本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定自我管理 Active Directory
<a name="USER_SQLServer_SelfManagedActiveDirectory.SettingUp"></a>

若要設定自我管理 AD，請採取下列步驟。

**Topics**
+ [步驟 1：在您的 AD 中建立組織單位](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateOU)
+ [步驟 2：在您的 AD 中建立 AD 網域服務帳戶](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateADuser)
+ [步驟 3：將控制權委派給 AD 網域服務帳戶](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.DelegateControl)
+ [步驟 4：建立AWS KMS金鑰](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateKMSkey)
+ [步驟 5：建立AWS秘密](#USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateSecret)

## 步驟 1：在您的 AD 中建立組織單位
<a name="USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateOU"></a>

**重要**  
 我們建議為擁有加入自我管理 AD 網域之 RDS for SQL Server 資料庫執行個體的任何AWS帳戶建立範圍為該 OU 的專用 OU 和服務憑證。透過專用 OU 和服務憑證，您可以避免衝突的許可，並遵循最低權限的主體。

**在您的 AD 中建立 OU**

1. 以網域管理員身分連線至您的 AD 網域。

1. 開啟 **Active Directory 使用者和電腦**，然後選取您要在其中建立 OU 的網域。

1. 在網域上按一下滑鼠右鍵，然後選擇**新增**，再選擇**組織單位**。

1. 輸入 OU 的名稱。

1. 保持選取**保護容器免遭意外刪除**的方塊。

1. 按一下 **OK (確定)**。您的新 OU 會出現在您的網域下方。

## 步驟 2：在您的 AD 中建立 AD 網域服務帳戶
<a name="USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateADuser"></a>

網域服務帳戶登入資料將用於 AWSSecrets Manager 中的秘密。

**在您的 AD 中建立 AD 網域服務帳戶**

1. 開啟 **Active Directory 使用者和電腦**，然後選取您要在其中建立使用者的網域。

1. 在**使用者**上按一下滑鼠右鍵，然後選擇**新增**，再選擇**使用者**。

1. 輸入使用者的名字、姓氏和登入名稱。按一下 **Next (下一步)**。

1. 輸入使用者的密碼。不要選取**「使用者在下次登入時必須變更密碼」**。不要選取**「帳戶已停用」**。按一下 **Next (下一步)**。

1. 按一下 **OK (確定)**。您的新使用者會出現在您的網域下方。

## 步驟 3：將控制權委派給 AD 網域服務帳戶
<a name="USER_SQLServer_SelfManagedActiveDirectory.SettingUp.DelegateControl"></a>

**將控制權委派給網域中的 AD 網域服務帳戶**

1. 開啟 **Active Directory 使用者和電腦** MMC 嵌入式管理單元，然後選取您要在其中建立使用者的網域。

1. 在您先前建立的 OU 上按一下滑鼠右鍵，然後選擇**委派控制權**。

1. 在**委派控制權精靈**頁面上，按**下一步**。

1. 在**使用者或群組**區段上，按一下**新增**。

1. 在**選取使用者、電腦或群組**區段上，輸入您建立的 AD 網域服務帳戶，然後按一下**檢查名稱**。如果 AD 網域服務帳戶檢查成功，請按一下**確定**。

1. 在**使用者或群組**區段上，確認已新增您的 AD 網域服務帳戶，然後按**下一步**。

1. 在**要委派的任務**區段上，選取**建立要委派的自訂任務**，然後按**下一步**。

1. 在 **Active Directory 物件類型**區段上：

   1. 選擇**僅限資料夾中的下列物件**。

   1. 選取**電腦物件**。

   1. 選取**在此資料夾中建立選取的物件**。

   1. 選取**刪除此資料夾中選取的物件**，然後按**下一步**。

1. 在**許可**區段上：

   1. 保持選取**一般**。

   1. 選取**已驗證寫入 DNS 主機名稱**。

   1. 選取**已驗證寫入服務主體名稱**，然後按**下一步**。

   1. 若要啟用 Kerberos 身分驗證，請保持選取**屬性特定**，然後從清單中選取**寫入 servicePrincipalName**。

1. 對於**完成委派控制權精靈**，請檢閱並確認您的設定，然後按一下**完成**。

1. 針對 Kerberos 身分驗證，開啟 DNS Manager，並開啟**伺服器**屬性。

   1. 在 Windows 對話方塊中，輸入 `dnsmgmt.msc`。

   1. 在**安全性**索引標籤底下新增 AD 網域服務帳戶。

   1. 選取**讀取**許可，並套用您的變更。

## 步驟 4：建立AWS KMS金鑰
<a name="USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateKMSkey"></a>

KMS 金鑰用於加密您的AWS秘密。

**建立AWS KMS金鑰**
**注意**  
 對於**加密金鑰**，請勿使用AWS預設 KMS 金鑰。請務必在相同AWS帳戶中建立AWS KMS金鑰，其中包含您要加入自我管理 AD 的 RDS for SQL Server 資料庫執行個體。

1. 在 AWS KMS主控台中，選擇**建立金鑰**。

1. 對於**金鑰類型**，選擇**對稱**。

1. 對於**金鑰用途**，選擇**加密和解密**。

1. 針對 **Advanced options (進階選項)**：

   1. 對於**金鑰材料來源**，選擇 **KMS**。

   1. 對於**區域性**，選擇**單一區域金鑰**，然後按**下一步**。

1. 對於**別名**，提供 KMS 金鑰的名稱。

1. (選用) 對於**描述**，提供 KMS 金鑰的描述。

1. (選用) 對於**標籤**，提供 KMS 金鑰的標籤，然後按**下一步**。

1. 對於**金鑰管理員**，提供 IAM 使用者的名稱，然後選取該名稱。

1. 對於**金鑰刪除**，保持選取**允許金鑰管理員刪除此金鑰**的方塊，然後按**下一步**。

1. 對於**金鑰使用者**，提供上一個步驟中相同的 IAM 使用者，然後選取該使用者。按一下 **Next (下一步)**。

1. 檢閱組態。

1. 對於**金鑰政策**，在政策**聲明**中包含下列內容：

   ```
   {
       "Sid": "Allow use of the KMS key on behalf of RDS",
       "Effect": "Allow",
       "Principal": {
           "Service": [
               "rds.amazonaws.com"
           ]
       },
       "Action": "kms:Decrypt",
       "Resource": "*"
   }
   ```

1. 按一下 **Finish (完成)**。

## 步驟 5：建立AWS秘密
<a name="USER_SQLServer_SelfManagedActiveDirectory.SettingUp.CreateSecret"></a>

**若要建立機密**
**注意**  
 請務必在包含您要加入自我管理 AD 之 RDS for SQL Server 資料庫執行個體的相同AWS帳戶中建立秘密。

1. 在 AWSSecrets Manager 中，選擇**儲存新的秘密**。

1. 針對**機密類型**，選擇**其他類型的機密**。

1. 對於**金鑰/值對**，新增兩個金鑰：

   1. 對於第一個金鑰，輸入 `SELF_MANAGED_ACTIVE_DIRECTORY_USERNAME`。

   1. 對於第一個金鑰的值，僅輸入 AD 使用者的使用者名稱 (不含網域字首)。請勿包含網域名稱，因為這會導致執行個體建立失敗。

   1. 對於第二個金鑰，輸入 `SELF_MANAGED_ACTIVE_DIRECTORY_PASSWORD`。

   1. 對於第二個金鑰的值，輸入您在網域上為 AD 使用者建立的密碼。

1. 對於**加密金鑰**，輸入您在上一個步驟中建立的 KMS 金鑰，然後按**下一步**。

1. 對於**秘密名稱**，輸入可協助您稍後尋找密碼的描述性名稱。

1. (選用) 對於**描述**，輸入秘密名稱的描述。

1. 對於**資源許可**，按一下**編輯**。

1. 請將下列政策新增至許可政策：
**注意**  
建議您使用政策中的 `aws:sourceAccount` 和 `aws:sourceArn` 條件金鑰，保護自己免受*混淆代理人問題*的困擾。使用AWS 帳戶適用於 的 `aws:sourceAccount`和適用於 的 RDS for SQL Server 資料庫執行個體 ARN`aws:sourceArn`。如需詳細資訊，請參閱[防止跨服務混淆代理人問題](cross-service-confused-deputy-prevention.md)。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement":
       [
           {
               "Effect": "Allow",
               "Principal":
               {
                   "Service": "rds.amazonaws.com"
               },
               "Action": "secretsmanager:GetSecretValue",
               "Resource": "*",
               "Condition":
               {
                   "StringEquals":
                   {
                       "aws:sourceAccount": "123456789012"
                   },
                   "ArnLike":
                   {
                       "aws:sourceArn": "arn:aws:rds:us-west-2:123456789012:db:*"
                   }
               }
           }
       ]
   }
   ```

------

1. 按一下**儲存**，然後按**下一步**。

1. 對於**設定輪換設定**，保留預設值並選擇**下一步**。

1. 檢閱秘密的設定，然後按一下**存放**。

1. 選擇您建立的秘密，然後複製**秘密 ARN** 的值。這將在下一個步驟中用來設定自我管理 Active Directory。