Especifique os detalhes do Active Directory para seu diretório de WorkSpaces Pools

Neste tópico, mostramos como especificar os detalhes do Active Directory (AD) na página Criar diretório WorkSpaces Pool do WorkSpaces console. Ao criar seu diretório WorkSpaces Pool, você deve especificar os detalhes do AD se planeja usar um AD com seus WorkSpaces Pools. Você não pode editar a Configuração do Active Directory para seu diretório WorkSpaces Pools depois de criá-lo. Veja a seguir um exemplo da seção Configuração do Active Directory da página Criar diretório WorkSpaces Pool.

nota

O processo completo de criação de um diretório WorkSpaces Pool está descrito no Configure SAML 2.0 e crie um diretório WorkSpaces Pools tópico. Os procedimentos descritos nesta página representam somente um subconjunto de etapas do processo completo de criação de um diretório WorkSpaces Pool.

Especifique a unidade organizacional e o nome de domínio do diretório para seu AD

Conclua o procedimento a seguir para especificar uma unidade organizacional (OU) e um nome de domínio de diretório para seu AD na página Criar um diretório WorkSpaces Pool.

1. Em Unidade Organizacional, insira a OU à qual o pool pertence. WorkSpace as contas de máquina são colocadas na unidade organizacional (OU) que você especifica para o diretório WorkSpaces Pool.

   nota

   O nome da UO não pode conter espaços. Se você especificar um nome de UO que contenha espaços, quando ela tentar se juntar novamente ao domínio do Active Directory, WorkSpaces não poderá alternar os objetos do computador corretamente e a reassociação ao domínio não funcionará.

2. Em Nome de domínio do Diretório, insira o nome de domínio totalmente qualificado (FQDN) do domínio do Active Directory (por exemplo,corp.example.com). Cada AWS região pode ter somente um valor de configuração de diretório com um nome de diretório específico.

   • Você pode unir seus diretórios WorkSpaces Pool a domínios no Microsoft Active Directory. Você também pode usar seus domínios existentes do Active Directory, baseados na nuvem ou no local, para iniciar a associação ao domínio. WorkSpaces

   • Você também pode usar AWS Directory Service for Microsoft Active Directory, também conhecido como AWS Managed Microsoft AD, para criar um domínio do Active Directory. Em seguida, você pode usar esse domínio para oferecer suporte aos seus WorkSpaces recursos.

   • Ao WorkSpaces ingressar no seu domínio do Active Directory, você pode:

     • Permitir que os usuários e os aplicativos acessem os recursos do Active Directory, como impressoras e compartilhamentos de arquivos, em sessões de streaming.

     • Use as configurações de Política de Grupo que estão disponíveis no Console de Gerenciamento de Política de Grupo (GPMC) para definir a experiência do usuário final.

     • Transmitir aplicativos que requerem autenticação dos usuários usando suas credenciais de login do Active Directory.

     • Aplicar sua conformidade empresarial e políticas de segurança a suas instâncias de streaming do WorkSpaces .

3. Para a conta de serviço, vá para a Especifique a conta de serviço para o AD próxima seção desta página.

Especifique a conta de serviço para o AD

Ao configurar o Active Directory (AD) para seus WorkSpaces Pools como parte do processo de criação do diretório, você deve especificar a conta de serviço do AD a ser usada para gerenciar o AD. Isso exige que você forneça as credenciais da conta de serviço, que devem ser armazenadas AWS Secrets Manager e criptografadas usando uma chave AWS Key Management Service (AWS KMS) gerenciada pelo cliente. Nesta seção, mostramos como criar a chave gerenciada pelo AWS KMS cliente e o segredo do Secrets Manager para armazenar as credenciais da sua conta de serviço do AD.

Etapa 1: Criar uma chave gerenciada pelo cliente do AWS KMS

Conclua o procedimento a seguir para criar uma chave gerenciada pelo AWS KMS cliente

1. Abra o AWS KMS console em https://console.aws.amazon.com/kms.

2. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

3. Escolha Criar uma chave e, em seguida, Próximo.

4. Em Uso da chave, escolha Criptografar e descriptografar e, em seguida, escolha Próximo.

5. Insira um alias para a chave, como WorkSpacesPoolDomainSecretKey, e escolha Próximo.

6. Não escolha um administrador de chave. Escolha Próximo para continuar.

7. Na página Definir permissões de uso da chave: Escolha Próximo para continuar.

8. Na seção Key Policy (Política de chaves) da página, adicione o seguinte:

           {
               "Sid": "Allow access for Workspaces SP",
               "Effect": "Allow",
               "Principal": {
                   "Service": "workspaces.amazonaws.com"
               },
               "Action": "kms:Decrypt",
               "Resource": "*"
           }

   O resultado será algo semelhante a este exemplo:

   

9. Escolha Terminar.

   Sua chave gerenciada pelo AWS KMS cliente agora está pronta para ser usada com o Secrets Manager. Continue até a seção Etapa 2: Crie o segredo do Secrets Manager para armazenar as credenciais da sua conta de serviço do AD desta página.

Etapa 2: Crie o segredo do Secrets Manager para armazenar as credenciais da sua conta de serviço do AD

Complete o procedimento a seguir para criar um segredo do Secrets Manager para armazenar as credenciais da conta do serviço do AD.

1. Abra o AWS Secrets Manager console em https://console.aws.amazon.com/secretsmanager/.

2. Selecione Create a new secret (Criar um segredo).

3. Selecione Outro tipo de segredo.

4. Para o primeiro par de chave/valor, insira Service Account Name como a chave e o nome da conta de serviço para o valor, como domain\username.

5. Para o primeiro par de chave/valor, insira Service Account Password como a chave e o nome da conta de serviço para o valor.

6. Para a chave de criptografia, escolha a chave gerenciada pelo AWS KMS cliente que você criou anteriormente e, em seguida, escolha Avançar.

7. Digite um nome para o segredo, como WorkSpacesPoolDomainSecretAD.

8. Escolha Editar permissões na seção Permissões de recursos da página.

9. Insira a seguinte política de permissão:

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": [
                       "workspaces.amazonaws.com"
                   ]
               },
               "Action": "secretsmanager:GetSecretValue",
               "Resource": "*"
           }
       ]
   }

10. Escolha Salvar para salvar a política de permissão.

11. Escolha Próximo para continuar.

12. Não configure a rotação automática. Escolha Próximo para continuar.

13. Escolha Armazenar para terminar de armazenar seu segredo.

As credenciais da conta do serviço do AD agora estão armazenadas no Secrets Manager. Continue até a seção Etapa 3: selecione o segredo do Secrets Manager que contém as credenciais da conta do serviço do AD desta página.

Etapa 3: selecione o segredo do Secrets Manager que contém as credenciais da conta do serviço do AD

Conclua o procedimento a seguir para selecionar o segredo do Secrets Manager que você criou na configuração do Active Directory para seu diretório WorkSpaces Pool.

• Em Conta de serviço, escolha o AWS Secrets Manager segredo que contém as credenciais da sua conta de serviço. Complete as etapas a seguir para criar o segredo, caso ainda não o tenha feito. O segredo deve ser criptografado usando uma chave gerenciada pelo AWS Key Management Service cliente.

Agora que você preencheu todos os campos na seção Configuração do Active Directory da página Criar diretório WorkSpaces Pool, você pode continuar a concluir a criação do seu diretório WorkSpaces Pool. Vá para Etapa 4: Criar diretório WorkSpace Pool para a etapa 9 do procedimento e inicie-a.