アクティブディレクトリを使用する際のベストプラクティス - ONTAP に関する FSx
Amazon FSxサービスアカウントへのアクセス許可の委任AD 設定を最新の状態に保つセキュリティグループVPCを使用して 内のトラフィックを制限するアウトバウンドセキュリティグループのルールの作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アクティブディレクトリを使用する際のベストプラクティス

ここでは、Amazon FSx for NetApp ONTAP をセルフマネージド Microsoft Active Directory に参加させる際に考慮すべき提案とガイドラインをいくつかSVMs紹介します。これらはベストプラクティスとして推奨されていますが、必須ではないことに注意してください。

Amazon FSxサービスアカウントへのアクセス許可の委任

Amazon に提供するサービスアカウントは、必要な最小限のアクセス許可FSxで設定してください。さらに、組織単位 (OU) を他のドメインコントローラーから分離します。

Amazon FSxSVMsをドメインに結合するには、サービスアカウントに委任されたアクセス許可があることを確認してください。[ドメイン管理者] グループのメンバーには、このタスクを実行するための十分な許可があります。ただし、ベストプラクティスとして、これを実行するために必要最小限の許可のみ付与したサービスアカウントを使用してください。次の手順は、 の参加に必要なアクセス許可のみをドメインFSxONTAPSVMsに委任する方法を示しています。

ディレクトリに接続され、Active Directory ユーザーとコンピュータのMMCスナップインがインストールされているマシンでこの手順を実行します。

Microsoft Active Directory ドメインのサービスアカウントを作成するには

  1. Microsoft Active Directory ドメインのドメイン管理者としてログインしていることを確認してください。

  2. Active Directory ユーザーとコンピュータのMMCスナップインを開きます。

  3. タスクペインで、ドメインノードを展開します。

  4. 変更する OU のコンテキスト (右クリック) メニューを見つけて開き、[Delegate Control] (コントロールの委任) を選択します。

  5. [Delegation of Control Wizard] (コントロールウィザードの委任) ページで、[Next] (次へ) を選択します。

  6. [Selected users and groups] (選択したユーザーとグループ) に特定のユーザーまたは特定のグループを追加するには、[Add] (追加) を選択してから、[Next] (次へ) を選択します。

  7. [Tasks to Delegate] (委任するタスク) ページで、[Create a custom task to delegate] (委任するカスタムタスクの作成) を選択し、[Next (次へ) を選択します。

  8. [Only the following objects in the folder] (フォルダー内の以下のオブジェクトのみ) を選択してから、[Computer objects] (コンピュータオブジェクト) を選択します。

  9. [Create selected objects in this folder] (このフォルダー内に選択したオブジェクトを作成する) を選択してから、[Delete selected objects in this folder] (このフォルダー内の選択したオブジェクトを削除する) を選択します。続いて、[Next] (次へ) を選択します。

  10. [これらのアクセス許可を表示] で、[一般][プロパティ固有] が選択されていることを確認します。

  11. [Permissions] (アクセス許可) を使用する場合、以下を選択します。

    • [Reset Password] (パスワードのリセット)

    • [Read and write Account Restriction] (読み取りおよび書き込み、アカウントの制限)

    • DNSホスト名への検証済み書き込み

    • [Validated write to service principal name] (サービスプリンシパル名への書き込みの検証)

    • msDS の書き込み -SupportedEncryptionTypes

  12. [Next] (次へ) を選択し、[Finish] (完了) を選択します。

  13. Active Directory ユーザーとコンピュータのMMCスナップインを閉じます。

重要

SVMs の作成後に Amazon が OU でFSx作成するコンピュータオブジェクトを移動しないでください。そうすると、 の設定SVMsが間違っています。

Amazon で Active Directory 設定を更新する FSx

Amazon が中断なく利用できるようにするにはFSxSVMs、セルフマネージド AD の設定を変更するときにSVM、 のセルフマネージド Active Directory (AD) 設定を更新します。

例えば、AD が時間ベースのパスワードリセットポリシーを使用しているとします。この場合、パスワードがリセットされたらすぐに、サービスアカウントのパスワードを Amazon で更新してくださいFSx。これを行うには、Amazon FSxコンソール、Amazon FSx API、または を使用します AWS CLI。同様に、Active Directory ドメインのDNSサーバー IP アドレスが変更された場合、変更が発生するとすぐに、Amazon でDNSサーバー IP アドレスを更新しますFSx。

更新されたセルフマネージド AD 設定に問題がある場合、SVM状態は設定ミスの に切り替わります。この状態は、コンソール、、および SVMの説明の横にエラーメッセージAPIと推奨アクションを表示しますCLI。SVMの AD 設定で問題が発生した場合は、設定プロパティに対して推奨される是正措置を講じてください。問題が解決された場合は、 の状態SVMが「作成済み」に変わることを確認します。

詳細については、「AWS Management Console、 AWS CLI、および を使用した既存の SVM Active Directory 設定の更新 API」および「を使用して Active Directory 設定を変更する ONTAP CLI」を参照してください。

セキュリティグループを使用して 内のトラフィックを制限する VPC

仮想プライベートクラウド (VPC) のネットワークトラフィックを制限するには、 に最小特権の原則を実装できますVPC。言い換えると、許可を必要最低限に制限することができます。これを行うには、セキュリティグループルールを使用します。詳細については、「Amazon VPC セキュリティグループ」を参照してください。

ファイルシステムのネットワークインターフェイス用のアウトバウンドセキュリティグループルールの作成

セキュリティを強化するには、アウトバウンドトラフィックルールを使用したセキュリティグループの設定を検討してください。これらのルールは、セルフマネージド AD ドメインコントローラー、あるいはサブネットまたはセキュリティグループ内へのアウトバウンドトラフィックのみを許可する必要があります。このセキュリティグループを Amazon FSx ファイルシステムの Elastic Network Interface VPCに関連付けられた に適用します。詳細については、「Amazon によるファイルシステムのアクセスコントロール VPC」を参照してください。