アクティブディレクトリを使用する際のベストプラクティス - FSx for ONTAP
Amazon FSx サービスアカウントにアクセス許可を委任するAD 設定を最新の状態に保つセキュリティグループで VPC 内のトラフィックを制限するアウトバウンドセキュリティグループのルールの作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アクティブディレクトリを使用する際のベストプラクティス

Amazon FSx for NetApp ONTAP SVM をセルフマネージド Microsoft アクティブディレクトリに接続させる際に考慮するべき提案事項やガイドラインについていくつか説明します。これらはベストプラクティスとして推奨されていますが、必須ではないことに注意してください。

Amazon FSx サービスアカウントにアクセス許可を委任する

Amazon FSx に提供するサービスアカウントは、少なくとも必要最低限のアクセス許可を持つように設定してください。さらに、組織単位 (OU) を他のドメインコントローラーから分離します。

Amazon FSx SVM をドメインに接続させるには、サービスアカウントに委任された許可があることを確認してください。[ドメイン管理者] グループのメンバーには、このタスクを実行するための十分な許可があります。ただし、ベストプラクティスとして、これを実行するために必要最小限の許可のみ付与したサービスアカウントを使用してください。次の手順は、FSx for ONTAP SVM をドメインに接続させるために必要な許可のみを委任する方法を示しています。

この手順は、ディレクトリに接続し、かつ Active Directory User and Computers MMC スナップインがインストールされているマシンで実行します。

Microsoft Active Directory ドメインのサービスアカウントを作成するには

  1. Microsoft Active Directory ドメインのドメイン管理者としてログインしていることを確認してください。

  2. アクティブディレクトリユーザーとコンピュータ MMC スナップインを開きます。

  3. タスクペインで、ドメインノードを展開します。

  4. 変更する OU のコンテキスト (右クリック) メニューを見つけて開き、[Delegate Control] (コントロールの委任) を選択します。

  5. [Delegation of Control Wizard] (コントロールウィザードの委任) ページで、[Next] (次へ) を選択します。

  6. [Selected users and groups] (選択したユーザーとグループ) に特定のユーザーまたは特定のグループを追加するには、[Add] (追加) を選択してから、[Next] (次へ) を選択します。

  7. [Tasks to Delegate] (委任するタスク) ページで、[Create a custom task to delegate] (委任するカスタムタスクの作成) を選択し、[Next (次へ) を選択します。

  8. [Only the following objects in the folder] (フォルダー内の以下のオブジェクトのみ) を選択してから、[Computer objects] (コンピュータオブジェクト) を選択します。

  9. [Create selected objects in this folder] (このフォルダー内に選択したオブジェクトを作成する) を選択してから、[Delete selected objects in this folder] (このフォルダー内の選択したオブジェクトを削除する) を選択します。続いて、[Next] (次へ) を選択します。

  10. [これらのアクセス許可を表示] で、[一般][プロパティ固有] が選択されていることを確認します。

  11. [Permissions] (アクセス許可) を使用する場合、以下を選択します。

    • [Reset Password] (パスワードのリセット)

    • [Read and write Account Restriction] (読み取りおよび書き込み、アカウントの制限)

    • [Validated write to DNS host name] (DNS ホスト名への書き込みの検証)

    • [Validated write to service principal name] (サービスプリンシパル名への書き込みの検証)

    • [msDS-SupportedEncryptionTypes の書き込み]

  12. [Next] (次へ) を選択し、[Finish] (完了) を選択します。

  13. アクティブディレクトリユーザーとコンピュータ MMC スナップインを閉じます。

重要

SVM が作成された後に Amazon FSx が OU で作成するコンピュータオブジェクトを移動しないでください。移動した場合、SVM が誤設定される原因となります。

Amazon FSx でアクティブディレクトリ設定を最新の状態に保つ

Amazon FSx SVM の中断されない可用性を確保するには、セルフマネージド AD 設定を変更する際、SVM のセルフマネージドアクティブディレクトリ(AD) の設定を更新してください。

例えば、AD が時間ベースのパスワードリセットポリシーを使用しているとします。この場合、パスワードがリセットされたらすぐに、Amazon FSx でサービスアカウントのパスワードを更新してください。これを行うには、Amazon FSx コンソール、Amazon FSx API、または AWS CLI を使用します。同様に、アクティブディレクトリドメインの DNS サーバーの IP アドレスが変更された場合、変更が発生したらすぐに DNS サーバーの IP アドレスを Amazon FSx で更新します。

更新されたセルフマネージド AD 設定に問題がある場合、SVM の状態は [Misconfigured] (誤設定) に変わります。この状態では、コンソール、API、CLI の SVM 説明の横にエラーメッセージと推奨アクションが表示されます。SVM の AD 設定に問題が発生した場合は、設定プロパティに推奨された是正処置を必ず実行してください。問題が解決した場合は、SVM の状態が [Created] (作成済み) に変わっていることを確認します。

詳細については、、 AWS Management ConsoleAWS CLI、および API を使用した既存の SVM アクティブディレクトリ設定の更新 および ONTAP CLI を使用してアクティブディレクトリの設定を変更する を参照してください。

セキュリティグループを使用して VPC 内のトラフィックを制限する

仮想プライベートクラウド (VPC) のネットワークトラフィックを制限するために、VPC に最小特権のプリンシパルを実装できます。言い換えると、許可を必要最低限に制限することができます。これを行うには、セキュリティグループルールを使用します。詳細については、「Amazon VPC セキュリティグループ」を参照してください。

ファイルシステムのネットワークインターフェイス用のアウトバウンドセキュリティグループルールの作成

セキュリティを強化するには、アウトバウンドトラフィックルールを使用したセキュリティグループの設定を検討してください。これらのルールは、セルフマネージド AD ドメインコントローラー、あるいはサブネットまたはセキュリティグループ内へのアウトバウンドトラフィックのみを許可する必要があります。このセキュリティグループを Amazon FSx ファイルシステムの Elastic Network Interface に関連付けられた VPC に適用します。詳細については、「Amazon VPC によるファイルシステムアクセスコントロール」を参照してください。