Active Directory 작업의 모범 사례 - FSx for ONTAP
Amazon FSx 서비스 계정에 권한 위임AD 구성을 최신 상태로 유지보안 그룹을 사용하여 VPC 내 트래픽 제한아웃바운드 보안 그룹 규칙 생성

Active Directory 작업의 모범 사례

다음은 Amazon FSx for NetApp ONTAP SVM을 자체 관리형 Microsoft Active Directory에 조인할 때 고려해야 할 몇 가지 제안 및 지침입니다. 이는 모범 사례로 권장되지만 필수 사항은 아닙니다.

Amazon FSx 서비스 계정에 권한 위임

Amazon FSx에 제공하는 서비스 계정을 필요한 최소 권한으로 구성해야 합니다. 또한 조직 단위(OU)를 다른 도메인 컨트롤러 문제와 분리합니다.

Amazon FSx SVM을 도메인에 조인하려면 서비스 계정에 권한이 위임되었는지 확인해야 합니다. Domain Admins 그룹의 구성원은 이 작업을 수행할 수 있는 충분한 권한을 가지고 있습니다. 그러나 이 작업에 필요한 최소 권한만을 가진 서비스 계정을 사용하는 것이 모범 사례입니다. 다음 절차는 FSx for ONTAP SVM을 도메인에 조인하는 데 필요한 권한만 위임하는 방법을 보여줍니다.

이 절차는 디렉터리에 조인되고 Active Directory User and Computers MMC 스냅인이 설치된 머신에서 수행합니다.

Microsoft Active Directory 도메인의 서비스 계정을 생성하려면

  1. Microsoft Active Directory 도메인의 도메인 관리자로 로그인했는지 확인합니다.

  2. Active Directory User and Computers MMC 스냅인을 엽니다.

  3. 작업 창에서 도메인 노드를 확장합니다.

  4. 수정하려는 OU에 대한 컨텍스트 메뉴(마우스 오른쪽 버튼 클릭)를 찾아 연 다음 제어 위임을 선택합니다.

  5. 제어 위임 마법사 페이지에서 다음을 선택합니다.

  6. 추가를 선택하여 선택된 사용자 및 그룹에 특정 사용자 또는 특정 그룹을 추가한 후 다음을 선택합니다.

  7. 위임할 작업 페이지에서 위임할 사용자 지정 작업 만들기를 선택하고 다음을 선택합니다.

  8. 폴더의 다음 객체만을 선택한 후 컴퓨터 객체를 선택합니다.

  9. 이 폴더에서 선택한 객체 생성을 선택한 후 이 폴더에서 선택한 객체 삭제를 선택합니다. 다음을 선택합니다.

  10. 이러한 권한 표시에서 일반속성별 이 선택되어 있는지 확인합니다.

  11. 권한에서 다음을 선택합니다.

    • 암호 재설정

    • 읽기 및 쓰기 계정 제한

    • DNS 호스트 이름에 대한 검증된 쓰기

    • 서비스 보안 주체 이름에 대한 검증된 쓰기

    • msDS -SupportedEncryptionTypes 쓰기

  12. 다음을 선택한 후 완료를 선택합니다.

  13. Active Directory User and Computers MMC 스냅인을 닫습니다.

중요

SVM이 생성된 후 Amazon FSx가 OU에 생성한 컴퓨터 객체를 이동하지 않습니다. 그러면 SVM이 잘못 구성될 수 있습니다.

Amazon FSx를 사용하여 Active Directory 구성을 최신 상태로 유지

Amazon FSx SVM을 중단 없이 사용할 수 있도록 하려면 자체 관리형 AD 설정을 변경할 때 SVM의 자체 관리형 Active Directory(AD) 구성을 업데이트합니다.

예를 들어 AD가 시간 기반 암호 재설정 정책을 사용한다고 가정합니다. 이 경우 암호가 재설정되는 즉시 Amazon FSx로 서비스 계정 암호를 업데이트해야 합니다. 이 작업을 수행하려면 Amazon FSx 콘솔, Amazon FSx API 또는 AWS CLI를 사용합니다. 마찬가지로 Active Directory 도메인의 DNS 서버 IP 주소가 변경되는 경우 변경이 발생하는 즉시 Amazon FSx로 DNS 서버 IP 주소를 업데이트합니다.

업데이트된 자체 관리형 Active Directory 구성에 문제가 있는 경우 SVM 상태가 잘못 구성됨으로 전환됩니다. 이 상태에는 콘솔, API 및 CLI의 SVM 설명 옆에 오류 메시지와 권장 조치가 표시됩니다. SVM의 AD 구성에 문제가 발생하는 경우 구성 속성에 대해 권장되는 수정 조치를 취해야 합니다. 문제가 해결되면 SVM의 상태가 생성됨으로 변경되는지 확인합니다.

자세한 내용은 AWS Management Console, AWS CLI 및 API를 사용하여 기존 SVM Active Directory 구성 업데이트하기ONTAP CLI를 사용하여 Active Directory 구성 수정 섹션을 참조하세요.

보안 그룹을 사용하여 VPC 내 트래픽 제한

Virtual Private Cloud(VPC)에서 네트워크 트래픽을 제한하기 위해 VPC에 최소 권한 원칙을 구현할 수 있습니다. 다시 말해, 권한을 필요한 최소 권한으로 제한할 수 있습니다. 이렇게 하려면 보안 그룹 규칙을 사용합니다. 자세한 내용은 Amazon VPC 보안 그룹 섹션을 참조하세요.

파일 시스템의 네트워크 인터페이스에 대한 아웃바운드 보안 그룹 규칙 생성

보안을 강화하려면 아웃바운드 트래픽 규칙을 사용하여 보안 그룹을 구성하는 것이 좋습니다. 이러한 규칙은 아웃바운드 트래픽을 자체 관리형 AD 도메인 컨트롤러에만 허용하거나 서브넷 또는 보안 그룹 내에서만 허용해야 합니다. Amazon FSx 파일 시스템의 탄력적 네트워크 인터페이스와 연결된 VPC에 이 보안 그룹을 적용합니다. 자세한 내용은 Amazon VPC를 사용한 파일 시스템 액세스 제어 섹션을 참조하세요.