Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menyiapkan Direktori Aktif yang dikelola sendiri
Untuk menyiapkan iklan yang dikelola sendiri, lakukan langkah-langkah berikut.
**Topics**
+ [Langkah 1: Buat Unit Organisasi di AD Anda](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateOU)
+ [Langkah 2: Buat akun layanan domain AD di AD Anda](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateADuser)
+ [Langkah 3: Delegasikan kontrol ke akun layanan domain AD](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.DelegateControl)
+ [Langkah 4: Buat AWS KMS kunci](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateKMSkey)
+ [Langkah 5: Buat AWS rahasia](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateSecret)
## Langkah 1: Buat Unit Organisasi di AD Anda
**penting**
Sebaiknya buat kredensi OU dan layanan khusus yang dicakup oleh OU tersebut untuk AWS akun apa pun yang memiliki instans RDS untuk SQL Server DB yang bergabung dengan domain AD yang dikelola sendiri. Dengan mengkhususkan kredensial OU dan layanan, Anda dapat menghindari izin yang bertentangan dan mengikuti prinsip hak akses paling rendah.
**Untuk membuat OU di AD Anda**
1. Hubungkan ke domain AD Anda sebagai administrator domain.
1. Buka **Active Directory Users and Computers** dan pilih domain tempat Anda ingin membuat OU Anda.
1. Klik kanan domain dan pilih **New**, lalu **Organizational Unit**.
1. Masukkan nama untuk OU.
1. Biarkan kotak tetap dicentang untuk **Protect container from accidental deletion**.
1. Klik **OK**. OU baru Anda akan muncul di bawah domain Anda.
## Langkah 2: Buat akun layanan domain AD di AD Anda
Kredensyal akun layanan domain akan digunakan untuk AWS rahasia di Secrets Manager.
**Untuk membuat akun layanan domain AD di AD**
1. Buka **Active Directory Users and Computers** dan pilih domain dan OU tempat Anda ingin membuat pengguna Anda.
1. Klik kanan objek **Users** dan pilih **New**, lalu **User**.
1. Masukkan nama depan, nama belakang, dan nama login untuk pengguna. Klik **Next**.
1. Masukkan kata sandi untuk pengguna. Jangan pilih **"User must change password at next login"**. Jangan pilih **"Account is disabled"**. Klik **Next**.
1. Klik **OK**. Pengguna baru Anda akan muncul di bawah domain Anda.
## Langkah 3: Delegasikan kontrol ke akun layanan domain AD
**Untuk mendelegasikan kontrol ke akun layanan domain AD di domain Anda**
1. Buka snap-in MMC **Active Directory Users and Computers** dan pilih domain tempat Anda ingin membuat pengguna Anda.
1. Klik kanan OU yang Anda buat sebelumnya dan pilih **Delegate Control**.
1. Pada bagian **Delegation of Control Wizard**, klik **Next**.
1. Pada bagian **Users or Groups**, klik **Add**.
1. Pada bagian **Pilih Pengguna, Komputer, atau Grup**, masukkan akun layanan domain AD yang Anda buat dan klik **Periksa Nama**. Jika pemeriksaan akun layanan domain AD Anda berhasil, klik **OK**.
1. Pada bagian **Pengguna atau Grup**, konfirmasikan akun layanan domain AD Anda telah ditambahkan dan klik **Berikutnya**.
1. Pada bagian **Tasks to Delegate**, pilih **Create a custom task to delegate** lalu klik **Next**.
1. Pada bagian **Active Directory Object Type**:
1. Pilih **Only the following objects in the folder**.
1. Pilih **Computer Objects**.
1. Pilih **Create selected objects in this folder**.
1. Pilih **Delete selected objects in this folder** lalu klik **Next**.
1. Pada bagian **Permissions**:
1. Tetap pilih **General**.
1. Pilih **Validated write to DNS host name**.
1. Pilih **Validated write to service principal name** lalu klik **Next**.
1. **Untuk mengaktifkan otentikasi Kerberos, tetap pilih **Property-specific** dan pilih Write dari daftar. servicePrincipalName**
1. Untuk **Completing the Delegation of Control Wizard**, tinjau dan konfirmasikan pengaturan Anda lalu klik **Finish**.
1. **Untuk otentikasi Kerberos, buka DNS Manager dan buka properti Server.**
1. Di kotak dialog Windows, ketik`dnsmgmt.msc`.
1. Tambahkan akun layanan domain AD di bawah tab **Keamanan**.
1. Pilih izin **Baca** dan terapkan perubahan Anda.
## Langkah 4: Buat AWS KMS kunci
Kunci KMS digunakan untuk mengenkripsi rahasia AndaAWS.
**Untuk membuat AWS KMS kunci**
**catatan**
Untuk **Kunci Enkripsi**, jangan gunakan kunci KMS AWS default. Pastikan untuk membuat AWS KMS kunci di AWS akun yang sama yang berisi instans RDS untuk SQL Server DB yang ingin Anda gabungkan ke AD yang dikelola sendiri.
1. Di AWS KMS konsol, pilih **tombol Buat**.
1. Untuk **Tipe Kunci**, pilih **Simetris**.
1. Untuk **Penggunaan Kunci**, pilih **Enkripsi dan dekripsi**.
1. Untuk **Opsi lanjutan**:
1. Untuk **Asal materi kunci**, pilih **KMS**.
1. Untuk **Regionalitas**, pilih **Kunci Wilayah Tunggal** lalu klik **Berikutnya**.
1. Untuk **Alias**, berikan nama untuk kunci KMS.
1. (Opsional) Untuk **Deskripsi**, berikan deskripsi kunci KMS.
1. (Opsional) Untuk **Tag**, berikan tag kunci KMS lalu klik **Berikutnya**.
1. Untuk **Administrator kunci**, berikan nama pengguna IAM dan pilih nama pengguna tersebut.
1. Untuk **Penghapusan kunci**, biarkan kotak dipilih untuk **Izinkan administrator kunci untuk menghapus kunci ini** lalu klik **Berikutnya**.
1. Untuk **Pengguna kunci**, berikan pengguna IAM yang sama dari langkah sebelumnya dan pilih nama pengguna tersebut. Klik **Berikutnya**.
1. Tinjau konfigurasi tersebut.
1. Untuk **Kebijakan kunci**, sertakan yang berikut pada **Pernyataan** kebijakan:
```
{
"Sid": "Allow use of the KMS key on behalf of RDS",
"Effect": "Allow",
"Principal": {
"Service": [
"rds.amazonaws.com"
]
},
"Action": "kms:Decrypt",
"Resource": "*"
}
```
1. Klik **Selesai**.
## Langkah 5: Buat AWS rahasia
**Untuk membuat rahasia**
**catatan**
Pastikan untuk membuat rahasia di AWS akun yang sama yang berisi instans RDS untuk SQL Server DB yang ingin Anda gabungkan ke AD yang dikelola sendiri.
1. Di AWS Secrets Manager, pilih **Simpan rahasia baru**.
1. Untuk **Tipe rahasia**, pilih **Tipe rahasia lainnya**.
1. Untuk **Pasangan kunci/nilai**, tambahkan dua kunci Anda:
1. Untuk kunci pertama, masukkan `SELF_MANAGED_ACTIVE_DIRECTORY_USERNAME`.
1. Untuk nilai kunci pertama, masukkan hanya nama pengguna (tanpa awalan domain) dari pengguna AD. Jangan sertakan nama domain karena ini menyebabkan pembuatan instance gagal.
1. Untuk kunci kedua, masukkan `SELF_MANAGED_ACTIVE_DIRECTORY_PASSWORD`.
1. Untuk nilai kunci kedua, masukkan kata sandi yang Anda buat untuk pengguna AD di domain Anda.
1. Untuk **Kunci enkripsi**, masukkan kunci KMS yang Anda buat pada langkah sebelumnya lalu klik **Berikutnya**.
1. Untuk **Nama rahasia**, masukkan nama deskriptif yang akan membantu Anda menemukan rahasia Anda nanti.
1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk nama rahasia.
1. Untuk **Izin sumber daya**, klik **Edit**.
1. Tambahkan kebijakan berikut ke kebijakan izin:
**catatan**
Kami menyarankan Anda menggunakan kondisi `aws:sourceAccount` dan `aws:sourceArn` dalam kebijakan untuk menghindari masalah *confused deputy*. Gunakan Akun AWS untuk `aws:sourceAccount` dan RDS untuk SQL Server DB instance ARN untuk. `aws:sourceArn` Untuk informasi selengkapnya, lihat [Pencegahan masalah confused deputy lintas layanan](cross-service-confused-deputy-prevention.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Principal":
{
"Service": "rds.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "*",
"Condition":
{
"StringEquals":
{
"aws:sourceAccount": "123456789012"
},
"ArnLike":
{
"aws:sourceArn": "arn:aws:rds:us-west-2:123456789012:db:*"
}
}
}
]
}
```
------
1. Klik **Simpan** lalu klik **Berikutnya**.
1. Untuk **Konfigurasikan pengaturan rotasi**, pertahankan nilai default dan pilih **Berikutnya**.
1. Tinjau pengaturan untuk rahasia lalu klik **Simpan**.
1. Pilih rahasia yang Anda buat dan salin nilai **ARN Rahasia**. Nilai ini akan digunakan pada langkah berikutnya untuk mengatur Directory Active yang dikelola sendiri.