Spécifiez les détails Active Directory pour votre répertoire WorkSpaces Pools - Amazon WorkSpaces
Spécifiez l'unité organisationnelle et le nom de domaine du répertoire pour votre ADSpécifiez le compte de service pour votre AD

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Spécifiez les détails Active Directory pour votre répertoire WorkSpaces Pools

Dans cette rubrique, nous vous expliquons comment spécifier les informations relatives à votre Active Directory (AD) sur la page Créer un répertoire de WorkSpaces pool de la WorkSpaces console. Lorsque vous créez votre répertoire de WorkSpaces pool, vous devez spécifier les détails de votre AD si vous prévoyez d'utiliser un AD avec vos WorkSpaces pools. Vous ne pouvez pas modifier la configuration Active Directory de votre répertoire WorkSpaces Pools après l'avoir créée. Voici un exemple de la section Active Directory Config de la page de répertoire Create WorkSpaces Pool.

La section Active Directory Config de la page de répertoire Create WorkSpaces Pool
Note

Le processus complet de création d'un répertoire WorkSpaces Pool est décrit dans cette Configurer la SAML version 2.0 et créer un répertoire WorkSpaces Pools rubrique. Les procédures décrites sur cette page ne représentent qu'un sous-ensemble d'étapes du processus complet de création d'un répertoire WorkSpaces Pool.

Spécifiez l'unité organisationnelle et le nom de domaine du répertoire pour votre AD

Suivez la procédure suivante pour spécifier une unité organisationnelle (UO) et un nom de domaine de répertoire pour votre AD sur la page Créer un répertoire de WorkSpaces pool.

  1. Pour Unité d'organisation, entrez l'unité d'organisation à laquelle appartient le pool. WorkSpace les comptes de machine sont placés dans l'unité organisationnelle (UO) que vous spécifiez pour le répertoire du WorkSpaces pool.

    Note

    Le nom de l’unité d’organisation ne doit pas contenir d’espace. Si vous spécifiez un nom d'unité d'organisation contenant des espaces, lorsqu'elle tente de rejoindre le domaine Active Directory, elle WorkSpaces ne peut pas effectuer correctement le cycle des objets informatiques et la jonction de domaine ne fonctionne pas.

  2. Pour le nom de domaine Directory, entrez le nom de domaine complet (FQDN) du domaine Active Directory (par exemple,corp.example.com). Chaque AWS La région ne peut avoir qu'une seule valeur de configuration de répertoire avec un nom de répertoire spécifique.

    • Vous pouvez joindre les annuaires de votre WorkSpaces pool à des domaines dans Microsoft Active Directory. Vous pouvez également utiliser vos domaines Active Directory existants, qu'ils soient basés sur le cloud ou sur site, pour lancer une connexion à un domaine WorkSpaces.

    • Vous pouvez également utiliser AWS Directory Service for Microsoft Active Directory, également connu sous le nom de AWS Managed Microsoft AD, pour créer un domaine Active Directory. Vous pouvez ensuite utiliser ce domaine pour soutenir vos WorkSpaces ressources.

    • En rejoignant WorkSpaces votre domaine Active Directory, vous pouvez :

      • Permettez à vos utilisateurs et à vos applications d'accéder aux ressources Active Directory, telles que les imprimantes et les partages de fichiers à partir de sessions de streaming.

      • Utilisez les paramètres de stratégie de groupe disponibles dans la console de gestion des stratégies de groupe (GPMC) pour définir l'expérience de l'utilisateur final.

      • diffuser les applications qui nécessitent l’authentification des utilisateurs à l’aide de leurs informations d’identification de connexion Active Directory ;

      • Appliquez les politiques de conformité et de sécurité de votre entreprise à vos instances de WorkSpaces streaming.

  3. Pour le compte de service, passez à la section Spécifiez le compte de service pour votre AD suivante de cette page.

Spécifiez le compte de service pour votre AD

Lorsque vous configurez Active Directory (AD) pour vos WorkSpaces pools dans le cadre du processus de création d'annuaire, vous devez spécifier le compte de service AD à utiliser pour gérer l'AD. Cela nécessite que vous fournissiez les informations d'identification du compte de service, qui doivent être stockées dans AWS Secrets Manager et crypté à l'aide d'un AWS Key Management Service (AWS KMS) clé gérée par le client. Dans cette section, nous vous montrons comment créer AWS KMS clé gérée par le client et secret Secrets Manager pour stocker les informations d'identification de votre compte de service AD.

Étape 1 : Création d'un AWS KMS clé gérée par le client

Procédez comme suit pour créer un AWS KMS clé gérée par le client

  1. Ouvrez le fichier AWS KMS console à https://console.aws.amazon.com/km.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Choisissez Créer une clé, puis Next.

  4. Choisissez Symetric pour le type de clé, Chiffrer et déchiffrer pour l'utilisation de la clé, puis choisissez Next.

  5. Entrez un alias pour la clé, par exempleWorkSpacesPoolDomainSecretKey, puis choisissez Next.

  6. Ne choisissez pas un administrateur clé. Choisissez Next (Suivant) pour continuer.

  7. Ne définissez pas les autorisations d'utilisation des clés. Choisissez Next (Suivant) pour continuer.

  8. Dans la section Politique clé de la page, ajoutez ce qui suit :

            {
            "Sid": "Allow access for Workspaces SP",
            "Effect": "Allow",
            "Principal": {
                "Service": "workspaces.amazonaws.com"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }

    Le résultat doit apparaître comme dans l'exemple suivant.

    Un exemple de AWS KMS politique clé.

  9. Choisissez Finish (Terminer).

    Votre AWS KMS la clé gérée par le client est désormais prête à être utilisée avec Secrets Manager. Passez à la Étape 2 : Créez le secret Secrets Manager pour stocker les informations d'identification de votre compte de service AD section de cette page.

Étape 2 : Créez le secret Secrets Manager pour stocker les informations d'identification de votre compte de service AD

Procédez comme suit pour créer un secret Secrets Manager afin de stocker les informations d'identification de votre compte de service AD.

  1. Ouvrez le fichier AWS Secrets Manager console à https://console.aws.amazon.com/secretsmanager/.

  2. Choisissez Create a new secret (Créer un secret).

  3. Choisissez Autre type de secret.

  4. Pour la première paire clé/valeur, entrez Service Account Name la clé et le nom du compte de service pour la valeur, par exemple. domain\username

  5. Pour la deuxième paire clé/valeur, entrez a Service Account Password pour la clé et le mot de passe du compte de service pour la valeur.

  6. Pour la clé de chiffrement, choisissez AWS KMS clé gérée par le client que vous avez créée précédemment, puis choisissez Next.

  7. Entrez un nom pour le secret, par exempleWorkSpacesPoolDomainSecretAD.

  8. Choisissez Modifier les autorisations dans la section Autorisations relatives aux ressources de la page.

  9. Entrez la politique d'autorisation suivante :

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "workspaces.amazonaws.com"
                ]
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "*"
        }
    ]
}

  10. Choisissez Enregistrer pour enregistrer la politique d'autorisation.

  11. Choisissez Next (Suivant) pour continuer.

  12. Ne configurez pas la rotation automatique. Choisissez Next (Suivant) pour continuer.

  13. Choisissez Store pour terminer de stocker votre secret.

Les informations d'identification de votre compte de service AD sont désormais stockées dans Secrets Manager. Passez à la Étape 3 : Sélectionnez le secret Secrets Manager qui contient les informations d'identification de votre compte de service AD section de cette page.

Étape 3 : Sélectionnez le secret Secrets Manager qui contient les informations d'identification de votre compte de service AD

Procédez comme suit pour sélectionner le secret Secrets Manager que vous avez créé dans la configuration Active Directory de votre répertoire WorkSpaces Pool.

  • Pour le compte de service, choisissez AWS Secrets Manager secret contenant les informations d'identification de votre compte de service. Procédez comme suit pour créer le secret si ce n'est pas déjà fait. Le secret doit être crypté à l'aide d'un AWS Key Management Service clé gérée par le client.

Maintenant que vous avez rempli tous les champs de la section Active Directory Config de la page Create WorkSpaces Pool directory directory, vous pouvez continuer à terminer la création de votre répertoire WorkSpaces Pool. Passez à Étape 4 : créer le répertoire du WorkSpace pool l'étape 9 de la procédure et commencez.