# Configurar um Active Directory autogerenciado
Para configurar um AD autogerenciado, siga as etapas abaixo.
**Topics**
+ [Etapa 1: Criar uma unidade organizacional no AD](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateOU)
+ [Etapa 2: criar uma conta de serviço de domínio AD em seu AD](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateADuser)
+ [Etapa 3: delegar controle à conta de serviço de domínio AD](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.DelegateControl)
+ [Etapa 4: Criar uma chave do AWS KMS](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateKMSkey)
+ [Etapa 5: Criar um segredo da AWS](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateSecret)
## Etapa 1: Criar uma unidade organizacional no AD
**Importante**
Recomendamos criar uma OU e uma credencial de serviço dedicadas com escopo para essa OU para todas as contas da AWS que tenham uma instância de banco de dados do RDS para SQL Server associada ao seu domínio de AD autogerenciado. Ao dedicar uma OU e uma credencial de serviço, você pode evitar permissões conflitantes e seguir o princípio de privilégio mínimo.
**Como criar uma OU no AD**
1. Conecte-se ao seu domínio de AD como administrador do domínio.
1. Abra **Usuários e computadores do Active Directory** e selecione o domínio em que deseja criar a OU.
1. Clique com o botão direito do mouse no domínio, escolha **Novo** e selecione **Unidade organizacional**.
1. Insira um nome para a OU.
1. Mantenha a caixa **Proteger o contêiner contra exclusão acidental** selecionada.
1. Clique em **OK**. A nova OU será exibida em seu domínio.
## Etapa 2: criar uma conta de serviço de domínio AD em seu AD
As credenciais da conta de serviço de domínio serão usadas para o segredo no AWS Secrets Manager.
**Como criar uma conta de serviço de domínio AD em seu AD**
1. Abra **Usuários e computadores do Active Directory** e selecione o domínio e a OU em que deseja criar o usuário.
1. Clique com o botão direito do mouse no objeto **Usuários**, escolha **Novo** e selecione **Usuário**.
1. Insira um nome, sobrenome e nome de login para o usuário. Clique em **Next**.
1. Insira uma senha para o usuário. Não selecione a opção **“O usuário deve alterar a senha no próximo login”**. Não selecione a opção **“A conta está desabilitada”**. Clique em **Next**.
1. Clique em **OK**. O novo usuário será exibido em seu domínio.
## Etapa 3: delegar controle à conta de serviço de domínio AD
**Como delegar controle à conta de serviço de domínio AD em seu domínio**
1. Abra o snap-in do MMC **Usuários e computadores do Active Directory** e selecione o domínio em que deseja criar o usuário.
1. Clique com o botão direito do mouse na OU criada anteriormente e escolha **Delegar controle**.
1. No **Assistente de delegação de controle**, clique em **Próximo**.
1. Na seção **Usuários ou grupos**, clique em **Adicionar**.
1. Na seção **Selecionar usuários, computadores ou grupos**, insira a conta de serviço de domínio AD que você criou e clique em **Conferir nomes**. Se a verificação de sua conta de serviço de domínio AD for bem-sucedida, clique em **OK**.
1. Na seção **Usuários ou grupos**, confirme se seu serviço de domínio AD foi adicionado e clique em **Próximo**.
1. Na página **Tarefas para delegar**, selecione **Criar uma tarefa personalizada para delegar** e escolha **Próximo**.
1. Na seção **Tipo de objeto do Active Directory**:
1. Selecione **Somente os objetos a seguir na pasta**.
1. Selecione **Objetos do computador**.
1. Selecione **Criar objetos selecionados nesta pasta**.
1. Selecione **Excluir objetos selecionados nesta pasta** e clique em **Próximo**.
1. Na seção **Permissões**:
1. Mantenha a opção **Geral** selecionada.
1. Selecione **Gravação validada no nome do host DNS**.
1. Selecione **Gravação validada no nome da entidade principal de serviço** e clique em **Próximo**.
1. Para habilitar a autenticação Kerberos, mantenha a opção **Específico da propriedade** selecionada e escolha **Gravar servicePrincipalName** na lista.
1. Em **Concluir o assistente de delegação de controle**, revise e confirme as configurações e clique em **Concluir**.
1. Para a autenticação Kerberos, abra o Gerenciador DNS e abra as propriedades do **servidor**.
1. Na caixa de diálogo do Windows, digite `dnsmgmt.msc`.
1. Inclua a conta do serviço de domínio AD na guia **Segurança**.
1. Selecione a permissão de **leitura** e aplique suas alterações.
## Etapa 4: Criar uma chave do AWS KMS
A chave do KMS é usada para criptografar o segredo da AWS.
**Para criar uma chave do AWS KMS**
**nota**
Em **Chave de criptografia**, não use a chave do KMS padrão da AWS. Crie a chave do AWS KMS na mesma conta da AWS que contém a instância de banco de dados do RDS para SQL Server que você deseja associar ao AD autogerenciado.
1. No console do AWS KMS, escolha **Criar chave**.
1. Em **Tipo de chave**, escolha **Simétrica**.
1. Em **Uso da chave**, escolha **Criptografar e descriptografar**.
1. Em **Advanced options (Opções avançadas)**:
1. Em **Origem do material de chaves**, escolha **Externa**.
1. Em **Regionalidade**, escolha **Chave de região única** e clique em **Próximo**.
1. Em **Alias**, forneça um nome para a chave do KMS.
1. (Opcional) Em **Descrição**, forneça uma descrição da chave do KMS.
1. (Opcional) Em **Etiquetas**, forneça uma etiqueta da chave do KMS e clique em **Próximo**.
1. Em **Administradores de chaves**, forneça o nome de um usuário do IAM e selecione-o.
1. Em **Exclusão de chaves**, mantenha a caixa **Permitir que administradores de chaves excluam esta chave** selecionada e clique em **Próximo**.
1. Em **Usuários de chaves**, informe o mesmo usuário do IAM da etapa anterior e selecione-o. Clique em **Next**.
1. Revise a configuração.
1. Em **Política de chave**, inclua o seguinte na **Instrução** da política:
```
{
"Sid": "Allow use of the KMS key on behalf of RDS",
"Effect": "Allow",
"Principal": {
"Service": [
"rds.amazonaws.com"
]
},
"Action": "kms:Decrypt",
"Resource": "*"
}
```
1. Clique em **Finish (Concluir)**.
## Etapa 5: Criar um segredo da AWS
**Como criar um segredo**
**nota**
Crie o segredo na mesma conta da AWS que contém a instância de banco de dados do RDS para SQL Server que você deseja associar ao AD autogerenciado.
1. No AWS Secrets Manager, escolha **Armazenar um novo segredo**.
1. Em **Tipo de segredo**, escolha **Outro tipo de segredo**.
1. Em **Pares de chave/valor**, adicione suas duas chaves:
1. Para a primeira chave, insira `SELF_MANAGED_ACTIVE_DIRECTORY_USERNAME`.
1. Para o valor da primeira chave, insira somente o nome de usuário (sem o prefixo do domínio) do usuário do AD. Não inclua o nome do domínio, pois isso faz com que a criação da instância falhe.
1. Para a segunda chave, insira `SELF_MANAGED_ACTIVE_DIRECTORY_PASSWORD`.
1. Para o valor da segunda chave, insira a senha que você criou para o usuário do AD no domínio.
1. Em **Chave de criptografia**, insira a chave do KMS que você criou em uma etapa anterior e clique em **Próximo**.
1. Em **Nome do secreto**, insira um nome descritivo que ajude você a encontrar o segredo posteriormente.
1. (Opcional) Em **Descrição**, insira uma descrição para o nome do segredo.
1. Em **Permissão de recurso**, clique em **Editar**.
1. Adicione a política a seguir à política de permissões:
**nota**
Recomendamos que você use as condições `aws:sourceAccount` e `aws:sourceArn` na política para evitar o problema de *representante confuso*. Use sua Conta da AWS em `aws:sourceAccount` e o ARN da instância de banco de dados do RDS para SQL Server em `aws:sourceArn`. Para obter mais informações, consulte [Prevenção do problema do substituto confuso entre serviços](cross-service-confused-deputy-prevention.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Principal":
{
"Service": "rds.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "*",
"Condition":
{
"StringEquals":
{
"aws:sourceAccount": "123456789012"
},
"ArnLike":
{
"aws:sourceArn": "arn:aws:rds:us-west-2:123456789012:db:*"
}
}
}
]
}
```
------
1. Clique em **Salvar**, depois em **Próximo**.
1. Em **Definir configurações de rotação**, mantenha os valores padrão e escolha **Próximo**.
1. Revise as configurações do segredo e clique em **Armazenar**.
1. Escolha o segredo que você criou e copie o valor do **ARN do segredo**. Isso será usado na próxima etapa para configurar o Active Directory autogerenciado.