Prasyarat - Amazon AppStream 2.0

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prasyarat

Selesaikan langkah-langkah berikut sebelum Anda menggunakan otentikasi berbasis sertifikat.

  1. Siapkan armada yang bergabung dengan domain dan konfigurasikan 2.0. SAML Pastikan Anda menggunakan username@domain.com userPrincipalName format untuk SAML _SubjectNameID. Untuk informasi selengkapnya, lihat Langkah 5: Buat Pernyataan untuk Respons Otentikasi SAML.

    catatan

    Jangan aktifkan login kartu pintar untuk Active Directory di tumpukan Anda jika Anda ingin menggunakan otentikasi berbasis sertifikat. Untuk informasi selengkapnya, lihat Kartu Pintar.

  2. Gunakan agen AppStream 2.0 versi 10-13-2022 atau yang lebih baru dengan gambar Anda. Untuk informasi selengkapnya, lihat Simpan Gambar Amazon AppStream 2.0 Anda Up-to-Date.

  3. (Opsional) Konfigurasikan ObjectSid atribut dalam SAML pernyataan Anda. Anda dapat menggunakan atribut ini untuk melakukan pemetaan yang kuat dengan pengguna Active Directory. Autentikasi berbasis sertifikat gagal jika ObjectSid atribut tidak cocok dengan pengenal keamanan Direktori Aktif (SID) untuk pengguna yang ditentukan dalam _Subject. SAML NameID Untuk informasi selengkapnya, lihat Langkah 5: Buat Pernyataan untuk Respons Otentikasi SAML.

  4. Tambahkan sts:TagSession izin ke kebijakan kepercayaan IAM peran yang Anda gunakan dengan konfigurasi SAML 2.0 Anda. Untuk informasi selengkapnya, lihat Melewati tag sesi di AWS STS. Izin ini diperlukan untuk menggunakan otentikasi berbasis sertifikat. Untuk informasi selengkapnya, lihat Langkah 2: Buat IAM Peran Federasi SAML 2.0.

  5. Buat otoritas sertifikat pribadi (CA) menggunakan AWS Private CA, jika Anda tidak memiliki satu dikonfigurasi dengan Active Directory Anda. AWS CA pribadi diperlukan untuk menggunakan otentikasi berbasis sertifikat. Untuk informasi selengkapnya, lihat Merencanakan AWS Private CA penerapan Anda. Pengaturan AWS Private CA berikut adalah umum untuk banyak kasus penggunaan otentikasi berbasis sertifikat:

    • Opsi tipe CA

      • Mode penggunaan CA sertifikat berumur pendek — Direkomendasikan jika CA hanya mengeluarkan sertifikat pengguna akhir untuk otentikasi berbasis sertifikat.

      • Hirarki tingkat tunggal dengan Root CA — Pilih CA bawahan untuk mengintegrasikannya dengan hierarki CA yang ada.

    • Opsi algoritma kunci - RSA 2048

    • Pilihan nama subjek yang dibedakan — Gunakan opsi yang paling tepat untuk mengidentifikasi CA ini di toko Otoritas Sertifikasi Root Tepercaya Direktori Aktif Anda.

    • Opsi pencabutan sertifikat - distribusi CRL

      catatan

      Otentikasi berbasis sertifikat memerlukan titik CRL distribusi online yang dapat diakses dari instance armada AppStream 2.0 dan pengontrol domain. Ini memerlukan akses tidak terautentikasi ke bucket Amazon S3 yang dikonfigurasi AWS untuk entri CRL CA Pribadi, atau distribusi CloudFront dengan akses ke bucket Amazon S3 jika memblokir akses publik. Untuk informasi selengkapnya tentang opsi ini, lihat Merencanakan daftar pencabutan sertifikat () CRL.

  6. Tandai CA pribadi Anda dengan kunci yang berhak menunjuk CA euc-private-ca untuk digunakan dengan otentikasi berbasis sertifikat AppStream 2.0. Kunci ini tidak memerlukan nilai. Untuk informasi selengkapnya, lihat Mengelola tag untuk CA pribadi Anda. Untuk informasi selengkapnya tentang kebijakan AWS terkelola yang digunakan dengan AppStream 2.0 untuk memberikan izin ke sumber daya di Anda Akun AWS, lihatAWS Kebijakan Terkelola Diperlukan untuk Mengakses Sumber Daya AppStream 2.0.

  7. Otentikasi berbasis sertifikat menggunakan kartu pintar virtual untuk masuk. Untuk informasi selengkapnya, lihat Pedoman untuk mengaktifkan logon kartu pintar dengan otoritas sertifikasi pihak ketiga. Ikuti langkah-langkah ini:

    1. Konfigurasikan pengontrol domain dengan sertifikat pengontrol domain untuk mengautentikasi pengguna kartu pintar. Jika Anda memiliki CA perusahaan Layanan Sertifikat Direktori Aktif yang dikonfigurasi di Direktori Aktif Anda, maka secara otomatis akan mendaftarkan pengontrol domain dengan sertifikat yang mengaktifkan logon kartu pintar. Jika Anda tidak memiliki Layanan Sertifikat Direktori Aktif, lihat Persyaratan untuk sertifikat pengontrol domain dari CA pihak ketiga. AWS merekomendasikan otoritas sertifikat perusahaan Active Directory untuk secara otomatis mengelola pendaftaran untuk sertifikat pengontrol domain.

      catatan

      Jika Anda menggunakan Microsoft AD AWS Terkelola, Anda dapat mengonfigurasi Layanan Sertifikat pada EC2 instans Amazon yang memenuhi persyaratan untuk sertifikat pengontrol domain. Lihat Menerapkan Direktori Aktif ke Amazon Virtual Private Cloud baru misalnya penerapan AWS Microsoft AD Terkelola yang dikonfigurasi dengan Layanan Sertifikat Direktori Aktif.

      Dengan Microsoft AD dan Layanan Sertifikat Direktori Aktif AWS Terkelola, Anda juga harus membuat aturan keluar dari grup VPC keamanan pengontrol ke EC2 instans Amazon yang menjalankan Layanan Sertifikat. Anda harus memberikan akses grup keamanan ke TCP port 135, dan port 49152 hingga 65535 untuk mengaktifkan pendaftaran otomatis sertifikat. EC2Instans Amazon juga harus mengizinkan akses masuk pada port yang sama ini dari instance domain, termasuk pengontrol domain. Untuk informasi selengkapnya tentang menemukan grup keamanan untuk Microsoft AD AWS Terkelola, lihat Mengonfigurasi VPC subnet dan grup keamanan Anda.

    2. Di konsol CA AWS Pribadi, atau dengan SDK atauCLI, ekspor sertifikat CA pribadi. Untuk informasi selengkapnya, lihat Mengekspor sertifikat pribadi.

    3. Publikasikan CA pribadi ke Active Directory. Masuk ke pengontrol domain atau mesin yang bergabung dengan domain. Salin sertifikat CA pribadi ke salah satu <path>\<file> dan jalankan perintah berikut sebagai administrator domain. Anda juga dapat menggunakan Kebijakan Grup dan Microsoft PKI Health Tool (PKIView) untuk mempublikasikan CA. Untuk informasi selengkapnya, lihat Petunjuk konfigurasi.

      certutil -dspublish -f <path>\<file> RootCA
      certutil -dspublish -f <path>\<file> NTAuthCA

      Pastikan perintah berhasil diselesaikan, lalu hapus file sertifikat CA pribadi. Bergantung pada pengaturan replikasi Direktori Aktif Anda, CA dapat mengambil beberapa menit untuk mempublikasikan ke pengontrol domain dan instance armada AppStream 2.0.

      catatan

      Active Directory harus mendistribusikan CA ke Otoritas Sertifikasi Root Tepercaya dan NTAuth toko Perusahaan secara otomatis untuk instance armada AppStream 2.0 saat mereka bergabung dengan domain.

Untuk sistem operasi Windows, distribusi CA (Certificate Authority) terjadi secara otomatis. Namun, untuk Red Hat Enterprise Linux, Anda harus mengunduh sertifikat CA root dari CA yang digunakan oleh Config Direktori AppStream 2.0 Anda. Jika sertifikat CA KDC root Anda berbeda, Anda juga harus mengunduhnya. Sebelum menggunakan otentikasi berbasis sertifikat, Anda perlu mengimpor sertifikat ini ke gambar atau snapshot.

Pada gambar, harus ada file bernama/etc/sssd/pki/sssd_auth_ca_db.pem. Seharusnya terlihat seperti berikut:

-----BEGIN CERTIFICATE-----
Base64-encoded certificate chain from ACM Private CA 
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded certificate body from ACM private CA
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded root CA KDC certificate chain
-----END CERTIFICATE-----
catatan

Saat menyalin gambar di seluruh wilayah atau akun, atau mengaitkan ulang gambar dengan Direktori Aktif baru, file ini perlu dikonfigurasi ulang dengan sertifikat yang relevan pada pembuat gambar dan diambil kembali sebelum digunakan.

Di bawah ini adalah petunjuk untuk mengunduh sertifikat root CA:

  1. Pada pembuat gambar, buat file bernama/etc/sssd/pki/sssd_auth_ca_db.pem.

  2. Buka konsol CA AWS Pribadi.

  3. Pilih sertifikat pribadi yang digunakan dengan Config Direktori AppStream 2.0 Anda.

  4. Pilih tab sertifikat CA.

  5. Salin rantai sertifikat dan badan sertifikat ke /etc/sssd/pki/sssd_auth_ca_db.pem pembuat gambar.

Jika sertifikat CA root yang KDCs digunakan berbeda dari sertifikat CA root yang digunakan oleh Config Direktori AppStream 2.0 Anda, ikuti langkah-langkah berikut untuk mengunduhnya:

  1. Connect ke instance Windows yang bergabung dengan domain yang sama dengan pembuat gambar Anda.

  2. Buka certlm.msc.

  3. Di panel kiri, pilih Otoritas Sertifikat Root Tepercaya, lalu pilih Sertifikat..

  4. Untuk setiap sertifikat CA root, buka menu konteks (klik kanan).

  5. Pilih Semua Tugas, pilih Ekspor untuk membuka Wisaya Ekspor Sertifikat, lalu pilih Berikutnya.

  6. Pilih Base64-Encoded X.509 (. CER), dan pilih Berikutnya.

  7. Pilih Browse, masukkan nama file, dan pilih Berikutnya.

  8. Pilih Selesai.

  9. Buka sertifikat yang diekspor dalam editor teks.

  10. Salin isi file /etc/sssd/pki/sssd_auth_ca_db.pem ke pembuat gambar.