer les objets sélectionnés dans ce dossier et Supprimer les objets sélectionnés dans ce dossier. Ensuite, sélectionnez Suivant.

  10. Sous Afficher ces autorisations, assurez-vous que les options Général et Spécifique à la propriété sont sélectionnées.

  11. Pour Autorisations, choisissez ce qui suit :

    • Réinitialisation du mot

    • Lire et écrire les restrictions du compte

    • Écriture validée sur le nom d'hôte DNS

    • Écriture validée sur le nom principal du service

    • Rédiger des MSDs- SupportedEncryptionTypes

  12. Cliquez sur Suivant, puis sur Terminer.

  13. Fermez le composant logiciel enfichable MMC Active Directory User and Computers.

Important

Ne déplacez pas les objets informatiques créés par Amazon FSx dans l'unité d'organisation après la création de vos SVM. Cela entraînera une mauvaise configuration de vos SVM.

Maintien à jour de votre configuration Active Directory avec Amazon FSx

Pour une disponibilité ininterrompue de vos SVM Amazon FSx, mettez à jour la configuration Active Directory (AD) autogérée d'une SVM lorsque vous modifiez votre configuration AD autogérée.

Supposons, par exemple, que votre AD utilise une politique de réinitialisation des mots de passe basée sur le temps. Dans ce cas, dès que le mot de passe est réinitialisé, assurez-vous de mettre à jour le mot de passe du compte de service avec Amazon FSx. Pour ce faire, utilisez la console Amazon FSx, l'API Amazon FSx ou. AWS CLI De même, si les adresses IP du serveur DNS changent pour votre domaine Active Directory, mettez à jour les adresses IP du serveur DNS avec Amazon FSx dès que le changement se produit.

En cas de problème avec la mise à jour de la configuration AD autogérée, l'état de la SVM passe à Mauvaise configuration. Cet état affiche un message d'erreur et une action recommandée à côté de la description de la SVM dans la console, l'API et la CLI. En cas de problème lié à la configuration Active Directory de votre SVM, veillez à prendre les mesures correctives recommandées pour les propriétés de configuration. Si le problème est résolu, vérifiez que l'état de votre SVM passe à Créé.

Pour plus d’informations, consultez Mettre à jour la configuration Active Directory d'une SVM existante à l'aide de l' AWS Management ConsoleAPI AWS CLI,, et et Modifier une configuration Active Directory à l'aide de la CLI ONTAP.

Utilisation de groupes de sécurité pour limiter le trafic au sein de votre VPC

Pour limiter le trafic réseau dans votre cloud privé virtuel (VPC), vous pouvez mettre en œuvre le principe du moindre privilège dans votre VPC. En d'autres termes, vous pouvez limiter les autorisations au minimum nécessaire. Pour ce faire, utilisez les règles des groupes de sécurité. Pour en savoir plus, veuillez consulter la section Groupes de sécurité Amazon VPC.

Création de règles de groupe de sécurité sortant pour l'interface réseau de votre système de fichiers

Pour plus de sécurité, envisagez de configurer un groupe de sécurité avec des règles de trafic sortant. Ces règles doivent autoriser le trafic sortant uniquement vers vos contrôleurs de domaines AD autogérés ou au sein du sous-réseau ou du groupe de sécurité. Appliquez ce groupe de sécurité au VPC associé à l'interface Elastic Network Interface de votre système de fichiers Amazon FSx. Pour en savoir plus, consultez Contrôle d'accès au système de fichiers avec Amazon VPC.