Active Directory 작업의 모범 사례 - ONTAP용 FSx
Amazon FSx 서비스 계정에 권한 위임AD 구성을 최신 상태로 유지a 및 VPC with 보안 그룹 내 트래픽 제한아웃바운드 보안 그룹 규칙 생성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Active Directory 작업의 모범 사례

다음은 자체 관리형 Microsoft Active Directory에 FSx Amazon에 가입할 때 고려해야 NetApp ONTAP SVMs 할 몇 가지 제안 및 지침입니다. 이는 모범 사례로 권장되지만 필수 사항은 아닙니다.

Amazon FSx 서비스 계정에 권한 위임

Amazon에 제공하는 서비스 계정을 필요한 최소 FSx 권한으로 구성해야 합니다. 또한 조직 단위(OU)를 다른 도메인 컨트롤러 문제와 분리합니다.

FSxSVMsAmazon을 도메인에 가입시키려면 서비스 계정에 권한이 위임되었는지 확인하십시오. Domain Admins 그룹의 구성원은 이 작업을 수행할 수 있는 충분한 권한을 가지고 있습니다. 그러나 이 작업에 필요한 최소 권한만을 가진 서비스 계정을 사용하는 것이 모범 사례입니다. 다음 절차는 FSx 도메인에 ONTAP SVMs 가입하는 데 필요한 권한만 위임하는 방법을 보여줍니다.

디렉터리에 가입되어 있고 Active Directory 사용자 및 컴퓨터 MMC 스냅인이 설치된 컴퓨터에서 이 절차를 수행합니다.

Microsoft Active Directory 도메인을 위한 서비스 계정을 만들려면

  1. Microsoft Active Directory 도메인의 도메인 관리자로 로그인했는지 확인하세요.

  2. Active Directory 사용자 및 컴퓨터 MMC 스냅인을 엽니다.

  3. 작업 창에서 도메인 노드를 확장합니다.

  4. 수정하려는 OU에 대한 컨텍스트 메뉴(마우스 오른쪽 버튼 클릭)를 찾아 연 다음 제어 위임을 선택합니다.

  5. 제어 위임 마법사 페이지에서 다음을 선택합니다.

  6. 추가를 선택하여 선택된 사용자 및 그룹에 특정 사용자 또는 특정 그룹을 추가한 후 다음을 선택합니다.

  7. 위임할 작업 페이지에서 위임할 사용자 지정 작업 만들기를 선택하고 다음을 선택합니다.

  8. 폴더의 다음 객체만을 선택한 후 컴퓨터 객체를 선택합니다.

  9. 이 폴더에서 선택한 객체 생성을 선택한 후 이 폴더에서 선택한 객체 삭제를 선택합니다. 다음을 선택합니다.

  10. 이러한 권한 표시에서 일반속성별 옵션이 선택되어 있는지 확인합니다.

  11. 권한에서 다음을 선택합니다.

    • 암호 재설정

    • 읽기 및 쓰기 계정 제한

    • 검증된 호스트 이름 쓰기 DNS

    • 서비스 보안 주체 이름에 대한 검증된 쓰기

    • MSD 쓰기- SupportedEncryptionTypes

  12. 다음을 선택한 후 완료를 선택합니다.

  13. 액티브 디렉터리 사용자 및 컴퓨터 MMC 스냅인을 닫습니다.

중요

OU가 생성된 후 Amazon에서 FSx 생성한 컴퓨터 객체를 이동하지 마십시오. SVMs 이렇게 하면 구성이 잘못될 SVMs 수 있습니다.

Amazon을 통해 액티브 디렉터리 구성을 업데이트하기 FSx

FSxSVMsAmazon을 중단 없이 사용할 수 있도록 하려면 자체 관리형 AD 설정을 변경할 때 자체 관리형 Active Directory (AD) 구성을 업데이트하십시오. SVM

예를 들어 AD가 시간 기반 암호 재설정 정책을 사용한다고 가정합니다. 이 경우 암호가 재설정되는 즉시 Amazon에서 서비스 계정 암호를 업데이트해야 FSx 합니다. 이 작업을 수행하려면 Amazon FSx 콘솔 FSxAPI, Amazon 또는 을 사용하십시오 AWS CLI. 마찬가지로 Active Directory 도메인의 DNS 서버 IP 주소가 변경되는 경우 변경이 발생하는 즉시 Amazon에서 DNS 서버 IP 주소를 FSx 업데이트하십시오.

업데이트된 자체 관리형 AD 구성에 문제가 있는 경우 SVM 상태가 잘못 구성됨으로 전환됩니다. 이 상태에는 콘솔의 SVM 설명, API 및 옆에 오류 메시지와 권장 조치가 표시됩니다. CLI AD 구성에 문제가 발생하는 경우 구성 SVM 속성에 대해 권장되는 수정 조치를 취해야 합니다. 문제가 해결되면 상태가 Created로 변경되는지 확인하십시오 SVM.

자세한 내용은 AWS Management ConsoleAWS CLI, 및 를 사용하여 기존 SVM Active Directory 구성을 업데이트합니다. API 를 사용하여 Active Directory 구성을 수정하십시오. ONTAP CLI 단원을 참조하세요.

보안 그룹을 사용하여 내 트래픽을 제한합니다. VPC

가상 사설 클라우드 (VPC) 에서 네트워크 트래픽을 제한하려면 가상 사설 클라우드에 최소 권한 원칙을 구현하면 됩니다VPC. 다시 말해, 권한을 필요한 최소 권한으로 제한할 수 있습니다. 이렇게 하려면 보안 그룹 규칙을 사용합니다. 자세한 내용은 아마존 VPC 보안 그룹 섹션을 참조하세요.

파일 시스템의 네트워크 인터페이스에 대한 아웃바운드 보안 그룹 규칙 생성

보안을 강화하려면 아웃바운드 트래픽 규칙을 사용하여 보안 그룹을 구성하는 것이 좋습니다. 이러한 규칙은 아웃바운드 트래픽을 자체 관리형 AD 도메인 컨트롤러에만 허용하거나 서브넷 또는 보안 그룹 내에서만 허용해야 합니다. Amazon FSx 파일 시스템의 Elastic Network 인터페이스와 VPC 연결된 보안 그룹에 이 보안 그룹을 적용합니다. 자세한 내용은 Amazon을 통한 파일 시스템 액세스 제어 VPC을 참조하십시오.