Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation d'un Microsoft Active Directory autogéré
Si votre organisation gère les identités et les appareils à l'aide d'un Active Directory autogéré sur site ou dans le cloud, vous pouvez associer un système de fichiers FSx pour Windows File Server à votre domaine Active Directory lors de sa création.
Lorsque vous associez votre système de fichiers à votre Active Directory autogéré, votre système de fichiers FSx pour Windows File Server réside dans la même forêt Active Directory (le conteneur logique supérieur d'une configuration Active Directory qui contient des domaines, des utilisateurs et des ordinateurs) et dans le même domaine Active Directory que vos utilisateurs et ressources existantes (y compris les serveurs de fichiers existants).
**Note**
Vous pouvez isoler vos ressources, y compris vos systèmes de fichiers Amazon FSx , dans une forêt Active Directory distincte de celle où résident vos utilisateurs. Pour ce faire, associez votre système de fichiers à un répertoire Microsoft Active Directory AWS géré et établissez une relation d'approbation forestière unidirectionnelle entre un répertoire AWS Microsoft Active Directory géré que vous créez et votre Active Directory autogéré existant.
+ Nom d'utilisateur et mot de passe d'un compte de service sur votre domaine Active Directory, FSx à utiliser par Amazon pour associer le système de fichiers à votre domaine Active Directory. Vous pouvez fournir ces informations d'identification sous forme de texte brut ou les stocker AWS Secrets Manager et fournir l'ARN secret (recommandé).
+ (Facultatif) Unité organisationnelle (UO) de votre domaine à laquelle vous souhaitez associer votre système de fichiers.
+ (Facultatif) Le groupe de domaines auquel vous souhaitez déléguer l'autorité pour effectuer des actions administratives sur votre système de fichiers. Par exemple, ce groupe de domaines peut gérer les partages de fichiers Windows, gérer les listes de contrôle d'accès (ACLs) sur le dossier racine du système de fichiers, s'approprier des fichiers et des dossiers, etc. Si vous ne spécifiez pas ce groupe, Amazon FSx délègue cette autorité au groupe des administrateurs de domaine de votre domaine Active Directory par défaut.
**Note**
Le nom de groupe de domaines que vous fournissez doit être unique dans votre Active Directory. FSx pour Windows File Server ne créera pas le groupe de domaines dans les cas suivants :
Si un groupe existe déjà avec le nom que vous spécifiez
Si vous ne spécifiez pas de nom et qu'un groupe nommé « Administrateurs de domaine » existe déjà dans votre Active Directory.
Pour de plus amples informations, veuillez consulter [Joindre un système de FSx fichiers Amazon à un domaine Microsoft Active Directory autogéré](creating-joined-ad-file-systems.md).
**Topics**
+ [Conditions préalables](#self-manage-prereqs)
+ [Autorisations relatives aux comptes de service](#service-account-prereqs)
+ [Bonnes pratiques lors de l'utilisation d'un Active Directory autogéré](#self-managed-AD-best-practices)
+ [Compte FSx de service Amazon](#self-managed-AD-service-account)
+ [Délégation d'autorisations au compte ou au FSx groupe de service Amazon](assign-permissions-to-service-account.md)
+ [Validation de votre configuration Active Directory](validate-ad-config.md)
+ [Joindre un système de FSx fichiers Amazon à un domaine Microsoft Active Directory autogéré](creating-joined-ad-file-systems.md)
+ [Obtenir les adresses IP de système de fichiers correctes à utiliser pour les entrées DNS manuelles](file-system-ip-addresses-for-dns.md)
+ [Mettre à jour une configuration Active Directory autogérée](update-self-ad-config.md)
+ [Modifier le compte FSx de service Amazon](changing-ad-service-account.md)
+ [Surveillance des mises à jour d'Active Directory autogérées](monitor-self-ad-update.md)
## Conditions préalables
Avant de joindre un système de fichiers FSx pour serveur de fichiers Windows à votre domaine Microsoft Active Directory autogéré, passez en revue les conditions préalables suivantes pour vous assurer que vous pouvez associer avec succès votre système de FSx fichiers Amazon à votre Active Directory autogéré.
### Configurations sur site
Voici les prérequis pour votre Microsoft Active Directory autogéré, sur site ou dans le cloud, auquel vous rejoindrez le système de FSx fichiers Amazon.
+ Les contrôleurs de domaine Active Directory :
+ Doit avoir un niveau fonctionnel de domaine Windows Server 2008 R2 ou supérieur.
+ Doit être inscriptible.
+ Au moins l'un des contrôleurs de domaine accessibles doit être un catalogue global de la forêt.
+ Le serveur DNS doit être capable de résoudre les noms comme suit :
+ Dans le domaine dans lequel vous souhaitez rejoindre le système de fichiers
+ Dans le domaine racine de la forêt
+ Les adresses IP du serveur DNS et du contrôleur de domaine Active Directory doivent répondre aux exigences suivantes, qui varient en fonction de la date de création de votre système de FSx fichiers Amazon :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/WindowsGuide/self-managed-AD.html)
Si vous devez accéder à un système de fichiers FSx pour serveur de fichiers Windows créé avant le 17 décembre 2020 à l'aide d'une plage d'adresses IP non privées, vous pouvez créer un nouveau système de fichiers en restaurant une sauvegarde du système de fichiers. Pour de plus amples informations, veuillez consulter [Restauration d'une sauvegarde sur un nouveau système de fichiers](how-to-restore-backups.md).
+ Le nom de domaine de votre Active Directory autogéré doit répondre aux exigences suivantes :
+ Le nom de domaine n'est pas au format Single Label Domain (SLD). Amazon FSx ne prend pas en charge les domaines SLD.
+ Pour les systèmes de fichiers mono-AZ 2 et tous les systèmes de fichiers multi-AZ, le nom de domaine ne peut pas dépasser 47 caractères.
+ Tous les sites Active Directory que vous avez définis doivent répondre aux conditions préalables suivantes :
+ Les sous-réseaux du VPC associé à votre système de fichiers doivent être définis dans un site Active Directory.
+ Il n'y a aucun conflit entre les sous-réseaux VPC et les sous-réseaux du site Active Directory.
Amazon a FSx besoin d'une connectivité aux contrôleurs de domaine ou aux sites Active Directory que vous avez définis dans votre environnement Active Directory. Amazon FSx ignorera tous les contrôleurs de domaine dont les protocoles TCP et UDP sont bloqués sur le port 389. Pour les autres contrôleurs de domaine de votre Active Directory, assurez-vous qu'ils répondent aux exigences de FSx connectivité d'Amazon. Vérifiez également que toutes les modifications apportées à votre compte de service sont répercutées sur tous ces contrôleurs de domaine.
**Important**
Ne déplacez pas les objets informatiques FSx créés par Amazon dans l'unité d'organisation après la création de votre système de fichiers. Cela entraînera une mauvaise configuration de votre système de fichiers.
Vous pouvez valider votre configuration Active Directory, notamment tester la connectivité de plusieurs contrôleurs de domaine, à l'aide de l'[outil de validation Amazon FSx Active Directory](validate-ad-config.md). Pour limiter le nombre de contrôleurs de domaine nécessitant une connectivité, vous pouvez également établir une relation de confiance entre vos contrôleurs de domaine sur site et AWS Managed Microsoft AD. Pour de plus amples informations, veuillez consulter [Utilisation d'un modèle d'isolation des forêts de ressources](fsx-aws-managed-ad.md#using-a-rfim).
**Important**
Amazon enregistre les enregistrements DNS d'un système de fichiers FSx uniquement si vous utilisez Microsoft DNS comme service DNS par défaut. Si vous utilisez un DNS tiers, vous devrez configurer manuellement les entrées d'enregistrement DNS pour votre système de fichiers après l'avoir créé.
### Configurations réseau
Cette section décrit les exigences de configuration réseau pour joindre un système de fichiers à votre Active Directory autogéré. Nous vous recommandons vivement d'utiliser l'[outil de validation Amazon FSx Active Directory](validate-ad-config.md#test-ad-network-config) pour tester vos paramètres réseau avant de tenter de joindre votre système de fichiers à votre Active Directory autogéré.
+ Assurez-vous que vos règles de pare-feu autorisent le trafic ICMP entre vos contrôleurs de domaine Active Directory et Amazon FSx.
+ La connectivité doit être configurée entre le VPC Amazon sur lequel vous souhaitez créer le système de fichiers et votre Active Directory autogéré. Vous pouvez configurer cette connectivité à l'aide [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)du [peering VPC ou. [AWS Virtual Private Network[AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)
+ Le groupe de sécurité VPC par défaut pour votre Amazon VPC par défaut doit être ajouté à votre système de fichiers à l'aide de la console Amazon. FSx Assurez-vous que le groupe de sécurité et le réseau VPC ACLs des sous-réseaux sur lesquels vous créez votre système de fichiers autorisent le trafic sur les ports et dans le sens indiqué dans le schéma suivant.
![\[FSx pour les exigences de configuration des ports du serveur de fichiers Windows pour les groupes de sécurité VPC et le réseau ACLs pour les sous-réseaux dans lesquels le système de fichiers est créé.\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)
Le tableau suivant identifie le protocole, les ports et leur rôle.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/WindowsGuide/self-managed-AD.html)
Ces règles de trafic doivent également être reflétées sur les pare-feux qui s'appliquent à chacun des contrôleurs de domaine, serveurs DNS, FSx clients et administrateurs Active Directory. FSx
**Note**
Si vous utilisez un réseau VPC ACLs, vous devez également autoriser le trafic sortant sur les ports dynamiques (49152-65535) de votre système de fichiers.
**Important**
Alors que les groupes de sécurité Amazon VPC nécessitent que les ports soient ouverts uniquement dans le sens où le trafic réseau est initié, la plupart des pare-feux Windows et des réseaux VPC ACLs nécessitent que les ports soient ouverts dans les deux sens.
## Autorisations relatives aux comptes de service
Vous devez disposer d'un compte de service dans votre Microsoft Active Directory autogéré avec des autorisations déléguées pour joindre des objets informatiques à votre domaine Active Directory autogéré. Un *compte de service* est un compte utilisateur de votre Active Directory autogéré auquel certaines tâches ont été déléguées.
Voici l'ensemble minimal d'autorisations qui doivent être déléguées au compte de FSx service Amazon dans l'unité d'organisation à laquelle vous rejoignez le système de fichiers.
+ Si vous utilisez le *contrôle délégué* dans la MMC Active Directory User and Computers :
+ Réinitialisation des mots de passe
+ Restrictions relatives aux comptes en lecture et en écriture
+ Écriture validée sur le nom d'hôte DNS
+ Écriture validée sur le nom principal du service
+ Si vous utilisez *les fonctionnalités avancées* de la console MMC Active Directory User and Computers :
+ Modifier les autorisations
+ Créer des objets ordinateur
+ Supprimer des objets informatiques
Pour plus d'informations, consultez la rubrique de documentation de Microsoft Windows Server [Erreur : l'accès est refusé lorsque des utilisateurs non administrateurs auxquels le contrôle a été délégué tentent de joindre des ordinateurs à un contrôleur de domaine](https://support.microsoft.com/en-us/help/932455/error-message-when-non-administrator-users-who-have-been-delegated-con).
Pour plus d'informations sur la définition des autorisations requises, consultez[Délégation d'autorisations au compte ou au FSx groupe de service Amazon](assign-permissions-to-service-account.md).
## Bonnes pratiques lors de l'utilisation d'un Active Directory autogéré
**Topics**
+ [Stockage des informations d'identification Active Directory à l'aide AWS Secrets Manager](#bp-store-ad-creds-using-secret-manager-windows)
Nous vous recommandons de suivre ces bonnes pratiques lorsque vous associez un système de fichiers Amazon FSx pour Windows File Server à votre Microsoft Active Directory autogéré. Ces bonnes pratiques vous aideront à maintenir la disponibilité continue et ininterrompue de votre système de fichiers.
**Utiliser un compte de service distinct pour Amazon FSx**
Utilisez un compte de service distinct pour déléguer les [privilèges nécessaires](#service-account-prereqs) FSx à Amazon afin de gérer entièrement les systèmes de fichiers associés à votre Active Directory autogéré. Nous vous déconseillons d'utiliser les **administrateurs de domaine** à cette fin.
**Utiliser un groupe Active Directory**
Utilisez un groupe Active Directory pour gérer les autorisations et les configurations Active Directory associées au compte de FSx service Amazon.
**Séparer l'unité organisationnelle (UO)**
Pour faciliter la recherche et la gestion des objets de votre FSx ordinateur Amazon, nous vous recommandons de séparer l'unité organisationnelle (UO) que vous utilisez pour vos systèmes de fichiers FSx pour Windows File Server des autres problèmes liés aux contrôleurs de domaine.
**Conserver la configuration d'Active Directory up-to-date**
Il est impératif que vous conserviez la configuration up-to-date Active Directory de votre système de fichiers, quelle que soit la modification apportée. Par exemple, si votre Active Directory autogéré utilise une politique de réinitialisation des mots de passe basée sur le temps, assurez-vous de mettre à jour le mot de passe du compte de service sur votre système de fichiers dès que le mot de passe est réinitialisé. Pour de plus amples informations, veuillez consulter [Mettre à jour une configuration Active Directory autogérée](update-self-ad-config.md).
**Modifier le compte FSx de service Amazon**
Si vous mettez à jour votre système de fichiers avec un nouveau compte de service, celui-ci doit disposer des autorisations et privilèges requis pour rejoindre votre Active Directory et des autorisations de **contrôle total** pour les objets informatiques existants associés au système de fichiers. Pour de plus amples informations, veuillez consulter [Modifier le compte FSx de service Amazon](changing-ad-service-account.md).
**Attribuer des sous-réseaux à un seul site Microsoft Active Directory**
Si votre environnement Active Directory comporte un grand nombre de contrôleurs de domaine, utilisez **Active Directory Sites and Services** pour attribuer les sous-réseaux utilisés par vos systèmes de FSx fichiers Amazon à un seul site Active Directory offrant une disponibilité et une fiabilité optimales. Assurez-vous que le groupe de sécurité VPC, l'ACL du réseau VPC, les règles de pare-feu Windows applicables à votre DCs infrastructure Active Directory et tous les autres contrôles de routage réseau présents dans votre infrastructure Active Directory autorisent les communications depuis Amazon FSx sur les ports requis. Cela permet à Windows de revenir à d'autres contrôleurs de domaine s'il ne peut pas utiliser le site Active Directory attribué. Pour de plus amples informations, veuillez consulter [Contrôle d'accès au système de fichiers avec Amazon VPC](limit-access-security-groups.md).
**Utiliser les règles des groupes de sécurité pour limiter le trafic**
Utilisez les règles des groupes de sécurité pour mettre en œuvre le principe du moindre privilège dans votre cloud privé virtuel (VPC). Vous pouvez limiter le type de trafic réseau entrant et sortant autorisé pour votre fichier à l'aide des règles des groupes de sécurité VPC. Par exemple, nous recommandons d'autoriser uniquement le trafic sortant vers vos contrôleurs de domaines Active Directory autogérés ou vers le sous-réseau ou le groupe de sécurité que vous utilisez. Pour de plus amples informations, veuillez consulter [Contrôle d'accès au système de fichiers avec Amazon VPC](limit-access-security-groups.md).
**Ne déplacez pas les objets informatiques créés par Amazon FSx**
Ne déplacez pas les objets informatiques FSx créés par Amazon dans l'unité d'organisation après la création de votre système de fichiers. Cela entraînera une mauvaise configuration de votre système de fichiers.
**Validez votre configuration Active Directory**
Avant de tenter de joindre un système de fichiers FSx pour serveur de fichiers Windows à votre Active Directory, nous vous recommandons vivement de valider votre configuration Active Directory à l'aide de l'[outil de validation Amazon FSx Active Directory](validate-ad-config.md).
### Stockage des informations d'identification Active Directory à l'aide AWS Secrets Manager
Vous pouvez l'utiliser AWS Secrets Manager pour stocker et gérer en toute sécurité les informations d'identification de votre compte de service de connexion à un domaine Microsoft Active Directory. Cette approche élimine le besoin de stocker les informations d'identification sensibles en texte clair dans le code de l'application ou les fichiers de configuration, renforçant ainsi votre posture de sécurité.
Vous pouvez également configurer des politiques IAM pour gérer l'accès à vos secrets et configurer des politiques de rotation automatique pour vos mots de passe.
#### Stocker les informations d'identification Active Directory dans AWS Secrets Manager (console)
##### Étape 1 : créer une clé KMS
Créez une clé KMS pour chiffrer et déchiffrer vos informations d'identification Active Directory dans Secrets Manager.
**Pour créer une clé**
**Note**
Pour la **clé de chiffrement**, créez une nouvelle clé, n'utilisez pas la clé KMS AWS par défaut. Assurez-vous de le créer AWS KMS key dans la même région qui contient le système de fichiers que vous souhaitez joindre à votre Active Directory.
1. Ouvrez la AWS KMS console à l'adresse https://console.aws.amazon.com /kms.
1. Choisissez **Create key**.
1. Pour **Type de clé**, choisissez **Symétrique**.
1. Pour **Utilisation de la clé**, choisissez **Chiffrer et déchiffrer**.
1. Pour les **options avancées**, procédez comme suit :
1. Pour **Origine des clés**, choisissez **KMS**.
1. **Pour **Régionalité**, choisissez la **clé à région unique**, puis cliquez sur Suivant.**
1. Choisissez **Suivant**.
1. Pour **Alias**, attribuez un nom à la clé KMS.
1. (Facultatif) Pour **Description**, fournissez une description de la clé KMS.
1. (Facultatif) Pour les **balises**, fournissez une balise pour la clé KMS et choisissez **Next**.
1. (Facultatif) Pour **les administrateurs de clés**, indiquez les utilisateurs et les rôles IAM autorisés à gérer cette clé.
1. Pour **supprimer une clé**, maintenez la case **Autoriser les administrateurs clés** à supprimer cette clé et choisissez **Suivant**.
1. (Facultatif) Pour **les utilisateurs de clés**, indiquez les utilisateurs et les rôles IAM autorisés à utiliser cette clé dans les opérations cryptographiques. Choisissez **Suivant**.
1. Pour la **politique en matière de clés**, choisissez **Modifier** et incluez ce qui suit dans la **déclaration** de politique pour autoriser Amazon FSx à utiliser la clé KMS, puis choisissez **Next**. Assurez-vous de remplacer le par *us-west-2* l' Région AWS endroit où le système de fichiers est déployé et *123456789012* par votre Compte AWS identifiant.
```
{
"Sid": "Allow FSx to use the KMS key",
"Version": "2012-10-17",
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-west-2.amazonaws.com",
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*"
}
}
}
```
1. Choisissez **Finish** (Terminer).
**Note**
Vous pouvez définir un contrôle d'accès plus précis en modifiant les `aws:SourceArn` champs `Resource` et pour cibler des secrets et des systèmes de fichiers spécifiques.
##### Étape 2 : créer un AWS Secrets Manager secret
**Pour créer un secret**
1. Ouvrez la console Secrets Manager à l'adresse [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Choisissez **Store a new secret** (Stocker un nouveau secret).
1. Pour **Secret type** (Type de secret), choisissez **Other type of secret** (Autre type de secret).
1. Pour les **paires clé/valeur**, procédez comme suit pour ajouter vos deux clés :
1. Pour la première clé, entrez `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`.
1. Pour la valeur de la première clé, saisissez uniquement le nom utilisateur (sans le préfixe de domaine) de l’utilisateur AD.
1. Pour la deuxième clé, entrez `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`.
1. Pour la valeur de la deuxième clé, saisissez le mot de passe que vous avez créé pour l'utilisateur AD sur votre domaine.
1. Pour **Clé de chiffrement**, entrez l'ARN de la clé KMS que vous avez créée à l'étape précédente et choisissez **Next**.
1. Dans **Nom du secret**, saisissez un nom descriptif qui vous aidera à rechercher votre secret ultérieurement.
1. (Facultatif) Pour **Description**, saisissez une description du nom du secret.
1. Pour l'**autorisation des ressources**, choisissez **Modifier**.
Ajoutez la politique suivante à la politique d'autorisation pour autoriser Amazon FSx à utiliser le secret, puis choisissez **Next**. Assurez-vous de remplacer le par *us-west-2* l' Région AWS endroit où le système de fichiers est déployé et *123456789012* par votre Compte AWS identifiant.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*"
}
}
}
]
}
```
**Note**
Vous pouvez définir un contrôle d'accès plus précis en modifiant les `aws:SourceArn` champs `Resource` et pour cibler des secrets et des systèmes de fichiers spécifiques.
1. (Facultatif) Vous pouvez configurer Secrets Manager pour qu'il fasse automatiquement pivoter vos informations d'identification. Choisissez **Suivant**.
1. Choisissez **Finish** (Terminer).
#### Stocker les informations d'identification Active Directory dans AWS Secrets Manager (CLI)
##### Étape 1 : créer une clé KMS
Créez une clé KMS pour chiffrer et déchiffrer vos informations d'identification Active Directory dans Secrets Manager.
Pour créer une clé KMS, utilisez la AWS CLI commande [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html).
Dans cette commande, définissez le `--policy` paramètre pour spécifier la politique de clé qui définit les autorisations pour la clé KMS. La politique doit inclure les éléments suivants :
+ Le principal du service pour Amazon FSx, qui est`fsx.amazonaws.com`.
+ Actions KMS requises : `kms:Decrypt` et`kms:DescribeKey`.
+ Modèle ARN de ressources pour votre compte Région AWS et.
+ Clés de condition qui limitent l'utilisation des clés :
+ `kms:ViaService`pour s'assurer que les demandes passent par Secrets Manager.
+ `aws:SourceAccount`pour vous limiter à votre compte.
+ `aws:SourceArn`pour se limiter à des systèmes de FSx fichiers Amazon spécifiques.
L'exemple suivant crée une clé KMS de chiffrement symétrique avec une politique qui permet FSx à Amazon d'utiliser la clé pour les opérations de déchiffrement et de description des clés. La commande récupère automatiquement votre Compte AWS identifiant et votre région, puis configure la politique clé avec ces valeurs afin de garantir des contrôles d'accès appropriés entre Amazon FSx, Secrets Manager et la clé KMS. Assurez-vous que votre AWS CLI environnement se trouve dans la même région que le système de fichiers qui rejoindra Active Directory.
```
# Set region and get Account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Create Key
KMS_KEY_ARN=$(aws kms create-key --policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Sid\": \"Enable IAM User Permissions\",
\"Effect\": \"Allow\",
\"Principal\": {
\"AWS\": \"arn:aws:iam::$ACCOUNT_ID:root\"
},
\"Action\": \"kms:*\",
\"Resource\": \"*\"
},
{
\"Sid\": \"Allow FSx to use the KMS key\",
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"kms:Decrypt\",
\"kms:DescribeKey\"
],
\"Resource\": \"*\",
\"Condition\": {
\"StringEquals\": {
\"kms:ViaService\": \"secretsmanager.$REGION.amazonaws.com\",
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\"
}
}
}
]
}" --query 'KeyMetadata.Arn' --output text)
echo "KMS Key ARN: $KMS_KEY_ARN"
```
**Note**
Vous pouvez définir un contrôle d'accès plus précis en modifiant les `aws:SourceArn` champs `Resource` et pour cibler des secrets et des systèmes de fichiers spécifiques.
##### Étape 2 : créer un AWS Secrets Manager secret
Pour créer un secret permettant FSx à Amazon d'accéder à votre Active Directory, utilisez la AWS CLI commande [create-secret](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/create-secret.html) et définissez les paramètres suivants :
+ `--name`: L'identifiant de votre secret.
+ `--description`: description de l'objectif du secret.
+ `--kms-key-id`: ARN de la clé KMS que vous avez créée à [l'étape 1](#create-kms-key-windows-cli) pour chiffrer le secret au repos.
+ `--secret-string`: chaîne JSON contenant vos informations d'identification AD au format suivant :
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`: le nom d'utilisateur de votre compte de service AD sans le préfixe de domaine, tel que`svc-fsx`. **Ne fournissez pas** le préfixe de domaine, tel que`CORP\svc-fsx`.
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`: le mot de passe de votre compte de service AD.
+ `--region`: L' Région AWS endroit où votre système de FSx fichiers Amazon sera créé. Par défaut, c'est la région que vous avez configurée si elle n'`AWS_REGION`est pas définie.
Après avoir créé le secret, associez une politique de ressources à l'aide de la [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/logs/put-resource-policy.html)commande et définissez les paramètres suivants :
+ `--secret-id`: nom ou ARN du secret auquel associer la politique. L'exemple suivant utilise **FSxSecret** comme`--secret-id`.
+ `--region`: Région AWS Identique à ton secret.
+ `--resource-policy`: document de politique JSON qui FSx autorise Amazon à accéder au secret. La politique doit inclure les éléments suivants :
+ Le principal du service pour Amazon FSx, qui est**fsx.amazonaws.com**.
+ Actions requises de Secrets Manager : `secretsmanager:GetSecretValue` et`secretsmanager:DescribeSecret`.
+ Modèle ARN de ressources pour votre compte Région AWS et.
+ Les clés de condition suivantes qui limitent l'accès :
+ `aws:SourceAccount`pour vous limiter à votre compte.
+ `aws:SourceArn`pour se limiter à des systèmes de FSx fichiers Amazon spécifiques.
L'exemple suivant crée un secret au format requis et y joint une politique de ressources qui autorise Amazon FSx à utiliser le secret. Cet exemple récupère automatiquement votre Compte AWS identifiant et votre région, puis configure la politique de ressources avec ces valeurs afin de garantir des contrôles d'accès appropriés entre Amazon FSx et le secret.
Assurez-vous de le `KMS_KEY_ARN` remplacer par l'ARN de la clé que vous avez créée à l'[étape 1](#create-kms-key-windows-cli) et par `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME` les informations `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD` d'identification de votre compte de service Active Directory. Vérifiez également que votre AWS CLI environnement est configuré pour la même région que le système de fichiers qui rejoindra Active Directory.
```
# Set region and get account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Replace with your KMS key ARN from Step 1
KMS_KEY_ARN="arn:aws:kms:us-east-2:123456789012:key/1234542f-d114-555b-9ade-fec3c9200d8e"
# Replace with your Active Directory credentials
AD_USERNAME="Your_Username"
AD_PASSWORD="Your_Password"
# Create the secret
SECRET_ARN=$(aws secretsmanager create-secret \
--name "FSxSecret" \
--description "Secret for FSx access" \
--kms-key-id "$KMS_KEY_ARN" \
--secret-string "{\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"$AD_USERNAME\",\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"$AD_PASSWORD\"}" \
--region "$REGION" \
--query 'ARN' \
--output text)
echo "Secret created with ARN: $SECRET_ARN"
# Attach the resource policy with proper formatting
aws secretsmanager put-resource-policy \
--secret-id "FSxSecret" \
--region "$REGION" \
--resource-policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"secretsmanager:GetSecretValue\",
\"secretsmanager:DescribeSecret\"
],
\"Resource\": \"$SECRET_ARN\",
\"Condition\": {
\"StringEquals\": {
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\"
}
}
}
]
}"
echo "Resource policy attached successfully"
```
**Note**
Vous pouvez définir un contrôle d'accès plus précis en modifiant les `aws:SourceArn` champs `Resource` et pour cibler des secrets et des systèmes de fichiers spécifiques.
## Compte FSx de service Amazon
Les systèmes de FSx fichiers Amazon associés à un Active Directory autogéré nécessitent un compte de service valide pendant toute leur durée de vie. Amazon FSx utilise le compte de service pour gérer entièrement vos systèmes de fichiers et effectuer des tâches administratives qui nécessitent de dissocier et de joindre des objets informatiques à votre domaine Active Directory. Ces tâches incluent le remplacement d'un serveur de fichiers défaillant et l'application de correctifs au logiciel Microsoft Windows Server. Pour FSx qu'Amazon puisse effectuer ces tâches, le compte de FSx service Amazon doit disposer, au minimum, de l'ensemble des autorisations décrites dans la section qui lui est [Autorisations relatives aux comptes de service](#service-account-prereqs) déléguée.
Bien que les membres du groupe des **administrateurs de domaine** disposent de privilèges suffisants pour effectuer ces tâches, nous vous recommandons vivement d'utiliser un compte de service distinct pour déléguer les privilèges requis à Amazon FSx.
Pour plus d'informations sur la façon de déléguer des privilèges à l'aide des fonctionnalités de **contrôle délégué** ou de **fonctionnalités avancées** du composant logiciel enfichable **Active Directory User and Computers** MMC, consultez. [Délégation d'autorisations au compte ou au FSx groupe de service Amazon](assign-permissions-to-service-account.md)
Si vous mettez à jour votre système de fichiers avec un nouveau compte de service, le nouveau compte de service doit disposer des autorisations et privilèges requis pour rejoindre votre Active Directory et disposer des autorisations de **contrôle total** pour les objets informatiques existants associés au système de fichiers. Pour de plus amples informations, veuillez consulter [Modifier le compte FSx de service Amazon](changing-ad-service-account.md).
Nous vous recommandons de stocker les informations d'identification de votre compte de service Active Directory AWS Secrets Manager pour renforcer la sécurité. Cela élimine le besoin de stocker les informations d'identification sensibles en texte clair et est conforme aux meilleures pratiques en matière de sécurité. Pour de plus amples informations, veuillez consulter [Utilisation d'un Microsoft Active Directory autogéré](#self-managed-AD).
# Délégation d'autorisations au compte ou au FSx groupe de service Amazon
Le compte de FSx service ou le groupe d'administrateurs Amazon doit disposer des [privilèges nécessaires](self-managed-AD.md#service-account-prereqs) FSx pour joindre les systèmes de fichiers Windows File Server à votre domaine Active Directory autogéré. Pour déléguer ces autorisations, vous pouvez utiliser le **contrôle délégué** ou les **fonctionnalités avancées** du Active Directory User and Computers MMC composant logiciel enfichable, comme décrit dans les procédures suivantes.
## Pour attribuer des autorisations à l'aide **du contrôle délégué**
**Pour attribuer des autorisations à un compte de service ou à un groupe à l'aide du **contrôle délégué****
1. Connectez-vous à votre système en tant qu'administrateur de domaine pour votre domaine Active Directory.
1. Ouvrez le composant logiciel enfichable MMC **Active Directory User and Computers**.
1. Dans le volet des tâches, développez le nœud de domaine.
1. Localisez et ouvrez le menu contextuel (clic droit) de l'unité d'organisation que vous souhaitez modifier, puis choisissez **Déléguer le contrôle**.
1. Sur la page **Assistant de délégation de contrôle**, choisissez **Next**.
1. Choisissez **Ajouter** pour ajouter le nom de votre compte ou groupe de FSx service Amazon, puis choisissez **Next**.
1. Sur la page **Tâches à déléguer**, sélectionnez **Créer une tâche personnalisée à déléguer**, puis choisissez **Suivant**.
1. Choisissez **Uniquement les objets suivants dans le dossier**, puis choisissez **Objets informatiques**.
1. Choisissez **Créer les objets sélectionnés dans ce dossier** et **Supprimer les objets sélectionnés dans ce dossier**. Ensuite, sélectionnez **Suivant**.
1. Pour **Autorisations**, choisissez ce qui suit :
+ **Réinitialisation du mot**
+ **Lire et écrire les restrictions du compte**
+ **Écriture validée sur le nom d'hôte DNS**
+ **Écriture validée sur le nom principal du service**
1. Cliquez sur **Suivant**, puis sur **Terminer**.
1. Fermez le composant logiciel enfichable MMC **Active Directory User and Computers**.
## Pour attribuer des autorisations à l'aide **des fonctionnalités avancées**
1. Connectez-vous à votre système en tant qu'administrateur de domaine pour votre domaine Active Directory.
1. Ouvrez le composant logiciel enfichable MMC **Active Directory User and Computers**.
1. Sélectionnez **Afficher** dans la barre de menu et assurez-vous que les **fonctionnalités avancées** sont activées (une coche apparaît à côté si la fonctionnalité est activée).
1. Dans le volet des tâches, développez le nœud de domaine.
1. Localisez et ouvrez (cliquez avec le bouton droit) le menu contextuel de l'unité d'organisation que vous souhaitez modifier, puis choisissez **Propriétés**.
1. Dans le volet **Propriétés** de l'unité d'organisation, sélectionnez l'onglet **Sécurité**.
1. Dans l'onglet **Sécurité**, sélectionnez **Avancé**. Sélectionnez ensuite **Ajouter**.
1. Sur la page de **saisie des autorisations**, choisissez **Select a principal** et entrez le nom de votre compte ou groupe de FSx service Amazon. Pour **S'applique à :**, choisissez **Cet objet et tous les ordinateurs descendants**. Assurez-vous que les éléments suivants sont sélectionnés :
+ **Modifier les autorisations**
+ **Création d'objets informatiques**
+ **Supprimer des objets informatiques**
1. Sélectionnez **Appliquer**, puis **OK**.
1. Fermez le composant logiciel enfichable MMC **Active Directory User and Computers**.
# Validation de votre configuration Active Directory
Avant de créer un système de fichiers FSx pour serveur de fichiers Windows joint à votre Active Directory, nous vous recommandons de valider votre configuration Active Directory à l'aide de l'outil de validation Amazon FSx Active Directory. Notez qu'une connexion Internet sortante est requise pour valider correctement la configuration d'Active Directory.
**Pour valider votre configuration Active Directory**
1. Lancez une instance Windows Amazon EC2 dans le même sous-réseau et avec les mêmes groupes de sécurité Amazon VPC que ceux que vous utilisez pour votre système de fichiers FSx for Windows File Server. Assurez-vous que votre instance EC2 dispose des autorisations `AmazonEC2ReadOnlyAccess` IAM requises. Vous pouvez valider les autorisations de rôle d'instance EC2 à l'aide du simulateur de politique IAM. Pour plus d'informations, consultez la section [Tester les politiques IAM avec le simulateur de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html) dans le guide de l'utilisateur *IAM*.
1. Joignez votre instance Windows EC2 à votre Active Directory. Pour plus d'informations, voir [Joindre manuellement une instance Windows](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/join_windows_instance.html) dans le *Guide AWS Directory Service d'administration*.
1. Connectez-vous à votre instance EC2. Pour plus d'informations, consultez la section [Connexion à votre instance Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html) dans le guide de l'*utilisateur Amazon EC2*.
1. Ouvrez une PowerShell fenêtre Windows (en utilisant **Exécuter en tant qu'administrateur**) sur l'instance EC2.
Pour vérifier si le module Active Directory requis pour Windows PowerShell est installé, utilisez la commande de test suivante.
```
PS C:\> Import-Module ActiveDirectory
```
Si le message ci-dessus renvoie une erreur, installez-le à l'aide de la commande suivante.
```
PS C:\> Install-WindowsFeature RSAT-AD-PowerShell
```
1. Téléchargez l'outil de validation réseau à l'aide de la commande suivante.
```
PS C:\> Invoke-WebRequest "https://docs.aws.amazon.com/fsx/latest/WindowsGuide/samples/AmazonFSxADValidation.zip" -OutFile "AmazonFSxADValidation.zip"
```
1. Développez le fichier zip à l'aide de la commande suivante.
```
PS C:\> Expand-Archive -Path "AmazonFSxADValidation.zip"
```
1. Ajoutez le `AmazonFSxADValidation` module à la session en cours.
```
PS C:\> Import-Module .\AmazonFSxADValidation
```
1. Définissez les paramètres requis en remplaçant dans la commande suivante votre :
+ Nom de domaine Active Directory (*DOMAINNAME.COM*)
+ Préparez l'`$Credential`objet pour le mot de passe du compte de service à l'aide de l'une des options suivantes.
+ Pour générer l'objet d'identification de manière interactive, utilisez la commande suivante.
```
$Credential = Get-Credential
```
+ Pour générer l'objet d'identification à l'aide d'une AWS Secrets Manager ressource, utilisez la commande suivante.
```
$Secret = ConvertFrom-Json -InputObject (Get-SECSecretValue -SecretId $AdminSecret).SecretString
$Credential = (New-Object PSCredential($Secret.UserName,(ConvertTo-SecureString $Secret.Password -AsPlainText -Force)))
```
+ Adresses IP des serveurs DNS (*IP\$1ADDRESS\$11*,*IP\$1ADDRESS\$12*)
+ ID (s) de sous-réseau pour les sous-réseaux sur lesquels vous prévoyez de créer votre système de FSx fichiers Amazon (*SUBNET\$11**SUBNET\$12*, par exemple,`subnet-04431191671ac0d19`).
```
PS C:\>
$FSxADValidationArgs = @{
# DNS root of ActiveDirectory domain
DomainDNSRoot = 'DOMAINNAME.COM'
# IP v4 addresses of DNS servers
DnsIpAddresses = @('IP_ADDRESS_1', 'IP_ADDRESS_2')
# Subnet IDs for Amazon FSx file server(s)
SubnetIds = @('SUBNET_1', 'SUBNET_2')
Credential = $Credential
}
```
1. (Facultatif) Définissez l'unité organisationnelle, le groupe des administrateurs délégués et activez la validation des autorisations du compte de service en suivant les instructions du `README.md` fichier inclus avant d'exécuter l'outil de validation. DomainControllersMaxCount
**Note**
Le `Domain Admins` groupe porte un nom différent si le système d'exploitation n'est pas en anglais. Par exemple, le groupe est nommé `Administrateurs du domaine` dans la version française du système d'exploitation. Si vous ne spécifiez aucune valeur, le nom de `Domain Admins` groupe par défaut est utilisé et la création du système de fichiers échoue.
1. Exécutez l'outil de validation à l'aide de cette commande.
```
PS C:\> $Result = Test-FSxADConfiguration @FSxADValidationArgs
```
1. Voici un exemple de résultat de test réussi.
```
Test 1 - Validate EC2 Subnets ...
...
Test 17 - Validate 'Delete Computer Objects' permission ...
Test computer object amznfsxtestd53f deleted!
...
SUCCESS - All tests passed! Please proceed to creating an Amazon FSx file system. For your convenience, SelfManagedActiveDirectoryConfiguration of result can be used directly in CreateFileSystemWindowsConfiguration for New-FSXFileSystem
PS C:\AmazonFSxADValidation> $Result.Failures.Count
0
PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0
```
Voici un exemple de résultat de test comportant des erreurs.
```
Test 1 - Validate EC2 Subnets ...
...
Test 7 - Validate that provided EC2 Subnets belong to a single AD Site ...
Name DistinguishedName Site
---- ----------------- ----
10.0.0.0/19 CN=10.0.0.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=SiteB,CN=Sites,CN=Configu...
10.0.128.0/19 CN=10.0.128.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=Default-First-Site-Name,C...
10.0.64.0/19 CN=10.0.64.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=SiteB,CN=Sites,CN=Configu...
Best match for EC2 subnet subnet-092f4caca69e360e7 is AD site CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st-ad,DC=local
Best match for EC2 subnet subnet-04431191671ac0d19 is AD site CN=SiteB,CN=Sites,CN=Configuration,DC=test-ad,DC=local
WARNING: EC2 subnets subnet-092f4caca69e360e7 subnet-04431191671ac0d19 matched to different AD sites! Make sure they
are in a single AD site.
...
9 of 16 tests skipped.
FAILURE - Tests failed. Please see error details below:
Name Value
---- -----
SubnetsInSeparateAdSites {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}
Please address all errors and warnings above prior to re-running validation to confirm fix.
PS C:\AmazonFSxADValidation> $Result.Failures.Count
1
PS C:\AmazonFSxADValidation> $Result.Failures
Name Value
---- -----
SubnetsInSeparateAdSites {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}
PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0
```
Si vous recevez des avertissements ou des erreurs lorsque vous exécutez l'outil de validation, reportez-vous au guide de résolution des problèmes inclus dans le package de l'outil de validation (`TROUBLESHOOTING.md`) et[Résolution des problèmes liés à Amazon FSx](troubleshooting.md).
# Joindre un système de FSx fichiers Amazon à un domaine Microsoft Active Directory autogéré
Lorsque vous créez un nouveau système de fichiers FSx pour Windows File Server, vous pouvez configurer l'intégration de Microsoft Active Directory afin qu'il soit joint à votre domaine Microsoft Active Directory autogéré. Pour ce faire, fournissez les informations suivantes pour votre Microsoft Active Directory :
+ Le nom de domaine complet (FQDN) de votre annuaire Microsoft Active Directory local.
**Note**
Amazon ne prend FSx actuellement pas en charge les domaines Single Label Domain (SLD).
+ Les adresses IP des serveurs DNS de votre domaine.
+ Informations d'identification d'un compte de service Active Directory FSx utilisé par Amazon pour associer le système de fichiers à votre domaine. Vous pouvez les fournir sous la forme suivante :
+ **Option 1** : ARN AWS Secrets Manager secret - Le secret contenant le nom d'utilisateur et le mot de passe d'un compte de service sur votre domaine Active Directory. Pour de plus amples informations, veuillez consulter [Stockage des informations d'identification Active Directory à l'aide AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows).
+ **Option 2 : informations** d'identification en texte brut
+ **Nom d'utilisateur du compte de service** : nom d'utilisateur du compte de service dans votre Microsoft Active Directory existant. N'incluez pas de préfixe ou de suffixe de domaine. Par exemple, pour`EXAMPLE\ADMIN`, utiliser uniquement`ADMIN`.
+ Mot de **passe du compte de service** : mot de passe du compte de service.
Le cas échéant, vous pouvez également spécifier les options suivantes :
+ Unité organisationnelle (UO) spécifique au sein du domaine que vous souhaitez associer à votre système de FSx fichiers Amazon.
+ Le nom du groupe de domaines dont les membres disposent de privilèges administratifs pour le système de FSx fichiers Amazon. Le nom de groupe de domaines que vous fournissez doit être unique dans votre Active Directory.
Après avoir spécifié ces informations, Amazon FSx joint votre nouveau système de fichiers à votre domaine Active Directory autogéré à l'aide du compte de service que vous avez fourni.
**Important**
Amazon enregistre les enregistrements DNS pour un système de fichiers FSx uniquement si le domaine Active Directory auquel vous le joignez utilise le DNS Microsoft comme DNS par défaut. Si vous utilisez un DNS tiers, vous devrez configurer manuellement les entrées DNS pour vos systèmes de FSx fichiers Amazon après avoir créé votre système de fichiers. Pour plus d'informations sur le choix des adresses IP correctes à utiliser pour le système de fichiers, consultez[Obtenir les adresses IP de système de fichiers correctes à utiliser pour les entrées DNS manuelles](file-system-ip-addresses-for-dns.md).
## Avant de commencer
Assurez-vous d'avoir rempli les [Conditions préalables](self-managed-AD.md#self-manage-prereqs) informations détaillées dans[Utilisation d'un Microsoft Active Directory autogéré](self-managed-AD.md).
## Pour créer un système de fichiers FSx pour serveur de fichiers Windows joint à un Active Directory autogéré (console)
1. Ouvrez la FSx console Amazon à l'adresse [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Dans Sur le tableau de bord, choisissez **Create file system (Créer un système de fichiers)** pour ouvrir l'assistant de création de système de fichiers.
1. Choisissez **FSx Windows File Server**, puis **Next**. La page **Create file system (Créer un système de fichiers)** s'affiche.
1. Donnez un nom à votre système de fichiers. Vous pouvez utiliser un maximum de 256 lettres Unicode, espaces blancs et chiffres, plus les caractères spéciaux \$1 - =. \$1 :/
1. Pour **Capacité de stockage**, entrez la capacité de stockage de votre système de fichiers, en GiB. Si vous utilisez un stockage SSD, entrez un nombre entier compris entre 32 et 65 536. Si vous utilisez un espace de stockage sur disque dur, entrez un nombre entier compris entre 2 000 et 65 536. Vous pouvez augmenter la capacité de stockage selon vos besoins à tout moment après avoir créé le système de fichiers. Pour de plus amples informations, veuillez consulter [Gestion de la capacité de stockage](managing-storage-configuration.md#managing-storage-capacity).
1. Conservez la valeur par défaut de **Throughput capacity (Capacité de débit)**. La **capacité de débit** est la vitesse soutenue à laquelle le serveur de fichiers hébergeant votre système de fichiers peut traiter les données. Le paramètre de **capacité de débit recommandée** est basé sur la quantité de capacité de stockage que vous choisissez. Si vous avez besoin d'une capacité de débit supérieure à la capacité de débit recommandée, choisissez **Spécifier la capacité de débit**, puis choisissez une valeur. Pour de plus amples informations, veuillez consulter [FSx pour les performances du serveur de fichiers WindowsPerformance](performance.md).
Vous pouvez modifier la capacité de débit selon vos besoins à tout moment après avoir créé le système de fichiers. Pour de plus amples informations, veuillez consulter [Gestion de la capacité de débit](managing-throughput-capacity.md).
1. Choisissez le VPC que vous souhaitez associer à votre système de fichiers. Dans le cadre de cet exercice de démarrage, choisissez le même VPC que pour votre Directory Service répertoire et votre instance Amazon EC2.
1. Choisissez n'importe quelle valeur pour les **zones de disponibilité** et le **sous-réseau**.
1. Pour les **groupes de sécurité VPC**, le groupe de sécurité par défaut pour votre Amazon VPC par défaut est déjà ajouté à votre système de fichiers dans la console. Assurez-vous que le groupe de sécurité et le réseau VPC du ou ACLs des sous-réseaux sur lesquels vous créez votre système de FSx fichiers autorisent le trafic sur les ports et dans les directions indiquées dans le schéma suivant.
![\[FSx pour les exigences de configuration des ports du serveur de fichiers Windows pour les groupes de sécurité VPC et le réseau ACLs pour les sous-réseaux sur lesquels le système de fichiers est créé.\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)
Le tableau suivant identifie le rôle de chaque port.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/WindowsGuide/creating-joined-ad-file-systems.html)
**Important**
L'autorisation du trafic sortant sur le port TCP 9389 est requise pour les déploiements de systèmes de fichiers mono-AZ 2 et multi-AZ.
**Note**
Si vous utilisez un réseau VPC ACLs, vous devez également autoriser le trafic sortant sur les ports dynamiques (49152-65535) de votre système de fichiers. FSx
+ Règles de trafic sortant pour autoriser tout le trafic vers les adresses IP associées aux serveurs DNS et aux contrôleurs de domaine pour votre domaine Microsoft Active Directory autogéré. Pour plus d'informations, consultez [la documentation Microsoft sur la configuration de votre pare-feu pour les communications Active Directory](https://support.microsoft.com/en-us/help/179442/how-to-configure-a-firewall-for-domains-and-trusts).
+ Assurez-vous que ces règles de trafic sont également reflétées sur les pare-feux qui s'appliquent à chacun des contrôleurs de domaine, serveurs DNS, FSx clients et administrateurs Active Directory. FSx
**Note**
Si vous avez défini des sites Active Directory, vous devez vous assurer que le ou les sous-réseaux du VPC associé à votre système de fichiers FSx Amazon sont définis dans un site Active Directory et qu'il n'existe aucun conflit entre les sous-réseaux de votre VPC et les sous-réseaux de vos autres sites. Vous pouvez afficher et modifier ces paramètres à l'aide du composant logiciel enfichable MMC Active Directory Sites and Services.
**Important**
Alors que les groupes de sécurité Amazon VPC nécessitent que les ports soient ouverts uniquement dans le sens où le trafic réseau est initié, la plupart des pare-feux Windows et des réseaux VPC ACLs nécessitent que les ports soient ouverts dans les deux sens.
1. Pour **l'authentification Windows**, choisissez **Microsoft Active Directory autogéré**.
1. Entrez une valeur pour le **nom de domaine complet** pour l'annuaire Microsoft Active Directory autogéré.
**Note**
Le nom de domaine ne doit pas être au format SLD (Single Label Domain). Amazon ne prend FSx actuellement pas en charge les domaines SLD.
**Important**
Pour les systèmes de fichiers mono-AZ 2 et tous les systèmes de fichiers multi-AZ, le nom de domaine Active Directory ne peut pas dépasser 47 caractères.
1. Entrez une valeur pour l'**unité organisationnelle** pour le répertoire Microsoft Active Directory autogéré.
**Note**
Assurez-vous que le compte de service que vous avez fourni possède des autorisations déléguées à l'unité d'organisation que vous spécifiez ici ou à l'unité d'organisation par défaut si vous n'en spécifiez aucune.
1. Entrez au moins une valeur, mais pas plus de deux, pour les **adresses IP des serveurs DNS** pour l'annuaire Microsoft Active Directory autogéré.
1. **Informations d'identification du compte de service** — Choisissez comment fournir les informations d'identification de votre compte de service :
+ **Option 1** : ARN AWS Secrets Manager secret - Le secret contenant le nom d'utilisateur et le mot de passe d'un compte de service sur votre domaine Active Directory. Pour de plus amples informations, veuillez consulter [Stockage des informations d'identification Active Directory à l'aide AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows).
+ **Option 2 : informations** d'identification en texte brut
+ **Nom d'utilisateur du compte de service** : nom d'utilisateur du compte de service dans votre Microsoft Active Directory existant. N'incluez pas de préfixe ou de suffixe de domaine. Par exemple, pour`EXAMPLE\ADMIN`, utiliser uniquement`ADMIN`.
+ Mot de **passe du compte de service** : mot de passe du compte de service.
+ **Confirmer le mot** de passe : mot de passe du compte de service.
**Important**
N'incluez PAS de préfixe de domaine (`corp.com\ServiceAcct`) ou de suffixe de domaine (`ServiceAcct@corp.com`) lors de la saisie du nom d'utilisateur du **compte de service**.
N'utilisez PAS le nom distinctif (DN) lors de la saisie du nom **d'utilisateur du compte de service** (`CN=ServiceAcct,OU=example,DC=corp,DC=com`).
1. Pour le **groupe d'administrateurs de systèmes de fichiers délégués**, spécifiez le `Domain Admins` groupe ou un groupe d'administrateurs de système de fichiers délégués personnalisé (si vous en avez créé un). Le groupe que vous spécifiez doit disposer de l'autorité déléguée pour effectuer des tâches administratives sur votre système de fichiers. Si vous ne fournissez aucune valeur, Amazon FSx utilise le `Domain Admins` groupe Builtin. Notez qu'Amazon FSx ne prend pas en charge la présence d'un `Delegated file system administrators group` (`Domain Admins`groupe ou groupe personnalisé que vous spécifiez) situé dans le conteneur intégré.
**Important**
Si vous ne fournissez pas de **groupe d'administrateurs de systèmes de fichiers délégués**, Amazon FSx essaie par défaut d'utiliser le `Domain Admins` groupe intégré dans votre domaine Active Directory. Si le nom de ce groupe intégré a été modifié ou si vous utilisez un autre groupe pour l'administration du domaine, vous devez fournir ce nom pour le groupe ici.
**Important**
N'incluez PAS de préfixe de domaine (corp.com \$1 FSx Admins) ou de suffixe de domaine (FSxAdmins@corp.com) lorsque vous fournissez le paramètre de nom de groupe.
N'UTILISEZ PAS le nom distinctif (DN) pour le groupe. Voici un exemple de nom distinctif : CN= FSx Admins, OU=Example, DC=Corp, DC=com.
## Pour créer un système de fichiers FSx pour serveur de fichiers Windows joint à un Active Directory autogéré ()AWS CLI
L'exemple suivant crée un système de fichiers FSx pour le serveur de fichiers Windows avec un `SelfManagedActiveDirectoryConfiguration` dans la zone de `us-east-2` disponibilité.
```
aws fsx --region us-east-2 \
create-file-system \
--file-system-type WINDOWS \
--storage-capacity 300 \
--security-group-ids security-group-id \
--subnet-ids subnet-id\
--windows-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \
OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",FileSystemAdministratorsGroup="FSxAdmins", \
UserName="FSxService",Password="password", \
DnsIps=["10.0.1.18"]}',ThroughputCapacity=8
```
**Important**
Ne déplacez pas les objets informatiques FSx créés par Amazon dans l'unité d'organisation après la création de votre système de fichiers. Cela entraînera une mauvaise configuration de votre système de fichiers.
# Obtenir les adresses IP de système de fichiers correctes à utiliser pour les entrées DNS manuelles
Amazon enregistre les enregistrements DNS pour un système de fichiers FSx uniquement si vous utilisez Microsoft DNS comme service DNS par défaut. Si vous utilisez un DNS tiers, vous devrez configurer manuellement les entrées DNS pour vos systèmes de FSx fichiers Amazon. Cette section décrit comment obtenir les adresses IP de système de fichiers correctes à utiliser si vous devez ajouter manuellement le système de fichiers à votre DNS. Notez qu'une fois qu'un système de fichiers est créé, ses adresses IP ne changent pas tant que le système de fichiers n'est pas supprimé.
**Comment obtenir les adresses IP des systèmes de fichiers à utiliser pour les entrées DNS A**
1. Dans le [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/), choisissez le système de fichiers dont vous souhaitez obtenir l'adresse IP pour afficher la page de détails du système de fichiers.
1. Dans l'onglet **Réseau et sécurité**, effectuez l'une des opérations suivantes :
+ Pour les systèmes de fichiers mono-AZ 1 :
+ Dans le panneau **Subnet**, choisissez l'interface Elastic Network affichée sous **Network interface** pour ouvrir la page **Network Interfaces** dans la console Amazon EC2.
+ L'adresse IP du système de fichiers mono-AZ 1 à utiliser est indiquée dans la colonne ** IPv4 IP privée principale**.
+ Pour les systèmes de fichiers mono-AZ 2 ou multi-AZ :
+ Dans le panneau **Sous-réseau préféré**, choisissez l'interface réseau élastique affichée sous **Interface réseau** pour ouvrir la page **Network Interfaces** dans la console Amazon EC2.
+ L'adresse IP du sous-réseau préféré à utiliser est indiquée dans la colonne ** IPv4 Adresse IP privée secondaire**.
+ Dans le panneau du **sous-réseau Amazon FSx Standby**, choisissez l'interface réseau élastique affichée sous **Interface réseau** pour ouvrir la page **Network Interfaces** dans la console Amazon EC2.
+ L'adresse IP du sous-réseau de secours à utiliser est indiquée dans la colonne ** IPv4 Adresse IP privée secondaire**.
**Note**
Si vous devez configurer des entrées DNS pour votre Windows Remote PowerShell Endpoint pour les systèmes de fichiers mono-AZ 2 ou multi-AZ, vous devez utiliser l'** IPv4 adresse privée principale** pour l'interface elastic network de votre sous-réseau **préféré**. Pour de plus amples informations, veuillez consulter [Utilisation de l'Amazon FSx CLI pour PowerShell](administering-file-systems.md#remote-pwrshell).
# Mettre à jour une configuration Active Directory autogérée
Pour garantir la disponibilité continue et ininterrompue de votre système de FSx fichiers Amazon, vous devez mettre à jour la configuration Active Directory du système de fichiers lorsque l'une des propriétés Active Directory suivantes change :
+ Les adresses IP du serveur DNS
+ Les informations d'identification du compte de service de l'Active Directory autogéré
Lorsque vous mettez à jour la configuration autogérée d'Active Directory pour votre système de FSx fichiers Amazon, l'état de votre système de fichiers passe de **Disponible** à **Mise à jour** pendant que la mise à jour est appliquée. Vérifiez que l'état revient à **Disponible** une fois la mise à jour appliquée. Notez que la mise à jour peut prendre plusieurs minutes. Pour de plus amples informations, veuillez consulter [Surveillance des mises à jour d'Active Directory autogérées](monitor-self-ad-update.md).
En cas de problème avec la mise à jour de la configuration autogérée d'Active Directory, l'état du système de fichiers passe à **Mauvais** configuration. Cet état affiche un message d'erreur et une action corrective recommandée à côté de la description du système de fichiers dans la console, l'API et la CLI. Après avoir pris les mesures correctives recommandées, vérifiez que l'état de votre système de fichiers passe finalement à **Disponible**.
**Important**
Si vous mettez à jour votre système de fichiers avec un nouveau compte de service, assurez-vous que le nouveau compte de service dispose d'autorisations de **contrôle total** pour les objets informatiques existants associés au système de fichiers.
Pour plus d'informations sur la résolution des problèmes éventuels liés aux configurations Active Directory autogérées, consultez[Le système de fichiers est mal configuré](misconfigured-ad-config.md).
Vous pouvez utiliser l' AWS Management Console FSx API Amazon ou AWS CLI pour mettre à jour les informations d'identification du compte de service et les adresses IP du serveur DNS de la configuration Active Directory autogérée d'un système de fichiers. Vous pouvez suivre la progression d'une mise à jour de configuration Active Directory autogérée à tout moment à l'aide de la AWS Management Console CLI et de l'API. Pour de plus amples informations, veuillez consulter [Surveillance des mises à jour d'Active Directory autogérées](monitor-self-ad-update.md).
**Pour mettre à jour la configuration autogérée d'Active Directory (console)**
1. Ouvrez la FSx console Amazon à l'adresse [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Accédez à **Systèmes de fichiers**, puis choisissez le système de fichiers Windows pour lequel vous souhaitez mettre à jour la configuration autogérée d'Active Directory.
1. Dans l'onglet **Réseau et sécurité**, choisissez ensuite **Mettre à jour** pour les **adresses IP du serveur DNS** ou pour le nom d'utilisateur du compte de service, selon les propriétés Active Directory que vous mettez à jour.
1. Entrez les nouvelles adresses IP du serveur DNS, les nouvelles informations d'identification du compte de service (nom d'utilisateur et mot de passe) ou l'ARN secret dans la boîte de dialogue qui apparaît. Vous pouvez l'utiliser AWS Secrets Manager pour stocker vos informations d'identification. Pour de plus amples informations, veuillez consulter [Stockage des informations d'identification Active Directory à l'aide AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows).
1. Choisissez **Mettre à jour** pour lancer la mise à jour de la configuration d'Active Directory.
Vous pouvez [suivre la progression de la mise à jour à](monitor-self-ad-update.md) l'aide du AWS Management Console ou du AWS CLI.
**Pour mettre à jour la configuration autogérée d'Active Directory (CLI)**
+ Pour mettre à jour la configuration Active Directory autogérée d'un système de fichiers FSx pour Windows File Server, utilisez la AWS CLI commande [update-file-system](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html). Définissez les paramètres suivants :
+ `--file-system-id`à l'ID du système de fichiers que vous mettez à jour.
+ `UserName`le nouveau nom d'utilisateur du compte de service Active Directory autogéré.
+ `Password`le nouveau mot de passe du compte de service Active Directory autogéré.
+ `DomainJoinServiceAccountSecret`le AWS Secrets Manager secret contenant le nom d'utilisateur et le mot de passe d'un compte de service sur votre domaine Active Directory
**Note**
Vous ne pouvez pas fournir à la fois username/password un secret de compte de service de connexion à un domaine pour vous connecter à votre Active Directory. Fournissez un seul ensemble d'informations d'identification.
+ `DnsIps`les adresses IP des serveurs DNS Active Directory autogérés.
```
aws fsx update-file-system --file-system-id fs-0123456789abcdef0 \
--windows-configuration 'SelfManagedActiveDirectoryConfiguration={UserName=username,Password=password,\
DnsIps=[192.0.2.0,192.0.2.24]}'
```
Si l'action de mise à jour aboutit, le service renvoie une réponse HTTP 200. L'`AdminstrativeActions`objet de la réponse décrit la demande et son statut.
# Modifier le compte FSx de service Amazon
Si vous mettez à jour votre système de fichiers avec un nouveau compte de service, le nouveau compte de service doit disposer des autorisations et privilèges requis pour rejoindre votre Active Directory et des autorisations de **contrôle total** pour les objets informatiques existants associés au système de fichiers. En outre, assurez-vous que le nouveau compte de service fait partie des comptes approuvés pour lesquels le paramètre de **stratégie de groupe** est activé. **Contrôleur de domaine : Autoriser la réutilisation du compte d'ordinateur lors de l'adhésion à un domaine**.
Nous vous recommandons vivement d'utiliser un groupe Active Directory pour gérer les autorisations et les configurations Active Directory associées aux comptes de service.
Lorsque vous modifiez le compte de service pour Amazon FSx, assurez-vous que les comptes de service possèdent les paramètres suivants :
+ Le nouveau compte de service (ou le groupe Active Directory dont il est membre) dispose d'autorisations de **contrôle total** pour les objets informatiques existants associés au système de fichiers.
+ Les comptes de service nouveaux et précédents (ou le groupe Active Directory dont ils sont membres) font partie des comptes approuvés (ou du groupe Active Directory approuvé) avec le **contrôleur de domaine : autorisez la réutilisation des comptes d'ordinateur lors de la connexion au domaine**. Le paramètre de stratégie de groupe est activé sur tous les contrôleurs de domaine dans Active Directory.
Si les comptes de service ne répondent pas à ces exigences, les conditions suivantes peuvent se produire :
+ Pour les systèmes de fichiers mono-AZ, le système de fichiers peut devenir **[MISCONFIGURED\$1UNAVAILABLE](administering-file-systems.md#file-system-lifecycle-states)**.
+ Pour les systèmes de fichiers multi-AZ, le système de fichiers peut être **[MAL CONFIGURÉ](administering-file-systems.md#file-system-lifecycle-states)** et le nom du RemotePowerShell point de terminaison peut changer.
## Configuration de la politique de groupe d'un contrôleur de domaine
La [procédure recommandée par Microsoft](https://support.microsoft.com/en-us/topic/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8#bkmk_take_action) suivante décrit comment utiliser la stratégie de groupe du contrôleur de domaine pour configurer la politique de liste d'autorisation.
**Pour configurer la politique de liste d'autorisation d'un contrôleur de domaine**
1. Installez les mises à jour Microsoft Windows du 12 septembre 2023 ou ultérieures sur tous les ordinateurs membres et contrôleurs de domaine de votre Microsoft Active Directory autogéré.
1. Dans une stratégie de groupe nouvelle ou existante qui s'applique à tous les contrôleurs de domaine de votre Active Directory autogéré, configurez les paramètres suivants.
1. Accédez à **Configuration de l'ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales** > Options de sécurité.
1. Double-cliquez sur **Contrôleur de domaine : autorisez la réutilisation du compte d'ordinateur lors de la connexion au domaine.**
1. Sélectionnez **Définir ce paramètre de stratégie et**.
1. Utilisez le sélecteur d'objets pour ajouter des utilisateurs ou des groupes de créateurs et de propriétaires de comptes informatiques fiables à l'autorisation **Autoriser**. (Comme bonne pratique, nous vous recommandons vivement d'utiliser des groupes pour les autorisations.) **N'ajoutez pas le compte utilisateur qui effectue la jonction de domaine.**
**Avertissement**
Limitez l'adhésion à la politique aux utilisateurs fiables et aux comptes de service. N'ajoutez pas d'utilisateurs authentifiés, de tout le monde ou d'autres grands groupes à cette politique. Ajoutez plutôt des utilisateurs de confiance et des comptes de service spécifiques aux groupes et ajoutez ces groupes à la politique.
1. Attendez l'intervalle d'actualisation de la politique de groupe ou exécutez-la **gpupdate /force** sur tous les contrôleurs de domaine.
1. Vérifiez que la clé de registre HKLM \$1 System \$1 CCS \$1 Control \$1 SAM — « ComputerAccountReuseAllowList » est remplie avec le SDDL souhaité. **Ne modifiez pas manuellement le registre**.
1. Essayez de rejoindre un ordinateur sur lequel les mises à jour du 12 septembre 2023 ou ultérieures sont installées. Assurez-vous que l'un des comptes listés dans la politique est propriétaire du compte d'ordinateur. Assurez-vous également que la **NetJoinLegacyAccountReuse**clé n'est pas activée dans son registre (définie sur 1). Si la jonction de domaine échoue, vérifiez le **`c:\windows\debug\netsetup.log`**.
# Surveillance des mises à jour d'Active Directory autogérées
Vous pouvez suivre la progression d'une mise à jour de configuration Active Directory autogérée à l' AWS Management Console aide de l'API ou du AWS CLI, comme décrit dans les procédures suivantes.
Lorsque vous mettez à jour la configuration Active Directory autogérée de votre système de fichiers, l'état du système de fichiers passe de **Disponible** à **Mise à jour pendant que la mise** à jour est appliquée. Une fois la mise à jour terminée, l'état redevient **Disponible**. La mise à jour de la configuration d'Active Directory peut prendre plusieurs minutes.
## Surveillance des mises à jour dans la console
Dans l'onglet **Mises à jour** de la fenêtre des **détails du système de fichiers**, vous pouvez consulter les 10 mises à jour les plus récentes pour chaque type de mise à jour.
![\[Capture d'écran de la console montrant la liste des mises à jour récentes.\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/WindowsGuide/images/fs-updates-panel.png)
Pour les mises à jour d'Active Directory autogérées, vous pouvez consulter les informations suivantes.
****Type de mise à jour****
Les types pris en charge sont les suivants :
+ Adresse IP du serveur DNS
+ Informations d'identification du compte de service
****Valeur cible****
La valeur souhaitée pour mettre à jour la propriété du système de fichiers. Pour les mises à jour des **informations d'identification des comptes de service**, seul le nom d'utilisateur est affiché, les mots de passe des comptes de service ne sont jamais inclus dans ce champ.
****Statut****
État actuel de la mise à jour. Pour les mises à jour Active Directory autogérées, les valeurs possibles sont les suivantes :
+ **En attente** : Amazon FSx a reçu la demande de mise à jour, mais n'a pas commencé à la traiter.
+ **En cours** — Amazon traite FSx la demande de mise à jour.
+ **Terminé** — La mise à jour du système de fichiers s'est terminée avec succès.
+ **Échec** — La mise à jour du système de fichiers a échoué. Choisissez le point d'interrogation (**?** ) pour voir les détails de l'échec.
****% de progression****
Affiche la progression de la mise à jour du système de fichiers sous forme de pourcentage d'achèvement.
****Heure de la demande****
Heure à laquelle Amazon FSx a reçu la demande d'action de mise à jour.
## Surveillance des mises à jour à l'aide de l'API AWS CLI and
Vous pouvez consulter et surveiller les demandes de mise à jour du système de fichiers en cours à l'aide de la [describe-file-systems](https://docs.aws.amazon.com/cli/latest/reference/fsx/describe-file-systems.html) AWS CLI commande et de l'action de l'[DescribeFileSystems](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeFileSystems.html)API. Le `AdministrativeActions` tableau répertorie les 10 actions de mise à jour les plus récentes pour chaque type d'action administrative.
L'exemple suivant montre un extrait de la réponse d'une commande **describe-file-systems** CLI. Le résultat indique deux mises à jour autogérées du système de fichiers Active Directory.
```
{
"OwnerId": "111122223333",
.
.
.
"StorageCapacity": 1000,
"AdministrativeActions": [
{
"AdministrativeActionType": "FILE_SYSTEM_UPDATE",
"RequestTime": 1581694766.757,
"Status": "PENDING",
"TargetFileSystemValues": {
"WindowsConfiguration": {
"SelfManagedActiveDirectoryConfiguration": {
"UserName": "serviceUser",
}
}
}
},
{
"AdministrativeActionType": "FILE_SYSTEM_UPDATE",
"RequestTime": 1619032957.759,
"Status": "FAILED",
"TargetFileSystemValues": {
"WindowsConfiguration": {
"SelfManagedActiveDirectoryConfiguration": {
"DnsIps": [
"10.0.138.161"
]
}
}
},
"FailureDetails": {
"Message": "Failure details message."
}
}
],
.
.
.
```