Spécifiez les détails Active Directory pour votre répertoire WorkSpaces Pools - Amazon WorkSpaces
Spécifiez l'unité organisationnelle et le nom de domaine du répertoire pour votre ADSpécifiez le compte de service pour votre AD

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Spécifiez les détails Active Directory pour votre répertoire WorkSpaces Pools

Dans cette rubrique, nous vous expliquons comment spécifier les informations relatives à votre Active Directory (AD) sur la page Créer un répertoire de WorkSpaces pool de la WorkSpaces console. Lorsque vous créez votre répertoire de WorkSpaces pool, vous devez spécifier les détails de votre AD si vous prévoyez d'utiliser un AD avec vos WorkSpaces pools. Vous ne pouvez pas modifier la configuration Active Directory de votre répertoire WorkSpaces Pools après l'avoir créée. Voici un exemple de la section Active Directory Config de la page de répertoire Create WorkSpaces Pool.

La section Active Directory Config de la page de répertoire Create WorkSpaces Pool
Note

Le processus complet de création d'un répertoire WorkSpaces Pool est décrit dans cette Configurer la SAML version 2.0 et créer un répertoire WorkSpaces Pools rubrique. Les procédures décrites sur cette page ne représentent qu'un sous-ensemble d'étapes du processus complet de création d'un répertoire WorkSpaces Pool.

Spécifiez l'unité organisationnelle et le nom de domaine du répertoire pour votre AD

Suivez la procédure suivante pour spécifier une unité organisationnelle (UO) et un nom de domaine de répertoire pour votre AD sur la page Créer un répertoire de WorkSpaces pool.

  1. Pour Unité d'organisation, entrez l'unité d'organisation à laquelle appartient le pool. WorkSpace les comptes de machine sont placés dans l'unité organisationnelle (UO) que vous spécifiez pour le répertoire du WorkSpaces pool.

    Note

    Le nom de l’unité d’organisation ne doit pas contenir d’espace. Si vous spécifiez un nom d'unité d'organisation contenant des espaces, lorsqu'elle tente de rejoindre le domaine Active Directory, elle WorkSpaces ne peut pas effectuer correctement le cycle des objets informatiques et la jonction de domaine ne fonctionne pas.

  2. Pour le nom de domaine Directory, entrez le nom de domaine complet (FQDN) du domaine Active Directory (par exemple,corp.example.com). Chaque AWS région ne peut avoir qu'une seule valeur de configuration de répertoire avec un nom de répertoire spécifique.

    • Vous pouvez joindre les annuaires de votre WorkSpaces pool à des domaines dans Microsoft Active Directory. Vous pouvez également utiliser vos domaines Active Directory existants, qu'ils soient basés sur le cloud ou sur site, pour lancer une connexion à un domaine WorkSpaces.

    • Vous pouvez également utiliser AWS Directory Service for Microsoft Active Directory, également connu sous le nom de AWS Managed Microsoft AD, pour créer un domaine Active Directory. Vous pouvez ensuite utiliser ce domaine pour soutenir vos WorkSpaces ressources.

    • En rejoignant WorkSpaces votre domaine Active Directory, vous pouvez :

      • Permettez à vos utilisateurs et à vos applications d'accéder aux ressources Active Directory, telles que les imprimantes et les partages de fichiers à partir de sessions de streaming.

      • Utilisez les paramètres de stratégie de groupe disponibles dans la console de gestion des stratégies de groupe (GPMC) pour définir l'expérience de l'utilisateur final.

      • diffuser les applications qui nécessitent l’authentification des utilisateurs à l’aide de leurs informations d’identification de connexion Active Directory ;

      • Appliquer les stratégies de sécurité et de conformité de votre entreprise à vos instances de streaming WorkSpaces .

  3. Pour le compte de service, passez à la section Spécifiez le compte de service pour votre AD suivante de cette page.

Spécifiez le compte de service pour votre AD

Lorsque vous configurez Active Directory (AD) pour vos WorkSpaces pools dans le cadre du processus de création d'annuaire, vous devez spécifier le compte de service AD à utiliser pour gérer l'AD. Cela nécessite que vous fournissiez les informations d'identification du compte de service, qui doivent être stockées AWS Secrets Manager et cryptées à l'aide d'une clé gérée par le client AWS Key Management Service (AWS KMS). Dans cette section, nous vous expliquons comment créer la clé gérée par le AWS KMS client et le secret Secrets Manager pour stocker les informations d'identification de votre compte de service AD.

Étape 1 : Créer une clé gérée par le client AWS KMS

Procédez comme suit pour créer une clé gérée par AWS KMS le client

  1. Ouvrez la AWS KMS console à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Choisissez Créer une clé, puis Next.

  4. Choisissez Symetric pour le type de clé, Chiffrer et déchiffrer pour l'utilisation de la clé, puis choisissez Next.

  5. Entrez un alias pour la clé, par exempleWorkSpacesPoolDomainSecretKey, puis choisissez Next.

  6. Ne choisissez pas un administrateur clé. Choisissez Next (Suivant) pour continuer.

  7. Ne définissez pas les autorisations d'utilisation des clés. Choisissez Next (Suivant) pour continuer.

  8. Dans la section Politique clé de la page, ajoutez ce qui suit :

            {
            "Sid": "Allow access for Workspaces SP",
            "Effect": "Allow",
            "Principal": {
                "Service": "workspaces.amazonaws.com"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }

    Le résultat doit apparaître comme dans l'exemple suivant.

    Un exemple de politique AWS KMS clé.

  9. Choisissez Finish (Terminer).

    Votre clé gérée par le AWS KMS client est maintenant prête à être utilisée avec Secrets Manager. Passez à la Étape 2 : Créez le secret Secrets Manager pour stocker les informations d'identification de votre compte de service AD section de cette page.

Étape 2 : Créez le secret Secrets Manager pour stocker les informations d'identification de votre compte de service AD

Procédez comme suit pour créer un secret Secrets Manager afin de stocker les informations d'identification de votre compte de service AD.

  1. Ouvrez la AWS Secrets Manager console à l'adresse https://console.aws.amazon.com/secretsmanager/.

  2. Choisissez Create a new secret (Créer un secret).

  3. Choisissez Autre type de secret.

  4. Pour la première paire clé/valeur, entrez Service Account Name la clé et le nom du compte de service pour la valeur, par exemple. domain\username

  5. Pour la deuxième paire clé/valeur, entrez a Service Account Password pour la clé et le mot de passe du compte de service pour la valeur.

  6. Pour la clé de chiffrement, choisissez la clé gérée par le AWS KMS client que vous avez créée précédemment, puis cliquez sur Suivant.

  7. Entrez un nom pour le secret, par exempleWorkSpacesPoolDomainSecretAD.

  8. Choisissez Modifier les autorisations dans la section Autorisations relatives aux ressources de la page.

  9. Entrez la politique d'autorisation suivante :

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "workspaces.amazonaws.com"
                ]
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "*"
        }
    ]
}

  10. Choisissez Enregistrer pour enregistrer la politique d'autorisation.

  11. Choisissez Next (Suivant) pour continuer.

  12. Ne configurez pas la rotation automatique. Choisissez Next (Suivant) pour continuer.

  13. Choisissez Store pour terminer de stocker votre secret.

Les informations d'identification de votre compte de service AD sont désormais stockées dans Secrets Manager. Passez à la Étape 3 : Sélectionnez le secret Secrets Manager qui contient les informations d'identification de votre compte de service AD section de cette page.

Étape 3 : Sélectionnez le secret Secrets Manager qui contient les informations d'identification de votre compte de service AD

Procédez comme suit pour sélectionner le secret Secrets Manager que vous avez créé dans la configuration Active Directory de votre répertoire WorkSpaces Pool.

  • Pour le compte de service, choisissez le AWS Secrets Manager secret qui contient les informations d'identification de votre compte de service. Procédez comme suit pour créer le secret si ce n'est déjà fait. Le secret doit être chiffré à l'aide d'une clé gérée par le AWS Key Management Service client.

Maintenant que vous avez rempli tous les champs de la section Active Directory Config de la page Create WorkSpaces Pool directory directory, vous pouvez continuer à terminer la création de votre répertoire WorkSpaces Pool. Passez à Étape 4 : créer le répertoire du WorkSpace pool l'étape 9 de la procédure et commencez.