Bonnes pratiques d'utilisation d'Active Directory - FSx pour ONTAP
Délégation d'autorisations à votre compte de FSx service AmazonMaintenir une configuration AD à jourLimiter le trafic au sein VPC d'un groupe de sécuritéCréation de règles de groupes de sécurité sortants

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques d'utilisation d'Active Directory

Voici quelques suggestions et directives à prendre en compte lorsque vous rejoignez Amazon FSx NetApp ONTAP SVMs pour votre compte Microsoft Active Directory autogéré. Notez qu'elles sont recommandées en tant que meilleures pratiques, mais qu'elles ne sont pas obligatoires.

Délégation d'autorisations à votre compte de FSx service Amazon

Assurez-vous de configurer le compte de service que vous fournissez à Amazon FSx avec les autorisations minimales requises. En outre, séparez l'unité organisationnelle (UO) des autres domaines concernés par le contrôleur de domaine.

Pour associer Amazon FSx SVMs à votre domaine, assurez-vous que le compte de service dispose d'autorisations déléguées. Les membres du groupe des administrateurs de domaine disposent des autorisations suffisantes pour effectuer cette tâche. Toutefois, il est recommandé d'utiliser un compte de service qui ne dispose que des autorisations minimales nécessaires pour ce faire. La procédure suivante explique comment déléguer uniquement les autorisations nécessaires à l'adhésion FSx ONTAP SVMs à votre domaine.

Effectuez cette procédure sur un ordinateur joint à votre annuaire sur lequel le MMC composant logiciel enfichable Utilisateurs et ordinateurs Active Directory est installé.

Pour créer un compte de service pour votre domaine Microsoft Active Directory

  1. Assurez-vous d'être connecté en tant qu'administrateur de domaine pour votre domaine Microsoft Active Directory.

  2. Ouvrez le MMC composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.

  3. Dans le volet des tâches, développez le nœud de domaine.

  4. Localisez et ouvrez le menu contextuel (clic droit) de l'unité d'organisation que vous souhaitez modifier, puis choisissez Déléguer le contrôle.

  5. Sur la page Assistant de délégation de contrôle, choisissez Next.

  6. Choisissez Ajouter pour ajouter un utilisateur ou un groupe spécifique aux utilisateurs et groupes sélectionnés, puis cliquez sur Suivant.

  7. Sur la page Tâches à déléguer, sélectionnez Créer une tâche personnalisée à déléguer, puis choisissez Suivant.

  8. Choisissez Uniquement les objets suivants dans le dossier, puis choisissez Objets informatiques.

  9. Choisissez Créer les objets sélectionnés dans ce dossier et Supprimer les objets sélectionnés dans ce dossier. Ensuite, sélectionnez Suivant.

  10. Sous Afficher ces autorisations, assurez-vous que les options Général et Spécifique à la propriété sont sélectionnées.

  11. Pour Autorisations, choisissez ce qui suit :

    • Réinitialisation du mot

    • Lire et écrire les restrictions du compte

    • Écriture validée sur le nom DNS d'hôte

    • Écriture validée sur le nom principal du service

    • Rédiger des MSDs- SupportedEncryptionTypes

  12. Cliquez sur Suivant, puis sur Terminer.

  13. Fermez le MMC composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.

Important

Ne déplacez pas les objets informatiques créés par Amazon FSx dans l'unité d'organisation après votre SVMs création. Cela entraînera une mauvaise configuration SVMs de votre ordinateur.

Maintien à jour de votre configuration Active Directory avec Amazon FSx

Pour une disponibilité ininterrompue de votre Amazon FSxSVMs, mettez à jour SVM la configuration Active Directory (AD) autogérée d'un appareil lorsque vous modifiez votre configuration AD autogérée.

Supposons, par exemple, que votre AD utilise une politique de réinitialisation des mots de passe basée sur le temps. Dans ce cas, dès que le mot de passe est réinitialisé, assurez-vous de mettre à jour le mot de passe du compte de service auprès d'AmazonFSx. Pour ce faire, utilisez la FSx console Amazon FSxAPI, Amazon ou AWS CLI. De même, si les adresses IP DNS du serveur changent pour votre domaine Active Directory, mettez à jour les adresses IP du DNS serveur auprès d'Amazon dès que le changement se produitFSx.

En cas de problème avec la configuration AD autogérée mise à jour, l'SVMétat passe à Mauvaise configuration. Cet état affiche un message d'erreur et une action recommandée à côté de la SVM description dans la consoleAPI, etCLI. En cas SVM de problème avec votre configuration AD, veillez à prendre les mesures correctives recommandées pour les propriétés de configuration. Si le problème est résolu, vérifiez que votre état SVM passe à Créé.

Pour plus d’informations, consultez Mettre à jour les configurations SVM Active Directory existantes à AWS Management ConsoleAWS CLI l'aide des API et Modifiez une configuration Active Directory à l'aide du ONTAP CLI.

Utilisation de groupes de sécurité pour limiter le trafic au sein de votre VPC

Pour limiter le trafic réseau dans votre cloud privé virtuel (VPC), vous pouvez implémenter le principe du moindre privilège dans votreVPC. En d'autres termes, vous pouvez limiter les autorisations au minimum nécessaire. Pour ce faire, utilisez les règles des groupes de sécurité. Pour en savoir plus, consultez Groupes VPC de sécurité Amazon.

Création de règles de groupe de sécurité sortant pour l'interface réseau de votre système de fichiers

Pour plus de sécurité, envisagez de configurer un groupe de sécurité avec des règles de trafic sortant. Ces règles doivent autoriser le trafic sortant uniquement vers vos contrôleurs de domaines AD autogérés ou au sein du sous-réseau ou du groupe de sécurité. Appliquez ce groupe de sécurité à l'interface elastic network VPC associée à votre système de FSx fichiers Amazon. Pour en savoir plus, consultez Contrôle d'accès au système de fichiers avec Amazon VPC.