Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de un Active Directory de Microsoft autoadministrado
Si su organización administra las identidades y los dispositivos mediante un Active Directory autogestionado de forma local o en la nube, puede unir un FSx sistema de archivos del servidor de archivos de Windows a su dominio de Active Directory al crearlo.
Al unir el sistema de archivos al Active Directory autoadministrado, el sistema de archivos del servidor de archivos FSx para Windows reside en el mismo bosque de Active Directory (el contenedor lógico superior de una configuración de Active Directory que contiene dominios, usuarios y equipos) y en el mismo dominio de Active Directory que los usuarios y los recursos existentes (incluidos los servidores de archivos existentes).
nota
Puede aislar sus recursos, incluidos los sistemas de FSx archivos de Amazon, en un bosque de Active Directory distinto del bosque en el que residen sus usuarios. Para ello, una el sistema de archivos a un Active Directory administrado de Microsoft de AWS y establezca una relación unidireccional de confianza en el bosque entre un Active Directory administrado de Microsoft de AWS que cree y el Active Directory autoadministrado existente.
-
Nombre de usuario y contraseña de una cuenta de servicio en su dominio de Active Directory, para FSx que Amazon los utilice para unir el sistema de archivos a su dominio de Active Directory. Puede proporcionar estas credenciales como texto sin formato o almacenarlas AWS Secrets Manager y proporcionar el ARN secreto (recomendado).
-
(Opcional) La unidad organizativa (OU) del dominio a la que desea unir el sistema de archivos.
-
(Opcional) El grupo de dominios en el que quiere delegar la autoridad para realizar acciones administrativas en el sistema de archivos. Por ejemplo, este grupo de dominios puede administrar los recursos compartidos de archivos de Windows, administrar las listas de control de acceso (ACLs) en la carpeta raíz del sistema de archivos, hacerse con la propiedad de los archivos y carpetas, etc. Si no especificas este grupo, Amazon FSx delega esta autoridad en el grupo de administradores de dominio de tu dominio de Active Directory de forma predeterminada.
nota
El nombre del grupo de dominios que proporcione debe ser único en su Active Directory. FSx para Windows File Server no creará el grupo de dominios en las siguientes circunstancias:
Si ya existe un grupo con el nombre que especifique
Si no especifica un nombre y ya existe un grupo denominado “Administradores de dominio” en el Active Directory.
Para obtener más información, consulte Unir un sistema de FSx archivos de Amazon a un dominio autogestionado de Microsoft Active Directory.
Temas
Las prácticas recomendadas al usar un Active Directory autoadministrado
Delegación de permisos a la cuenta o grupo FSx de servicio de Amazon
Unir un sistema de FSx archivos de Amazon a un dominio autogestionado de Microsoft Active Directory
Actualización de la configuración de un Active Directory autoadministrado
Supervisión de las actualizaciones del Active Directory autoadministrado
Requisitos previos
Antes de unir un sistema FSx de archivos de Windows File Server a su dominio autogestionado de Microsoft Active Directory, revise los siguientes requisitos previos para asegurarse de que puede unir correctamente su sistema de FSx archivos de Amazon a su Active Directory autogestionado.
Configuraciones en las instalaciones
Estos son los requisitos previos para su Microsoft Active Directory autogestionado, ya sea local o basado en la nube, al que se unirá al sistema de FSx archivos de Amazon.
-
Controladores de dominio del Active Directory:
Debe tener un nivel funcional de dominio en Windows Server 2008 R2 o superior.
Debe tener permisos de escritura.
Al menos uno de los controladores de dominio accesibles debe ser un catálogo global del bosque.
-
El servidor DNS debe poder resolver los nombres de la siguiente manera:
en el dominio al que se va a unir al sistema de archivos
en el dominio raíz del bosque
-
Las direcciones IP del servidor DNS y del controlador de dominio de Active Directory deben cumplir los siguientes requisitos, que varían en función de cuándo se creó el sistema de FSx archivos de Amazon:
Para los sistemas de archivos creados antes del 17 de diciembre de 2020 Para sistemas de archivos creados después del 17 de diciembre de 2020 Las direcciones IP deben estar en un rango de direcciones IP privadas según la norma RFC 1918
: 10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Las direcciones IP pueden estar en cualquier rango, excepto:
Direcciones IP que entran en conflicto con las direcciones IP propiedad de Amazon Web Services en el Región de AWS que se encuentra el sistema de archivos. Para obtener una lista de las direcciones IP AWS propias por región, consulte los rangos de direcciones AWS IP.
Direcciones IP en el rango de bloques de CIDR de 198.19.0.0/16
Si necesita acceder a un FSx sistema de archivos del servidor de archivos de Windows creado antes del 17 de diciembre de 2020 utilizando un rango de direcciones IP no privadas, puede crear un nuevo sistema de archivos restaurando una copia de seguridad del sistema de archivos. Para obtener más información, consulte Restauración de una copia de seguridad en un nuevo sistema de archivos.
-
El nombre de dominio del Active Directory autoadministrado debe cumplir los siguientes requisitos:
El nombre de dominio no está en formato de dominio de etiqueta única (SLD). Amazon FSx no admite dominios SLD.
En los sistemas de archivos Single-AZ 2 y en todos los sistemas de archivos Multi-AZ, el nombre de dominio no puede superar los 47 caracteres.
-
Todos los sitios de Active Directory que haya definido deben cumplir los siguientes requisitos previos:
Las subredes de la VPC asociada al sistema de archivos deben definirse en un sitio del Active Directory.
No hay discrepancias entre las subredes de VPC y ninguna de las subredes del sitio de Active Directory.
Amazon FSx requiere conectividad con los controladores de dominio o los sitios de Active Directory que haya definido en su entorno de Active Directory. Amazon FSx ignorará cualquier controlador de dominio con TCP y UDP bloqueados en el puerto 389. Para el resto de los controladores de dominio de su Active Directory, asegúrese de que cumplen los requisitos de FSx conectividad de Amazon. Además, compruebe que los cambios que haga en la cuenta de servicio se propaguen a todos estos controladores de dominio.
importante
No muevas los objetos de ordenador que Amazon FSx cree en la unidad organizativa una vez creado el sistema de archivos. Si lo hace, el sistema de archivos no se configurará de manera correcta.
Puede validar la configuración de Active Directory, incluidas las pruebas de conectividad de varios controladores de dominio, mediante la herramienta de validación de Amazon FSx Active Directory. Para restringir la cantidad de controladores de dominio que requieren conectividad, también puede establecer una relación de confianza entre los controladores de dominio en las instalaciones y el AWS Managed Microsoft AD. Para obtener más información, consulte Uso de un modelo de aislamiento de bosques de recursos.
importante
Amazon FSx solo registra los registros DNS de un sistema de archivos si utilizas el DNS de Microsoft como servicio DNS predeterminado. Si utiliza un DNS de terceros, tendrá que configurar las entradas de registro del DNS para el sistema de archivos de forma manual después de crearlo.
Configuraciones de red
En esta sección, se describen los requisitos de configuración de la red para unir un sistema de archivos al Active Directory autoadministrado. Le recomendamos encarecidamente que utilice la herramienta de validación de Amazon FSx Active Directory para probar la configuración de red antes de intentar unir su sistema de archivos a su Active Directory autogestionado.
Asegúrese de que las reglas del firewall permitan el tráfico ICMP entre los controladores de dominio de Active Directory y Amazon FSx.
-
La Conectividad debe estar configurada entre la Amazon VPC donde desea crear el sistema de archivos y el Active Directory autoadministrado. Puede configurar esta conectividad con Direct Connect, AWS Virtual Private Network, el emparejamiento de VPC o AWS Transit Gateway.
-
El grupo de seguridad de VPC predeterminado para su Amazon VPC predeterminada debe añadirse a su sistema de archivos mediante la consola de Amazon. FSx Asegúrese de que el grupo de seguridad y la red ACLs de VPC de las subredes en las que cree el sistema de archivos permitan el tráfico en los puertos y en la dirección que se muestra en el siguiente diagrama.
En la siguiente, tabla se identifican el protocolo, los puertos y la función.
Protocolo
Puertos
Rol
TCP/UDP
53
Sistema de nombres de dominio (DNS)
TCP/UDP
88
Autenticación de Kerberos
TCP/UDP
464
Cambiar/establecer contraseña
TCP/UDP
389
Protocolo ligero de acceso a directorios (LDAP)
UDP 123 Protocolo de tiempo de red (NTP)
TCP 135 Mapeador de Environment/End puntos de computación distribuida (DCE/EPMAP)
TCP
445
Uso compartido de archivos SMB de Directory Services
TCP
636
Protocolo ligero de acceso a directorios a través del protocolo LDAPS TLS/SSL
TCP
3268
Catálogo global de Microsoft
TCP
3269
Catálogo global de Microsoft mediante SSL
TCP
5985
WinRM 2.0 (Administración remota de Microsoft Windows)
TCP
9389
Servicios web Microsoft Active Directory DS, PowerShell
importante
Es necesario permitir el tráfico saliente en el puerto TCP 9389 para las implementaciones de sistemas de archivos Single-AZ 2 y Multi-AZ.
TCP
49152 - 65535
Puertos efímeros para RPC
Estas reglas de tráfico también deben reflejarse en los firewalls que se aplican a cada uno de los controladores de dominio, servidores DNS, FSx clientes y administradores de Active Directory. FSx
nota
Si utilizas una red de VPC ACLs, también debes permitir el tráfico saliente en los puertos dinámicos (49152-65535) de tu sistema de archivos.
importante
Si bien los grupos de seguridad de Amazon VPC requieren que los puertos se abran solo en la dirección en que se inicia el tráfico de red, la mayoría de los firewalls de Windows y las redes de VPC ACLs requieren que los puertos estén abiertos en ambas direcciones.
Permisos de cuentas de servicio
Debe tener una cuenta de servicio en el Microsoft Active Directory autoadministrado con permisos delegados para unir objetos de equipos al dominio del Active Directory autoadministrado. Una cuenta de servicio es una cuenta de usuario del Active Directory autoadministrado a la que se le delegó permiso para realizar determinadas tareas.
El siguiente es el conjunto mínimo de permisos que se deben delegar en la cuenta de FSx servicio de Amazon en la OU a la que se va a unir al sistema de archivos.
Si usa el control delegado en la Microsoft Management Console (MMC) usuarios y computadoras del Active Directory:
-
Restablecer contraseñas
-
Leer y escribir las restricciones de la cuenta
-
Escritura validada en el nombre de host DNS
-
Escritura validada en el nombre de entidad principal del servicio
-
-
Si usa funciones avanzadas en la MMC usuarios y computadoras del Active Directory:
-
Modificar los permisos
-
Crear objetos de equipo
-
Eliminar objetos informáticos
-
Para obtener más información, consulte, en la documentación de Microsoft Windows Server, el tema Error: se deniega el acceso cuando los usuarios que no son administradores a los que se les delegó el control intentan unir los equipos a un controlador de dominio
Para obtener más información sobre cómo establecer los permisos necesarios, consulte Delegación de permisos a la cuenta o grupo FSx de servicio de Amazon.
Las prácticas recomendadas al usar un Active Directory autoadministrado
Le recomendamos que siga estas prácticas recomendadas al unir un sistema de archivos de Amazon FSx para Windows File Server a su Microsoft Active Directory autogestionado. Estas prácticas recomendadas le ayudarán a mantener la disponibilidad continua e ininterrumpida del sistema de archivos.
- Usa una cuenta de servicio independiente para Amazon FSx
-
Utilice una cuenta de servicio independiente para delegar los privilegios necesarios para que Amazon FSx gestione completamente los sistemas de archivos que están unidos a su Active Directory autogestionado. No recomendamos usar los administradores de dominio para este fin.
- Uso de un grupo de Active Directory
Utilice un grupo de Active Directory para gestionar los permisos y las configuraciones de Active Directory asociados a la cuenta de FSx servicio de Amazon.
- Segregar la unidad organizativa (OU)
-
Para facilitar la búsqueda y la administración de los objetos de su FSx ordenador de Amazon, le recomendamos que separe la unidad organizativa (OU) que utiliza FSx para sus sistemas de archivos de Windows File Server de otras cuestiones relacionadas con el controlador de dominio.
- Conserve la configuración de Active Directory up-to-date
Es imprescindible que mantenga la configuración de Active Directory del sistema de archivos up-to-date con cualquier cambio. Por ejemplo, si el Active Directory autoadministrado usa una política de restablecimiento de contraseñas en función del tiempo, apenas se restablezca la contraseña, procure actualizar la contraseña de la cuenta de servicio en el sistema de archivos. Para obtener más información, consulte Actualización de la configuración de un Active Directory autoadministrado.
- Cambiar la cuenta de FSx servicio de Amazon
-
Si actualiza el sistema de archivos con una cuenta de servicio nueva, debe tener los permisos y privilegios requeridos para unirse al Active Directory y tener permisos de control total sobre los objetos de equipos existentes asociados al sistema de archivos. Para obtener más información, consulte Cambiar la cuenta de FSx servicio de Amazon.
- Asigne subredes a un único sitio de Microsoft Active Directory
-
Si su entorno de Active Directory tiene una gran cantidad de controladores de dominio, utilice Sitios y servicios de Active Directory para asignar las subredes que utilizan los sistemas de FSx archivos de Amazon a un único sitio de Active Directory con la máxima disponibilidad y fiabilidad. Asegúrese de que el grupo de seguridad de la VPC, la ACL de la red de la VPC, las reglas del firewall de Windows y cualquier otro control de enrutamiento de red que tenga en su infraestructura de Active Directory permitan la comunicación desde Amazon FSx en los puertos necesarios. DCs Esto permite a Windows volver a otros controladores de dominio si no puede usar el sitio de Active Directory asignado. Para obtener más información, consulte Control de acceso al sistema de archivos con Amazon VPC.
- Usar reglas de grupos de seguridad para limitar el tráfico
Use las reglas de los grupos de seguridad para implementar el principio del privilegio mínimo en la nube privada virtual (VPC). Puede limitar el tipo de tráfico de red entrante y saliente permitido para el archivo mediante reglas de grupos de seguridad de VPC. Por ejemplo, recomendamos permitir el tráfico saliente únicamente a los controladores de dominio del Active Directory autoadministrado o dentro de la subred o el grupo de seguridad que esté usando. Para obtener más información, consulte Control de acceso al sistema de archivos con Amazon VPC.
- No muevas los objetos informáticos creados por Amazon FSx
importante
No muevas los objetos de ordenador que Amazon FSx cree en la unidad organizativa una vez creado el sistema de archivos. Si lo hace, el sistema de archivos no se configurará de manera correcta.
- Validar la configuración de Active Directory
Antes de intentar unir un sistema FSx de archivos de Windows File Server a Active Directory, le recomendamos encarecidamente que valide la configuración de Active Directory con la herramienta de validación de Amazon FSx Active Directory.
Almacenar las credenciales de Active Directory mediante AWS Secrets Manager
Puede usarlo AWS Secrets Manager para almacenar y administrar de forma segura las credenciales de su cuenta de servicio de unión a dominios de Microsoft Active Directory. Este enfoque elimina la necesidad de almacenar las credenciales confidenciales en texto plano en el código de la aplicación o en los archivos de configuración, lo que refuerza su postura de seguridad.
También puede configurar políticas de IAM para administrar el acceso a sus datos secretos y establecer políticas de rotación automática para sus contraseñas.
Paso 1: crear una clave de KMS
Cree una clave de KMS para cifrar y descifrar las credenciales de Active Directory en Secrets Manager.
Creación de una clave
nota
Para la clave de cifrado, cree una clave nueva, no utilice la clave KMS AWS predeterminada. Asegúrese de crearla AWS KMS key en la misma región que contiene el sistema de archivos que desea unir a su Active Directory.
Abra la AWS KMS consola en https://console.aws.amazon.com /kms.
-
Elija Crear clave.
-
En Tipo de clave, elija Simétrica.
-
Para Uso de claves, elija Cifrar y descifrar.
-
En Opciones avanzadas, realice lo siguiente:
-
En Origen del material de claves, elija Externo.
-
Para Regionalidad, elija Clave de región única y seleccione Siguiente.
-
-
Elija Siguiente.
-
Para Alias, proporcione un nombre para la clave de KMS.
-
(Opcional) En Description, proporcione una descripción de la clave de KMS.
-
(Opcional) En Etiquetas, introduzca una etiqueta para la clave de KMS y seleccione Siguiente.
-
(Opcional) Para los Administradores de claves, indique los usuarios y roles de IAM autorizados para administrar esta clave.
-
En Eliminación de la clave, mantenga seleccionada la casilla Permitir que los administradores de claves eliminen esta clave y seleccione Siguiente.
-
(Opcional) En el caso de los Usuarios clave, indique los usuarios y roles de IAM autorizados a utilizar esta clave en las operaciones criptográficas. Elija Siguiente.
-
En Política clave, selecciona Editar e incluye lo siguiente en la declaración de política para permitir que Amazon FSx utilice la clave KMS y selecciona Siguiente. Asegúrese de sustituir el nombre por el
us-west-2Región de AWS lugar donde está desplegado el sistema de archivos y123456789012por su Cuenta de AWS ID.{ "Sid": "Allow FSx to use the KMS key", "Version": "2012-10-17", "Effect": "Allow", "Principal": { "Service": "fsx.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key:*", "Condition": { "StringEquals": { "kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*", "kms:ViaService": "secretsmanager.us-west-2.amazonaws.com", "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*" } } } -
Seleccione Finalizar.
nota
Puede establecer un control de acceso más detallado modificando los campos Resource y aws:SourceArn para que se dirijan a secretos y sistemas de archivos específicos.
Paso 2: Crea un AWS Secrets Manager secreto
Creación de un secreto
-
Abra la consola de Secrets Manager en https://console.aws.amazon.com/secretsmanager/
. -
Elija Almacenar un secreto nuevo.
-
En Secret type (Tipo de secreto), elija Other type of secret (Otro tipo de secreto).
-
En los Pares clave/valor, haga lo siguiente para añadir sus dos claves:
-
Para la primera clave, introduzca
CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME. -
Para el valor de la primera clave, ingrese solo el nombre de usuario (sin el prefijo de dominio) del usuario de AD.
-
Para la segunda clave, introduzca
CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD. -
Para el valor de la segunda clave, introduzca la contraseña que creó para el usuario de AD en su dominio.
-
-
Para la Clave de cifrado, introduzca el ARN del KMS que creó en el paso anterior y haga clic en Siguiente.
-
En Nombre de secreto, introduzca un nombre descriptivo que le ayude a buscar el secreto más adelante.
-
(Opcional) En Descripción, escriba una descripción del nombre del secreto.
-
En Permisos de recursos, seleccione Editar.
Añade la siguiente política a la política de permisos para permitir que Amazon utilice el secreto y, FSx a continuación, selecciona Siguiente. Asegúrese de sustituir el nombre por el
us-west-2Región de AWS lugar donde está desplegado el sistema de archivos y123456789012por su Cuenta de AWS ID.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "fsx.amazonaws.com" }, "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*" } } } ] }nota
Puede establecer un control de acceso más detallado modificando los campos
Resourceyaws:SourceArnpara que se dirijan a secretos y sistemas de archivos específicos. -
(Opcional) Puede configurar Secrets Manager para que rote sus credenciales automáticamente. Elija Siguiente.
-
Seleccione Finalizar.
Paso 1: crear una clave de KMS
Cree una clave de KMS para cifrar y descifrar las credenciales de Active Directory en Secrets Manager.
Para crear una clave KMS, utilice el AWS CLI comando create-key.
En este comando, defina el parámetro --policy para especificar la política de claves que define los permisos para la clave de KMS. La política debe incluir lo siguiente:
-
El principal de servicio de Amazon FSx, que es
fsx.amazonaws.com. -
Acciones de KMS obligatorias:
kms:Decryptykms:DescribeKey. -
Patrón de ARN de recursos para su cuenta Región de AWS AND.
-
Claves de condición que restringen el uso de las claves:
-
kms:ViaServicepara garantizar que las solicitudes lleguen a través de Secrets Manager. -
aws:SourceAccountpara limitarlo a su cuenta. -
aws:SourceArnpara restringirlo a sistemas de FSx archivos de Amazon específicos.
-
El siguiente ejemplo crea una clave KMS de cifrado simétrico con una política que permite FSx a Amazon utilizar la clave para las operaciones de descifrado y descripción de claves. El comando recupera automáticamente tu Cuenta de AWS ID y tu región y, a continuación, configura la política de claves con estos valores para garantizar los controles de acceso adecuados entre Amazon FSx, Secrets Manager y la clave KMS. Asegúrese de que su AWS CLI entorno esté en la misma región que el sistema de archivos que se unirá a Active Directory.
# Set region and get Account ID REGION=${AWS_REGION:-$(aws configure get region)} ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text) # Create Key KMS_KEY_ARN=$(aws kms create-key --policy "{ \"Version\": \"2012-10-17\", \"Statement\": [ { \"Sid\": \"Enable IAM User Permissions\", \"Effect\": \"Allow\", \"Principal\": { \"AWS\": \"arn:aws:iam::$ACCOUNT_ID:root\" }, \"Action\": \"kms:*\", \"Resource\": \"*\" }, { \"Sid\": \"Allow FSx to use the KMS key\", \"Effect\": \"Allow\", \"Principal\": { \"Service\": \"fsx.amazonaws.com\" }, \"Action\": [ \"kms:Decrypt\", \"kms:DescribeKey\" ], \"Resource\": \"*\", \"Condition\": { \"StringEquals\": { \"kms:ViaService\": \"secretsmanager.$REGION.amazonaws.com\", \"aws:SourceAccount\": \"$ACCOUNT_ID\" }, \"ArnLike\": { \"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\" } } } ] }" --query 'KeyMetadata.Arn' --output text) echo "KMS Key ARN: $KMS_KEY_ARN"
nota
Puede establecer un control de acceso más detallado modificando los campos Resource y aws:SourceArn para que se dirijan a secretos y sistemas de archivos específicos.
Paso 2: Crea un AWS Secrets Manager secreto
Para crear un secreto para FSx que Amazon acceda a su Active Directory, utilice el AWS CLI comando create-secret y defina los siguientes parámetros:
-
--name: el identificador de su secreto -
--description: una descripción del objetivo del secreto -
--kms-key-id: el ARN de la clave de KMS que creó en el Paso 1 para cifrar el secreto en reposo -
--secret-string: una cadena JSON que contiene sus credenciales de AD en el siguiente formato:-
CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME: el nombre de usuario de su cuenta de servicio de AD sin el prefijo de dominio, por ejemplosvc-fsx. No proporcione el prefijo de dominio, comoCORP\svc-fsx. -
CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD: contraseña de su cuenta de servicio AD
-
-
--region: El Región de AWS lugar donde se creará tu sistema de FSx archivos de Amazon. De forma predeterminada, será la región que haya configurado siAWS_REGIONno está establecida.
Tras crear el secreto, adjunta una política de recursos mediante el put-resource-policycomando y establece los siguientes parámetros:
-
--secret-id: el ARN o nombre del secreto para adjuntar la política En este ejemplo se usaFSxSecretcomo--secret-id. -
--region: Igual Región de AWS que tu secreto. -
--resource-policy: un documento de política de JSON que otorga FSx permiso a Amazon para acceder al secreto. La política debe incluir lo siguiente:-
El principal de servicio de Amazon FSx, que es
fsx.amazonaws.com. -
Acciones requeridas de Secrets Manager:
secretsmanager:GetSecretValueysecretsmanager:DescribeSecret. -
Patrón de ARN de recursos para su cuenta Región de AWS AND.
-
Las siguientes claves de condición que restringen el acceso:
-
aws:SourceAccountpara limitarlo a su cuenta -
aws:SourceArnpara restringirlo a sistemas de FSx archivos de Amazon específicos.
-
-
En el siguiente ejemplo, se crea un secreto con el formato necesario y se adjunta una política de recursos que permite FSx a Amazon utilizar el secreto. En este ejemplo, se recupera automáticamente tu Cuenta de AWS ID y región y, a continuación, se configura la política de recursos con estos valores para garantizar los controles de acceso adecuados entre Amazon FSx y el secreto.
Asegúrese de sustituir el KMS_KEY_ARN con el ARN de la clave que creó en el Paso 1, CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME y CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD con las credenciales de la cuenta de servicio de Active Directory. Además, compruebe que su AWS CLI entorno esté configurado para la misma región que el sistema de archivos que se unirá a Active Directory.
# Set region and get account ID REGION=${AWS_REGION:-$(aws configure get region)} ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text) # Replace with your KMS key ARN from Step 1 KMS_KEY_ARN="arn:aws:kms:us-east-2:123456789012:key/1234542f-d114-555b-9ade-fec3c9200d8e" # Replace with your Active Directory credentials AD_USERNAME="Your_Username" AD_PASSWORD="Your_Password" # Create the secret SECRET_ARN=$(aws secretsmanager create-secret \ --name "FSxSecret" \ --description "Secret for FSx access" \ --kms-key-id "$KMS_KEY_ARN" \ --secret-string "{\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"$AD_USERNAME\",\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"$AD_PASSWORD\"}" \ --region "$REGION" \ --query 'ARN' \ --output text) echo "Secret created with ARN: $SECRET_ARN" # Attach the resource policy with proper formatting aws secretsmanager put-resource-policy \ --secret-id "FSxSecret" \ --region "$REGION" \ --resource-policy "{ \"Version\": \"2012-10-17\", \"Statement\": [ { \"Effect\": \"Allow\", \"Principal\": { \"Service\": \"fsx.amazonaws.com\" }, \"Action\": [ \"secretsmanager:GetSecretValue\", \"secretsmanager:DescribeSecret\" ], \"Resource\": \"$SECRET_ARN\", \"Condition\": { \"StringEquals\": { \"aws:SourceAccount\": \"$ACCOUNT_ID\" }, \"ArnLike\": { \"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\" } } } ] }" echo "Resource policy attached successfully"
nota
Puede establecer un control de acceso más detallado modificando los campos Resource y aws:SourceArn para que se dirijan a secretos y sistemas de archivos específicos.
Cuenta de FSx servicio de Amazon
Los sistemas de FSx archivos de Amazon que están unidos a un Active Directory autogestionado requieren una cuenta de servicio válida durante toda su vida útil. Amazon FSx utiliza la cuenta de servicio para gestionar completamente sus sistemas de archivos y realizar tareas administrativas que requieren separar y volver a unir objetos informáticos a su dominio de Active Directory. Estas tareas incluyen reemplazar un servidor de archivos defectuoso y aplicar parches al software de Microsoft Windows Server. Para FSx que Amazon lleve a cabo estas tareas, la cuenta de FSx servicio de Amazon debe tener, como mínimo, el conjunto de permisos que se describe en Permisos de cuentas de servicio Delegado.
Aunque los miembros del grupo Administradores de dominio tienen privilegios suficientes para realizar estas tareas, te recomendamos encarecidamente que utilices una cuenta de servicio independiente para delegar los privilegios necesarios en Amazon FSx.
Para obtener más información sobre cómo delegar privilegios mediante las características de delegar control o características avanzadas del complemento MMC usuarios y computadoras de Active Directory, consulte Delegación de permisos a la cuenta o grupo FSx de servicio de Amazon.
Si actualiza el sistema de archivos con una cuenta de servicio nueva, esta debe tener los permisos y privilegios requeridos para unirse al Active Directory y tener permisos de control total sobre los objetos de equipos existentes asociados al sistema de archivos. Para obtener más información, consulte Cambiar la cuenta de FSx servicio de Amazon.
Se recomienda almacenar las credenciales de la cuenta de servicio de Active Directory en AWS Secrets Manager para mejorar la seguridad. Esto elimina la necesidad de almacenar credenciales confidenciales en texto sin formato y se alinea con las mejores prácticas de seguridad. Para obtener más información, consulte Uso de un Active Directory de Microsoft autoadministrado.
