Especifique los detalles de Active Directory para el directorio de WorkSpaces grupos

En este tema, le mostramos cómo especificar los detalles de Active Directory (AD) en la página Crear un WorkSpaces grupo de directorios de la WorkSpaces consola. Al crear el directorio WorkSpaces de grupos, debe especificar los detalles de su AD si planea usar un AD con sus WorkSpaces grupos. No puede editar la configuración de Active Directory para el directorio de WorkSpaces grupos después de crearla. A continuación se muestra un ejemplo de la sección Config de Active Directory de la página de directorio Create WorkSpaces Pool.

nota

El proceso completo para crear un WorkSpaces directorio de grupos se describe en el Configurar SAML 2.0 y crear un directorio de WorkSpaces grupos tema. Los procedimientos descritos en esta página representan solo un subconjunto de pasos del proceso completo para crear un directorio de WorkSpaces grupos.

Especifique la unidad organizativa y el nombre de dominio del directorio para su AD

Complete el siguiente procedimiento para especificar una unidad organizativa (OU) y un nombre de dominio de directorio para su AD en la página de directorio Crear un WorkSpaces grupo.

1. En Unidad organizativa, introduzca la OU a la que pertenece el grupo. WorkSpace las cuentas de máquina se colocan en la unidad organizativa (OU) que especifique para el directorio del WorkSpaces grupo.

   nota

   El nombre de la unidad organizativa no puede contener espacios. Si especifica un nombre de unidad organizativa que contiene espacios, al intentar volver a unirse al dominio de Active Directory, WorkSpaces no podrá reproducir los objetos del equipo correctamente y la unión del dominio no funcionará.

2. En el nombre de dominio del directorio, introduzca el nombre de dominio completo (FQDN) del dominio de Active Directory (por ejemplo,corp.example.com). Cada AWS región solo puede tener un valor de configuración de directorio con un nombre de directorio específico.

   • Puede unir los directorios de su WorkSpaces grupo a los dominios de Microsoft Active Directory. También puede usar sus dominios de Active Directory existentes, ya sean basados en la nube o locales, para lanzar dominios WorkSpaces unidos.

   • También puede utilizarlos AWS Directory Service for Microsoft Active Directory, también conocidos como AWS Managed Microsoft AD, para crear un dominio de Active Directory. A continuación, puede usar ese dominio para respaldar sus WorkSpaces recursos.

   • Al unirse WorkSpaces a su dominio de Active Directory, puede:

     • Permita que sus usuarios y aplicaciones accedan a los recursos de Active Directory, como impresoras y recursos compartidos de archivos, desde las sesiones de streaming.

     • Utilice la configuración de políticas de grupo que está disponible en la Consola de administración de políticas de grupo (GPMC) para definir la experiencia del usuario final.

     • Transmita aplicaciones en streaming que requieren que los usuarios se autentiquen mediante sus credenciales de inicio de sesión de Active Directory.

     • Aplica tus políticas empresariales de cumplimiento y seguridad a tus instancias WorkSpaces de streaming.

3. En el caso de la cuenta de servicio, continúa con la Especifique la cuenta de servicio para su AD siguiente sección de esta página.

Especifique la cuenta de servicio para su AD

Al configurar Active Directory (AD) para sus WorkSpaces grupos como parte del proceso de creación de directorios, debe especificar la cuenta de servicio de AD que se utilizará para administrar el AD. Para ello, debe proporcionar las credenciales de la cuenta de servicio, que deben almacenarse AWS Secrets Manager y cifrarse mediante una clave AWS Key Management Service (AWS KMS) gestionada por el cliente. En esta sección, le mostramos cómo crear la clave administrada por el AWS KMS cliente y el secreto de Secrets Manager para almacenar las credenciales de su cuenta de servicio de AD.

Paso 1: Crear una clave administrada por el cliente de AWS KMS

Complete el siguiente procedimiento para crear una clave administrada por el AWS KMS cliente

1. Abra la AWS KMS consola en https://console.aws.amazon.com/secretsmanager/.

2. Selecciona Crear una clave y, a continuación, selecciona Siguiente.

3. Elija Symetric para el tipo de clave, Cifrar y descifrar para el uso de la clave y, a continuación, elija Siguiente.

4. Introduzca un alias para la clave, por ejemplo, y, a continuaciónWorkSpacesPoolDomainSecretKey, seleccione Siguiente.

5. No elijas un administrador de claves. Elija Siguiente para continuar.

6. No defina los permisos de uso de las claves. Elija Siguiente para continuar.

7. En la sección Política clave de la página, agrega lo siguiente:

           {
               "Sid": "Allow access for Workspaces SP",
               "Effect": "Allow",
               "Principal": {
                   "Service": "workspaces.amazonaws.com"
               },
               "Action": "kms:Decrypt",
               "Resource": "*"
           }

   El resultado debería tener un aspecto similar al del siguiente ejemplo.

   

8. Seleccione Finalizar.

   Su clave gestionada por el AWS KMS cliente ya está lista para usarse con Secrets Manager. Continúe con la Paso 2: Crea el secreto de Secrets Manager para almacenar las credenciales de tu cuenta de servicio de AD sección de esta página.

Paso 2: Crea el secreto de Secrets Manager para almacenar las credenciales de tu cuenta de servicio de AD

Complete el siguiente procedimiento para crear un secreto de Secrets Manager para almacenar las credenciales de su cuenta de servicio de AD.

1. Abre la AWS Secrets Manager consola en https://console.aws.amazon.com/secretsmanager/.

2. Elija Create a new secret (Elegir un nuevo secerto).

3. Elija Otro tipo de secreto.

4. Para el primer par clave/valor, introduzca Service Account Name la clave y el nombre de la cuenta de servicio para el valor, por ejemplo. domain\username

5. Para el segundo par clave/valor, introduzca una Service Account Password para la clave y la contraseña de la cuenta de servicio para el valor.

6. Para la clave de cifrado, elija la clave gestionada por el AWS KMS cliente que creó anteriormente y, a continuación, elija Siguiente.

7. Introduzca un nombre para el secreto, por ejemploWorkSpacesPoolDomainSecretAD.

8. Selecciona Editar permisos en la sección Permisos de recursos de la página.

9. Introduzca la siguiente política de permisos:

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": [
                       "workspaces.amazonaws.com"
                   ]
               },
               "Action": "secretsmanager:GetSecretValue",
               "Resource": "*"
           }
       ]
   }

10. Seleccione Guardar para guardar la política de permisos.

11. Elija Siguiente para continuar.

12. No configure la rotación automática. Elija Siguiente para continuar.

13. Selecciona Tienda para terminar de almacenar tu secreto.

Las credenciales de su cuenta de servicio de AD ahora están almacenadas en Secrets Manager. Continúe con la Paso 3: Selecciona el secreto de Secrets Manager que contiene las credenciales de tu cuenta de servicio AD sección de esta página.

Paso 3: Selecciona el secreto de Secrets Manager que contiene las credenciales de tu cuenta de servicio AD

Complete el siguiente procedimiento para seleccionar el secreto de Secrets Manager que creó en la configuración de Active Directory para el directorio de su WorkSpaces grupo.

• En Cuenta de servicio, elija el AWS Secrets Manager secreto que contiene las credenciales de su cuenta de servicio. Complete los siguientes pasos para crear el secreto si aún no lo ha hecho. El secreto debe cifrarse con una clave gestionada por el AWS Key Management Service cliente.

Ahora que ha completado todos los campos de la sección Config de Active Directory de la página Crear WorkSpaces directorio de grupos, puede continuar con la creación del directorio WorkSpaces de grupos. Vaya al paso 9 del procedimiento Paso 4: Crear un directorio WorkSpace de grupos y comience por él.