Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione di Active Directory autogestito
Per configurare AD autogestito, si procede nel modo descritto di seguito.
**Topics**
+ [Fase 1: creazione di un'unità organizzativa in AD](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateOU)
+ [Fase 2: creazione un account del servizio di dominio AD in AD](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateADuser)
+ [Fase 3: delega del controllo all’account del servizio di dominio AD](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.DelegateControl)
+ [Fase 4: Creare una chiave AWS KMS](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateKMSkey)
+ [Passaggio 5: crea un AWS segreto](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateSecret)
## Fase 1: creazione di un'unità organizzativa in AD
**Importante**
Ti consigliamo di creare un'unità organizzativa dedicata e una credenziale di servizio con ambito a tale unità organizzativa per qualsiasi AWS account che possiede un'istanza DB RDS per SQL Server aggiunto al tuo dominio AD autogestito. Dedicando un'unità organizzativa e le credenziali di servizio, puoi evitare autorizzazioni in conflitto e seguire il principio del privilegio minimo.
**Creazione di un'unità organizzativa in AD**
1. Stabilisci una connessione al dominio AD come amministratore del dominio.
1. Apri **Utenti e computer di Active Directory** e seleziona il dominio in cui desideri creare l'unità organizzativa.
1. Fai clic con il pulsante destro del mouse sul dominio e scegli **Nuovo**, quindi **Unità organizzativa**.
1. Inserisci un nome per l'unità operativa.
1. Mantieni selezionata la casella **Proteggi il container dall'eliminazione accidentale**.
1. Fai clic su **OK**. La nuova unità organizzativa apparirà sotto il dominio.
## Fase 2: creazione un account del servizio di dominio AD in AD
Le credenziali dell'account del servizio di dominio verranno utilizzate per il segreto in AWS Secrets Manager.
**Per creare un account del servizio di dominio AD in AD**
1. Apri **Utenti e computer di Active Directory** e seleziona il dominio e l'unità organizzativa in cui desideri creare l'utente.
1. Fai clic con il pulsante destro del mouse sull'oggetto **Utenti**, scegli **Nuovo**, quindi **Utente**.
1. Immetti il nome, il cognome e il nome di accesso per l'utente. Fare clic su **Avanti**.
1. Immetti una password per l'utente. Non selezionare **"L'utente deve cambiare la password al prossimo accesso"**. Non selezionare **"L'account è disabilitato"**. Fare clic su **Avanti**.
1. Fai clic su **OK**. Il nuovo utente apparirà sotto il dominio.
## Fase 3: delega del controllo all’account del servizio di dominio AD
**Per delegare il controllo all’account del servizio di dominio AD nel dominio**
1. Apri lo snap-in MMC **Utenti e computer di Active Directory** e seleziona il dominio e l'unità organizzativa in cui desideri creare l'utente.
1. Fai clic con il pulsante destro del mouse sull'unità organizzativa creata in precedenza e scegli **Controllo delegato**.
1. Nella pagina **Delega guidata del controllo**, fai clic su **Avanti**.
1. Nella sezione **Utenti o gruppi**, fai clic su **Aggiungi**.
1. Nella sezione **Seleziona utenti, computer o gruppi**, inserisci l’account del servizio di dominio AD creato in precedenza e fai clic su **Controlla nomi**. Se il controllo dell’account del servizio di dominio AD ha esito positivo, fai clic su **OK**.
1. Nella sezione **Utenti o gruppi**, verifica che l’account del servizio di dominio AD sia stato aggiunto e fai clic su **Avanti**.
1. Nella pagina **Operazioni da delegare**, seleziona **Crea un'operazione personalizzata da delegare**, quindi scegli **Avanti**.
1. Nella sezione **Tipo di oggetto Active Directory**:
1. Seleziona **Solo i seguenti oggetti contenuti nella cartella**.
1. Seleziona **Oggetti computer**.
1. Seleziona **Crea oggetti selezionati in questa cartella**.
1. Seleziona **Elimina gli oggetti selezionati in questa cartella** e fai clic su **Avanti**.
1. Nella sezione **Autorizzazioni**:
1. Mantieni selezionata l'opzione **Generale**.
1. Seleziona **Scrittura convalidata in nome host DNS**.
1. Seleziona **Scrittura convalidata in nome principale servizio** e fai clic su **Avanti**.
1. **Per abilitare l'autenticazione Kerberos, mantieni selezionata la **proprietà specifica** e seleziona Scrivi dall'elenco. servicePrincipalName**
1. Per **completare la procedura guidata di delega del controllo**, rivedi e conferma le impostazioni e fai clic su **Fine**.
1. Per l’autenticazione Kerberos, apri la gestione DNS e le proprietà del **server**.
1. Nella finestra di dialogo Windows, digita `dnsmgmt.msc`.
1. Aggiungi l’account del servizio di dominio AD nella scheda **Sicurezza**.
1. Seleziona l’autorizzazione di **lettura** e applica le modifiche.
## Fase 4: Creare una chiave AWS KMS
La chiave KMS viene utilizzata per crittografare il tuo AWS segreto.
**Per creare una chiave AWS KMS**
**Nota**
Per la **chiave di crittografia**, non utilizzare la chiave KMS AWS predefinita. Assicurati di creare la AWS KMS chiave nello stesso AWS account che contiene l'istanza DB di RDS per SQL Server a cui desideri aggiungere al tuo AD autogestito.
1. Nella AWS KMS console, scegli **Crea** chiave.
1. In **Tipo di chiave**, scegli **Simmetrica**.
1. In **Utilizzo delle chiavi**, scegli **Crittografa e decrittografa**.
1. In **Advanced options (Opzioni avanzate)**:
1. In **Origine materiale chiave**, scegli **KMS**.
1. In **Regionalità**, scegli **Chiave a regione singola** e fai clic su **Avanti**.
1. In **Alias**, fornisci un nome per la chiave KMS.
1. (Facoltativo) In **Descrizione**, immetti una descrizione per la chiave KMS.
1. (Facoltativo) In **Tag**, inserisci un tag come chiave KMS e fai clic su **Avanti**.
1. In **Amministratori delle chiavi**, fornisci il nome di un utente IAM e selezionalo.
1. In **Eliminazione chiave**, mantieni selezionata la casella **Consenti agli amministratori delle chiavi di eliminare questa chiave** e fai clic su **Avanti**.
1. In **Utenti delle chiavi**, fornisci lo stesso utente IAM della fase precedente e selezionalo. Fare clic su **Avanti**.
1. Riesamina la configurazione.
1. In **Policy delle chiavi**, includi quanto segue nel campo **Dichiarazione** associato alla policy:
```
{
"Sid": "Allow use of the KMS key on behalf of RDS",
"Effect": "Allow",
"Principal": {
"Service": [
"rds.amazonaws.com"
]
},
"Action": "kms:Decrypt",
"Resource": "*"
}
```
1. Fare clic su **Fine**.
## Passaggio 5: crea un AWS segreto
**Per creare un segreto**
**Nota**
Assicurati di creare il segreto nello stesso AWS account che contiene l'istanza DB di RDS per SQL Server che desideri aggiungere al tuo AD autogestito.
1. In AWS Secrets Manager, scegli **Memorizza un nuovo segreto**.
1. Per **Secret type** (Tipo di segreto), scegli **Other type of secret** (Altro tipo di segreto).
1. In **Coppie chiave/valore**, aggiungi le due chiavi:
1. Per la prima chiave, immetti `SELF_MANAGED_ACTIVE_DIRECTORY_USERNAME`.
1. Per il valore della prima chiave, immetti solo il nome utente (senza il prefisso di dominio) dell’utente AD. Non includere il nome di dominio in quanto impedisce la creazione dell’istanza.
1. Per la seconda chiave, immetti `SELF_MANAGED_ACTIVE_DIRECTORY_PASSWORD`.
1. Per il valore della seconda chiave, immetti la password creata per l'utente AD nel dominio.
1. In **Chiave di crittografia**, inserisci la chiave KMS creata in una delle fasi precedenti e fai clic su **Avanti**.
1. In **Nome del segreto**, inserisci un nome descrittivo che semplifichi l'individuazione del segreto in un secondo momento.
1. (Facoltativo) In **Descrizione**, inserisci una descrizione per il nome del segreto.
1. In **Autorizzazioni a livello di risorsa**, fai clic su **Modifica**.
1. Aggiungi la seguente policy alla policy dell'autorizzazione:
**Nota**
Si consiglia di utilizzare le condizione `aws:sourceAccount` e `aws:sourceArn` nella policy per evitare problemi di tipo *confused deputy*. Usa il tuo Account AWS nome `aws:sourceAccount` e l'`aws:sourceArn`ARN dell'istanza DB di RDS per SQL Server. Per ulteriori informazioni, consulta [Prevenzione del problema "confused deputy" tra servizi](cross-service-confused-deputy-prevention.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Principal":
{
"Service": "rds.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "*",
"Condition":
{
"StringEquals":
{
"aws:sourceAccount": "123456789012"
},
"ArnLike":
{
"aws:sourceArn": "arn:aws:rds:us-west-2:123456789012:db:*"
}
}
}
]
}
```
------
1. Fai clic su **Salva**, quindi su **Avanti**.
1. In **Configura impostazioni di rotazione**, non modificare i valori predefiniti e scegli **Avanti**.
1. Controlla le impostazioni relative al segreto e fai clic su **Archivio**.
1. Scegli il segreto creato e copia il valore in **ARN secreto**. Questa informazione verrà utilizzata nella fase successiva per configurare Active Directory gestito dal cliente.