Procedure consigliate per l'utilizzo di Active Directory - FSx per ONTAP
Delega delle autorizzazioni al tuo account di servizio Amazon FSxMantieni aggiornata una configurazione ADLimita il traffico all'interno di un VPC con gruppi di sicurezzaCreazione di regole per i gruppi di sicurezza in uscita

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Procedure consigliate per l'utilizzo di Active Directory

Ecco alcuni suggerimenti e linee guida da prendere in considerazione quando unisci Amazon FSx for NetApp ONTAP SVM alla tua Microsoft Active Directory autogestita. Tieni presente che sono consigliate come best practice, ma non obbligatorie.

Delega delle autorizzazioni al tuo account di servizio Amazon FSx

Assicurati di configurare l'account di servizio che fornisci ad Amazon FSx con le autorizzazioni minime richieste. Inoltre, separa l'unità organizzativa (OU) dagli altri problemi relativi ai controller di dominio.

Per aggiungere le SVM Amazon FSx al tuo dominio, assicurati che l'account del servizio disponga di autorizzazioni delegate. I membri del gruppo Domain Admins dispongono di autorizzazioni sufficienti per eseguire questa attività. Tuttavia, è consigliabile utilizzare un account di servizio che disponga solo delle autorizzazioni minime necessarie per eseguire questa operazione. La procedura seguente mostra come delegare solo le autorizzazioni necessarie per aggiungere le SVM FSx for ONTAP al proprio dominio.

Esegui questa procedura su un computer che fa parte della tua directory e su cui è installato lo snap-in MMC Active Directory User and Computers.

Per creare un account di servizio per il dominio Microsoft Active Directory

  1. Assicurati di aver effettuato l'accesso come amministratore di dominio per il tuo dominio Microsoft Active Directory.

  2. Aprire lo snap-in MMC per utenti e computer di Active Directory.

  3. Nel riquadro attività, espandere il nodo del dominio.

  4. Individua e apri il menu contestuale (fai clic con il pulsante destro del mouse) per l'unità organizzativa che desideri modificare, quindi scegli Controllo delegato.

  5. Nella pagina Delegation of Control Wizard, scegli Avanti.

  6. Scegli Aggiungi per aggiungere un utente specifico o un gruppo specifico per Utenti e gruppi selezionati, quindi scegli Avanti.

  7. Nella pagina Tasks to Delegate (Operazioni da delegare), selezionare Create a custom task to delegate (Crea un'operazione personalizzata per eseguire la delega), quindi scegliere Next (Avanti).

  8. Scegli Solo i seguenti oggetti nella cartella, quindi scegli Oggetti computer.

  9. Scegliete Crea oggetti selezionati in questa cartella e Elimina gli oggetti selezionati in questa cartella. Quindi scegli Successivo.

  10. In Mostra queste autorizzazioni, assicurati che siano selezionate Generale e Specifico della proprietà.

  11. Per Autorizzazioni, scegli quanto segue:

    • Reimpostazione della password

    • Leggi e scrivi le restrizioni dell'account

    • Nome host DNS di scrittura convalidato

    • Nome principale del servizio di scrittura convalidato

    • Scrivi MSDs- SupportedEncryptionTypes

  12. Scegli Next (Avanti), quindi scegli Finish (Fine).

  13. Chiudere lo snap-in MMC Utente e computer di Active Directory.

Importante

Non spostare oggetti informatici creati da Amazon FSx nell'unità organizzativa dopo la creazione delle SVM. In questo modo le tue SVM verranno configurate in modo errato.

Mantenere aggiornata la configurazione di Active Directory con Amazon FSx

Per una disponibilità ininterrotta delle SVM Amazon FSx, aggiorna la configurazione Active Directory (AD) autogestita di una SVM quando modifichi la configurazione AD autogestita.

Ad esempio, supponiamo che il tuo AD utilizzi una politica di reimpostazione della password basata sul tempo. In questo caso, non appena la password viene reimpostata, assicurati di aggiornare la password dell'account del servizio con Amazon FSx. A tale scopo, utilizza la console Amazon FSx, l'API Amazon FSx o. AWS CLI Allo stesso modo, se gli indirizzi IP del server DNS cambiano per il tuo dominio Active Directory, non appena si verifica la modifica aggiorna gli indirizzi IP del server DNS con Amazon FSx.

Se c'è un problema con la configurazione AD autogestita aggiornata, lo stato SVM passa a Misconfiguration. Questo stato mostra un messaggio di errore e un'azione consigliata accanto alla descrizione SVM nella console, nell'API e nella CLI. Se si verifica un problema con la configurazione AD della SVM, assicuratevi di intraprendere le azioni correttive consigliate per le proprietà di configurazione. Se il problema viene risolto, verificate che lo stato della SVM cambi in Created.

Per ulteriori informazioni, consultare Aggiornamento di una configurazione SVM Active Directory esistente utilizzando l'API AWS Management Console, e AWS CLI e Modificare una configurazione di Active Directory utilizzando la CLI ONTAP.

Utilizzo di gruppi di sicurezza per limitare il traffico all'interno del VPC

Per limitare il traffico di rete nel tuo cloud privato virtuale (VPC), puoi implementare il principio del privilegio minimo nel tuo VPC. In altre parole, puoi limitare le autorizzazioni al minimo necessario. A tale scopo, utilizzate le regole del gruppo di sicurezza. Per ulteriori informazioni, vedi Gruppi di sicurezza Amazon VPC.

Creazione di regole per i gruppi di sicurezza in uscita per l'interfaccia di rete del file system

Per una maggiore sicurezza, prendi in considerazione la configurazione di un gruppo di sicurezza con regole del traffico in uscita. Queste regole dovrebbero consentire il traffico in uscita solo verso i controller dei domini AD autogestiti o all'interno della sottorete o del gruppo di sicurezza. Applica questo gruppo di sicurezza al VPC associato all'interfaccia di rete elastica del tuo file system Amazon FSx. Per ulteriori informazioni, consulta Controllo degli accessi ai file system con Amazon VPC.