View a markdown version of this page

Usar um Microsoft Active Directory autogerenciado - Amazon FSx para Windows File Server

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar um Microsoft Active Directory autogerenciado

Se a sua organização gerenciar identidades e dispositivos usando um Active Directory autogerenciado on-premises ou na nuvem, você poderá incluir um sistema de arquivos do FSx para Windows File Server ao seu domínio do Active Directory durante a criação.

Quando você associa o sistema de arquivos ao Active Directory autogerenciado, o sistema de arquivos do seu FSx para Windows File Server reside na mesma floresta do Active Directory (o contêiner lógico superior em uma configuração do Active Directory que contém domínios, usuários e computadores) e no mesmo domínio do Active Directory que seus usuários e recursos existentes (incluindo servidores de arquivos existentes).

nota

Você pode isolar seus recursos, incluindo os sistemas de arquivos do Amazon FSx, em uma floresta do Active Directory separada daquela em que residem seus usuários. Para fazer isso, associe seu sistema de arquivos a um Microsoft Active Directory gerenciado pela AWS e estabeleça uma relação de confiança de floresta unidirecional entre um Microsoft Active Directory gerenciado pela AWS que você criar e seu Active Directory autogerenciado existente.

  • Nome de usuário e senha de uma conta de serviço no seu domínio do Active Directory, para que o Amazon FSx use para unir o sistema de arquivos ao seu domínio do Active Directory. Você pode fornecer essas credenciais como texto simples ou armazená-las AWS Secrets Manager e fornecer o ARN secreto (recomendado).

  • (Opcional) A Unidade Organizacional (UO) em seu domínio na qual você deseja que seu sistema de arquivos seja associado.

  • (Opcional) O grupo de domínio ao qual você deseja delegar autoridade para executar ações administrativas no sistema de arquivos. Por exemplo, esse grupo de domínio pode gerenciar compartilhamentos de arquivos do Windows, gerenciar listas de controle de acesso (ACLs) na pasta raiz do sistema de arquivos, assumir a propriedade de arquivos e pastas e assim por diante. Se você não especificar esse grupo, o Amazon FSx delegará essa autoridade ao grupo de administradores de domínio em seu domínio do Active Directory por padrão.

    nota

    O nome do grupo de domínio fornecido deve ser exclusivo no Active Directory. O FSx para Windows File Server não criará o grupo de domínio sob as seguintes circunstâncias:

    • Se já houver um grupo com o nome que você especificar

    • Se você não especificar um nome, e já houver um grupo chamado “Administradores de domínio” no seu Active Directory.

    Para obter mais informações, consulte Associar um sistema de arquivos do Amazon FSx a um domínio do Microsoft Active Directory autogerenciado.

Pré-requisitos

Antes de associar um sistema de arquivos do FSx para Windows File Server ao domínio autogerenciado do Microsoft Active Directory, analise os seguintes pré-requisitos para garantir que você possa associar com sucesso o sistema de arquivos do Amazon FSx ao Active Directory autogerenciado.

On-premises configurações

Esses são os pré-requisitos para o Microsoft Active Directory autogerenciado (on-premises ou baseado na nuvem) ao qual você associará o sistema de arquivos do Amazon FSx.

  • Os controladores de domínio do Active Directory:

    • Precisa ter um nível funcional de domínio no Windows Server 2008 R2 ou posterior.

    • Precisa ser gravável.

    • Pelo menos um dos controladores de domínio acessíveis deve ser um catálogo global da floresta.

  • O servidor DNS deve ser capaz de resolver nomes da seguinte forma:

    • No domínio em que você está associando ao sistema de arquivos

    • No domínio raiz da floresta

  • Os endereços IP do servidor DNS e do controlador de domínio do Active Directory devem atender aos seguintes requisitos, que podem variar conforme a data de criação do sistema de arquivos do Amazon FSx:

    Para sistemas de arquivos criados antes de 17 de dezembro de 2020 Para sistemas de arquivos criados após 17 de dezembro de 2020

    Os endereços IP devem estar em um intervalo de endereços IP privados do RFC 1918:

    • 10.0.0. 0/8

    • 172.16.0. 0/12

    • 192.168.0. 0/16

    Os endereços IP podem estar em qualquer intervalo, exceto:

    • Endereços IP que entram em conflito com os endereços IP de propriedade da Amazon Web Services no Região da AWS qual o sistema de arquivos está inserido. Para obter uma lista de endereços IP AWS próprios por região, consulte os intervalos de endereços AWS IP.

    • Endereços IP no intervalo de blocos CIDR de 198.19.0. 0/16

    Se você precisar acessar um sistema de arquivos do FSx para Windows File Server que foi criado antes de 17 de dezembro de 2020 usando um intervalo de endereços IP não privado, você pode criar um novo sistema de arquivos restaurando um backup do sistema de arquivos. Para obter mais informações, consulte Restaurar um backup em um novo sistema de arquivos.

  • O nome de domínio do Active Directory autogerenciado deve atender aos seguintes requisitos:

    • O nome de domínio que não está no formato de domínio de rótulo único (SLD). O Amazon FSx não é compatível com domínios de SLD.

    • Para Single-AZ 2 e todos os sistemas de Multi-AZ arquivos, o nome de domínio não pode exceder 47 caracteres.

  • Todos os sites do Active Directory que você definiu devem atender aos seguintes pré-requisitos:

    • As sub-redes na VPC associada ao seu sistema de arquivos devem ser definidas em um site do Active Directory.

    • Não há conflitos entre as sub-redes da VPC e nenhuma das sub-redes do site do Active Directory.

    O Amazon FSx requer conectividade com todos os controladores de domínio ou locais do Active Directory definidos por você em seu ambiente do Active Directory. O Amazon FSx ignorará qualquer controlador de domínio com TCP e UDP bloqueados na porta 389. Para os controladores de domínio restantes em seu Active Directory, certifique-se de que eles atendam aos requisitos de conectividade do Amazon FSx. Além disso, verifique se todas as alterações na conta de serviço são propagadas para todos esses controladores de domínio.

    Importante

    Não mova objetos de computador criados pelo Amazon FSx na UO depois da criação do sistema de arquivos. Isso fará com que o sistema de arquivos fique configurado incorretamente.

Você pode validar a configuração do Active Directory, inclusive testar a conectividade de vários controladores de domínio, usando a Ferramenta de validação do Active Directory do Amazon FSx. Para limitar o número de controladores de domínio que exigem conectividade, você também pode criar uma relação de confiança entre os controladores de domínio on-premises e o AWS Managed Microsoft AD. Para obter mais informações, consulte Como usar um modelo de isolamento de floresta de recursos.

Importante

O Amazon FSx só registra os registros de DNS para um sistema de arquivos se você estiver usando o Microsoft DNS como o serviço padrão de DNS. Se estiver usando um DNS de terceiros, será necessário configurar manualmente as entradas de registro de DNS para seu sistema de arquivos após criá-lo.

Configurações de rede

Esta seção descreve os requisitos de configuração de rede para associar um sistema de arquivos ao Active Directory autogerenciado. Recomendamos fortemente que você use a Ferramenta de validação do Active Directory do Amazon FSx para testar suas configurações de rede antes de tentar associar seu sistema de arquivos ao Active Directory autogerenciado.

  • As regras de firewall devem permitir o tráfego ICMP entre os controladores de domínio do Active Directory e o Amazon FSx.

  • A conectividade deve ser configurada entre a Amazon VPC na qual você deseja criar o sistema de arquivos e o seu Active Directory autogerenciado. Você pode configurar essa conectividade usando Direct Connect, AWS Virtual Private Network, emparelhamento da VPC ou AWS Transit Gateway.

  • O grupo de segurança da VPC padrão para sua Amazon VPC padrão deve ser adicionado ao seu sistema de arquivos no console do Amazon FSx. Certifique-se de que o grupo de segurança e as ACLs da rede da VPC para as sub-redes em que você criou o sistema de arquivos permitam o tráfego nas portas e na direção apresentadas no diagrama a seguir.

    Requisitos de configuração da porta do FSx para Windows File Server para grupos de segurança da VPC e ACLs da rede para as sub-redes em que o sistema de arquivos é criado.

    A tabela a seguir identifica o protocolo, as portas e sua função.

    Protocolo

    Portas

    Perfil

    TCP/UDP

    53

    Domain Name System (DNS)

    TCP/UDP

    88

    Autenticação de Kerberos

    TCP/UDP

    464

    Change/set senha

    TCP/UDP

    389

    Lightweight Directory Access Protocol (LDAP)

    UDP 123

    Network Time Protocol (NTP)

    TCP 135

    Mapeador de Environment/End pontos de computação distribuída () DCE/EPMAP

    TCP

    445

    Compartilhamento de arquivos de SMB para serviços de diretório

    TCP

    636

    LDAPS TLS/SSL (Lightweight Directory Access Protocol over)

    TCP

    3268

    Catálogo global da Microsoft

    TCP

    3269

    Catálogo global da Microsoft sobre SSL

    TCP

    5985

    WinRM 2.0 (Gerenciamento Remoto do Microsoft Windows)

    TCP

    9389

    Serviços Web do Microsoft Active Directory DS, PowerShell

    Importante

    É necessário permitir o tráfego de saída na porta TCP 9389 para implantações de Single-AZ 2 e Multi-AZ sistemas de arquivos.

    TCP

    49152 – 65535

    Portas efêmeras para RPC

    Essas regras de tráfego também precisam estar espelhadas nos firewalls aplicados a cada um dos controladores de domínio do Active Directory, servidores DNS, clientes do FSx e administradores do FSx.

nota

Se estiver usando ACLs de rede de VPC, você também deverá permitir tráfego de saída em portas dinâmicas (49152-65535) do sistema de arquivos.

Importante

Embora os grupos de segurança da Amazon VPC exijam que as portas sejam abertas apenas na direção em que o tráfego de rede é iniciado, a maioria dos firewalls do Windows e das ACLs das redes VPC exige que as portas sejam abertas nas duas direções.

Permissões da conta de serviço

É necessário ter uma conta de serviço em seu Microsoft Active Directory autogerenciado com permissões delegadas para associar objetos de computador ao seu domínio do Active Directory autogerenciado. Uma conta de serviço é uma conta de usuário no Active Directory autogerenciado que recebeu a delegação de certas tarefas.

Veja a seguir o conjunto mínimo de permissões que devem ser delegadas à conta do serviço Amazon FSx na UO à qual você está associando o sistema de arquivos:

  • Se estiver usando o Controle delegado no Console de gerenciamento Microsoft de Computadores e Usuários do Active Directory:

    • Redefinir senhas

    • Restrições de leitura e gravação da conta

    • Gravação validada no nome do host DNS

    • Gravação validada no nome da entidade principal do serviço

  • Se estiver usando Recursos avançados no Console de gerenciamento Microsoft de Computadores e Usuários do Active Directory:

    • Modificar permissões

    • Criação de objetos de computador

    • Excluir objetos de computador

Para obter mais informações, consulte o tópico da documentação do Microsoft Windows Server Erro: o acesso é negado quando usuários não administradores aos quais foi delegado o controle tentam associar computadores a um controlador de domínio.

Para mais informações sobre como configurar as permissões necessárias, consulte Delegar permissões à conta ou grupo de serviço do Amazon FSx.

Práticas recomendadas ao usar um Active Directory autogerenciado

Recomendamos que siga estas práticas recomendadas ao associar sistemas de arquivos do Amazon FSx para Windows File Server ao Microsoft Active Directory autogerenciado. Essas práticas recomendadas ajudarão a manter a disponibilidade contínua e ininterrupta do sistema de arquivos.

Usar uma conta de serviço distinta para o Amazon FSx

Use uma conta de serviço separada para delegar os privilégios necessários para que o Amazon FSx gerencie totalmente os sistemas de arquivos associados ao Active Directory autogerenciado. Não recomendamos o uso de Administradores de domínio para essa finalidade.

Usar grupo do Active Directory

Use um grupo do Active Directory para gerenciar as permissões e configurações do Active Directory associadas à conta de serviço do Amazon FSx.

Separar a unidade organizacional (UO)

Para facilitar a localização e o gerenciamento de seus objetos de computador do Amazon FSx, recomendamos separar a Unidade organizacional (OU) usada para os sistemas de arquivos do FSx para Windows File Server de outras preocupações com controladores de domínio.

Manter atualizada a configuração do Active Directory

É fundamental manter a configuração do Active Directory do sistema de arquivos atualizada com todas as alterações. Por exemplo, se o Active Directory autogerenciado usar uma política de redefinição de senha com base no tempo, atualize a senha da conta de serviço no sistema de arquivos assim que a senha for redefinida. Para obter mais informações, consulte Como atualizar a configuração de um Active Directory autogerenciado.

Alterar a conta de serviço do Amazon FSx

Se você atualizar o sistema de arquivos com uma nova conta de serviço, ela deverá ter as permissões e os privilégios necessários para associá-la a um Active Directory e ter permissões de Controle total para os objetos de computador atuais associados ao sistema de arquivos. Para obter mais informações, consulte Alterar a conta de serviço do Amazon FSx.

Atribua sub-redes a um único site do Microsoft Active Directory

Se o seu ambiente do Active Directory tiver um grande número de controladores de domínio, use os Sites e serviços do Active Directory para atribuir as sub-redes usadas pelos sistemas de arquivos do Amazon FSx a um único site do Active Directory com a maior disponibilidade e confiabilidade. Certifique-se de que o grupo de segurança da VPC, a ACL da rede VPC, as regras de firewall do Windows em seus DCs e quaisquer outros controles de roteamento de rede que você tenha em sua infraestrutura do Active Directory permitam a comunicação do Amazon FSx nas portas necessárias. Isso permite que o Windows reverta para outros controladores de domínio, se não puder usar o site do Active Directory atribuído. Para obter mais informações, consulte Controle de acesso ao sistema de arquivos com a Amazon VPC.

Usar regras de grupo de segurança para limitar o tráfego

Use as regras de grupos de segurança para implementar o princípio do privilégio mínimo na nuvem privada virtual (VPC). Com as regras do grupo de segurança da VPC, você pode limitar o tipo de tráfego de entrada e saída da rede permitido para seu arquivo. Por exemplo, sugerimos que você permita somente o tráfego de saída para os controladores de domínios do Active Directory autogerenciado ou dentro da sub-rede ou do grupo de segurança que esteja usando. Para obter mais informações, consulte Controle de acesso ao sistema de arquivos com a Amazon VPC.

Não mova objetos de computador criados pelo Amazon FSx
Importante

Não mova objetos de computador criados pelo Amazon FSx na UO depois da criação do sistema de arquivos. Isso fará com que o sistema de arquivos fique configurado incorretamente.

Validar sua configuração do Active Directory

Antes de tentar associar um sistema de arquivos do FSx para Windows File Server ao seu Active Directory, recomendamos fortemente que você valide a configuração do Active Directory usando a Ferramenta de validação do Active Directory do Amazon FSx.

Armazenando credenciais do Active Directory usando AWS Secrets Manager

Você pode usar AWS Secrets Manager para armazenar e gerenciar com segurança suas credenciais da conta de serviço de ingresso no domínio do Microsoft Active Directory. Essa abordagem elimina a necessidade de armazenar credenciais confidenciais em texto simples no código da aplicação ou nos arquivos de configuração, fortalecendo sua postura de segurança.

Você também pode configurar políticas do IAM para gerenciar o acesso aos seus segredos e configurar políticas de rotação automática para suas senhas.

Etapa 1: criar uma chave do KMS

Crie uma chave do KMS para criptografar e descriptografar suas credenciais do Active Directory no Secrets Manager.

Para criar uma chave
nota

Para Chave de criptografia, crie uma nova chave, não use a chave KMS AWS padrão. Certifique-se de criar o AWS KMS key na mesma região que contém o sistema de arquivos que você deseja associar ao seu Active Directory.

  1. Abra o AWS KMS console em https://console.aws.amazon.com/kms.

  2. Escolha Criar chave.

  3. Em Tipo de chave, escolha Simétrica.

  4. Em Uso da chave, escolha Criptografar e descriptografar.

  5. Em Opções avançadas, faça o seguinte:

    1. Em Origem do material de chaves, escolha Externa.

    2. Em Regionalidade, escolha a Single-Region chave e escolha Avançar.

  6. Escolha Próximo.

  7. Em Alias, forneça um nome para a chave do KMS.

  8. (Opcional) Em Descrição, forneça uma descrição da chave do KMS.

  9. (Opcional) Em Tags, forneça uma tag da chave do KMS e clique em Próximo.

  10. (Opcional) Para administradores de chaves, forneça os usuários e usuários e perfis do IAM autorizados a gerenciar essa chave.

  11. Em Exclusão de chaves, mantenha a caixa Permitir administradores de chaves selecionada para que eles possam excluir essa chave, e escolha Próximo.

  12. (Opcional) Para usuários de chaves, forneça os usuários e perfis do IAM autorizados a usar essa chave em operações criptográficas. Escolha Próximo.

  13. Em Política de chave, escolha Editar e inclua o seguinte na Declaração de política para permitir que o Amazon FSx use a chave do KMS e, então, escolha Avançar. Certifique-se de substituir o no local em us-west-2 Região da AWS que o sistema de arquivos está implantado e 123456789012 pelo seu Conta da AWS ID.

    { "Sid": "Allow FSx to use the KMS key", "Version": "2012-10-17", "Effect": "Allow", "Principal": { "Service": "fsx.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-west-2.amazonaws.com", "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*" } } }
  14. Escolha Terminar.

nota

Você pode definir um controle de acesso mais granular modificando os campos aws:SourceArn e Resource para alcançar segredos e sistemas de arquivos específicos.

Etapa 2: criar um AWS Secrets Manager secret
Como criar um segredo
  1. Abra o console do Secrets Manager em https://console.aws.amazon.com/secretsmanager/.

  2. Selecione Armazenar um novo segredo.

  3. Em Tipo de segredo, escolha Outro tipo de segredo.

  4. Para Key/value pares, faça o seguinte para adicionar suas duas chaves:

    1. Para a primeira chave, insira CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME.

    2. Para o valor da primeira chave, insira somente o nome de usuário (sem o prefixo do domínio) do usuário do AD.

    3. Para a segunda chave, insira CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD.

    4. Para o valor da segunda chave, insira a senha que você criou para o usuário do AD no domínio.

  5. Em Chave de criptografia, insira a chave do KMS que você criou em uma etapa anterior e escolha Próximo.

  6. Em Nome do secreto, insira um nome descritivo que ajude você a encontrar o segredo posteriormente.

  7. (Opcional) Em Descrição, insira uma descrição para o nome do segredo.

  8. Em Permissão de recurso, escolha Editar.

    Adicione o seguinte à política de permissão para permitir que o Amazon FSx use o segredo e escolha Avançar. Certifique-se de substituir o no local em us-west-2 Região da AWS que o sistema de arquivos está implantado e 123456789012 pelo seu Conta da AWS ID.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "fsx.amazonaws.com" }, "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*" } } } ] }
    nota

    Você pode definir um controle de acesso mais granular modificando os campos aws:SourceArn e Resource para alcançar segredos e sistemas de arquivos específicos.

  9. (Opcional) Você pode configurar o Secrets Manager para alternar suas credenciais automaticamente. Escolha Próximo.

  10. Escolha Terminar.

Etapa 1: criar uma chave do KMS

Crie uma chave do KMS para criptografar e descriptografar suas credenciais do Active Directory no Secrets Manager.

Para criar uma chave KMS, use o AWS CLI comando create-key.

Nesse comando, defina o parâmetro --policy para especificar a política de chave que define as permissões para a chave do KMS. A política deve incluir o seguinte:

  • A entidade principal do serviço do Amazon FSx, que é fsx.amazonaws.com.

  • Ações necessárias do KMS: kms:Decrypt e kms:DescribeKey.

  • Padrão de ARN de recurso para sua conta Região da AWS .

  • Chaves de condição que restringem o uso da chave:

    • kms:ViaService para garantir que as solicitações cheguem por meio do Secrets Manager.

    • aws:SourceAccount para limitar sua conta.

    • aws:SourceArn para restringir a sistemas de arquivos específicos do Amazon FSx.

O exemplo a seguir cria uma chave do KMS simétrica com uma política que permite que o Amazon FSx use a chave para descriptografar e descriptografar a chave. O comando recupera automaticamente seu Conta da AWS ID e região e, em seguida, configura a política de chaves com esses valores para garantir controles de acesso adequados entre o Amazon FSx, o Secrets Manager e a chave KMS. Certifique-se de que seu AWS CLI ambiente esteja na mesma região do sistema de arquivos que se juntará ao Active Directory.

# Set region and get Account ID REGION=${AWS_REGION:-$(aws configure get region)} ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text) # Create Key KMS_KEY_ARN=$(aws kms create-key --policy "{ \"Version\": \"2012-10-17\", \"Statement\": [ { \"Sid\": \"Enable IAM User Permissions\", \"Effect\": \"Allow\", \"Principal\": { \"AWS\": \"arn:aws:iam::$ACCOUNT_ID:root\" }, \"Action\": \"kms:*\", \"Resource\": \"*\" }, { \"Sid\": \"Allow FSx to use the KMS key\", \"Effect\": \"Allow\", \"Principal\": { \"Service\": \"fsx.amazonaws.com\" }, \"Action\": [ \"kms:Decrypt\", \"kms:DescribeKey\" ], \"Resource\": \"*\", \"Condition\": { \"StringEquals\": { \"kms:ViaService\": \"secretsmanager.$REGION.amazonaws.com\", \"aws:SourceAccount\": \"$ACCOUNT_ID\" }, \"ArnLike\": { \"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\" } } } ] }" --query 'KeyMetadata.Arn' --output text) echo "KMS Key ARN: $KMS_KEY_ARN"
nota

Você pode definir um controle de acesso mais granular modificando os campos aws:SourceArn e Resource para alcançar segredos e sistemas de arquivos específicos.

Etapa 2: criar um AWS Secrets Manager secret

Para criar um segredo para o Amazon FSx acessar seu Active Directory, use o AWS CLI comando create-secret e defina os seguintes parâmetros:

  • --name: o identificador do seu segredo.

  • --description: uma descrição da finalidade do segredo.

  • --kms-key-id: o ARN da chave do KMS que você criou na Etapa 1 para criptografar o segredo em repouso.

  • --secret-string: uma string JSON contendo suas credenciais do AD no seguinte formato:

    • CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME: o nome de usuário da sua conta de serviço do AD sem o prefixo do domínio, como svc-fsx. Não forneça o prefixo do domínio, como CORP\svc-fsx.

    • CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD: sua senha da conta de serviço do AD.

  • --region: o Região da AWS local onde seu sistema de arquivos Amazon FSx será criado. Isso é padronizado para sua região configurada, se a AWS_REGION não estivesse definida.

Depois de criar o segredo, anexe uma política de recursos usando o comando put-resource-policy e defina os seguintes parâmetros:

  • --secret-id: o nome ou ARN do segredo para anexar à política. O exemplo a seguir usa FSxSecret como --secret-id.

  • --region: O mesmo Região da AWS que seu segredo.

  • --resource-policy: um documento de política JSON que concede permissão ao Amazon FSx para acessar o segredo. A política deve incluir o seguinte:

    • A entidade principal do serviço do Amazon FSx, que é fsx.amazonaws.com.

    • Ações necessárias do Secrets Manager: secretsmanager:GetSecretValue e secretsmanager:DescribeSecret.

    • Padrão de ARN de recurso para sua conta Região da AWS .

    • As seguintes chaves de condição que restringem o acesso:

      • aws:SourceAccount para limitar sua conta.

      • aws:SourceArn para restringir a sistemas de arquivos específicos do Amazon FSx.

O exemplo a seguir cria um segredo com o formato necessário e anexa uma política de recursos que permite que o Amazon FSx use o segredo. Este exemplo recupera automaticamente seu Conta da AWS ID e sua região e, em seguida, configura a política de recursos com esses valores para garantir controles de acesso adequados entre o Amazon FSx e o segredo.

Certifique-se de substituir KMS_KEY_ARN o pelo ARN da chave que você criou na Etapa 1, CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME e CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD pelas credenciais da sua conta de serviço do Active Directory. Além disso, verifique se seu AWS CLI ambiente está configurado para a mesma região do sistema de arquivos que se juntará ao Active Directory.

# Set region and get account ID REGION=${AWS_REGION:-$(aws configure get region)} ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text) # Replace with your KMS key ARN from Step 1 KMS_KEY_ARN="arn:aws:kms:us-east-2:123456789012:key/1234542f-d114-555b-9ade-fec3c9200d8e" # Replace with your Active Directory credentials AD_USERNAME="Your_Username" AD_PASSWORD="Your_Password" # Create the secret SECRET_ARN=$(aws secretsmanager create-secret \ --name "FSxSecret" \ --description "Secret for FSx access" \ --kms-key-id "$KMS_KEY_ARN" \ --secret-string "{\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"$AD_USERNAME\",\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"$AD_PASSWORD\"}" \ --region "$REGION" \ --query 'ARN' \ --output text) echo "Secret created with ARN: $SECRET_ARN" # Attach the resource policy with proper formatting aws secretsmanager put-resource-policy \ --secret-id "FSxSecret" \ --region "$REGION" \ --resource-policy "{ \"Version\": \"2012-10-17\", \"Statement\": [ { \"Effect\": \"Allow\", \"Principal\": { \"Service\": \"fsx.amazonaws.com\" }, \"Action\": [ \"secretsmanager:GetSecretValue\", \"secretsmanager:DescribeSecret\" ], \"Resource\": \"$SECRET_ARN\", \"Condition\": { \"StringEquals\": { \"aws:SourceAccount\": \"$ACCOUNT_ID\" }, \"ArnLike\": { \"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\" } } } ] }" echo "Resource policy attached successfully"
nota

Você pode definir um controle de acesso mais granular modificando os campos aws:SourceArn e Resource para alcançar segredos e sistemas de arquivos específicos.

Conta de serviço do Amazon FSx

Os sistemas de arquivos do Amazon FSx associados a um Active Directory autogerenciado exigem uma conta de serviço válida durante toda a vida útil. O Amazon FSx usa a conta de serviço para gerenciar totalmente seus sistemas de arquivos e realizar tarefas administrativas que exigem a separação e a junção de objetos de computador ao seu domínio do Active Directory. Essas tarefas incluem a substituição de um servidor de arquivos com falha e a aplicação de patches no software Microsoft Windows Server. Para que o Amazon FSx execute essas tarefas, a conta de serviço do Amazon FSx deve receber no mínimo a delegação do conjunto de permissões descrito em Permissões da conta de serviço.

Embora os membros do grupo Administradores de domínio tenham privilégios suficientes para realizar essas tarefas, é altamente recomendável que você use uma conta de serviço diferente para delegar os privilégios necessários ao Amazon FSx.

Para obter mais informações sobre como delegar privilégios usando os recursos Controle de delegado ou Recursos avançados no snap-in do Console de gerenciamento Microsoft de Computadores e Usuários do Active Directory, consulte Delegar permissões à conta ou grupo de serviço do Amazon FSx.

Se você atualizar o sistema de arquivos com uma nova conta de serviço, a nova conta de serviço deverá ter as permissões e os privilégios necessários para associá-la a um Active Directory e ter permissões de Controle total para os objetos de computador atuais associados ao sistema de arquivos. Para obter mais informações, consulte Alterar a conta de serviço do Amazon FSx.

Recomendamos armazenar as credenciais da conta de serviço do Active Directory no AWS Secrets Manager para aumentar a segurança. Isso elimina a necessidade de armazenar credenciais confidenciais em texto simples e se alinha às práticas de segurança recomendadas. Para obter mais informações, consulte Usar um Microsoft Active Directory autogerenciado.