Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Procedure consigliate per l'utilizzo di Active Directory
Ecco alcuni suggerimenti e linee guida da prendere in considerazione quando ti iscrivi ad Amazon FSx for NetApp ONTAP SVMs alla tua Microsoft Active Directory autogestita. Tieni presente che sono consigliate come best practice, ma non obbligatorie.
**Topics**
+ [Delega delle autorizzazioni al tuo account di servizio Amazon FSx](#connect_delegate_privileges)
+ [Mantenere aggiornata la configurazione di Active Directory con Amazon FSx](#keep-ad-config-updated)
+ [Utilizzo di gruppi di sicurezza per limitare il traffico all'interno del VPC](#least-privilege-sg-rules)
+ [Creazione di regole per i gruppi di sicurezza in uscita per l'interfaccia di rete del file system](#sg-rules-fsx-eni)
+ [Archiviazione delle credenziali di Active Directory utilizzando Gestione dei segreti AWS](#bp-store-ad-creds-using-secret-manager)
## Delega delle autorizzazioni al tuo account di servizio Amazon FSx
Assicurati di configurare l'account di servizio che fornisci ad Amazon FSx con le autorizzazioni minime richieste. Inoltre, separa l'unità organizzativa (OU) dagli altri problemi relativi ai controller di dominio.
Per aggiungere Amazon FSx SVMs al tuo dominio, assicurati che l'account del servizio disponga di autorizzazioni delegate. I membri del gruppo **Domain Admins** dispongono di autorizzazioni sufficienti per eseguire questa attività. Tuttavia, è consigliabile utilizzare un account di servizio che disponga solo delle autorizzazioni minime necessarie per eseguire questa operazione. La procedura seguente mostra come delegare al dominio solo le autorizzazioni necessarie FSx per iscriversi a SVMs ONTAP.
Esegui questa procedura su un computer che fa parte della tua directory e su cui è installato lo snap-in MMC Active Directory User and Computers.
**Per creare un account di servizio per il dominio Microsoft Active Directory**Crea un account di servizio per AD
1. Assicurati di aver effettuato l'accesso come amministratore di dominio per il tuo dominio Microsoft Active Directory.
1. Aprire lo **snap-in MMC per utenti e computer di Active Directory**.
1. Nel riquadro attività, espandere il nodo del dominio.
1. Individua e apri il menu contestuale (fai clic con il pulsante destro del mouse) per l'unità organizzativa che desideri modificare, quindi scegli **Controllo delegato**.
1. **Nella pagina **Delegation of Control Wizard**, scegli Avanti.**
1. Scegli **Aggiungi** per aggiungere un utente specifico o un gruppo specifico per **Utenti e gruppi selezionati**, quindi scegli **Avanti**.
1. Nella pagina **Tasks to Delegate (Operazioni da delegare)**, selezionare **Create a custom task to delegate (Crea un'operazione personalizzata per eseguire la delega)**, quindi scegliere **Next (Avanti)**.
1. Scegli **Solo i seguenti oggetti nella cartella**, quindi scegli **Oggetti del computer**.
1. Scegliete **Crea oggetti selezionati in questa cartella** e **Elimina gli oggetti selezionati in questa cartella**. Quindi scegli **Successivo**.
1. In **Mostra queste autorizzazioni**, assicurati che siano selezionate **Generale** e **Specifico della proprietà**.
1. Per **Autorizzazioni, scegli quanto** segue:
+ **Reimpostazione della password**
+ **Leggi e scrivi le restrizioni dell'account**
+ **Nome host DNS di scrittura convalidato**
+ **Nome principale del servizio di scrittura convalidato**
+ **Scrivi MSDs- SupportedEncryptionTypes**
1. Scegli **Next (Avanti)**, quindi scegli **Finish (Fine)**.
1. Chiudere lo **snap-in MMC Utente e computer di Active Directory**.
**Importante**
Non spostare oggetti informatici che Amazon FSx crea nell'unità organizzativa dopo la creazione SVMs dei tuoi. In questo modo potresti non SVMs essere configurato correttamente.
## Mantenere aggiornata la configurazione di Active Directory con Amazon FSx
Per una disponibilità ininterrotta di Amazon FSx SVMs, aggiorna la configurazione Active Directory (AD) autogestita di una SVM quando modifichi la configurazione di AD autogestita.
Ad esempio, supponiamo che il tuo AD utilizzi una politica di reimpostazione della password basata sul tempo. In questo caso, non appena la password viene reimpostata, assicurati di aggiornare la password dell'account del servizio con Amazon FSx. A tale scopo, utilizza la FSx console Amazon, FSx l'API Amazon o AWS CLI. Allo stesso modo, se gli indirizzi IP del server DNS cambiano per il tuo dominio Active Directory, non appena si verifica la modifica aggiorna gli indirizzi IP del server DNS con Amazon. FSx
**Se c'è un problema con la configurazione AD autogestita aggiornata, lo stato SVM passa a Misconfiguration.** Questo stato mostra un messaggio di errore e un'azione consigliata accanto alla descrizione SVM nella console, nell'API e nella CLI. Se si verifica un problema con la configurazione AD della SVM, assicuratevi di intraprendere le azioni correttive consigliate per le proprietà di configurazione. **Se il problema viene risolto, verificate che lo stato della SVM cambi in Created.**
Per ulteriori informazioni, consultare [Aggiornamento delle configurazioni SVM Active Directory esistenti utilizzando l'API Console di gestione AWS, e AWS CLI](update-svm-ad-config.md) e [Modificare una configurazione di Active Directory utilizzando la CLI ONTAP](manage-svm-ad-config-ontap-cli.md#using-ontap-cli-to-modify-ad).
## Utilizzo di gruppi di sicurezza per limitare il traffico all'interno del VPC
Per limitare il traffico di rete nel tuo cloud privato virtuale (VPC), puoi implementare il principio del privilegio minimo nel tuo VPC. In altre parole, puoi limitare le autorizzazioni al minimo necessario. A tale scopo, utilizzate le regole del gruppo di sicurezza. Per ulteriori informazioni, consulta [Gruppi di sicurezza Amazon VPC](limit-access-security-groups.md#fsx-vpc-security-groups).
## Creazione di regole per i gruppi di sicurezza in uscita per l'interfaccia di rete del file system
Per una maggiore sicurezza, prendi in considerazione la configurazione di un gruppo di sicurezza con regole del traffico in uscita. Queste regole dovrebbero consentire il traffico in uscita solo verso i controller dei domini AD autogestiti o all'interno della sottorete o del gruppo di sicurezza. Applica questo gruppo di sicurezza al VPC associato all'interfaccia di rete elastica del tuo FSx file system Amazon. Per ulteriori informazioni, consulta [Controllo degli accessi ai file system con Amazon VPC](limit-access-security-groups.md).
## Archiviazione delle credenziali di Active Directory utilizzando Gestione dei segreti AWS
È possibile utilizzarlo per Gestione dei segreti AWS archiviare e gestire in modo sicuro le credenziali dell'account del servizio di accesso al dominio Microsoft Active Directory. Questo approccio elimina la necessità di archiviare credenziali sensibili in testo semplice nel codice dell'applicazione o nei file di configurazione, rafforzando il livello di sicurezza.
Puoi anche configurare le policy IAM per gestire l'accesso ai tuoi segreti e impostare policy di rotazione automatica per le tue password.
### Archivia le credenziali di Active Directory in Gestione dei segreti AWS (Console)
#### Passaggio 1: creare una chiave KMS
Crea una chiave KMS per crittografare e decrittografare le credenziali di Active Directory in Secrets Manager.
**Come creare una chiave**
**Nota**
Per la **chiave di crittografia**, crea una nuova chiave, non utilizzare la chiave KMS predefinita. AWS Assicurati di crearla AWS KMS key nella stessa regione che contiene la SVM a cui desideri aggiungere ad Active Directory.
1. Apri la AWS KMS console in /kms. https://console.aws.amazon.com
1. Scegli **Crea chiave**.
1. In **Tipo di chiave**, scegli **Simmetrica**.
1. In **Utilizzo delle chiavi**, scegli **Crittografa e decrittografa**.
1. Per le **opzioni avanzate**, procedi come segue:
1. In **Origine materiale chiave**, scegli **KMS**.
1. **Per **Regionalità**, scegli la **chiave Single-Region** e scegli Avanti.**
1. Scegli **Next (Successivo)**.
1. In **Alias**, fornisci un nome per la chiave KMS.
1. (Facoltativo) In **Descrizione**, immetti una descrizione per la chiave KMS.
1. **(Facoltativo) Per i **tag**, fornisci un tag per la chiave KMS e scegli Avanti.**
1. (Facoltativo) Per **gli amministratori chiave**, fornisci gli utenti e i ruoli IAM autorizzati a gestire questa chiave.
1. **Per l'**eliminazione della chiave**, mantieni selezionata la casella **Consenti agli amministratori chiave** di eliminare questa chiave e scegli Avanti.**
1. (Facoltativo) Per **gli utenti chiave**, fornisci gli utenti e i ruoli IAM autorizzati a utilizzare questa chiave nelle operazioni crittografiche. Scegli **Next (Successivo)**.
1. Per **Politica chiave**, scegli **Modifica** e includi quanto segue nella **dichiarazione** sulla politica per consentire FSx ad Amazon di utilizzare la chiave KMS e scegli **Avanti**. Assicurati di {{us-west-2}} sostituirlo nel Regione AWS luogo in cui è distribuito il file system e nel tuo {{123456789012}} Account AWS ID.
```
{
"Sid": "Allow FSx to use the KMS key",
"Version": "2012-10-17",
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:{{us-west-2}}:{{123456789012}}:key/*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.{{us-west-2}}.amazonaws.com",
"aws:SourceAccount": "{{123456789012}}"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:fsx:{{us-west-2}}:{{123456789012}}:file-system/*",
"arn:aws:fsx:{{us-west-2}}:{{123456789012}}:storage-virtual-machine/fs-*/svm-*"
]
}
}
}
```
1. Scegli **Fine**.
**Nota**
Puoi impostare un controllo degli accessi più granulare modificando `aws:SourceArn` i campi `Resource` e in modo da indirizzarli a segreti e file system specifici.
#### Fase 2: Creare un segreto Gestione dei segreti AWS
**Per creare un segreto**
1. Apri la console Secrets Manager all'indirizzo [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Scegli **Archivia un nuovo segreto**.
1. Per **Secret type** (Tipo di segreto), scegli **Other type of secret** (Altro tipo di segreto).
1. Per le **coppie chiave/valore, effettuate** le seguenti operazioni per aggiungere le due chiavi:
1. Per la prima chiave, immetti `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`.
1. Per il valore della prima chiave, immetti solo il nome utente (senza il prefisso di dominio) dell’utente AD.
1. Per la seconda chiave, immetti `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`.
1. Per il valore della seconda chiave, immetti la password creata per l'utente AD nel dominio.
1. **Per **Chiave di crittografia**, inserisci l'ARN della chiave KMS che hai creato in un passaggio precedente e scegli Avanti.**
1. In **Nome del segreto**, inserisci un nome descrittivo che semplifichi l'individuazione del segreto in un secondo momento.
1. (Facoltativo) In **Descrizione**, inserisci una descrizione per il nome del segreto.
1. **Per l'**autorizzazione della risorsa**, scegli Modifica.**
Aggiungi la seguente politica alla politica di autorizzazione per consentire FSx ad Amazon di utilizzare il segreto, quindi scegli **Avanti**. Assicurati di {{us-west-2}} sostituirlo nel Regione AWS luogo in cui è distribuito il file system e {{123456789012}} nel tuo Account AWS ID.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Resource": "arn:aws:secretsmanager:{{us-west-2}}:{{123456789012}}:secret:*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:fsx:{{us-west-2}}:{{123456789012}}:file-system/*",
"arn:aws:fsx:{{us-west-2}}:{{123456789012}}:storage-virtual-machine/fs-*/svm-*"
]
}
}
}
]
}
```
1. (Facoltativo) È possibile configurare Secrets Manager per ruotare automaticamente le credenziali. Scegli **Next (Successivo)**.
1. Scegli **Fine**.
### Archivia le credenziali di Active Directory in Gestione dei segreti AWS (CLI)
#### Fase 1: Creare una chiave KMS
Crea una chiave KMS per crittografare e decrittografare le credenziali di Active Directory in Secrets Manager.
[Per creare una chiave KMS, usa il comando create-key. AWS CLI](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html)
In questo comando, imposta il `--policy` parametro per specificare la politica chiave che definisce le autorizzazioni per la chiave KMS. La politica deve includere quanto segue:
+ Il principale servizio per Amazon FSx, che è`fsx.amazonaws.com`.
+ Azioni KMS richieste: `kms:Decrypt` e`kms:DescribeKey`.
+ Schema ARN delle risorse per il tuo account Regione AWS .
+ Chiavi condizionali che limitano l'utilizzo delle chiavi:
+ `kms:ViaService`per garantire che le richieste arrivino tramite Secrets Manager.
+ `aws:SourceAccount`da limitare al tuo account.
+ `aws:SourceArn`per limitarsi a specifici FSx file system Amazon.
L'esempio seguente crea una chiave KMS di crittografia simmetrica con una politica che consente ad Amazon FSx di utilizzare la chiave per le operazioni di decrittografia e descrizione delle chiavi. Il comando recupera automaticamente l' Account AWS ID e la regione, quindi configura la politica delle chiavi con questi valori per garantire controlli di accesso adeguati tra Amazon FSx, Secrets Manager e la chiave KMS. Assicurati che il tuo AWS CLI ambiente si trovi nella stessa regione della SVM che entrerà a far parte di Active Directory.
```
# Set region and get Account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Create Key
KMS_KEY_ARN=$(aws kms create-key --policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Sid\": \"Enable IAM User Permissions\",
\"Effect\": \"Allow\",
\"Principal\": {
\"AWS\": \"arn:aws:iam::$ACCOUNT_ID:root\"
},
\"Action\": \"kms:*\",
\"Resource\": \"*\"
},
{
\"Sid\": \"Allow FSx to use the KMS key\",
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"kms:Decrypt\",
\"kms:DescribeKey\"
],
\"Resource\": \"*\",
\"Condition\": {
\"StringEquals\": {
\"kms:ViaService\": \"secretsmanager.$REGION.amazonaws.com\",
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": [
\"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\",
\"arn:aws:fsx:$REGION:$ACCOUNT_ID:storage-virtual-machine/fs-*/svm-*\"]
}
}
}
]
}" --query 'KeyMetadata.Arn' --output text)
echo "KMS Key ARN: $KMS_KEY_ARN"
```
**Nota**
È possibile impostare un controllo degli accessi più granulare modificando `aws:SourceArn` i campi `Resource` and in modo da indirizzarli a segreti e file system specifici.
#### Fase 2: Creare un segreto Gestione dei segreti AWS
Per creare un codice segreto per consentire FSx ad Amazon di accedere al tuo Active Directory, usa il AWS CLI comando [create-secret](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/create-secret.html) e imposta i seguenti parametri:
+ `--name`: L'identificatore del tuo segreto.
+ `--description`: Una descrizione dello scopo del segreto.
+ `--kms-key-id`: L'ARN della chiave KMS che hai creato nel [passaggio 1](#create-kms-key-cli) per crittografare il segreto inattivo.
+ `--secret-string`: Una stringa JSON contenente le tue credenziali AD nel seguente formato:
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`: nome utente dell'account del servizio AD senza il prefisso del dominio, ad esempio. `svc-fsx` **Non** fornire il prefisso del dominio, ad esempio. `CORP\svc-fsx`
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`: la password dell'account del servizio AD
+ `--region`: Il Regione AWS luogo in cui verrà creato il tuo SVM. Se non è impostata, l'impostazione predefinita `AWS_REGION` è la regione configurata.
Dopo aver creato il segreto, allega una politica delle risorse utilizzando il [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/logs/put-resource-policy.html)comando e imposta i seguenti parametri:
+ `--secret-id`: il nome o l'ARN del segreto a cui allegare la policy. L'esempio seguente utilizza **FSxSecret** come. `--secret-id`
+ `--region`: Uguale Regione AWS al tuo segreto.
+ `--resource-policy`: un documento di policy JSON che concede ad Amazon FSx l'autorizzazione ad accedere al segreto. La politica deve includere quanto segue:
+ Il principale servizio per Amazon FSx, che è**fsx.amazonaws.com**.
+ Azioni richieste di Secrets Manager: `secretsmanager:GetSecretValue` e`secretsmanager:DescribeSecret`.
+ Schema ARN delle risorse per il tuo account Regione AWS .
+ Le seguenti chiavi condizionali che limitano l'accesso:
+ `aws:SourceAccount`da limitare al tuo account.
+ `aws:SourceArn`per limitarsi a specifici FSx file system Amazon.
L'esempio seguente crea un segreto con il formato richiesto e allega una politica delle risorse che consente FSx ad Amazon di utilizzare il segreto. Questo esempio recupera automaticamente il tuo Account AWS ID e la tua regione, quindi configura la politica delle risorse con questi valori per garantire controlli di accesso adeguati tra Amazon FSx e il segreto.
Assicurati di sostituirlo `KMS_KEY_ARN` con l'ARN della chiave creata nel [passaggio 1](#create-kms-key-cli) e `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD` con le credenziali `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME` dell'account del servizio Active Directory. Inoltre, verificate che l' AWS CLI ambiente sia configurato per la stessa regione della SVM che entrerà a far parte di Active Directory.
```
# Set region and get account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Replace with your KMS key ARN from Step 1
KMS_KEY_ARN="{{arn:aws:kms:us-east-2:123456789012:key/1234542f-d114-555b-9ade-fec3c9200d8e}}"
# Replace with your Active Directory credentials
AD_USERNAME="{{Your_Username}}"
AD_PASSWORD="{{Your_Password}}"
# Create the secret
SECRET_ARN=$(aws secretsmanager create-secret \
--name "FSxSecret" \
--description "Secret for FSx access" \
--kms-key-id "$KMS_KEY_ARN" \
--secret-string "{\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"$AD_USERNAME\",\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"$AD_PASSWORD\"}" \
--region "$REGION" \
--query 'ARN' \
--output text)
echo "Secret created with ARN: $SECRET_ARN"
# Attach the resource policy with proper formatting
aws secretsmanager put-resource-policy \
--secret-id "FSxSecret" \
--region "$REGION" \
--resource-policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"secretsmanager:GetSecretValue\",
\"secretsmanager:DescribeSecret\"
],
\"Resource\": \"$SECRET_ARN\",
\"Condition\": {
\"StringEquals\": {
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": [
\"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\",
\"arn:aws:fsx:$REGION:$ACCOUNT_ID:storage-virtual-machine/fs-*/svm-*\"]
}
}
}
]
}"
echo "Resource policy attached successfully"
```
**Nota**
È possibile impostare un controllo degli accessi più granulare modificando `aws:SourceArn` i campi `Resource` and in modo da indirizzarli a segreti e file system specifici.