必要條件 - Amazon AppStream 2.0

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

必要條件

使用憑證型身分驗證之前,請先完成下列步驟。

  1. 設定加入網域的叢集並設定 SAML 2.0。請確定您使用 SAML _ 主旨NameIDusername@domain.comuserPrincipalName格式。如需詳細資訊,請參閱步驟 5:建立SAML驗證回應的判斷提示

    注意

    如果您想要使用憑證型身分驗證,則不要在堆疊中啟用 Active Directory 的智慧卡登入。如需詳細資訊,請參閱智慧卡

  2. 使用 AppStream 2.0 代理程式版本 10-13-2022 或更新版本搭配您的映像檔。如需詳細資訊,請參閱讓 AppStream 2.0 映像保持最新狀態

  3. (選擇性) 在SAML宣告中設定ObjectSid屬性。您可以使用此屬性執行與 Active Directory 使用者的強式映射。如果ObjectSid屬性不符合在 _Subject 中指定之使用者的 Active Directory 安全性識別碼 (SID),則憑證型驗證會失敗。SAML NameID如需詳細資訊,請參閱步驟 5:建立SAML驗證回應的判斷提示

  4. sts:TagSession權限新增至您與 SAML 2.0 組態搭配使用的IAM角色信任原則。如需詳細資訊,請參閱在 AWS STS中傳入工作階段標籤。需有此許可才能使用憑證型身分驗證。如需詳細資訊,請參閱步驟 2:建立 SAML 2.0 聯合IAM角色

  5. 如果您沒有使用您的 Active Directory 設定的 AWS 私有憑證授權單位 (CA),請使用私有 CA 建立私有憑證授權單位 (CA)。 AWS 需要私有 CA 才能使用憑證型驗證。如需詳細資訊,請參閱規劃您的 AWS Private CA 部署。下列 AWS 私有 CA 設定適用於許多憑證型驗證使用案例:

    • CA 類型選項

      • 短期憑證 CA 使用模式:如果 CA 僅發行最終使用者憑證以進行憑證型身分驗證,則建議此選項。

      • 具有根 CA 的單一層級階層:選擇從屬 CA,以將它與現有 CA 階層整合。

    • 關鍵演算法選項 RSA

    • 主體辨別名稱選項:使用最適合的選項來識別 Active Directory 受信任的根憑證授權單位存放區中的此 CA。

    • 憑證撤銷選項 — CRL 發佈

      注意

      憑證型驗證需要可從 AppStream 2.0 叢集執行個體和網域控制站存取的線上CRL發佈點。這需要對針對 AWS 私有 CA CRL 項目設定的 Amazon S3 儲存貯體進行未經驗證的存取權,或者如果它封鎖了公開存取,則可存取 Amazon S3 儲存貯體的 CloudFront 分發。如需這些選項的詳細資訊,請參閱規劃憑證撤銷清單 (CRL)

  6. 使用有權指定 CA 與 AppStream 2.0 憑證型驗證搭配使用的金鑰euc-private-ca來標記您的私有 CA。此金鑰不需要值。如需詳細資訊,請參閱管理私有 CA 的標籤。如需有關與 AppStream 2.0 搭配使用來授與資源權限的 AWS 受管理政策的詳細資訊 AWS 帳戶,請參閱AWS 存取 AppStream 2.0 資源所需的受管原則

  7. 憑證型身分驗證會使用虛擬智慧卡進行登入。如需詳細資訊,請參閱使用第三方憑證授權單位啟用智慧卡登入的指引。請遵循下列步驟:

    1. 使用網域控制站憑證設定網域控制站,以驗證智慧卡使用者。如果您在 Active Directory 中設定了 Active Directory Certificate Services 企業 CA,它會自動使用啟用智慧卡登入的憑證註冊網域控制站。如果您沒有 Active Directory 憑證服務,請參閱來自協力廠商 CA 的網域控制站憑證需求。 AWS 建議 Active Directory 企業憑證授權單位自動管理網域控制站憑證的註冊。

      注意

      如果您使用 AWS 受管 Microsoft AD,則可以在符合網域控制站憑證需求的 Amazon EC2 執行個體上設定憑證服務。請參閱將活動目錄部署到新的 Amazon Virtual Private Cloud,以取得使用中目錄憑證服務設定的 AWS 受管 Microsoft AD 部署的範例。

      使用 AWS 受管 Microsoft AD 和 Active Directory 憑證服務,您還必須建立從控制器的VPC安全群組到EC2執行憑證服務的 Amazon 執行個體的輸出規則。您必須提供安全性群組對TCP連接埠 135 和連接埠 49152 到 65535 的存取權,才能啟用憑證自動註冊。Amazon EC2 執行個體還必須允許從網域執行個體 (包括網域控制站) 對這些相同連接埠進行輸入存取。如需針對 AWS 受管理 Microsoft AD 尋找安全性群組的詳細資訊,請參閱設定您的VPC子網路和安全性群組

    2. 在 AWS 私人 CA 主控台上,或使用SDK或CLI匯出私有 CA 憑證。如需詳細資訊,請參閱匯出私有憑證

    3. 將私有 CA 發佈至 Active Directory。登入網域控制站或加入網域的電腦。將私有 CA 憑證複製到任何 <path>\<file>,並以網域管理員的身分執行下列命令。您也可以使用群組原則和 Microsoft PKI Health 工具 (PKIView) 來發佈 CA。如需詳細資訊,請參閱組態指示

      certutil -dspublish -f <path>\<file> RootCA
      certutil -dspublish -f <path>\<file> NTAuthCA

      確定命令已順利完成,然後移除私有 CA 憑證檔案。視您的 Active Directory 複寫設定而定,CA 可能需要數分鐘的時間才能發佈到您的網域控制站和 AppStream 2.0 叢集執行個體。

      注意

      Active Directory 必須在 AppStream 2.0 叢集執行個體加入網域時,自動將 CA 散發給受信任的根憑證授權單位和企業NTAuth存放區。

對於 Windows 作業系統,CA (憑證授權單位) 的散佈會自動發生。然而,對於 RHEL 而言,您必須從 AppStream 2.0 目錄 Config 所使用的 CA 下載根 CA 憑證。如果您的KDC根 CA 憑證不同,您也必須下載這些憑證。使用憑證型驗證之前,必須先將這些憑證匯入映像或快照。

在圖像上,應該有一個名為/的文件etc/sssd/pki/sssd_auth_ca_db.pem。它看起來應該如下所示:

-----BEGIN CERTIFICATE-----
Base64-encoded certificate chain from ACM Private CA 
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded certificate body from ACM private CA
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded root CA KDC certificate chain
-----END CERTIFICATE-----
注意

跨區域或帳戶複製映像,或重新建立映像與新 Active Directory 的關聯時,必須使用映像產生器上的相關憑證重新設定此檔案,然後再次擷取快照才能使用。

以下是下載根 CA 憑證的說明:

  1. 在映像建置器上,建立名為的檔案/etc/sssd/pki/sssd_auth_ca_db.pem

  2. 開啟AWS私人 CA 主控台

  3. 選擇與 AppStream 2.0 目錄組態搭配使用的私有憑證。

  4. 選擇 [CA 憑證] 索引標籤。

  5. 將憑證鏈結和憑證主體複製到映像產生器/etc/sssd/pki/sssd_auth_ca_db.pem上。

如果使用的根 CA 憑證與 AppStream 2.0 目錄 Config 所使用的根 CA 憑證不同,請依照下列範例步驟下載它們:KDCs

  1. Connect 到與映像產生器加入相同網域的 Windows 執行個體。

  2. 打開 certlm.msc.

  3. 在左窗格中,選擇「信任的根憑證授權單位」,然後選擇「憑證」。

  4. 針對每個根 CA 憑證,開啟內容 (按一下滑鼠右鍵) 功能表。

  5. 選擇 [所有工作],選擇 [匯出] 開啟 [憑證匯出精靈],然後選擇 [下一步]。

  6. 選擇 64 編碼 CER),然後選擇 [下一步]。

  7. 選擇「瀏覽」,輸入檔案名稱,然後選擇「下一步」。

  8. 選擇 Finish (完成)。

  9. 在文字編輯器中開啟匯出的憑證。

  10. 將檔案內容複製到映像產生器/etc/sssd/pki/sssd_auth_ca_db.pem上。