本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Active Directory 的最佳实践
以下是一些建议和指南,在加入亚马逊FSx并加入自我管理的 Microsoft Active Directory 时,你应该考虑 NetApp ONTAPSVMs这些建议和指南。请注意,这些建议和指南是最佳实践,不是硬性要求。
向您的 Amazon FSx 服务账户委派权限
请务必将您提供给 Amazon 的服务账户配置FSx为所需的最低权限。此外,将组织单位(OU)与其他域控制器问题分开。
要将 Amazon FSx SVMs 加入您的域名,请确保服务账户拥有委托权限。域管理员组的成员有足够的权限来执行此任务。但是,作为最佳实践,请使用仅具有此任务的最低执行权限的服务账户。以下过程演示如何仅将加入FSx域所需的权限委托ONTAPSVMs给您的域。
在已加入您的目录并安装了 Active Directory 用户和计算机MMC管理单元的计算机上执行此过程。
为 Microsoft Active Directory 域创建服务账户
确保您以 Microsoft Active Directory 域的域管理员身份登录。
-
打开 Active Directory 用户和计算机MMC管理单元。
在任务窗格中,展开域节点。
-
找到并打开您要修改的 OU 的上下文(右键单击)菜单,然后选择委派控制。
-
在委派控制向导页面上,选择下一步。
-
选择添加,在选定的用户和组中添加特定用户或特定组,然后选择下一步。
-
在 Tasks to Delegate (要委派的任务) 页面上,选择 Create a custom task to delegate (创建要委派的自定义任务),然后选择 Next (下一步)。
-
选择仅文件夹中的以下对象,然后选择计算机对象。
-
选择在此文件夹中创建选定对象和删除此文件夹中的选定对象。然后选择下一步。
-
在显示这些权限 下,确保选中常规和特定于属性。
-
在权限中,请选择以下选项:
-
重置密码
-
读取和写入账户限制
-
已验证写入DNS主机名
-
已验证写入服务主体名称
写下 MSD-SupportedEncryptionTypes
-
-
选择下一步,然后选择完成。
-
关闭 Active Directory 用户和计算机MMC管理单元。
重要
FSx创建计算机对象后,请勿移动 Amazon 在 OU 中创建SVMs的计算机对象。这样做会SVMs导致您的配置错误。
使用 Amazon 更新您的活动目录配置 FSx
要使您的 Amazon 不间断地使用 FSxSVMs,请在更改自管理 AD 设置时更新自行管理SVM的 Active Directory (AD) 配置。
例如,假设您的 AD 使用基于时间的密码重置策略。在这种情况下,密码重置后,请务必使用Amazon更新服务账户密码FSx。为此,请使用亚马逊FSx控制台FSxAPI、Amazon 或 AWS CLI。同样,如果您的 Active Directory 域的DNS服务器 IP 地址发生变化,则在发生更改后立即使用 Amazon 更新DNS服务器 IP 地址FSx。
如果更新后的自管理 AD 配置出现问题,则SVM状态会切换为 “配置错误”。此状态在控制台中的SVM描述旁边显示错误消息和建议的操作API、和CLI。如果您SVM的 AD 配置出现问题,请务必对配置属性采取建议的更正措施。如果问题得到解决,请验证您的状态是否更改为 SVM “已创建”。
有关更多信息,请参阅使用 AWS Management Console、 AWS CLI和更新现有的 Act SVM ive Directory 配置 API 和使用修改活动目录配置 ONTAP CLI。
使用安全组限制您内部的流量 VPC
要限制虚拟私有云 (VPC) 中的网络流量,可以在您的虚拟私有云中实现最低权限原则VPC。换言之,您可以将权限限制为所需的最低权限。为此,请使用安全组规则。要了解更多信息,请参阅 亚马逊VPC安全组。
为文件系统的网络接口创建出站安全组规则
为提高安全性,请考虑使用出站流量规则来配置安全组。这些规则应仅允许出站流量流向自行管理的 AD 域控制器或子网或安全组内部。将此安全组应用于与您的亚马逊FSx文件系统的 elastic network interface VPC 关联的。要了解更多信息,请参阅 使用 Amazon 进行文件系统访问控制 VPC。
