Especifique os detalhes do Active Directory para seu diretório de WorkSpaces Pools

Neste tópico, mostramos como especificar os detalhes do Active Directory (AD) na página Criar diretório WorkSpaces Pool do WorkSpaces console. Ao criar seu diretório WorkSpaces Pool, você deve especificar os detalhes do AD se planeja usar um AD com seus WorkSpaces Pools. Você não pode editar a Configuração do Active Directory para seu diretório WorkSpaces Pools depois de criá-lo. Veja a seguir um exemplo da seção Configuração do Active Directory da página Criar diretório WorkSpaces Pool.

nota

O processo completo de criação de um diretório WorkSpaces Pool está descrito no Configure SAML 2.0 e crie um diretório WorkSpaces Pools tópico. Os procedimentos descritos nesta página representam somente um subconjunto de etapas do processo completo de criação de um diretório WorkSpaces Pool.

Especifique a unidade organizacional e o nome de domínio do diretório para seu AD

Conclua o procedimento a seguir para especificar uma unidade organizacional (OU) e um nome de domínio de diretório para seu AD na página Criar um diretório WorkSpaces Pool.

1. Em Unidade Organizacional, insira a OU à qual o pool pertence. WorkSpace as contas de máquina são colocadas na unidade organizacional (OU) que você especifica para o diretório WorkSpaces Pool.

   nota

   O nome da UO não pode conter espaços. Se você especificar um nome de UO que contenha espaços, quando ela tentar se juntar novamente ao domínio do Active Directory, WorkSpaces não poderá alternar os objetos do computador corretamente e a reassociação ao domínio não funcionará.

2. Em Nome de domínio do Diretório, insira o nome de domínio totalmente qualificado (FQDN) do domínio do Active Directory (por exemplo,corp.example.com). Cada AWS A região pode ter somente um valor de configuração de diretório com um nome de diretório específico.

   • Você pode unir seus diretórios WorkSpaces Pool a domínios no Microsoft Active Directory. Você também pode usar seus domínios existentes do Active Directory, baseados na nuvem ou no local, para iniciar a associação ao domínio. WorkSpaces

   • Você também pode usar AWS Directory Service for Microsoft Active Directory, também conhecido como AWS Managed Microsoft AD, para criar um domínio do Active Directory. Em seguida, você pode usar esse domínio para oferecer suporte aos seus WorkSpaces recursos.

   • Ao WorkSpaces ingressar no seu domínio do Active Directory, você pode:

     • Permita que seus usuários e aplicativos acessem os recursos do Active Directory, como impressoras e compartilhamentos de arquivos de sessões de streaming.

     • Use as configurações de Política de Grupo que estão disponíveis no Console de Gerenciamento de Política de Grupo (GPMC) para definir a experiência do usuário final.

     • Transmitir aplicativos que requerem autenticação dos usuários usando suas credenciais de login do Active Directory.

     • Aplique suas políticas corporativas de conformidade e segurança às suas instâncias WorkSpaces de streaming.

3. Para a conta de serviço, vá para a Especifique a conta de serviço para seu AD próxima seção desta página.

Especifique a conta de serviço para seu AD

Ao configurar o Active Directory (AD) para seus WorkSpaces Pools como parte do processo de criação do diretório, você deve especificar a conta de serviço do AD a ser usada para gerenciar o AD. Isso exige que você forneça as credenciais da conta de serviço, que devem ser armazenadas em AWS Secrets Manager e criptografado usando um AWS Key Management Service (AWS KMS) chave gerenciada pelo cliente. Nesta seção, mostramos como criar o AWS KMS chave gerenciada pelo cliente e o segredo do Secrets Manager para armazenar as credenciais da sua conta de serviço do AD.

Etapa 1: criar um AWS KMS chave gerenciada pelo cliente

Conclua o procedimento a seguir para criar um AWS KMS chave gerenciada pelo cliente

1. Abra as AWS KMS console em https://console.aws.amazon.com/kms.

2. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

3. Escolha Criar uma chave e, em seguida, escolha Avançar.

4. Escolha Simétrico para o tipo de chave e Criptografar e descriptografar para o uso da chave e, em seguida, escolha Avançar.

5. Insira um alias para a chave, comoWorkSpacesPoolDomainSecretKey, e escolha Avançar.

6. Não escolha um administrador de chaves. Escolha Próximo para continuar.

7. Não defina as permissões de uso das chaves. Escolha Próximo para continuar.

8. Na seção Política de chaves da página, adicione o seguinte:

           {
               "Sid": "Allow access for Workspaces SP",
               "Effect": "Allow",
               "Principal": {
                   "Service": "workspaces.amazonaws.com"
               },
               "Action": "kms:Decrypt",
               "Resource": "*"
           }

   O resultado deve aparecer como no exemplo a seguir.

   

9. Escolha Terminar.

   Suas AWS KMS a chave gerenciada pelo cliente agora está pronta para ser usada com o Secrets Manager. Continue até a Etapa 2: Crie o segredo do Secrets Manager para armazenar as credenciais da sua conta de serviço do AD seção desta página.

Etapa 2: Crie o segredo do Secrets Manager para armazenar as credenciais da sua conta de serviço do AD

Conclua o procedimento a seguir para criar um segredo do Secrets Manager para armazenar as credenciais da sua conta de serviço do AD.

1. Abra as AWS Secrets Manager console em https://console.aws.amazon.com/secretsmanager/.

2. Selecione Create a new secret (Criar um segredo).

3. Selecione Outro tipo de segredo.

4. Para o primeiro par chave/valor, insira Service Account Name a chave e o nome da conta de serviço para o valor, como. domain\username

5. Para o segundo par chave/valor, insira a Service Account Password para a chave e a senha da conta de serviço para o valor.

6. Para a chave de criptografia, escolha a AWS KMS chave gerenciada pelo cliente que você criou anteriormente e, em seguida, escolha Avançar.

7. Insira um nome para o segredo, comoWorkSpacesPoolDomainSecretAD.

8. Escolha Editar permissões na seção Permissões de recursos da página.

9. Insira a seguinte política de permissão:

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": [
                       "workspaces.amazonaws.com"
                   ]
               },
               "Action": "secretsmanager:GetSecretValue",
               "Resource": "*"
           }
       ]
   }

10. Escolha Salvar para salvar a política de permissão.

11. Escolha Próximo para continuar.

12. Não configure a rotação automática. Escolha Próximo para continuar.

13. Escolha Loja para terminar de armazenar seu segredo.

As credenciais da sua conta de serviço do AD agora estão armazenadas no Secrets Manager. Continue até a Etapa 3: Selecione o segredo do Secrets Manager que contém as credenciais da sua conta de serviço do AD seção desta página.

Etapa 3: Selecione o segredo do Secrets Manager que contém as credenciais da sua conta de serviço do AD

Conclua o procedimento a seguir para selecionar o segredo do Secrets Manager que você criou na configuração do Active Directory para seu diretório WorkSpaces Pool.

• Para Conta de serviço, escolha a AWS Secrets Manager segredo que contém as credenciais da sua conta de serviço. Conclua as etapas a seguir para criar o segredo, caso ainda não tenha feito isso. O segredo deve ser criptografado usando um AWS Key Management Service chave gerenciada pelo cliente.

Agora que você preencheu todos os campos na seção Configuração do Active Directory da página Criar diretório WorkSpaces Pool, você pode continuar a concluir a criação do seu diretório WorkSpaces Pool. Vá para a etapa 9 do procedimento Etapa 4: Criar diretório WorkSpace Pool e inicie-a.