297
AWS Directory Service Guida di amministrazione Version 1.0
AWS Directory ServiceGuida di amministrazione
Version 1.0
AWS Directory Service Guida di amministrazione
AWS Directory Service: Guida di amministrazioneCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.
AWS Directory Service Guida di amministrazione
Table of ContentsChe cosa è AWS Directory Service? ..................................................................................................... 1
Quale scegliere .......................................................................................................................... 1Opzioni AWS Directory Service .................................................................................................... 1Utilizzo dei Amazon EC2 ............................................................................................................. 4
Configurare AWS Directory Service ....................................................................................................... 5Registrati per creare un account AWS. .......................................................................................... 5Creazione di un utente IAM ......................................................................................................... 5
AWS Managed Microsoft AD ................................................................................................................ 8Nozioni di base .......................................................................................................................... 9
Prerequisiti: ........................................................................................................................ 9Crea la tua directory ......................................................................................................... 11Cosa viene creato ............................................................................................................. 12Account Admin ................................................................................................................. 17
Concetti chiave ......................................................................................................................... 18Active Directory Schema (Schema Active Directory) ............................................................... 18Applicazione di patch e manutenzione ................................................................................. 19Account del servizio gestito del gruppo ................................................................................ 20Delega vincolata Kerberos .................................................................................................. 20
Casi d'uso ............................................................................................................................... 21Caso d'uso 1: Accedi a AWS Applicazioni e servizi con credenziali AD ...................................... 23Caso d'uso 2: Gestione delle istanze Amazon EC2 ................................................................ 26Caso d'uso 3: Fornisci servizi di directory ai tuoi carichi di lavoro AD-Aware ............................... 26Caso d'uso 4: SSO per Office 365 e altre applicazioni cloud .................................................... 26Caso d'uso 5: Estendi il tuo AD locale a AWS Il cloud ............................................................ 27Caso d'uso 6: Condividi la tua directory per unirti senza problemi Amazon EC2 Istanze a undominio in AWS Conti ....................................................................................................... 28
Procedura ................................................................................................................................ 28Protezione della directory ................................................................................................... 28Monitoraggio della directory ................................................................................................ 51Condivisione della directory ................................................................................................ 57Collega un'istanza EC2 alla tua directory .............................................................................. 66Gestione di utenti e gruppi ................................................................................................. 88Connessione all'infrastruttura AD esistente ............................................................................ 92Estensione dello schema .................................................................................................. 111Gestione della directory .................................................................................................... 116Concessione dell'accesso alle risorse AWS ......................................................................... 120Abilitazione dell'accesso alle applicazioni e ai servizi AWS .................................................... 124Abilitazione dell'accesso a Console di gestione AWS ............................................................ 133Distribuzione di controller di dominio aggiuntivi .................................................................... 135Migrazione di utenti da AD in AWS Managed Microsoft AD .................................................... 137
Buone prassi .......................................................................................................................... 137Configurazione Prerequisiti: .............................................................................................. 137Configurazione Creazione della directory ............................................................................ 139Utilizzo della directory ...................................................................................................... 139Gestione della directory .................................................................................................... 140Programmazione delle applicazioni .................................................................................... 142
Limiti ..................................................................................................................................... 142Aumenta il tuo limite ........................................................................................................ 143
Compatibilità delle applicazioni .................................................................................................. 143Linee guida per la compatibilità ......................................................................................... 145Applicazioni sicuramente incompatibili ................................................................................ 145
Tutorial di lab di sviluppo AWS Managed Microsoft AD ................................................................. 146Tutorial Imposta la tua base AWS Managed Microsoft AD Laboratorio di prova .......................... 146Tutorial Crea un trust da AWS Managed Microsoft AD a un'installazione AD autogestita su EC2 ... 159
Version 1.0iii
AWS Directory Service Guida di amministrazione
Risoluzione dei problemi di : ..................................................................................................... 167Recupero della password ................................................................................................. 167Risoluzione dei problemi di DNS ....................................................................................... 168Errori di unione dominio Linux ........................................................................................... 168Spazio di storage disponibile insufficiente ........................................................................... 170Errori di estensione dello schema ...................................................................................... 172Motivo stato di creazione trust .......................................................................................... 174
Active Directory Connector ............................................................................................................... 176Nozioni di base ....................................................................................................................... 176
Prerequisiti di AD Connector ............................................................................................. 176Creazione di un AD Connector .......................................................................................... 186Cosa viene creato ........................................................................................................... 187
Procedura .............................................................................................................................. 188Protezione della directory ................................................................................................. 188Monitoraggio della directory .............................................................................................. 194Collega un'istanza EC2 alla tua directory ............................................................................ 197Gestione della directory .................................................................................................... 204Aggiornamento del DNS per AD Connector ......................................................................... 205
Buone prassi .......................................................................................................................... 205Configurazione Prerequisiti: .............................................................................................. 206Programmazione delle applicazioni .................................................................................... 207Utilizzo della directory ...................................................................................................... 207
Limiti ..................................................................................................................................... 208Aumenta il tuo limite ........................................................................................................ 143
Compatibilità delle applicazioni .................................................................................................. 209Risoluzione dei problemi di : ..................................................................................................... 209
Interruzione funzionamento dell'aggiunta dominio uniforme per istanze EC2 .............................. 210Ho ricevuto un errore "Impossibile autenticare" durante l'uso di applicazioni AWS per eseguire laricerca di utenti o gruppi .................................................................................................. 210Ricevo un messaggio di errore "DNS unavailable" (DNS non disponibile) quando cerco diconnettermi alla mia directory in locale ............................................................................... 210Ricevo un messaggio di errore "Connectivity issues detected" (Problemi di connettività rilevati)quando cerco di connettermi alla mia directory in locale ........................................................ 210Ricevo un messaggio di errore "SRV record" (record SRV) quando cerco di connettermi alla miadirectory in locale ............................................................................................................ 211La mia directory è bloccata nello stato "Requested" (Richiesta) ............................................... 211Visualizzo un messaggi odi errore "AZ Constrained" (AZ vincolata) quando creo una directory ...... 211Alcuni dei miei utenti non possono eseguire l'autenticazione con la mia directory ....................... 211Ricevo un messaggio errore "Invalid Credentials" (Credenziali non valide) quando l'account delservizio utilizzato da AD Connector cerca di eseguire l'autenticazione ...................................... 212
Simple Active Directory .................................................................................................................... 213Nozioni di base ....................................................................................................................... 214
Prerequisiti di Simple AD .................................................................................................. 214Creazione di una directory Simple AD ................................................................................ 215Cosa viene creato ........................................................................................................... 216Configurazione di DNS ..................................................................................................... 216
Procedura .............................................................................................................................. 217Gestione di utenti e gruppi ............................................................................................... 217Monitoraggio della directory .............................................................................................. 221Collega un'istanza EC2 alla tua directory ............................................................................ 224Gestione della directory .................................................................................................... 243Abilitazione dell'accesso alle applicazioni e ai servizi AWS .................................................... 246Abilitazione dell'accesso a Console di gestione AWS ............................................................ 255
Tutorial Creazione di una directory Simple AD ............................................................................. 257Prerequisites .................................................................................................................. 257Fase 1 Creazione e configurazione del VPC ....................................................................... 257Fase 2. Crea il tuo Simple AD Rubrica ............................................................................... 259
Version 1.0iv
AWS Directory Service Guida di amministrazione
Buone prassi .......................................................................................................................... 260Configurazione Prerequisiti: .............................................................................................. 260Configurazione Creazione della directory ............................................................................ 261Programmazione delle applicazioni .................................................................................... 262
Limiti ..................................................................................................................................... 262Aumenta il tuo limite ........................................................................................................ 143
Compatibilità delle applicazioni .................................................................................................. 263Risoluzione dei problemi di : ..................................................................................................... 264
Recupero della password ................................................................................................. 264Ricevo un messaggio di errore "KDC can't fulfill requested option" (KDC non è in grado disoddisfare l'opzione richiesta) durante l'aggiunta di un utente a Simple AD ............................... 264Non sono in grado di aggiornare il nome DNS o l'indirizzo IP di un'istanza collegata al miodominio (aggiornamento dinamico DNS) ............................................................................. 264Non posso accedere a SQL Server utilizzando un account SQL Server .................................... 265La mia directory è bloccata nello stato "Requested" (Richiesta) ............................................... 265Visualizzo un messaggi odi errore "AZ Constrained" (AZ vincolata) quando creo una directory ...... 265Alcuni dei miei utenti non possono eseguire l'autenticazione con la mia directory ....................... 265Motivi dello stato della directory ........................................................................................ 265
Sicurezza ....................................................................................................................................... 269Gestione delle identità e degli accessi ........................................................................................ 270
Autenticazione ................................................................................................................ 270Controllo degli accessi ..................................................................................................... 271Panoramica della gestione dell'accesso .............................................................................. 271Utilizzo di policy basate su identità (policy IAM) ................................................................... 275Informazioni di riferimento sulle autorizzazioni delle API AWS Directory Service ......................... 281
Logging e monitoraggio ............................................................................................................ 281Convalida della conformità ........................................................................................................ 282Flessibilità .............................................................................................................................. 282Sicurezza dell'infrastruttura ....................................................................................................... 283
Contratto sul livello di servizio ........................................................................................................... 284Disponibilità nelle regioni .................................................................................................................. 285Compatibilità browser ....................................................................................................................... 288
Che cos'è TLS? ...................................................................................................................... 289Quali versioni TLS sono supportate da AWS SSO ........................................................................ 289Come abilito le versioni TLS supportate nel browser? ................................................................... 289
Cronologia dei documenti ................................................................................................................. 290.................................................................................................................................................. ccxcii
Version 1.0v
AWS Directory Service Guida di amministrazioneQuale scegliere
Che cos'è AWS Directory ServiceAWS Directory Service offre diversi modi per utilizzare Microsoft Active Directory (AD) con altri serviziAWS. Le directory memorizzano informazioni su utenti, gruppi e dispositivi e gli amministratori le usanoper gestire l'accesso a informazioni e risorse. AWS Directory Service offre diverse opzioni di directory per iclienti che desiderano utilizzare applicazioni esistenti compatibili con Microsoft AD o Lightweight DirectoryAccess Protocol (LDAP) nel cloud. Inoltre, offre le stesse opzioni per gli sviluppatori che hanno bisogno diuna directory per gestire utenti, gruppi, dispositivi e accesso.
Quale sceglierePuoi scegliere i servizi di directory con le caratteristiche e la scalabilità che meglio soddisfano le tueesigenze. Utilizza la tabella seguente per determinare quale opzione di directory AWS Directory Service èpiù adatta alla tua organizzazione.
Cosa occorre fare? Opzioni AWS Directory Service consigliate
Ho bisogno di Active Directory o LDAPper le applicazioni nel cloud
Seleziona AWS Directory Service for Microsoft Active Directory(Standard Edition o Enterprise Edition) se hai bisogno diuna Microsoft Active Directory effettiva nel cloud AWS chesupporti i carichi di lavoro compatibili con Active Directory ole applicazioni e i servizi AWS quali Amazon WorkSpaces eAmazon QuickSight o se hai bisogno di supporto LDAP per leapplicazioni Linux.
Utilizza AD Connector se devi soltanto consentire agli utentilocali di accedere alle applicazioni e ai servizi AWS con leproprie credenziali Active Directory. Puoi anche utilizzare ADConnector per aggiungere le istanze Amazon EC2 al dominioActive Directory esistente.
Utilizza Simple AD se hai bisogno di una directory a bassocosto, su piccola scala con una compatibilità di base con ActiveDirectory che supporti le applicazioni compatibili con Samba 4o se hai bisogno della compatibilità LDAP per le applicazionicompatibili con LDAP.
Sviluppo applicazioni SaaS Utilizza Amazon Cognito se sviluppi applicazioni SaaS sugrande scala e hai bisogno di una directory scalabile pergestire e autenticare gli abbonati e che funzioni con le identitàdi social media.
Opzioni AWS Directory ServiceAWS Directory Service include diversi tipi di directory tra cui scegliere. Per ulteriori informazioni, selezionauna delle seguenti schede:
AWS Directory Service for Microsoft Active Directory
Version 1.01
AWS Directory Service Guida di amministrazioneOpzioni AWS Directory Service
Conosciuto anche come AWS Managed Microsoft AD, AWS Directory Service for Microsoft ActiveDirectory è supportato da un vero Microsoft Windows Server Active Directory (AD) e gestito daAWS nel cloud AWS. Consente di eseguire la migrazione di un'ampia gamma di applicazionicompatibili con Active Directory sul cloud AWS. AWS Managed Microsoft AD funziona con MicrosoftSharePoint, Microsoft SQL Server Always On Availability Groups e molte applicazioni .NET. Supportainoltre le applicazioni e i servizi gestiti da AWS tra cui Amazon WorkSpaces, Amazon WorkDocs,Amazon QuickSight, Amazon Chime, Amazon Connect e Amazon Relational Database Service perMicrosoft SQL Server (Amazon RDS per SQL Server, Amazon RDS per Oracle e Amazon RDS perPostgreSQL).
AWS Managed Microsoft AD è approvato per le applicazioni nel cloud AWS che devono essereconformi all'Health Insurance Portability and Accountability Act (HIPAA) degli Stati Uniti o al PaymentCard Industry Data Security Standard (PCI DSS) quando si consente la conformità della directory.
Tutte le applicazioni compatibili funzionano con le credenziali utente archiviate in AWS ManagedMicrosoft AD; in alternativa, è possibile collegare l'infrastruttura AD esistente con un trust e utilizzarele credenziali da una Active Directory in esecuzione in locale o su EC2 Windows. Se colleghi istanzeEC2 al tuo AWS Managed Microsoft AD, gli utenti possono accedere ai carichi di lavoro di Windowsnel cloud AWS con la stessa esperienza SSO (Windows Single Sign-On) dei carichi di lavoro nella retelocale.
AWS Managed Microsoft AD supporta anche i casi d'uso federati utilizzando le credenziali di ActiveDirectory. Inoltre, AWS Managed Microsoft AD consente di accedere alla Console di gestione AWS.Con AWS Single Sign-On puoi anche ottenere credenziali a breve termine da impiegare con l'SDK el'interfaccia a riga di comando di AWS e utilizzare le integrazioni SAML preconfigurate per accederea molte applicazioni cloud. Aggiungendo Azure AD Connect e, facoltativamente, Active DirectoryFederation Service (AD FS), potrai effettuare l'accesso a Microsoft Office 365 e ad altre applicazionicloud con le credenziali archiviate in AWS Managed Microsoft AD.
Il servizio include caratteristiche fondamentali che consentono di estendere lo schema, gestire le policydelle password e attivare la sicurezza delle comunicazioni LDAP tramite Secure Socket Layer (SSL)/Transport Layer Security (TLS). È anche possibile abilitare l'MFA (Multi-Factor Authentication) perAWS Managed Microsoft AD per fornire un ulteriore livello di sicurezza quando gli utenti accedonoalle applicazioni AWS da Internet. Poiché Active Directory è una directory LDAP, puoi anche utilizzareAWS Managed Microsoft AD per l'autenticazione Linux SSH (Secure Shell) e per altre applicazioniabilitate per LDAP.
AWS offre funzioni di monitoraggio, snapshot quotidiane e ripristino come parte del servizio; puoiaggiungere utenti e gruppi a AWS Managed Microsoft AD e gestire le policy di gruppo attraversonoti strumenti di Active Directory in esecuzione su un computer Windows collegato al dominio AWSManaged Microsoft AD. Puoi anche ridimensionare la directory distribuendo ulteriori controller didominio e migliorare così le prestazioni delle applicazioni distribuendo le richieste su un maggiornumero di controller di dominio.
AWS Managed Microsoft AD è disponibile in due edizioni: Standard e Enterprise.
• Edizione standard: AWS Managed Microsoft AD (Standard Edition) è ottimizzata per essere unadirectory primaria per le piccole e medie imprese con un massimo di 5.000 dipendenti. Fornisce unacapacità di storage sufficiente per supportare fino a 30.000* oggetti di directory, come utenti, gruppie computer.
• Edizione Enterprise: AWS Managed Microsoft AD (Enterprise Edition) è progettato per supportare leorganizzazioni aziendali con un massimo di 500.000* oggetti directory.
* I limiti sopra indicati sono approssimativi. La directory potrebbe supportare più o meno oggetti didirectory a seconda della dimensioni degli oggetti e della necessità di prestazioni e comportamentodelle applicazioni.
Quando usare
Version 1.02
AWS Directory Service Guida di amministrazioneOpzioni AWS Directory Service
AWS Managed Microsoft AD è la scelta ideale se hai bisogno di reali funzioni di Active Directory persupportare le applicazioni AWS o i carichi di lavoro di Windows, tra cui Amazon Relational DatabaseService per Microsoft SQL Server. Inoltre, è la scelta migliore se desideri un AD standalone nel cloudAWS che supporti Office 365 o se hai bisogno di una directory LDAP per supportare le applicazioniLinux. Per ulteriori informazioni, consulta AWS Managed Microsoft AD (p. 8).
AD Connector
AD Connector è un servizio di proxy che offre un modo semplice per connettere le applicazioni AWScompatibili, ad esempio Amazon WorkSpaces, Amazon QuickSight e Amazon EC2 per istanzeWindows Server, alla propria Microsoft Active Directory locale esistente. Con AD Connector puoiaggiungere facilmente un account del servizio ad Active Directory. AD Connector elimina inoltre lanecessità di sincronizzazione delle directory o i costi e la complessità di ospitare un'infrastruttura difederazione.
Quando aggiungi utenti alle applicazioni AWS come Amazon QuickSight, AD Connector legge l'ActiveDirectory esistente per creare elenchi di utenti e gruppi da cui selezionare. Quando gli utenti accedonoalle applicazioni AWS, AD Connector inoltra le richieste di accesso ai controller di dominio di ActiveDirectory locali per l'autenticazione. AD Connector funziona con molti servizi e applicazioni AWS, tracui Amazon WorkSpaces, Amazon WorkDocs, Amazon QuickSight, Amazon Chime, Amazon Connecte Amazon WorkMail. Puoi anche collegare le istanze di Windows EC2 al dominio di Active Directorylocale tramite AD Connector utilizzando un'aggiunta ai domini ottimizzata. AD Connector consenteinoltre agli utenti di accedere alla Console di gestione AWS e gestire le risorse AWS mediantel'accesso con le proprie credenziali di Active Directory esistenti. AD Connector non è compatibile conRDS SQL Server.
Puoi anche utilizzare AD Connector per abilitare la Multi-Factor Authentication (MFA) per gli utentidell'applicazione AWS collegandola all'infrastruttura MFA basata su RADIUS esistente. Questofornisce un ulteriore livello di sicurezza quando gli utenti accedono alle applicazioni AWS.
Con AD Connector puoi continuare a gestire Active Directory come al solito. Ad esempio, puoiaggiungere nuovi utenti e gruppi e aggiornare le password usando gli strumenti di amministrazione diActive Directory standard nell'Active Directory esistente. Questo aiuta a implementare costantementele policy di sicurezza, ad esempio scadenza della password, cronologia delle password e blocchidell'account, se gli utenti accedono a risorse locali o nel cloud AWS.
Quando usare
AD Connector è la scelta ideale se desideri utilizzare la directory locale esistente con servizicompatibili con AWS. Per ulteriori informazioni, consulta Active Directory Connector (p. 176).
Simple AD
Simple AD è una directory compatibile con Microsoft Active Directory di AWS Directory Servicesupportata da Samba 4. Simple AD supporta le caratteristiche di base di Active Directory, ad esempioaccount utente, appartenenze ai gruppi, aggiunta a un dominio Linux o istanze EC2 basate suWindows, SSO basato su Kerberos e policy di gruppo. AWS fornisce funzioni di monitoraggio,snapshot quotidiane e ripristino come parte del servizio.
Simple AD è una directory standalone nel cloud in cui è possibile creare e gestire le identità degli utentie gestire l'accesso alle applicazioni. Puoi utilizzare molte comuni applicazioni e strumenti compatibilicon Active Directory che richiedono caratteristiche di base di Active Directory. Simple AD è compatibilecon le seguenti applicazioni AWS: Amazon WorkSpaces, Amazon WorkDocs, Amazon QuickSight eAmazon WorkMail. Puoi anche accedere a Console di gestione AWS con gli account utente Simple ADe gestire le risorse AWS.
Simple AD non supporta autenticazione a più fattori (MFA), relazioni di trust, aggiornamentodinamico DNS, estensioni dello schema, comunicazione tramite LDAPS, cmdlet di PowerShell AD o
Version 1.03
AWS Directory Service Guida di amministrazioneUtilizzo dei Amazon EC2
il trasferimento di ruolo DNS. Simple AD non è compatibile con RDS SQL Server. I clienti che hannobisogno delle caratteristiche di un vero Microsoft Active Directory oppure che intendono utilizzare lapropria directory con RDS SQL Server, devono invece utilizzare AWS Managed Microsoft AD. Verificache le applicazioni necessarie siano completamente compatibili con Samba 4 prima di utilizzare SimpleAD. Per ulteriori informazioni, consulta https://www.samba.org.
Quando usare
Puoi utilizzare Simple AD come una directory standalone nel cloud per supportare i carichi di lavorodi Windows che richiedono caratteristiche di AD di base, applicazioni compatibili con AWS oppureper supportare i carichi di lavoro di Linux che richiedono il servizio LDAP. Per ulteriori informazioni,consulta Simple Active Directory (p. 213).
Amazon Cognito
Amazon Cognito è una directory utente che aggiunge la registrazione e l'accesso all'app mobile oall'applicazione Web tramite i pool di utenti Amazon Cognito.
Quando usare
Puoi utilizzare Amazon Cognito se devi creare campi di registrazione personalizzati e memorizzarei metadati nella directory utente. Questo servizio completamente gestito è scalabile per supportarecentinaia di milioni di utenti. Per ulteriori informazioni, consulta Creazione e gestione di pool di utenti.
Consulta Disponibilità nelle regioni per AWS Directory Service (p. 285) per un elenco dei tipi di directorysupportati per regione.
Utilizzo dei Amazon EC2Una conoscenza di base di Amazon EC2 è essenziale per l'uso di AWS Directory Service. Consigliamo diiniziare leggendo gli argomenti seguenti:
• Che cos'è Amazon EC2? nella Guida per l'utente di Amazon EC2 per le istanze Windows.• Avvio di istanze EC2 nella Guida per l'utente di Amazon EC2 per le istanze Windows.• Gruppi di sicurezza nella Guida per l'utente di Amazon EC2 per le istanze Windows.• Che cos'è Amazon VPC? nella Guida per l'utente di Amazon VPC.• Aggiunta di un gateway virtuale privato hardware al VPC nella Guida per l'utente di Amazon VPC.
Version 1.04
AWS Directory Service Guida di amministrazioneRegistrati per creare un account AWS.
Configurare AWS Directory ServicePer utilizzare AWS Directory Service, è necessario soddisfare i prerequisiti di AWS Directory Service forMicrosoft Active Directory, AD Connector o Simple AD. Per ulteriori informazioni, consulta Prerequisiti diAWS Managed Microsoft AD (p. 9), Prerequisiti di AD Connector (p. 176) o Prerequisiti di SimpleAD (p. 214).
Se non l'hai già fatto, crea inoltre un account AWS e utilizza il servizio AWS Identity and AccessManagement per controllare l'accesso.
Argomenti• Registrati per creare un account AWS. (p. 5)• Creazione di un utente IAM (p. 5)
Registrati per creare un account AWS.Il tuo account AWS ti dà accesso a tutti i servizi, ma paghi solo per le risorse che usi.
Se non disponi di un account AWS, segui la procedura seguente per crearne uno.
Per registrarti per creare un AWS
1. Aprire la pagina https://aws.amazon.com/ e seleziona Create an AWS Account (Crea un accountAWS).
2. Seguire le istruzioni online.
Le credenziali dell'account root ti identificano nei servizi AWS e ti garantiscono l'utilizzo illimitato dellerisorse AWS, come WorkSpaces. Per consentire ad altri utenti di gestire le risorse AWS Directory Servicesenza condividere le tue credenziali di sicurezza, utilizza AWS Identity and Access Management (IAM).Consigliamo a tutti di lavorare come utente IAM, anche al proprietario dell'account. Ti consigliamo di creareun utente IAM per te stesso, di assegnare a tale utente IAM privilegi di amministratore e di utilizzarlo pertutte le operazioni.
Creazione di un utente IAMConsole di gestione AWS richiede il nome utente e la password in modo che il servizio sia in grado dideterminare se disponi dell'autorizzazione per accedere alle risorse. Tuttavia, ti consigliamo di evitarel'accesso ad AWS utilizzando le credenziali del tuo account root AWS. Ti consigliamo invece di utilizzareAWS Identity and Access Management (IAM) per creare un utente IAM e aggiungere l'utente IAM aun gruppo IAM con autorizzazioni amministrative. In questo modo, sono concesse le autorizzazioniamministrative all'utente IAM. Quindi, accedi a Console di gestione AWS usando le credenziali per l'utenteIAM.
Se hai effettuato la registrazione ad AWS senza creare un utente IAM, puoi crearne uno mediante laconsole IAM.
Per creare un utente amministratore per se stessi e aggiungere l'utente a un gruppo diamministratori (console)
1. Utilizza l'indirizzo e-mail e la password del tuo account AWS per accedere come Utente rootdell'account AWS alla console IAM su https://console.aws.amazon.com/iam/.
Version 1.05
AWS Directory Service Guida di amministrazioneCreazione di un utente IAM
Note
È fortemente consigliato rispettare la best practice di utilizzare l'utente Administrator IAMdi seguito e conservare in un luogo sicuro le credenziali dell'utente root. Accedi come utenteroot solo per eseguire alcune attività di gestione dell'account e del servizio.
2. Nel riquadro di navigazione selezionare Users (Utenti), quindi selezionare Add user (Aggiungi utente).3. In User name (Nome utente), immettere Administrator.4. Selezionare la casella di controllo accanto a Console di gestione AWS access (Accesso Console di
gestione AWS). Quindi, selezionare Custom password (Password personalizzata)e immettere la nuovapassword nella casella di testo.
5. Per impostazione predefinita, AWS richiede che nuovo utente crei una nuova password al primoaccesso. Puoi deselezionare la casella di controllo accanto a User must create a new password at nextsign-in (L'utente deve creare una nuova password al prossimo accesso) per consentire al nuovo utentedi reimpostare la propria password dopo aver effettuato l'accesso.
6. Scegliere Next: Permissions (Successivo: Autorizzazioni).7. In Set permissions (Imposta autorizzazioni), selezionare Add user to group (Aggiungi l'utente al
gruppo).8. Selezionare Create group (Crea gruppo).9. Nella finestra di dialogo Create group (Crea gruppo), per Group name (Nome gruppo) immettere
Administrators.10. Scegliere Filter policies (Filtra policy), quindi selezionare AWS managed -job function (Funzione -job
gestita da AWS) per filtrare i contenuti della tabella.11. Nell'elenco delle policy, selezionare la casella di controllo accanto ad AdministratorAccess. Seleziona
quindi Create group (Crea gruppo).
Note
È necessario attivare l'accesso dell'utente o del ruolo IAM alla fatturazione prima di poterutilizzare le autorizzazioni AdministratorAccess per accedere alla console AWS Billingand Cost Management. A tale scopo, seguire le istruzioni nella fase 1 del tutorial sulla delegadell'accesso alla console di fatturazione.
12. Nell'elenco dei gruppi seleziona la casella di controllo per il tuo nuovo gruppo. Se necessario,selezionare Refresh (Aggiorna) per visualizzare il gruppo nell'elenco.
13. Scegliere Next: Tags (Successivo: Tag).14. (Facoltativo) Aggiungere metadati all'utente collegando i tag come coppie chiave-valore. Per ulteriori
informazioni sull'utilizzo dei tag in IAM, consulta Tagging di entità IAM nella Guida per l'utente di IAM.15. Selezionare Next: Review (Successivo: Rivedi) per visualizzare l'elenco dei membri del gruppo da
aggiungere al nuovo utente. Quando sei pronto per continuare, seleziona Create user (Crea utente).
Puoi utilizzare questo stessa procedura per creare altri gruppi e utenti e per concedere agli utentil'accesso alle risorse del tuo account AWS. Per ulteriori informazioni sull'utilizzo delle policy per limitare leautorizzazioni degli utenti a risorse AWS specifiche, consulta Gestione degli accessi ed Esempi di policy.
Per accedere come nuovo utente IAM, disconnettiti dalla Console di gestione AWS, quindi utilizza l'URLseguente, in cui your_aws_account_id è il tuo numero di account AWS senza i trattini (ad esempio, se il tuonumero di account AWS è 1234-5678-9012, il tuo ID account AWS è 123456789012):
https://your_aws_account_id.signin.aws.amazon.com/console/
Immetti il nome utente IAM e la password appena creati. Una volta effettuato l'accesso, nella barra dinavigazione compare "your_user_name@your_aws_account_id".
Version 1.06
AWS Directory Service Guida di amministrazioneCreazione di un utente IAM
Se non desideri che l'URL per la pagina di accesso contenga il tuo ID account di AWS, puoi creare unalias dell'account. Nel pannello di controllo IAM, fai clic su Customize (Personalizza) e immetti un alias,ad esempio il nome dell'azienda. Per effettuare l'accesso dopo aver creato un alias dell'account, utilizza ilseguente URL.
https://your_account_alias.signin.aws.amazon.com/console/
Per ulteriori informazioni su come usare le policy IAM per controllare l'accesso alle risorse AWS DirectoryService, consulta Uso di policy basate su identità (policy IAM) per AWS Directory Service (p. 275).
Version 1.07
AWS Directory Service Guida di amministrazione
AWS Managed Microsoft ADAWS Directory Service consente di eseguire Microsoft Active Directory (AD) come servizio gestito.AWS Directory Service for Microsoft Active Directory, anche noto come AWS Managed Microsoft AD, èsupportato da Windows Server 2012 R2. Quando selezioni e lanci questo tipo di directory, si crea unacoppia di controller di dominio ad alta disponibilità connessa al cloud privato virtuale (VPC). I controller didominio vengono eseguiti in diverse zone di disponibilità in una regione di tua scelta. Il monitoraggio e ilripristino degli host, la replica dei dati, le snapshot e gli aggiornamenti software vengono automaticamenteconfigurati e gestiti al posto tuo.
Con AWS Managed Microsoft AD, puoi eseguire carichi di lavoro sensibili alle directory nel cloud AWS,tra cui Microsoft SharePoint e applicazioni personalizzate basate su .NET e SQL Server. Puoi ancheconfigurare una relazione di trust tra AWS Managed Microsoft AD nel cloud AWS e la Microsoft ActiveDirectory locale esistente, in modo da fornire agli utenti e ai gruppi accesso alle risorse nel dominio,utilizzando Single Sign-On (SSO).
AWS Directory Service è un servizio in grado di semplificare le operazioni di configurazione ed esecuzionedi directory nel cloud AWS o di connessione delle risorse AWS alla directory Microsoft Active Directorylocale esistente. Una volta creata la directory, puoi utilizzarla per un'ampia gamma di attività:
• Gestione di utenti e gruppi• Fornire Single Sign-On (SSO) ad applicazioni e a servizi• Creare e applicare policy di gruppo• Effettuare la connessione sicura alle istanze Linux e Windows di Amazon EC2• Semplificare la distribuzione e la gestione dei carichi di lavoro Linux e Microsoft Windows basati su cloud• Puoi utilizzare AWS Managed Microsoft AD per abilitare l'autenticazione a più fattori integrandolo con
l'infrastruttura MFA basata su RADIUS esistente per fornire un livello di sicurezza aggiuntivo quando gliutenti accedono alle applicazioni AWS.
Leggi gli argomenti di questa sezione per iniziare a creare una directory AWS Managed Microsoft AD,creando una relazione di trust tra AWS Managed Microsoft AD e le directory locali ed estendere lo schemadi AWS Managed Microsoft AD.
Argomenti• Nozioni di base su AWS Managed Microsoft AD (p. 9)• Concetti chiave per AWS Managed Microsoft AD (p. 18)• Casi d'uso per AWS Managed Microsoft AD (p. 21)• Come amministrare AWS Managed Microsoft AD (p. 28)• Best practice per AWS Managed Microsoft AD (p. 137)• Limiti per AWS Managed Microsoft AD (p. 142)• Policy di compatibilità delle applicazioni per AWS Managed Microsoft AD (p. 143)• Tutorial di lab di sviluppo AWS Managed Microsoft AD (p. 146)• Risoluzione dei problemi del AWS Managed Microsoft AD (p. 167)
Articoli correlati del blog AWS sulla sicurezza
Version 1.08
AWS Directory Service Guida di amministrazioneNozioni di base
• Come delegare l'amministrazione di AWS Managed Microsoft AD Directory per gli utenti di ActiveDirectory locali
• Come configurare criteri di password ancora più forti per soddisfare gli standard di sicurezza utilizzandoAWS Directory Service per AWS Managed Microsoft AD
• Come aumentare la ridondanza e le prestazioni di AWS Directory Service per AWS Managed MicrosoftAD aggiungendo controller di dominio
• Come abilitare l'utilizzo dei desktop remoti implementando Microsoft Remote Desktop Licensing Managersu AWS Managed Microsoft AD
• Come accedere a Console di gestione AWS Utilizzo di AWS Managed Microsoft AD e le credenziali locali• Come abilitare l'autenticazione a più fattori per AWS Servizi tramite AWS Managed Microsoft AD e
credenziali locali• Come accedere facilmente a AWS Servizi che utilizzano Active Directory locale
Nozioni di base su AWS Managed Microsoft ADAWS Managed Microsoft AD crea una Microsoft Active Directory completamente gestita in AWS Cloude supportata da Windows Server 2012 R2, che opera ai livelli funzionali di foresta e di dominio 2012 R2.Quando crei una directory con AWS Managed Microsoft AD, AWS Directory Service crea due controllerdi dominio e aggiunge il servizio DNS. I controller dei domini vengono creati in diverse sottoreti all'internodi un VPC e questa ridondanza contribuisce a garantire che la tua directory rimanga accessibile anchese si verifica un errore. Se hai bisogno di più controller dei domini, puoi aggiungerli più tardi. Per ulterioriinformazioni, consulta Distribuzione di controller di dominio aggiuntivi (p. 135).
Argomenti• Prerequisiti di AWS Managed Microsoft AD (p. 9)• Crea la tua directory AWS Managed Microsoft AD (p. 11)• Cosa viene creato (p. 12)• Account Admin (p. 17)
Prerequisiti di AWS Managed Microsoft ADPer creare una directory AWS Managed Microsoft AD, è necessario avere un VPC con i seguenti requisiti:
• Almeno due sottoreti. Ciascuna sottorete deve trovarsi in una diversa zona di disponibilità.• Il VPC deve disporre di una tenancy hardware predefinita.• Non puoi creare AWS Managed Microsoft AD in un VPC utilizzando gli indirizzi nello spazio degli indirizzi
198.18.0.0/15.• AWS Directory Service non supporta l'utilizzo di Network Address Translation (NAT) con Active Directory.
L'utilizzo di NAT può provocare errori di replica.
Se devi integrare il tuo dominio AWS Managed Microsoft AD con un dominio locale esistente di ActiveDirectory, i livelli funzionali per il tuo dominio locale devono essere impostati su Windows Server 2003 oversione successiva.
AWS Directory Service uses a two VPC structure. The EC2 instances which make up your directory runoutside of your AWS account, and are managed by AWS. They have two network adapters, ETH0 andETH1. ETH0 is the management adapter, and exists outside of your account. ETH1 is created within youraccount.
Version 1.09
AWS Directory Service Guida di amministrazionePrerequisiti:
L'intervallo IP di gestione della rete ETH0 della directory è 198.18.0.0/15.
Prerequisiti di AWS Single Sign-OnSe si prevede di utilizzare AWS Single Sign-On (AWS SSO) con AWS Managed Microsoft AD, ènecessario assicurarsi che le seguenti condizioni siano vere:
• Il tuo AWS Managed Microsoft AD è impostata nel tuo AWS organizzazione management account.• L'istanza di AWS SSO si trova nella stessa regione in cui è impostata la directory AWS Managed
Microsoft AD.
Per ulteriori informazioni, consulta la pagina relativa ai prerequisiti di AWS SSO nella Guida per l'utente diAWS Single Sign-On.
Prerequisiti dell'autenticazione a più fattoriPer supportare l'autenticazione a più fattori con la tua directory AWS Managed Microsoft AD, è necessarioconfigurare il server Remote Authentication Dial-In User Service (RADIUS) locale o basato su cloud nelmodo seguente, affinché accetti le richieste dalla directory AWS Managed Microsoft AD in AWS.
1. Sul tuo server RADIUS, crea due client RADIUS per rappresentare entrambi i controller di dominio (DC)AWS Managed Microsoft AD in AWS. È necessario configurare entrambi i client utilizzando i seguentiparametri comuni (il tuo server RADIUS può variare):• Indirizzo (DNS o IP): Questo è l'indirizzo DNS per una delle AWS Managed Microsoft AD DC.
Entrambi gli indirizzi DNS sono disponibili nella console Directory Service AWS all'interno dellapagina Details (Dettagli) della directory AWS Managed Microsoft AD in cui prevedi di utilizzare l'MFA.L'indirizzo DNS visualizzato rappresenta gli indirizzi IP per entrambi i DC di AWS Managed MicrosoftAD utilizzati da AWS.
Note
Se il tuo server RADIUS supporta gli indirizzi DNS, è necessario creare solo unaconfigurazione del client RADIUS. In caso contrario, è necessario creare una configurazionedel client RADIUS per ogni DC di AWS Managed Microsoft AD.
• Numero della porta Configurare il numero di porta per cui il server RADIUS accetta le connessioniclient RADIUS. La porta RADIUS standard è 1812.
• Segreto condiviso: Digitare o generare un segreto condiviso che il server RADIUS utilizzerà perconnettersi ai client RADIUS.
• Protocollo Potrebbe essere necessario configurare il protocollo di autenticazione tra AWS ManagedMicrosoft AD DC e il server RADIUS. I protocolli supportati sono PAP, CHAP MS-CHAPv1 e MS-CHAPv2. MS-CHAPv2 è consigliato perché, fra le tre opzioni, è quello che fornisce la massimaprotezione.
• Application name (Nome applicazione) Questo può essere facoltativo in alcuni server RADIUS e disolito identifica l'applicazione nei messaggi o nei report.
2. Configura la tua rete esistente per permettere il traffico in entrata dai client RADIUS (indirizzi DNS deiDC di AWS Managed Microsoft AD, consulta la Fase 1) verso la porta del server RADIUS.
3. Aggiungi una regola al gruppo di sicurezza di Amazon EC2 nel tuo dominio AWS Managed MicrosoftAD che permetta il traffico in entrata dall'indirizzo DNS del server RADIUS e il numero di porta definito inprecedenza. Per ulteriori informazioni, consulta Aggiunta di regole a un gruppo di sicurezza nella Guidaper l'utente di EC2.
Per ulteriori informazioni sull'uso di AWS Managed Microsoft AD con MFA, consulta Abilitarel'autenticazione a più fattori per AWS Managed Microsoft AD (p. 32).
Version 1.010
AWS Directory Service Guida di amministrazioneCrea la tua directory
Crea la tua directory AWS Managed Microsoft ADPer creare una nuova directory, completa queste fasi. Prima di iniziare la procedura, assicurati disoddisfare i prerequisiti illustrati in Prerequisiti di AWS Managed Microsoft AD (p. 9).
Per creare una directory di AWS Managed Microsoft AD
1. Nel riquadro di navigazione di AWS Directory Service console, selezionare Directories (Directory),quindi scegliere Set up Directory (Configura la directory).
2. Nella pagina Select directory type (Seleziona il tipo di directory), scegliere AWS Managed MicrosoftAD, quindi selezionare Next (Successivo).
3. Nella pagina Enter directory information (Inserisci le informazioni sulla directory) inserisci le seguentiinformazioni:
Edition
Scegli tra l'edizione Standard o Enterprise di AWS Managed Microsoft AD. Per ulterioriinformazioni sulle edizioni, consulta AWS Directory Service for Microsoft Active Directory.
Nome DNS directory
Il nome completo della directory, ad esempio corp.example.com.Nome NetBIOS della directory
Nome breve per la directory, ad esempio CORP.Descrizione della directory
Descrizione opzionale della directory.Password amministratore
La password dell'amministratore della directory. Con il processo di creazione della directory vienegenerato un account amministratore con nome utente Admin e questa password.
La password non può includere la parola admin.
La password dell'amministratore della directory applica la distinzione tra maiuscole e minuscole edeve contenere tra 8 e 64 caratteri, inclusi. Deve anche contenere un carattere di almeno tre delleseguenti quattro categorie:• Lettere minuscole (a-z)• Lettere maiuscole (A-Z)• Numeri (0-9)• Caratteri non alfanumerici (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
Confirm password (Conferma password)
Digitare di nuovo la password dell'amministratore.4. Nella pagina Choose VPC and subnets (Scegli VPC e sottoreti) fornire le seguenti informazioni, quindi
selezionare Next (Successivo).
VPC
VPC per la directory.Sottoreti.
Scegli le sottoreti per i controller di dominio. Le due sottoreti devono trovarsi in diverse zone didisponibilità. Version 1.0
11
AWS Directory Service Guida di amministrazioneCosa viene creato
5. Nella pagina Review & create (Rivedi e crea), esaminare le informazioni relative alla directory edeseguire eventuali modifiche. Quando le informazioni sono corrette, scegli Create directory (Creadirectory). La creazione di una directory richiede dai 20 ai 40 minuti. Una volta creato, il valore Statuscambia in Active (Attivo).
Cosa viene creatoQuando crei una directory con AWS Managed Microsoft AD, AWS Directory Service esegue le seguentioperazioni:
• creates and associates an elastic network interface (ENI) with each of your domain controllers. Eachof these ENIs are essential for connectivity between your VPC and AWS Directory Service domaincontrollers and should never be deleted. You can identify all network interfaces reserved for use withAWS Directory Service by the description: "AWS created network interface for directory directory-id". Formore information, see Elastic Network Interfaces in the Guida per l'utente di Amazon EC2 per le istanzeWindows. automaticamente
• Effettua il provisioning di Active Directory all'interno del VPC in utilizzando due controller dei domini per latolleranza ai guasti e un'alta disponibilità. È possibile eseguire il provisioning di più controller di dominioper una maggiore resilienza e prestazioni dopo che la directory è stata creata correttamente ed è attiva.Per ulteriori informazioni, consulta Distribuzione di controller di dominio aggiuntivi (p. 135).
• Crea un Gruppo di sicurezza AWS che stabilisce le regole di rete per il traffico in entrata e in uscita daicontroller di dominio. La regola predefinita in uscita consente tutte le ENI di traffico o le istanze associateal gruppo di sicurezza AWS creato. Le regole in entrata predefinite consentono solo il traffico attraversole porte richieste da Active Directory da qualsiasi origine (0.0.0.0/0). Le regole 0.0.0.0/0 non introduconovulnerabilità di sicurezza in quanto il traffico verso i controller di dominio è limitato al traffico provenientedal VPC, da altri VPC con peering o da reti connesse utilizzando AWS Direct Connect, gateway ditransito AWS o rete privata virtuale. Per una protezione aggiuntiva, gli ENI creati non dispongono di IPelastici collegati e non si dispone dell'autorizzazione per collegare un IP elastico a tali ENI. Pertanto,l'unico traffico in entrata in grado di comunicare con il proprio AWS Managed Microsoft AD è VPC localee traffico instradato VPC. Usa la massima cautela se tenti di modificare queste regole poiché potresticausare l'interruzione delle comunicazioni con i controller di dominio. Per impostazione predefinitavengono create le seguenti regole del gruppo di sicurezza AWS:
Regole in entrata
Protocol(Protocollo) .
Intervallo porte Crea Tipo di traffico Utilizzo di ActiveDirectory
ICMP N/D* 0.0.0.0/0 Ping None
TCP e UDP 53 0.0.0.0/0 DNS Autenticazioneutente e computer,risoluzione deinomi, trust
TCP e UDP 88 0.0.0.0/0 Kerberos Autenticazioneutente e computer,trust a livello diforesta
TCP e UDP 389 0.0.0.0/0 LDAP Policy digruppo perl'autenticazione didirectory, replica,
Version 1.012
AWS Directory Service Guida di amministrazioneCosa viene creato
Protocol(Protocollo) .
Intervallo porte Crea Tipo di traffico Utilizzo di ActiveDirectoryutente e computer,trust
TCP e UDP 445 0.0.0.0/0 SMB/CIFS Replica,autenticazioneutente e computer,policy di gruppo,trust
TCP e UDP 464 0.0.0.0/0 Kerberos cambia/imposta lapassword
Autenticazioneutente e computer,replica, trust
TCP 135 0.0.0.0/0 Replica RPC, EPM
TCP 636 0.0.0.0/0 LDAP SSL Policy digruppo perl'autenticazione didirectory, replica,utente e computer,trust
TCP 1024-65535 0.0.0.0/0 RPC Replica,autenticazioneutente e computer,policy di gruppo,trust
TCP 3268 - 3269 0.0.0.0/0 LDAP GC e LDAPGC SSL
Policy digruppo perl'autenticazione didirectory, replica,utente e computer,trust
UDP 123 0.0.0.0/0 Ora di Windows Ora di Windows,trust
UDP 138 0.0.0.0/0 DFSN e NetLogon DFS, policy digruppo
All (Tutti) All (Tutti) sg-##################
All Traffic
Regole in uscita
Protocol(Protocollo) .
Intervallo porte Crea Tipo di traffico Utilizzo di ActiveDirectory
All (Tutti) All (Tutti) sg-##################
All Traffic
• Crea un account amministratore della directory con nome utente Admin e la password specificata.Questo account è disponibile nella UO Utenti (ad esempio, Corp > Utenti). Puoi usare questo account pergestire le directory nel cloud AWS. Per ulteriori informazioni, consulta Account Admin (p. 17).
Version 1.013
AWS Directory Service Guida di amministrazioneCosa viene creato
Important
Assicurati di salvare la password. AWS Directory Service non memorizza questa password, chequindi non può essere recuperata. Tuttavia, puoi reimpostare una password dalla console AWSDirectory Service o mediante l'API ResetUserPassword .
• Crea le seguenti tre unità organizzative nella radice del dominio:
Nome UO Descrizione:
Gruppi delegati AWS Memorizza tutti i gruppi che puoi utilizzare perdelegare autorizzazioni specifiche di AWS agliutenti.
Riservata AWS Memorizza tutti gli account specifici della gestioneAWS.
<nomedominio> Il nome di questa UO è basato sul nome NetBIOSdigitato quando la directory è stata creata. Senon hai specificato un nome NetBIOS, perimpostazione predefinita sarà la prima partedel nome DNS della directory (ad esempio, nelcaso di corp.example.com, il nome NetBIOSsarebbe corp). Questa UO è di proprietà di AWSe contiene tutti i gli oggetti di directory correlati adAWS, cui è stato concesso controllo completo.Per impostazione predefinita, a questa UOcorrispondono due UO figlie: Computer e Utenti.Ad esempio: .• Corp
• Computer• Utenti
• Crea i seguenti gruppi nella UO Gruppi delegati AWS:
Group name (Nome gruppo) Descrizione:
Operatori degli account delegati AWS I membri di questo gruppo di sicurezza hannocapacità di gestione dell'account limitati, adesempio la reimpostazione delle password e glisblocchi
Amministratori di attivazione basata su ActiveDirectory delegati AWS
I membri di questo gruppo di sicurezza possonocreare oggetti di attivazione licenza per volumiActive Directory, il che consente alle aziende diattivare i computer tramite una connessione alloro dominio.
I delegati AWS aggiungono workstation agli utentidei domini
I membri di questo gruppo di sicurezza possonoaggiungere 10 computer a un dominio
Amministratori delegati AWS I membri di questo gruppo di sicurezza possonogestire Managed Microsoft AD AWS, hanno ilcontrollo completo di tutti gli oggetti nella tua UOe possono gestire i gruppi contenuti nell'UO deigruppi delegati AWS.
Version 1.014
AWS Directory Service Guida di amministrazioneCosa viene creato
Group name (Nome gruppo) Descrizione:
Amministratori di durata di oggetti eliminatidelegati AWS
I membri di questo gruppo di sicurezza possonomodificare l'oggetto msDS-DeletedObjectLifetime,che definisce per quanto tempo un oggettoeliminato sarà disponibile per il recupero dalcestino riciclaggio AD.
Amministratori del file system distribuito delegatiAWS
I membri di questo gruppo di sicurezza possonoaggiungere e rimuovere i namespace FRS, DFS-R e DFS
Amministratori di Domain Name System delegatiAWS
I membri di questo gruppo di sicurezza possonogestire il DNS integrato con Active Directory.
Amministratori Dynamic Host ConfigurationProtocol delegati AWS
I membri di questo gruppo di sicurezza possonoautorizzare i server Windows DHCP all'internodell'azienda.
Amministratori dell'autorità di certificazioneaziendale delegati AWS
I membri di questo gruppo di sicurezza possonodistribuire e gestire l'infrastruttura dell'autorità dicertificazione aziendale di Microsoft.
Amministratori per la policy delle password fine-grained delegati AWS
I membri di questo gruppo di sicurezza possonomodificare le policy delle password fine-grainedcreate in precedenza.
Amministratori delle policy di gruppo delegatiAWS
I membri di questo gruppo di sicurezza possonoeseguire attività di gestione delle policy di gruppo(creare, modificare, eliminare, collegare).
Amministratori della delega Kerberos delegatiAWS
I membri di questo gruppo di sicurezza possonoabilitare la delega su oggetti di computer eaccount utenti.
Amministratori di account Managed Servicedelegati AWS
I membri di questo gruppo di sicurezza possonocreare e cancellare account Managed Service.
Amministratori di Remote Access Service delegatiAWS
I membri di questo gruppo di sicurezza possonoaggiungere e rimuovere server RAS dal gruppoServer RAS e IAS
Amministratori di modifiche alla directory di replicadelegati AWS
I membri di questo gruppo di sicurezza possonosincronizzare le informazioni del profilo in ActiveDirectory con SharePoint Server
Amministratori dei server delegati AWS I membri di questo gruppo di sicurezza sonoinclusi nel gruppo di amministratori locali in tutti icomputer collegati al dominio
Amministratori di siti e servizi delegati AWS I membri di questo gruppo di sicurezza possonorinominare l'oggetto Default-First-Site-Name neisiti e servizi Active Directory
Amministratori di System Management delegatiAWS
I membri di questo gruppo di sicurezza possonocreare e gestire gli oggetti nel container SystemManagement.
Version 1.015
AWS Directory Service Guida di amministrazioneCosa viene creato
Group name (Nome gruppo) Descrizione:
Amministratori di Licenze Terminal Server delegatiAWS
I membri di questo gruppo di sicurezza possonoaggiungere e rimuovere server Terminal ServerLicense dal gruppo di server Terminal ServerLicense
Amministratori del suffisso del nome utenteprincipale delegati AWS
I membri di questo gruppo di sicurezza possonoaggiungere e rimuovere i suffissi nome principalidegli utenti
Amministratori FSx delegati AWS Ai membri di questo gruppo di sicurezza vienefornita la possibilità di gestire le risorse AmazonFSx.
AWS delegato autorizzato ad autenticare oggetti Ai membri di questo gruppo di sicurezza vienefornita la possibilità di eseguire l'autenticazionealle risorse del computer nell'unità organizzativaAWS riservata (necessaria solo per gli oggettilocali con trust abilitati per l'autenticazioneselettiva).
AWS delegato autorizzato ad autenticare icontroller di dominio
Ai membri di questo gruppo di protezione vienefornita la possibilità di autenticare le risorse delcomputer nell'unità organizzativa controller didominio (necessaria solo per gli oggetti locali conautenticazione selettiva abilitata Trusts).
• Crea e applica i seguenti oggetti policy di gruppo:
Note
Non si dispone delle autorizzazioni per eliminare, modificare o scollegare questi GPO. Questoè per progettazione, in quanto sono riservati per l'utilizzo da parte di AWS. È possibile collegarlialle unità organizzative che si controllano, se necessario.
Nome policy di gruppo Si applica a: Descrizione:
Policy dominio predefinita Dominio Include password di dominio epolicy Kerberos.
ServerAdmins Tutti gli account computercontroller non di dominio
Aggiunge gli amministratoridei server AWS delegati comemembri del gruppo BUILTIN\Administrators.
Policy riservata AWS: utente Account utente riservati AWS Imposta le impostazioni disicurezza consigliate per tuttigli account utente nell'unitàorganizzativa AWS riservata.
Policy Active Directory gestiteAWS
Tutti i controller di dominio Definisce le impostazioni disicurezza consigliate su tutti icontroller di dominio.
TimePolicyNT5DS Tutti i controller di dominio nonPDCe
Imposta tutti i criteri temporalidei controller di dominio PDCeper l'utilizzo dell'ora di Windows(NT5DS).
Version 1.016
AWS Directory Service Guida di amministrazioneAccount Admin
Nome policy di gruppo Si applica a: Descrizione:
TimePolicyPDC Il controller di dominio PDCe Imposta la policy ora delcontroller di dominio PDCe perutilizzare NTP (Network TimeProtocol).
Policy controller di dominiopredefinito
: non utilizzato Sottoposta a provisioningdurante la creazione deldominio, la policy ActiveDirectory gestita AWS vieneutilizzata al suo posto.
Per visualizzare le impostazioni di ciascun GPO, è possibile visualizzarle da un'istanza di Windowsaggiunta a un dominio con la Console di gestione delle policy di gruppo attivata.
Account AdminQuando crei una directory AWS Directory Service for Microsoft Active Directory, AWS crea un'unitàorganizzativa (UO) per archiviare tutti i gruppi e gli account relativi ad AWS. Per ulteriori informazionisull'UO, consulta Cosa viene creato (p. 12). L'UO include l'account Admin. L'account Admin disponedelle autorizzazioni per eseguire le seguenti attività amministrative comuni per l'UO:
• aggiunta, aggiornamento o eliminazione di utenti, gruppi e computer; Per ulteriori informazioni, consultaGestione di utenti e gruppi in AWS Managed Microsoft AD (p. 88).
• Aggiunta di risorse al dominio, come file o server di stampa, e assegnazione delle autorizzazioni per talirisorse a utenti e gruppi dell'unità organizzativa
• Creazione di unità organizzative e container aggiuntivi• Delega dell'autorità di UO aggiuntive e container. Per ulteriori informazioni, consulta Delegare i privilegi di
aggiunta per AWS Managed Microsoft AD (p. 85).• Creazione e collegamento di policy di gruppo• Ripristino degli oggetti eliminati dal cestino di Active Directory• esecuzione di moduli Active Directory e Windows PowerShell DNS sul servizio Web Active Directory;• creazione e configurazione degli account del servizio gestito del gruppo; Per ulteriori informazioni,
consulta Account del servizio gestito del gruppo (p. 20).• configurazione della delega vincolata Kerberos. Per ulteriori informazioni, consulta Delega vincolata
Kerberos (p. 20).
L'account Admin ha inoltre i diritti per eseguire le seguenti attività estese a tutto il dominio:
• gestione delle configurazioni DNS (aggiunta, eliminazione o aggiornamento di record, zone e serverd'inoltro);
• visualizzazione di log di eventi DNS;• visualizzazione di log di eventi di sicurezza.
Sono consentite all'account Admin solo le operazioni elencate di seguito. L'account Admin non disponeinoltre delle autorizzazioni per nessuna operazione relativa alla directory al di fuori dell'UO specifica, adesempio la UO padre.
Version 1.017
AWS Directory Service Guida di amministrazioneConcetti chiave
Important
Gli amministratori di dominio AWS dispongono dell'accesso amministrativo completo a tuttii domini in hosting su AWS. Consulta il tuo accordo con AWS e le Domande frequenti sullaprotezione dei dati AWS per ulteriori informazioni su come AWS gestisce i contenuti, tra cui leinformazioni relative alla directory, archiviati nei sistemi AWS.Note
Si consiglia di non eliminare o rinominare questo account. Se non si desidera più utilizzarel'account, si consiglia di impostare una password lunga (128 o più caratteri casuali) e quindidisabilitare l'account.
Enterprise e Domain Administrator Privileged AccountsPer eseguire la gestione operativa della tua directory, AWS ha il controllo esclusivo degli account conprivilegi Enterprise Administrator e Domain Administrator. Questo include il controllo esclusivo dell’accountamministratore AD. AWS protegge questo account automatizzando la gestione delle password tramite l'usodi un insieme di credenziali. Durante la rotazione automatica della password di amministratore, AWS creaun account utente temporaneo e concede privilegi di Domain Administrator. Questo account temporaneoviene usato come un back-up in caso di errore nella rotazione delle password dell'account amministratore.Quando AWS ruota correttamente la password amministratore, AWS elimina l'account amministratoretemporaneo.
Normalmente AWS gestisce la directory interamente attraverso l'automazione. Nel caso in cui un processoautomatico non è in grado di risolvere un problema operativo, AWS potrebbe aver bisogno di un ingegneredi supporto per effettuare l'accesso al controller di dominio ed eseguire la diagnosi. In questi rari casi, AWSimplementa una richiesta/un sistema di notifica per concedere l'accesso. In questo processo, l’automazioneAWS crea un account utente limitato nel tempo nella tua directory che dispone di autorizzazioni diamministratore di dominio. AWS associa l'account utente all'ingegnere che viene assegnato a lavoraresulla tua directory. AWS registra questa associazione nel nostro sistema di log e fornisce all'ingegnere lecredenziali da utilizzare. Tutte le azioni intrapreprese dall'ingegnere vengono registrate nel log di eventi diWindows. Quando trascorre l'intervallo di tempo allocato, l’automazione elimina l'account utente.
È possibile monitorare le operazioni di un account amministratore tramite la funzionalità di inoltro di logdella directory. Questa funzione consente di inoltrare gli eventi AD Security al tuo sistema CloudWatch,dove è possibile implementare soluzioni di monitoraggio. Per ulteriori informazioni, consulta Abilita inoltrodei log (p. 55).
Concetti chiave per AWS Managed Microsoft ADPotrai ottimizzare l'utilizzo di AWS Managed Microsoft AD acquisendo familiarità con i seguenti concettifondamentali.
Argomenti• Active Directory Schema (Schema Active Directory) (p. 18)• Applicazione di patch e manutenzione per AWS Managed Microsoft AD (p. 19)• Account del servizio gestito del gruppo (p. 20)• Delega vincolata Kerberos (p. 20)
Active Directory Schema (Schema Active Directory)Uno schema è la definizione di attributi e classi che fanno parte di una directory distribuita ed è simile aicampi e alle tabelle in un database. Gli schemi includono un insieme di regole che determinano il tipo e il
Version 1.018
AWS Directory Service Guida di amministrazioneApplicazione di patch e manutenzione
formato dei dati che possono essere aggiunti o inclusi nel database. La classe utente è un esempio di unaclasse archiviata nel database. Alcuni esempi di attributi della classe utente possono includere il nome, ilcognome, il numero di telefono dell'utente e così via.
Elementi dello schemaAttributi, classi e oggetti sono gli elementi fondamentali utilizzati per creare definizioni di oggetti nelloschema. Di seguito sono riportati alcuni dettagli sugli elementi dello schema da conoscere prima di iniziareil processo di estensione del tuo schema AWS Managed Microsoft AD.
Attributes
Ogni attributo dello schema, simile a un campo in un database, presenta varie proprietà chedefiniscono le caratteristiche dell'attributo. Ad esempio, la proprietà utilizzata dai client LDAP perleggere e scrivere l'attributo è LDAPDisplayName. Il LDAPDisplayName deve essere univoco intutti gli attributi e le classi. Per un elenco completo delle caratteristiche di attributo, consulta la paginarelativa alle caratteristiche degli attributi sul sito Web MSDN. Per ulteriori istruzioni su come creare unnuovo attributo, consulta la pagina relativa alla definizione di un nuovo attributo sul sito Web MSDN.
Classi
Le classi sono analoghe alle tabelle di un database e presentano inoltre diverse proprietà da definire.Ad esempio, objectClassCategory definisce la categoria della classe. Per un elenco completodelle caratteristiche delle classi, consulta la pagina relativa alle caratteristiche delle classi di oggettosul sito Web MSDN. Per ulteriori informazioni su come creare una nuova classe, consulta la paginarelativa alla definizione di una nuova classe sul sito Web MSDN.
Identificatore di oggetto (OID)
Ogni classe e attributo deve disporre di un OID univoco per tutti i tuoi oggetti. I fornitori di softwaredevono ottenere il proprio OID per garantire l'univocità. L'univocità impedisce i conflitti quando lostesso attributo viene utilizzato da più di un'applicazione per scopi differenti. Per garantire l'univocità,puoi ottenere un OID root da un'Autorità di registrazione nomi ISO. In alternativa, puoi ottenere un OIDdi base da Microsoft. Per ulteriori informazioni sugli OID e su come ottenerli, consulta la pagina relativaagli identificatori di oggetto sul sito Web MSDN.
Attributi collegati allo schema
Alcuni attributi sono collegati tra due classi con collegamenti di inoltro e di ritorno. I gruppi sonol'esempio migliore. Esaminando un gruppo, vengono visualizzati i membri del gruppo. Esaminandoun utente, puoi visualizzare i gruppi ai quali appartiene. Quando aggiungi un utente a un gruppo,Active Directory crea un link di inoltro al gruppo. Quindi Active Directory aggiunge un link di ritorno dalgruppo verso l'utente. È necessario generare un ID di collegamento univoco durante la creazione di unattributo che verrà collegato. Per ulteriori informazioni, consulta la pagina relativa agli attributi collegatisul sito Web MSDN.
Argomenti correlati
• Quando estendere lo schema AWS Managed Microsoft AD (p. 111)• Tutorial Estendi il tuo AWS Managed Microsoft AD Schema (p. 111)
Applicazione di patch e manutenzione per AWSManaged Microsoft ADAWS Directory Service for Microsoft Active Directory, noto anche come AWS DS per AWS ManagedMicrosoft AD, fa parte di Microsoft Active Directory Domain Services (AD DS), fornito come servizio gestito.
Version 1.019
AWS Directory Service Guida di amministrazioneAccount del servizio gestito del gruppo
Il sistema utilizza Microsoft Windows Server 2012 R2 per i controller di dominio (DC) e AWS aggiunge ilsoftware ai DC per la gestione dei servizi. AWS aggiorna i DC (applica una patch) per aggiungere nuovefunzionalità e mantenere il software di Microsoft Windows Server aggiornato. Durante il processo diapplicazione di patch, la directory rimane disponibile per essere utilizzata.
Verifica della disponibilitàPer impostazione predefinita ciascuna directory è composta da due DC, ognuno dei quali installatosu diverse zone di disponibilità. A scelta, è possibile aggiungere DC per aumentare ulteriormente ladisponibilità. AWS applica una patch ai tuoi DC in modo sequenziale; durante questo processo il DC acui AWS sta attivamente applicando una patch non sarà disponibile. Nel caso in cui uno o più dei DC siatemporaneamente fuori servizio, AWS posticipa l'applicazione di patch finché la directory non avrà almenodue DC operativi. Ciò ti permette di utilizzare i DC operativi durante il processo di applicazione della patch,il quale solitamente richiede 30-45 minuti per DC, sebbene questa quantità di tempo possa variare. Perassicurarti che le applicazioni possano raggiungere un DC operativo nel caso in cui uno o più DC nonsiano disponibili per varie ragioni, incluso il processo di applicazione della patch, tali applicazioni devonoutilizzare il servizio di localizzazione DC di Windows e non indirizzi DC statici.
Comprendere la pianificazione dell'applicazione di patchPer mantenere il software Microsoft Windows Server aggiornato sui tuoi DC, AWS utilizza gli aggiornamentidi Microsoft. Poiché Microsoft rende disponibile il rollup delle patch mensile per Windows server, AWS sisforza di verificare e applicare il rollup a tutti i DC personalizzati entro tre settimane di calendario. Inoltre,AWS esamina gli aggiornamenti rilasciati da Microsoft al di fuori del rollup mensile in base all'applicabilitàai DC e all'urgenza. Per le patch di sicurezza che Microsoft valuta come critiche o importanti che sianopertinenti ai DC, AWS si sforza di verificare e distribuire la patch entro cinque giorni.
Account del servizio gestito del gruppoCon Windows Server 2012, Microsoft ha introdotto un nuovo metodo utilizzabile dagli amministratoriper gestire gli account di servizio chiamati account del servizio gestito del gruppo. Tramite gli accountdel servizio gestito del gruppo, gli amministratori dei servizi non devono più gestire manualmentela sincronizzazione delle password tra le istanze del servizio. Al contrario, un amministratore puòsemplicemente creare un account del servizio gestito del gruppo in Active Directory, quindi configurare piùistanze del servizio per l'utilizzo di quell'unico account.
Per concedere le autorizzazioni in modo che gli utenti in AWS Managed Microsoft AD siano in grado dicreare un account del servizio gestito del gruppo, è necessario aggiungere i loro account come membridel gruppo di sicurezza Amministratori dell'account del servizio gestito delegati AWS. Per impostazionepredefinita, l'account Admin è un membro di questo gruppo. Per ulteriori informazioni sugli account delservizio gestito del gruppo, consulta la pagina relativa alla panoramica degli account del servizio gestito delgruppo sul sito Web Microsoft TechNet.
Correlato AWS Post del blog sulla sicurezza
• Come AWS La gestione di Microsoft AD aiuta a semplificare la distribuzione e a migliorare la sicurezzadelle applicazioni.NET integrate in Active Directory
Delega vincolata KerberosLa delega vincolata Kerberos è una funzionalità di Windows Server. Questa funzionalità offre agliamministratori dei servizi la possibilità di specificare e applicare limiti di attendibilità delle applicazionilimitando l'ambito in cui è consentito agire per conto di un utente ai servizi delle applicazioni. Questo puòessere utile quando è necessario configurare quali account di servizio front-end possono delegare ai propri
Version 1.020
AWS Directory Service Guida di amministrazioneCasi d'uso
servizi back-end. La delega vincolata Kerberos impedisce inoltre agli account del servizio gestito del gruppodi connettersi a qualsiasi o a tutti i servizi per conto degli utenti di Active Directory, riducendo la probabilitàdi un uso illecito da parte di sviluppatori non autorizzati.
Ad esempio, supponiamo che l'utente jsmith acceda a una applicazione per le risorse umane. Vuoi cheSQL Server applichi le autorizzazioni del database di jsmith. Tuttavia, per impostazione predefinita SQLServer apre la connessione al database utilizzando le credenziali dell'account del servizio che applicanole autorizzazioni hr-app-service anziché le autorizzazioni configurate da jsmith. È necessario consentireall'applicazione del libro paga delle risorse umane di accedere al database di SQL Server tramite lecredenziali di jsmith. A questo scopo, è necessario abilitare la delega vincolata Kerberos per l'account delservizio hr-app-service sulla tua directory AWS Managed Microsoft AD in AWS. Quando jsmith eseguel'accesso, Active Directory fornisce un ticket Kerberos che Windows utilizzerà automaticamente al tentativodi jsmith di accedere ad altri servizi della rete. La delega Kerberos consente all'account del servizio hr-app-service di riutilizzare il ticket Kerberos di jsmith al momento dell'accesso al database, applicando così leautorizzazioni specifiche di jsmith all'apertura della connessione al database.
Per concedere le autorizzazioni che permettono agli utenti in AWS Managed Microsoft AD di configurare ladelega vincolata Kerberos, è necessario aggiungere i loro account come membri del gruppo di sicurezzaAmministratori delegati AWS della delega Kerberos. Per impostazione predefinita, l'account Admin è unmembro di questo gruppo. Per ulteriori informazioni sulla delega vincolata Kerberos, consulta la paginarelativa alla panoramica della delega vincolata Kerberos sul sito Web Microsoft TechNet.
La delega vincolata basata su risorse è stata introdotta con Windows Server 2012. Fornisceall'amministratore del servizio back-end la possibilità di configurare la delega vincolata per il servizio.
Casi d'uso per AWS Managed Microsoft ADCon AWS Managed Microsoft AD, puoi condividere un'unica directory per più casi d'uso. Ad esempio, èpossibile condividere una directory per autenticare e autorizzare l'accesso per le applicazioni.NET, AmazonRDS per SQL Server con Autenticazione Windows abilitato e Carillon amazzone per la messaggistica e lavideoconferenza.
Il seguente diagramma mostra alcuni casi d'uso per la directory AWS Managed Microsoft AD. Questiincludono la capacità di concedere agli utenti l'accesso ad applicazioni cloud esterne e consentire agliutenti AD locali di gestire e accedere alle risorse nel cloud AWS.
Version 1.021
AWS Directory Service Guida di amministrazioneCasi d'uso
Utilizza AWS Managed Microsoft AD per uno dei seguenti casi d'uso aziendali.
Argomenti• Caso d'uso 1: Accedi a AWS Applicazioni e servizi con credenziali AD (p. 23)• Caso d'uso 2: Gestione delle istanze Amazon EC2 (p. 26)• Caso d'uso 3: Fornisci servizi di directory ai tuoi carichi di lavoro AD-Aware (p. 26)• Caso d'uso 4: SSO per Office 365 e altre applicazioni cloud (p. 26)• Caso d'uso 5: Estendi il tuo AD locale a AWS Il cloud (p. 27)
Version 1.022
AWS Directory Service Guida di amministrazioneCaso d'uso 1: Accedi a AWS
Applicazioni e servizi con credenziali AD
• Caso d'uso 6: Condividi la tua directory per unirti senza problemi Amazon EC2 Istanze a un dominio inAWS Conti (p. 28)
Caso d'uso 1: Accedi a AWS Applicazioni e servizi concredenziali ADÈ possibile abilitare più AWS applicazioni e servizi come AWS Client VPN, Console di gestione AWS, AWSSingle Sign-On, Amazon Chime, Amazon Connect, Amazon FSx, Amazon QuickSight, Amazon RDS perSQL Server, Amazon WorkDocs, Amazon WorkMail, e Amazon WorkSpaces per utilizzare il tuo AWSManaged Microsoft AD directory. Quando abiliti un'applicazione o un servizio AWS nella directory, gli utentipossono accedere all'applicazione o al servizio con le credenziali AD.
Ad esempio, puoi consentire agli utenti di accedere alla Console di gestione AWS utilizzando le credenzialiAD. A tale scopo, abilita la Console di gestione AWS come un'applicazione nella directory, quindi assegnagli utenti e i gruppi AD ai ruoli IAM. Quando gli utenti accedono alla Console di gestione AWS, assumonoun ruolo IAM per gestire le risorse AWS. In questo modo è più semplice concedere agli utenti l'accesso allaConsole di gestione AWS, senza dover configurare e gestire un'infrastruttura SAML separata.
Per migliorare ulteriormente l'esperienza dell'utente finale, è possibile abilitare Accesso singolo (SSO) perAmazon WorkDocs, che offre agli utenti la possibilità di accedere a Amazon WorkDocs da un computercollegato alla directory senza dover immettere le credenziali separatamente.
Puoi concedere l'accesso agli account utente nella tua directory o nella tua AD locale, in modo chepossano accedere alla Console di gestione AWS o tramite l'interfaccia a riga di comando di AWSutilizzando le credenziali e le autorizzazioni esistenti per gestire le risorse AWS assegnando ruoli IAMdirettamente agli account utente esistenti.
Integrazione di Amazon FSx for Windows File Server con AWSManaged Microsoft ADIntegrazione Amazon FSx for Windows File Server con AWS Managed Microsoft AD fornisce un file systemdi protocollo basato su Microsoft Windows Server Message Block (SMB) nativo completamente gestito checonsente di spostare facilmente le applicazioni e i client basati su Windows (che utilizzano lo storage di filecondiviso) in AWS. Anche se Amazon FSx for Windows File Server può essere integrato con una MicrosoftActive Directory autogestita, non discutiamo questo scenario qui.
Comune Amazon FSx casi d'uso e risorse
Questa sezione fornisce un riferimento alle risorse su Amazon FSx for Windows File Server integrazionicon AWS Managed Microsoft AD casi d'uso di. Ciascuno dei casi d'uso in questa sezione inizia conun AWS Managed Microsoft AD e Amazon FSx for Windows File Server configurazione. Per ulterioriinformazioni su come creare queste configurazioni, consulta:
• Nozioni di base su AWS Managed Microsoft AD (p. 9)• Nozioni di base su () Amazon FSx
Amazon FSx for Windows File Server come storage persistente sui container Windows
Amazon Elastic Container Service (sistema di chirurgia endocellulare) supporta i container Windows sulleistanze di container avviate con Amazon ECSAMI di Windows ottimizzata per. Le istanze di containerWindows utilizzano la propria versione dell'agente del container Amazon ECS. Nella pagina AmazonECSAMI Windows ottimizzata per , l' Amazon ECS L'agente del container viene eseguito come serviziosull'host.
Version 1.023
AWS Directory Service Guida di amministrazioneCaso d'uso 1: Accedi a AWS
Applicazioni e servizi con credenziali AD
Amazon ECS supporta l'autenticazione Active Directory per i container Windows tramite un tipo speciale diaccount di servizio chiamato account di servizio gestito (gMSA). Poiché i container Windows non possonoessere aggiunti al dominio, è necessario configurare un container Windows per l'esecuzione con accountgMSA.
Elementi correlati
• Utilizzo di Amazon FSx for Windows File Server come storage persistente sui container Windows• Come configurare l'utilizzo dell'account del servizio gestito del gruppo con AWS Managed Microsoft AD
Amazon AppStream 2.0 Supporto
Amazon AppStream 2 è un servizio di streaming delle applicazioni completamente gestito. Fornisce unagamma di soluzioni per consentire agli utenti di salvare e accedere ai dati tramite le applicazioni. AmazonFSx con AppStream 2.0 fornisce un'unità di archiviazione permanente personale utilizzando Amazon FSx epossono essere configurati per fornire una cartella condivisa per accedere ai file comuni.
Elementi correlati
• Spiegazione 4: Utilizzo di Amazon FSx con Amazon AppStream 2• Utilizzo di Amazon FSx con Amazon AppStream 2• Utilizzo di Active Directory con AppStream 2.0
Supporto per Microsoft SQL Server
Amazon FSx for Windows File Server può essere utilizzato come opzione di storage per Microsoft SQLServer 2012 (a partire dalla versione 11.x 2012) e database di sistema più recenti (inclusi Master, Model,MSDB e TempDB) e per database utente Database Engine.
Elementi correlati
• Installazione di SQL Server con lo storage di fileshare SMB• Semplificare le distribuzioni ad alta disponibilità di Microsoft SQL Server utilizzando Amazon FSx for
Windows File Server• Come configurare l'utilizzo dell'account del servizio gestito del gruppo con AWS Managed Microsoft AD
Supporto per le home directory e i profili utente di roaming
Amazon FSx for Windows File Server può essere utilizzato per archiviare i dati dalle home directory utentedi Active Directory e Documenti in una posizione centrale. Amazon FSx for Windows File Server può ancheessere utilizzato per memorizzare i dati dai profili utente di roaming.
Elementi correlati
• Come assegnare una home directory a un utente• Le home directory di Windows sono diventate semplici con Amazon FSx• Implementazione di profili utente roaming• Utilizzo di Amazon FSx for Windows File Server con Amazon WorkSpaces
Supporto di condivisione file in rete
Condivisioni di file in rete su un Amazon FSx for Windows File Server offrono una soluzione di condivisionefile gestita e scalabile. Un caso d'uso è rappresentato dalle unità mappate per i client che possono esserecreate manualmente o tramite Criteri di gruppo.
Version 1.024
AWS Directory Service Guida di amministrazioneCaso d'uso 1: Accedi a AWS
Applicazioni e servizi con credenziali AD
Elementi correlati
• Spiegazione 6: Scalabilità delle prestazioni con shard• Mappatura unità• Utilizzo di Amazon FSx for Windows File Server con Amazon WorkSpaces
Supporto per l'installazione del software per criteri di gruppo
Poiché le dimensioni e le prestazioni della cartella SYSVOL sono limitate, come best practice èconsigliabile evitare di archiviare dati come i file di installazione del software in quella cartella. Comepossibile soluzione, Amazon FSx for Windows File Server può essere configurato per archiviare tutti i filedel software installati utilizzando Group Policy (Policy di gruppo).
Elementi correlati
• Come utilizzare Criteri di gruppo per installare in remoto il software in Windows Server 2008 e WindowsServer 2003
Supporto della destinazione di backup di Windows Server
Amazon FSx for Windows File Server può essere configurato come unità di destinazione in WindowsServer Backup utilizzando la condivisione file UNC. In questo caso, è necessario specificare il percorsoUNC per Amazon FSx for Windows File Server anziché al volume EBS collegato.
Elementi correlati
• Eseguire un ripristino dello stato del sistema del server
Amazon FSx supporta anche AWS Managed Microsoft AD Condivisione di directory. Per ulterioriinformazioni, consulta .
• Condivisione della directory (p. 57)• Utilizzo di Amazon FSx con AWS Managed Microsoft AD in un VPC o account diverso
Integrazione di Amazon RDS con AWS Managed Microsoft ADAmazon RDS supporta l'autenticazione esterna degli utenti di database che utilizzano Kerberos conMicrosoft Active Directory. Kerberos è un protocollo di autenticazione di rete che utilizza ticket e crittografiaa chiave simmetrica per eliminare la necessità di trasmettere password sulla rete. Amazon RDS Il supportoper Kerberos e Active Directory offre i vantaggi del single sign-on e dell'autenticazione centralizzata degliutenti di database in modo da poter mantenere le credenziali utente in Active Directory.
Per iniziare a utilizzare questo caso d'uso, è necessario innanzitutto configurare un AWS ManagedMicrosoft AD e Amazon RDS configurazione.
• Nozioni di base su AWS Managed Microsoft AD (p. 9)• Nozioni di base su () Amazon RDS
Tutti i casi d’uso indicati di seguito inizieranno con una base AWS Managed Microsoft AD e Amazon RDS espiegano come integrare Amazon RDS con AWS Managed Microsoft AD.
• Utilizzo dell'autenticazione di Windows con un'istanza database di Amazon RDS per SQL Server• Utilizzo dell'autenticazione Kerberos per MySQL
Version 1.025
AWS Directory Service Guida di amministrazioneCaso d'uso 2: Gestione delle istanze Amazon EC2
• Utilizzo di Autenticazione Kerberos con Amazon RDS per Oracle• Utilizzo di Autenticazione Kerberos con Amazon RDS per PostgreSQL
Amazon RDS supporta anche AWS Managed Microsoft AD Condivisione di directory. Per ulterioriinformazioni, consulta .
• Condivisione della directory (p. 57)• Unisciti al tuo Amazon RDS Istanze database tra account in un singolo dominio condiviso
Applicazione.NET che utilizza Amazon RDS per SQL Server con un gruppo diaccount del servizio gestito
Puoi integrare Amazon RDS per SQL Server con un'applicazione.NET di base e gruppi di account diservizio gestiti (gMSA). Per ulteriori informazioni, consulta Come AWS Managed Microsoft AD Consente disemplificare la distribuzione e migliorare la sicurezza delle applicazioni.NET integrate in Active Directory
Caso d'uso 2: Gestione delle istanze Amazon EC2Utilizzando gli strumenti di amministrazione di AD comuni, puoi applicare oggetti delle policy di gruppoAD (GPO) per gestire a livello centrale le istanze Amazon EC2 per Windows o Linux unendo le istanze aldominio di AWS Managed Microsoft AD.
Inoltre, gli utenti possono accedere alle istanze con le proprie credenziali AD. Ciò elimina la necessità diutilizzare le credenziali delle singole istanze o distribuire file di chiavi private (PEM). In questo modo è piùsemplice concedere o revocare immediatamente l'accesso agli utenti con gli strumenti di amministrazionedegli utenti di AD già in uso.
Caso d'uso 3: Fornisci servizi di directory ai tuoi carichidi lavoro AD-AwareAWS Managed Microsoft AD è un vero e proprio Microsoft AD che consente di eseguire carichi di lavorotradizionali compatibili con AD come Remote Desktop Licensing Manager e Microsoft SharePoint eMicrosoft SQL Server Always On nel cloud AWS. AWS Managed Microsoft AD aiuta anche a semplificare emigliorare la sicurezza delle applicazioni .NET integrate con AD utilizzando account del servizio gestito delgruppo (gMSA) e deleghe vincolate Kerberos (KCD).
Caso d'uso 4: SSO per Office 365 e altre applicazionicloudPuoi utilizzare AWS Managed Microsoft AD per fornire SSO per le applicazioni cloud. Puoi utilizzareAzure AD Connect per sincronizzare i tuoi utenti in Azure AD, quindi utilizzare Active Directory FederationServices (AD FS) in modo che gli utenti possano accedere a di Microsoft Office 365 e altre applicazionicloud SAML 2.0 utilizzando le loro credenziali AD.
Integrazione AWS Managed Microsoft AD con AWS SSO aggiunge funzionalità SAML al tuo AWSManaged Microsoft AD e/o i domini attendibili locali. Una volta integrati, gli utenti possono utilizzare AWSSSO con servizi che supportano SAML, tra cui Console di gestione AWS e applicazioni cloud di terzeparti come Office 365, Concur e Salesforce senza dover configurare un'infrastruttura SAML. Per unadimostrazione sul processo di consentire agli utenti locali di utilizzare AWS SSO, vedere il seguente videoYouTube.
Version 1.026
AWS Directory Service Guida di amministrazioneCaso d'uso 5: Estendi il tuo AD locale a AWS Il cloud
Caso d'uso 5: Estendi il tuo AD locale a AWS Il cloudSe disponi già di un'infrastruttura AD e desideri utilizzarla durante la migrazione dei carichi di lavorocompatibili con AD al cloud AWS, AWS Managed Microsoft AD può aiutarti. È possibile utilizzare La DA siaffida per connettersi AWS Managed Microsoft AD al tuo AD esistente. In questo modo, gli utenti possonoaccedere alle applicazioni AWS e compatibili con AD con le proprie credenziali AD locali, senza che sianecessario sincronizzare utenti, gruppi o password.
Ad esempio, gli utenti possono accedere alla Console di gestione AWS e ad Amazon WorkSpacesutilizzando i propri nome utente e password di AD esistenti. Inoltre, quando usi applicazioni compatibili conAD come SharePoint con AWS Managed Microsoft AD, gli utenti Windows collegati possono accedere aqueste applicazioni senza dover immettere nuovamente le credenziali.
Puoi anche migrare il dominio Active Directory (AD) locale ad AWS per essere libero dal carico operativodell'infrastruttura AD utilizzando la Toolkit di migrazione di Active Directory (ADMT) insieme al servizio diesportazione delle password (PES) per eseguire la migrazione.
Version 1.027
AWS Directory Service Guida di amministrazioneCaso d'uso 6: Condividi la tua directory per unirti senza
problemi Amazon EC2 Istanze a un dominio in AWS Conti
Caso d'uso 6: Condividi la tua directory per unirtisenza problemi Amazon EC2 Istanze a un dominio inAWS ContiLa condivisione della directory su più account AWS consente di gestire i servizi AWS come Amazon EC2in modo semplice senza la necessità di utilizzare una directory per ogni account e ogni VPC. Puoi utilizzarela directory di qualsiasi account AWS e di qualsiasi Amazon VPC all'interno di una regione AWS. Questafunzionalità rende più semplice e conveniente gestire carichi di lavoro sensibili alle directory con unasingola directory in più account e VPC. Ad esempio, puoi ora gestire in modo semplice i carichi di lavoroWindows distribuiti in istanze EC2 su più account e VPC utilizzando una singola directory AWS ManagedMicrosoft AD.
Quando condividi la directory AWS Managed Microsoft AD con un altro account AWS, puoi utilizzarela console Amazon EC2 o AWS Systems Manager per collegare perfettamente le istanza da qualsiasiVPC Amazon nell’account e regione AWS. Puoi distribuire rapidamente i carichi di lavoro sensibilialle directory su istanze EC2 eliminando la necessità di unire manualmente le istanze a un dominio odistribuire le directory in ciascun account e VPC. Per ulteriori informazioni, consulta Condivisione delladirectory (p. 57).
Come amministrare AWS Managed Microsoft ADIn questa sezione sono elencate tutte le procedure per gestire e mantenere un ambiente AWS ManagedMicrosoft AD.
Argomenti• Protezione della directory AWS Managed Microsoft AD (p. 28)• Monitorare i AWS Managed Microsoft AD (p. 51)• Condivisione della directory (p. 57)• Collega un'istanza EC2 alla tua directory AWS Managed Microsoft AD (p. 66)• Gestione di utenti e gruppi in AWS Managed Microsoft AD (p. 88)• Connessione all'infrastruttura AD esistente (p. 92)• Estensione dello schema (p. 111)• Gestione della directory AWS Managed Microsoft AD (p. 116)• Concessione dell'accesso alle risorse AWS a utenti e gruppi (p. 120)• Abilitazione dell'accesso alle applicazioni e ai servizi AWS (p. 124)• Attivazione dell'accesso a Console di gestione AWS con le credenziali AD (p. 133)• Distribuzione di controller di dominio aggiuntivi (p. 135)• Migrazione di utenti da Active Directory in AWS Managed Microsoft AD (p. 137)
Protezione della directory AWS Managed Microsoft ADIn questa sezione vengono riportate alcune considerazioni relative alla protezione dell'ambiente AWSManaged Microsoft AD.
Argomenti• Gestione delle policy sulle password per AWS Managed Microsoft AD (p. 29)• Abilitare l'autenticazione a più fattori per AWS Managed Microsoft AD (p. 32)• Abilita LDAP sicuro (LDAPS) (p. 34)
Version 1.028
AWS Directory Service Guida di amministrazioneProtezione della directory
• Gestione della conformità per AWS Managed Microsoft AD (p. 41)• Migliorare la configurazione della sicurezza di rete AWS Managed Microsoft AD (p. 43)
Gestione delle policy sulle password per AWS Managed MicrosoftADAWS Managed Microsoft AD consente di definire e assegnare diverse policy di password fine-grained eblocco degli account (definite anche come policy sulle password fine-grained) per i gruppi di utenti chegestisci nel tuo dominio AWS Managed Microsoft AD. Quando crei una directory AWS Microsoft AD, unapolicy di dominio predefinita viene creata e applicata alla directory. Questa policy include le seguentiimpostazioni:
Policy Impostazione
Applica la cronologia delle password 24 password ricordate
Durata massima delle password 42 giorni *
Durata minima delle password 1 giorno
Lunghezza minima delle password 7 caratteri
Le password devono soddisfare i requisiti dicomplessità
Abilitato
Archivia le password utilizzando una crittografiareversibile
Disabilitato
Nota La durata massima della password di 42 giorni include la password amministratore.
Ad esempio, puoi assegnare un'impostazione di policy meno rigida per i dipendenti che hanno accessosolo a informazioni a bassa sensibilità. Per i responsabili senior che accedono regolarmente a informazioniriservate puoi applicare impostazioni più rigide.
AWS fornisce un set di policy di password fine-grained in AWS Managed Microsoft AD che puoi configuraree assegnare ai tuoi gruppi. Per configurare le policy, puoi utilizzare strumenti di policy standard diMicrosoft, ad esempio il Centro di amministrazione di Active Directory (ADAC). Per iniziare utilizzare glistrumenti delle policy di Microsoft, consulta Installazione degli strumenti di amministrazione di ActiveDirectory (p. 89).
Argomenti• Impostazioni delle policy supportate (p. 29)• Delega di chi può gestire le tue policy sulle password (p. 31)• Assegnazione delle policy sulle password ai tuoi utenti (p. 31)
Articolo correlato del blog AWS sulla sicurezza
• Come configurare criteri di password ancora più forti per soddisfare gli standard di sicurezza utilizzandoAWS Directory Service per AWS Managed Microsoft AD
Impostazioni delle policy supportateAWS Managed Microsoft AD include cinque policy fine-grained con un valore di priorità non modificabile.Le policy dispongono di una serie di proprietà che puoi configurare per applicare la forza della password e
Version 1.029
AWS Directory Service Guida di amministrazioneProtezione della directory
delle operazioni di blocco account in caso di errori di login. Puoi assegnare le policy per zero o più gruppidi Active Directory. Se un utente finale è un membro di più gruppi e riceve più di una policy di password,Active Directory applica la policy con il valore di priorità più basso.
Policy sulle password predefinite AWS
La tabella seguente elenca le cinque policy incluse nella tua directory AWS Managed Microsoft AD e ilvalore di priorità assegnato. Per ulteriori informazioni, consulta Precedence (p. 30).
Policy name (Nome policy) Precedence
CustomerPSO-01 -10
CustomerPSO-02 20%
CustomerPSO-03 30%
CustomerPSO-04 40
CustomerPSO-05 50%
Proprietà delle policy sulle password
Puoi modificare le seguenti proprietà nelle tue policy sulle password per conformarti allo standard diconformità che meglio soddisfa le tue esigenze aziendali.
• Policy name (Nome policy)• Applica la cronologia delle password• Lunghezza minima delle password• Durata minima delle password• Durata massima delle password• Archivia le password utilizzando una crittografia reversibile• Le password devono soddisfare i requisiti di complessità
Non puoi modificare i valori di priorità di queste policy. Per ulteriori dettagli su come queste impostazioniinfluiscono sull'applicazione della password, consulta Malattia di Alzheimer: Politiche sulle password adalta precisione sulla di Microsoft TechNet sito Web. Per informazioni generali su queste policy, consultaPassword Policy nel sito Web Microsoft TechNet.
Policy di blocco account
Puoi anche modificare le seguenti proprietà delle tue policy sulle password per specificare se e comeActive Directory debba bloccare un account dopo errori di accesso:
• Numero di tentativi di accesso non riusciti permesso• Durata del blocco di un account• Reimposta tentativi di accesso non riusciti dopo un certo periodo di tempo
Per informazioni generali su queste policy, consulta Account Lockout Policy nel sito Web MicrosoftTechNet.
Precedence
Le policy con un valore di priorità inferiore hanno maggiore priorità. Assegna le policy sulle passwordai gruppi di sicurezza di Active Directory. Mentre è necessario applicare una singola policy a un gruppo
Version 1.030
AWS Directory Service Guida di amministrazioneProtezione della directory
di sicurezza, un singolo utente può ricevere più di una policy sulle password. Ad esempio, supponiamoche jsmith sia un membro del gruppo HR e anche membro del gruppo MANAGER. Se assegniCustomerPSO-05 (che ha una priorità di 50) al gruppo HR e CustomerPSO-04 (che ha una priorità di 40) aiMANAGER, CustomerPSO-04 ha la priorità più alta e Active Directory applica tale policy a jsmith.
Se assegni più policy a un utente o gruppo, Active Directory determina la policy risultante come segue:
1. Si applica una policy che assegni direttamente all'oggetto utente.2. Se nessuna policy viene assegnata direttamente all'oggetto utente, viene applicata la policy con la
priorità più bassa di tutte le policy ricevute dall'utente in virtù dell'appartenenza al gruppo.
Per ulteriori dettagli, vedere Malattia di Alzheimer: Politiche sulle password ad alta precisione sulla diMicrosoft TechNet sito Web.
Delega di chi può gestire le tue policy sulle password
Puoi delegare le autorizzazioni per gestire le policy sulle password per account utente specifici che haicreato in AWS Managed Microsoft AD aggiungendo l'account al gruppo di sicurezza AWS Delegated FineGrained Password Policy Administrators (Amministratori per la policy delle password fine-grained delegatiAWS). Quando un account diventa un membro di questo gruppo, l'account dispone di autorizzazioni permodificare e configurare una qualsiasi delle policy sulle password elencate in precedenza (p. 30).
Delega di chi può gestire le tue policy sulle password
1. Avvia il Centro di amministrazione di Active Directory (ADAC) `da qualsiasi istanza EC2 gestita che haiaggiunto al tuo dominio AWS Managed Microsoft AD.
2. Passa alla Visualizzazione ad albero e naviga fino all'UO di gruppi delegati AWS. Per ulterioriinformazioni sull'UO, consulta Cosa viene creato (p. 12).
3. Cerca il gruppo utenti di amministratori delegati per la policy delle password fine-grained AWS.Aggiungi utenti o gruppi dal tuo dominio a questo gruppo.
Assegnazione delle policy sulle password ai tuoi utenti
Gli account utente che sono membri del gruppo di sicurezza degli amministratori delegati per la policy sullepassword fine-grained AWS possono utilizzare la procedura seguente per assegnare le policy agli utenti eai gruppi di sicurezza.
Assegnazione delle policy sulle password ai tuoi utenti
1. Avvia il Centro di amministrazione di Active Directory (ADAC) `da qualsiasi istanza EC2 gestita che haiaggiunto al tuo dominio AWS Managed Microsoft AD.
2. Passa alla Visualizzazione ad albero e vai a System\Password Settings Container (Sistema\Contenitore delle impostazioni delle password).
3. Fai doppio clic sulla policy fine-grained che desideri modificare. Fai clic su Add (Aggiungi) permodificare le proprietà della policy e aggiungi gli utenti o i gruppi di sicurezza alla policy. Per ulterioriinformazioni sulle policy fine-grained predefinite fornite con AWS Managed Microsoft AD, consultaPolicy sulle password predefinite AWS (p. 30).
4. Per verificare che il criterio password sia stato applicato, eseguire il seguente comando di PowerShell:
Get-ADUserResultantPasswordPolicy -Identity 'username'
Se non configuri una delle cinque policy sulle password nella tua directory AWS Managed Microsoft AD,Active Directory utilizza la policy di gruppo del dominio predefinita. Per ulteriori informazioni sull'utilizzo del
Version 1.031
AWS Directory Service Guida di amministrazioneProtezione della directory
Password Settings Container (Contenitore delle impostazioni delle password), consulta questo post delblog Microsoft.
Abilitare l'autenticazione a più fattori per AWS Managed MicrosoftADÈ possibile abilitare l'autenticazione a più fattori (MFA) per la directory AWS Managed Microsoft ADal fine di migliorare la sicurezza quando gli utenti specificano le proprie credenziali AD per accedere aApplicazioni Amazon Enterprise supportate (p. 33). Quando si abilita la MFA, gli utenti inseriscono ipropri nome utente e password (primo fattore) come di consueto, quindi devono inserire anche un codicedi autenticazione (secondo fattore), fornito dalla soluzione MFA virtuale o dell'hardware. Tutti questi fattoriforniscono maggiore sicurezza impedendo l'accesso alle applicazioni Amazon Enterprise, a meno che gliutenti non forniscano credenziali valide e un codice MFA valido.
Per abilitare MFA, è necessario disporre di una soluzione MFA che funge da server Remote AuthenticationDial-In User Service (RADIUS) oppure disporre di un plug-in MFA per un server RADIUS già implementatonell'infrastruttura locale. La soluzione MFA deve implementare i codici d'accesso monouso (OTP, OneTime Passcode) che gli utenti ottengono da un dispositivo hardware o dal software in esecuzione su undispositivo, ad esempio un telefono cellulare.
RADIUS è un protocollo client/server standard del settore che fornisce autenticazione, autorizzazionee gestione della contabilità per permettere agli utenti di connettersi ai servizi di rete. AWS ManagedMicrosoft AD include un client RADIUS che si connette al server RADIUS su cui è stata implementata latua soluzione MFA. Il server RADIUS convalida il nome utente e il codice OTP. Se la convalida dell'utentecon il server RADIUS riesce, AWS Managed Microsoft AD autentica quindi l'utente a fronte di AD. Unavolta completata l'autenticazione AD, gli utenti possono accedere all'applicazione AWS. La comunicazionetra il client RADIUS di AWS Managed Microsoft AD e il server RADIUS richiede di configurare i gruppi disicurezza di AWS che consentono la comunicazione tramite la porta 1812.
Puoi abilitare l'autenticazione a più fattori per la directory AWS Managed Microsoft AD eseguendo laprocedura seguente. Per ulteriori informazioni su come configurare il server RADIUS per il funzionamentocon AWS Directory Service e MFA, consulta Prerequisiti dell'autenticazione a più fattori (p. 10).
Note
L'autenticazione a più fattori non è disponibile per Simple AD. Tuttavia, MFA può essere abilitatoper la directory AD Connector. Per ulteriori informazioni, consulta Abilitare l'autenticazione a piùfattori per AD Connector (p. 189).
Per abilitare l'autenticazione a più fattori per AWS Managed Microsoft AD
1. Identifica l'indirizzo IP del server RADIUS MFA e la directory AWS Managed Microsoft AD.2. Modifica i gruppi di sicurezza cloud privato virtuale (VPC, Virtual Private Cloud) per abilitare le
comunicazioni tramite la porta 1812 tra gli endpoint IP di AWS Managed Microsoft AD e il serverRADIUS MFA.
3. Nel riquadro di navigazione di AWS Directory Service console, selezionare Directories (Directory).4. Seleziona il link dell'ID directory per la tua directory AWS Managed Microsoft AD.5. Nella pagina Directory details (Dettagli della directory), seleziona la scheda Networking & security (Reti
e sicurezza).6. Nella sezione Multi-factor authentication (Autenticazione a più fattori) selezionare Actions (Operazioni),
quindi Enable (Abilita).7. Fornire i seguenti valori nella pagina Enable multi-factor authentication (MFA) (Abilita l'autenticazione a
più fattori (MFA)):
Display label (Visualizza etichetta)
Indicare un nome per l'etichetta.
Version 1.032
AWS Directory Service Guida di amministrazioneProtezione della directory
RADIUS server DNS name or IP addresses (Indirizzi IP o nome DNS del server RADIUS)
Gli indirizzi IP degli endpoint del server RADIUS o l'indirizzo IP del sistema di bilanciamento delcarico del server RADIUS. Puoi inserire più indirizzi IP separandoli con una virgola, ad esempio192.0.0.0,192.0.0.12.
Note
MFA RADIUS è applicabile solo per autenticare l'accesso alla Console di gestione AWSo ad applicazioni e servizi Amazon Enterprise come Amazon WorkSpaces, AmazonQuickSight o Amazon Chime. Non fornisce MFA per carichi di lavoro Windows inesecuzione su istanze EC2 o per l’accesso a un’istanza EC2. AWS Directory Service nonsupporta l’autenticazione Challenge/Response RADIUS.Quando inseriscono nome utente e password, gli utenti devono disporre del propriocodice MFA. In alternativa, è necessario utilizzare una soluzione che esegual'autenticazione MFA fuori banda, ad esempio la verifica tramite testo SMS per l'utente.Nelle soluzioni MFA fuori banda, accertarsi di impostare il valore di timeout RADIUS inmaniera appropriata per la soluzione. Durante l’utilizzo di una soluzione MFA fuori banda,la pagina di accesso richiederà all’utente un codice MFA. In questo caso, la best practiceper gli utenti è inserire la loro password nel campo password e nel campo MFA.
Porta (Porta)
La porta utilizzata dal server RADIUS per le comunicazioni. La rete locale deve consentire iltraffico in entrata tramite la porta predefinita del server RADIUS (UDP:1812) da parte dei server diAWS Directory Service.
Shared secret code (Codice segreto condiviso)
Il codice segreto condiviso specificato quando sono stati creati gli endpoint RADIUS.Confirm shared secret code (Conferma codice segreto condiviso)
Conferma il codice segreto condiviso per gli endpoint RADIUS.Protocollo
Seleziona il protocollo specificato quando sono stati creati gli endpoint RADIUS.Server timeout (in seconds) (Timeout del server (in secondi))
Il periodo di tempo, in secondi, per cui il server RADIUS attende una risposta. Il valore deveessere compreso tra 1 e 50.
Max RADIUS request retries (Numero massimo di tentativi di richieste RADIUS)
Il numero di volte per cui viene tentata la comunicazione con il server RADIUS. Il valore deveessere compreso tra 0 e 10.
L'autenticazione a più fattori è disponibile se RADIUS Status (Stato RADIUS) viene modificato inEnabled (Abilitato).
8. Scegli Enable (Abilita).
Applicazioni Amazon Enterprise supportate
Tutte le applicazioni IT Amazon Enterprise, inclusi Amazon WorkSpaces, Amazon WorkDocs, AmazonWorkMaile Amazon QuickSight, e l'accesso a AWS Single Sign-On e Console di gestione AWS sonosupportati in caso di utilizzo di AWS Managed Microsoft AD e AD Connector con MFA.
Per informazioni su come configurare l'accesso di base degli utenti alle applicazioni Amazon Enterprise,AWS Single Sign-On e Console di gestione AWS utilizzando AWS Directory Service, consulta AbilitazioneVersion 1.0
33
AWS Directory Service Guida di amministrazioneProtezione della directory
dell'accesso alle applicazioni e ai servizi AWS (p. 124) e Attivazione dell'accesso a Console di gestioneAWS con le credenziali AD (p. 133).
Articolo correlato del blog AWS sulla sicurezza
• Come abilitare l'autenticazione a più fattori per AWS Servizi tramite AWS Managed Microsoft AD ecredenziali locali
Abilita LDAP sicuro (LDAPS)Lightweight Directory Access Protocol (LDAP) è un protocollo di comunicazioni standard utilizzato perleggere e scrivere dati in e da Active Directory. Alcune applicazioni utilizzano LDAP per aggiungere,eliminare o cercare utenti e gruppi in Active Directory o per il trasferimento delle credenziali perl'autenticazione degli utenti in Active Directory. Ogni comunicazione LDAP include un client (ad esempioun'applicazione) e un server (ad esempio Active Directory).
Per impostazione predefinita, le comunicazioni tramite LDAP non sono crittografate. Ciò permette a unutente malintenzionato di utilizzare software di monitoraggio delle reti per visualizzare i pacchetti di datitrasmessi in rete. È per questo motivo che molte policy di sicurezza aziendale tipicamente richiedono che leorganizzazioni eseguano la crittografia della comunicazione LDAP.
Per mitigare questa forma di esposizione dei dati, AWS Managed Microsoft AD fornisce un'opzione: Puoiabilitare LDAP su Secure Sockets Layer (SSL)/Transport Layer Security (TLS), noto anche come LDAPS.Con LDAPS, è possibile migliorare la sicurezza attraverso il cavo. È inoltre possibile soddisfare i requisitidi conformità crittografando tutte le comunicazioni tra le applicazioni abilitate LDAP e AWS ManagedMicrosoft AD.
AWS Managed Microsoft AD fornisce il supporto per LDAPS in entrambi i seguenti scenari di distribuzione:
• LDAPS lato server crittografa le comunicazioni LDAP tra le applicazioni LDAP commerciali o homegrown(che agiscono come client LDAP) e AWS Managed Microsoft AD (che agiscono come server LDAP).Per ulteriori informazioni, consulta Abilita LDAPS lato server utilizzando AWS Managed MicrosoftAD (p. 34).
• LDAPS lato client crittografa le comunicazioni LDAP tra applicazioni AWS, quali Amazon WorkSpaces(che agisce come client LDAP) e Active Directory autogestito (che funge da server LDAP). Per ulterioriinformazioni, consulta Abilita LDAPS lato client utilizzando AWS Managed Microsoft AD (p. 37).
Argomenti• Abilita LDAPS lato server utilizzando AWS Managed Microsoft AD (p. 34)• Abilita LDAPS lato client utilizzando AWS Managed Microsoft AD (p. 37)
Abilita LDAPS lato server utilizzando AWS Managed Microsoft ADIl supporto LDAPS lato server crittografa le comunicazioni LDAP tra le applicazioni LDAP commerciali ohomegrown e la directory AWS Managed Microsoft AD. Ciò consente di migliorare la sicurezza in tutto il filoe soddisfare i requisiti di conformità utilizzando il protocollo crittografico SSL (Secure Sockets Layer).
Abilita LDAPS lato server
Per istruzioni dettagliate su come configurare e configurare LDAPS lato server e il server CA (autorità dicertificazione), vedere Come abilitare LDAPS lato server per la directory Microsoft AD gestita da AWS nelblog sulla sicurezza AWS.
È necessario eseguire gran parte della configurazione dall'istanza Amazon EC2 utilizzata per gestire icontroller di dominio di AWS Managed Microsoft AD. Le fasi seguenti ti guideranno attraverso l'abilitazionedi LDAPS per il tuo dominio nel cloud AWS.
Version 1.034
AWS Directory Service Guida di amministrazioneProtezione della directory
Argomenti• Fase 1 Delegare chi può abilitare LDAPS (p. 35)• Fase 2. Configurazione dell'autorità di certificazione (p. 35)• Fase 3 Creazione di un modello di certificato (p. 35)• Fase 4. Aggiungi regole gruppo di sicurezza (p. 36)
Fase 1 Delegare chi può abilitare LDAPS
Per abilitare LDAPS lato server, è necessario essere membri del gruppo Admins o AWS DelegatedEnterprise Certificate Authority Administrators nella directory AWS Managed Microsoft AD. In alternativa, èpossibile essere l'utente amministrativo predefinito (account amministratore). Se si preferisce, è possibileavere un utente diverso dall'impostazione dell'account Admin LDAPS. In tal caso, aggiungere tale utenteal gruppo Admins o AWS Delegated Enterprise Certificate Authority Administrators nella directory AWSManaged Microsoft AD.
Fase 2. Configurazione dell'autorità di certificazione
Prima di abilitare LDAPS lato server, è necessario creare un certificato. Questo certificato deve essererilasciato da un server CA aziendale Microsoft che sia collegato al tuo AWS Managed Microsoft ADdominio. Una volta creato, il certificato deve essere installato su ciascuno dei controller di dominioappartenenti a quel dominio. Questo certificato consente al servizio LDAP sui controller di dominio direstare in attesa di connessioni SSL provenienti da client LDAP e accettarle automaticamente.
Note
LDAPS con AWS Managed Microsoft AD non supporta certificati rilasciati da una CA indipendente.Inoltre, non supporta i certificati emessi da un'autorità di certificazione di terze parti.
A seconda delle esigenze aziendali, puoi disporre delle seguenti opzioni di configurazione o connessione auna CA nel dominio:
• Creare una CA aziendale Microsoft subordinata – (Consigliata) Con questa opzione, è possibiledistribuire un server di CA aziendale Microsoft subordinato nel cloud AWS. Il server può utilizzareAmazon EC2 in modo che funzioni con la CA Microsoft radice esistente. Per ulteriori informazioni sucome configurare una CA aziendale Microsoft subordinata, vedere Passaggio 4: Aggiungi una CAMicrosoft Enterprise alla directory AWS Microsoft AD pollici Come abilitare LDAPS lato server per ladirectory Microsoft AD gestita da AWS.
• Create a root Microsoft Enterprise CA (Creazione di una CA aziendale di Microsoft root) – Con questaopzione puoi creare una CA aziendale di Microsoft root nel cloud AWS utilizzando Amazon EC2 e unirlaal tuo dominio AWS Managed Microsoft AD. Questa CA di root può emettere il certificato per i controllerdi dominio. Per ulteriori informazioni sulla configurazione di una nuova CA root, consulta Passaggio 3:Installazione e configurazione di una CA offline pollici Come abilitare LDAPS lato server per la directoryMicrosoft AD gestita da AWS.
Per ulteriori informazioni su come collegare l'Istanza EC2 al dominio, consulta Collega un'istanza EC2 allatua directory AWS Managed Microsoft AD (p. 66).
Fase 3 Creazione di un modello di certificato
Dopo aver configurato la CA aziendale, è possibile configurare il modello di certificato di autenticazioneKerberos.
Creazione di un modello di certificato
1. Lancia Gestione server di Microsoft Windows. Seleziona Strumenti > Autorità di certificazione.2. Nella finestra Autorità di certificazione , espandere la finestra Autorità di certificazione nel riquadro
sinistro. Fare clic con il pulsante destro del mouse Modelli di certificatoe scegliere Gestisci.
Version 1.035
AWS Directory Service Guida di amministrazioneProtezione della directory
3. Nella finestra Console modelli di certificato fare clic con il pulsante destro del mouse AutenticazioneKerberos e scegliere Modello duplicato.
4. Il Proprietà del nuovo modello apparirà la finestra.5. Nella finestra Proprietà del nuovo modello , andare alla finestra Compatibilità , quindi procedere come
segue:
a. Modifica Autorità di certificazione al sistema operativo che corrisponde alla CA.b. Se un Modifiche risultanti appare una finestra pop-up, selezionare OK (OK).c. Modifica Destinatario della certificazione a Windows 8.1 / Windows Server 2012 R2.
Note
AWS Managed Microsoft AD è basato su Windows Server 2012 R2.d. Se un Modifiche risultanti appare una finestra pop-up, selezionare OK (OK).
6. Fare clic sul pulsante Generale e modificare il Nome visualizzato modello a SSL LDAPover o qualsiasialtro nome che preferiresti.
7. Fare clic sul pulsante Sicurezza e scegliere Controller di dominio nella Nomi di gruppo o utentesezione. Nella finestra Autorizzazioni per i controller di dominio , verificare che il Consenti caselle dicontrollo per Leggi, Iscriviti, e Registrazione automatica sono selezionati.
8. Scegli OK (OK) per creare il SSL LDAPover (o il nome specificato sopra) modello di certificato. Chiudiil Console modelli di certificato finestra di.
9. Nella finestra Autorità di certificazione fare clic con il pulsante destro del mouse Modelli di certificatoescegliere Nuovo > Modello certificato da emettere.
10. Nella finestra Abilita modelli di certificato scegli SSL LDAPover (o il nome specificato in precedenza),quindi scegliere OK (OK).
Fase 4. Aggiungi regole gruppo di sicurezza
Nel passaggio finale, è necessario aprire la console Amazon EC2 e aggiungere regole di gruppo diprotezione. Queste regole consentono ai controller di dominio di connettersi alla CA aziendale perrichiedere un certificato. A tale scopo, aggiungi le regole in entrata in modo che la CA aziendale possaaccettare il traffico in entrata dai controller di dominio. Aggiungi quindi regole in uscita per consentire iltraffico proveniente dai controller di dominio verso la CA aziendale.
Dopo aver configurato entrambe le regole, i controller di dominio richiederanno automaticamente uncertificato dalla CA aziendale e abiliteranno LDAPS per la directory. Il servizio LDAP sui controller didominio è ora pronto per accettare le connessioni LDAPS.
Configurazione delle regole per i gruppi di sicurezza
1. Passare alla console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2 e registrarsi conle credenziali da Amministratore.
2. Nel riquadro a sinistra, scegli Security Groups (Gruppi di sicurezza) in Network & Security (Rete esicurezza).
3. Nel riquadro principale, scegli il gruppo di sicurezza AWS per la tua CA.4. Seleziona la scheda Inbound (In entrata), quindi seleziona Edit (Modifica).5. Nella finestra di dialogo Edit inbound rules (Modifica regole in entrata) esegui queste operazioni:
• Selezionare Add Rule (Aggiungi regola).• Scegli All traffic (Tutto il traffico) in Type (Tipo) e Custom (Personalizzato) in Source (Origine).• Digitare il gruppo di sicurezza AWS della directory (ad esempio, sg-123456789) nella casella
accanto a Source (Origine).• Seleziona Save (Salva).
Version 1.036
AWS Directory Service Guida di amministrazioneProtezione della directory
6. Scegli ora il gruppo di sicurezza AWS della directory AWS Managed Microsoft AD. Seleziona lascheda Outbound (In uscita), quindi seleziona Edit (Modifica).
7. Nella finestra di dialogo Edit outbound rules (Modifica regole in uscita) esegui queste operazioni:
• Selezionare Add Rule (Aggiungi regola).• Scegli All traffic (Tutto il traffico) in Type (Tipo) e Custom (Personalizzato) in Destination
(Destinazione).• Digita il gruppo di sicurezza AWS della CA nella casella accanto a Destination (Destinazione).• Seleziona Save (Salva).
Puoi verificare la connessione LDAPS alla directory AWS Managed Microsoft AD tramite lo strumento LDP.Lo strumento LDP viene fornito insieme agli strumenti di amministrazione di Active Directory. Per ulterioriinformazioni, consulta Installazione degli strumenti di amministrazione di Active Directory (p. 89).
Note
Prima di testare la connessione LDAPS, è necessario attendere fino a 30 minuti affinché la CAsubordinata emetta un certificato ai controller di dominio.
Per ulteriori dettagli su LDAPS lato server e per visualizzare un esempio di caso d'uso su comeconfigurarlo, consulta la sezione relativa alle modalità di abilitazione di LDAPS per la directory AWSManaged Microsoft AD del blog di AWS sulla sicurezza.
Abilita LDAPS lato client utilizzando AWS Managed Microsoft AD
Il supporto LDAPS lato client in AWS Managed Microsoft AD crittografa le comunicazioni tra MicrosoftActive Directory (AD) e le applicazioni AWS. Esempi di tali applicazioni includono Amazon WorkSpaces,AWS SSO, Amazon QuickSight e Amazon Chime. Questa crittografia consente di proteggere meglio i datidi identità dell'organizzazione e soddisfare i requisiti di sicurezza.
Prerequisites
Prima di abilitare LDAPS lato client, è necessario soddisfare i seguenti requisiti.
Argomenti• Distribuire certificati server in Active Directory (p. 37)• Requisiti del certificato CA (p. 37)• Requisiti di rete (p. 38)
Distribuire certificati server in Active Directory
Per abilitare LDAPS lato client, è necessario ottenere e installare i certificati server per ogni controllerdi dominio in Active Directory. Questi certificati verranno utilizzati dal servizio LDAP per ascoltare eaccettare automaticamente connessioni SSL dai client LDAP. È possibile utilizzare certificati SSL emessida una distribuzione interna di Active Directory Certificate Services (ADCS) o acquistati da un’emittentecommerciale. Per ulteriori informazioni sui requisiti dei certificati server Active Directory, vedere il certificatoLDAP su SSL (LDAPS) sul sito Web Microsoft.
Requisiti del certificato CA
Un certificato di autorità di certificazione (CA), che rappresenta l'emittente dei certificati server, ènecessario per l'operazione LDAPS lato client. I certificati CA sono abbinati ai certificati server presentatidai controller di dominio Active Directory per crittografare le comunicazioni LDAP. Tenere presenti iseguenti requisiti del certificato CA:
• Per registrare un certificato, sono necessari più di 90 giorni dalla scadenza.
Version 1.037
AWS Directory Service Guida di amministrazioneProtezione della directory
• I certificati devono essere in formato PEM (Privacy-Enhanced Mail). Se si esportano certificati CA daActive Directory, scegliere il formato di file di esportazione con codifica Base64 X.509 (.CER).
• È possibile archiviare un massimo di cinque (5) certificati CA per la directory AWS Managed MicrosoftAD.
• I certificati che utilizzano l'algoritmo di firma RSASSA-PSS non sono supportati.• I certificati CA che concatenano ogni certificato server a ogni dominio trusted devono essere registrati.
Requisiti di rete
L’applicazione AWS del traffico LDAP verrà eseguita esclusivamente sulla porta TCP 636, senza alcunfallback alla porta LDAP 389. Tuttavia, le comunicazioni LDAP di Windows che supportano replica, trust ealtro ancora continueranno a utilizzare la porta LDAP 389 con protezione nativa di Windows. Configurarei gruppi di AWS sicurezza e i firewall di rete per consentire le comunicazioni TCP sulla porta 636 in AWSManaged Microsoft AD (in uscita) e Active Directory autogestita (in ingresso). Lasciare aperta la portaLDAP 389 tra Active Directory autogestita e AWS Managed Microsoft AD.
Abilita LDAPS lato client
Per abilitare LDAPS lato client, è possibile importare il certificato di autorità di certificazione (CA) e quindiabilitare LDAPS nella directory. AWS Managed Microsoft AD. All'attivazione, tutto il traffico LDAP traapplicazioni AWS e l'AD gestita dal cliente verranno trasmessi con crittografia del canale Secure SocketsLayer (SSL).
Sono disponibili due metodi diversi per abilitare LDAPS lato client per la directory. È possibile utilizzare ilmetodo Console di gestione AWS o il metodo CLI AWS.
Argomenti• Fase 1 Registra certificato in AWS Directory Service (p. 38)• Fase 2. Controlla stato registrazione (p. 39)• Fase 3 Abilita LDAPS lato client (p. 39)• Fase 4. Controlla stato LDAPS (p. 39)
Fase 1 Registra certificato in AWS Directory Service
Utilizza uno dei seguenti metodi per registrare un certificato in AWS Directory Service.
Metodo 1: Per registrare il certificato in AWS Directory Service (Console di gestione AWS)
1. Nel riquadro di navigazione di AWS Directory Service console, selezionare Directories (Directory).2. Seleziona il collegamento dell'ID per la tua directory.3. Nella pagina Directory details (Dettagli della directory) selezionare la scheda Networking & security
(Reti e sicurezza).4. Nella sezione Client-side LDAPS (LDAPS lato client) selezionare il menu Actions (Operazioni) e quindi
selezionare Register certificate (Registra certificato).5. Nella finestra di dialogo Register a CA certificate (Registra un certificato CA) selezionare Browse
(Sfoglia), quindi selezionare il certificato e scegliere Open (Apri).6. Scegliere Register certificate (Registra certificato).
Metodo 2: Per registrare il certificato in AWS Directory Service (AWS CLI)
• Eseguire il comando riportato qui di seguito: Per i dati del certificato, scegliere il percorso del file delcertificato CA. Nella risposta verrà fornito un ID certificato.
Version 1.038
AWS Directory Service Guida di amministrazioneProtezione della directory
aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
Fase 2. Controlla stato registrazione
Per visualizzare lo stato di una registrazione di certificati o di un elenco di certificati registrati, utilizzare unodei seguenti metodi.
Metodo 1: Per controllare lo stato di registrazione del certificato in AWS Directory Service (Consoledi gestione AWS)
1. Andare alla sezione Client-side LDAPS (LDAPS lato client) nella pagina dei Directory details (Dettaglidella directory).
2. Esaminare lo stato di registrazione del certificato corrente visualizzato nella colonna Registration status(Stato registrazione). Quando il valore dello stato di registrazione cambia in Registered (Registrato), ilcertificato è stato registrato.
Metodo 2: Per controllare lo stato di registrazione del certificato in AWS Directory Service (AWSCLI)
• Eseguire il comando riportato qui di seguito: Se il valore dello stato restituisce Registered, ilcertificato è stato registrato.
aws ds list-certificates --directory-id your_directory_id
Fase 3 Abilita LDAPS lato client
Utilizza uno dei seguenti metodi per abilitare LDAPS lato client in AWS Directory Service.
Note
Devi aver registrato almeno un certificato prima di poter abilitare LDAPS lato client.
Metodo 1: Per abilitare LDAPS lato client in AWS Directory Service (Console di gestione AWS)
1. Andare alla sezione Client-side LDAPS (LDAPS lato client) nella pagina dei Directory details (Dettaglidella directory).
2. Scegli Enable (Abilita). Se questa opzione non è disponibile, verificare che un certificato valido siastato registrato e riprovare.
3. Nella finestra di dialogo Enable client-side LDAPS (Abilita LDAPS lato client) scegliere Enable (Abilita).
Metodo 2: Per abilitare LDAPS lato client in AWS Directory Service (AWS CLI)
• Eseguire il comando riportato qui di seguito:
aws ds enable-ldaps --directory-id your_directory_id --type Client
Fase 4. Controlla stato LDAPS
Utilizza uno dei seguenti metodi per verificare lo stato LDAPS in AWS Directory Service.
Version 1.039
AWS Directory Service Guida di amministrazioneProtezione della directory
Metodo 1: Per controllare lo stato LDAPS in AWS Directory Service (Console di gestione AWS)
1. Andare alla sezione Client-side LDAPS (LDAPS lato client) nella pagina dei Directory details (Dettaglidella directory).
2. Se il valore dello stato visualizzato è Enabled (Abilitato), LDAPS è stato configurato.
Metodo 2: Per controllare lo stato LDAPS in AWS Directory Service (AWS CLI)
• Eseguire il comando riportato qui di seguito: Se il valore di stato restituisce Enabled, LDAPS è statoconfigurato.
aws ds describe-ldaps-settings –-directory-id your_directory_id
Gestire LDAPS lato client
Utilizzare questi comandi per gestire la configurazione LDAPS.
Sono disponibili due metodi diversi per gestire le impostazioni LDAPS lato client. È possibile utilizzare ilmetodo Console di gestione AWS o il metodo CLI AWS.
Visualizzare i dettagli del certificato
Utilizza uno dei seguenti metodi per vedere quando scade un certificato.
Metodo 1: Per visualizzare i dettagli del certificato in AWS Directory Service (Console di gestioneAWS)
1. Nel riquadro di navigazione di AWS Directory Service console, selezionare Directories (Directory).2. Seleziona il collegamento dell'ID per la tua directory.3. Nella pagina Directory details (Dettagli della directory) selezionare la scheda Networking & security
(Reti e sicurezza).4. Nella sezione Client-side LDAPS (LDAPS lato client), le informazioni sul certificato verranno
visualizzate in CA certificates (Certificati CA).
Metodo 2: Per visualizzare i dettagli del certificato in AWS Directory Service (AWS CLI)
• Eseguire il comando riportato qui di seguito: Per l'ID del certificato, utilizzare l'identificatore restituito daregister-certificate o list-certificates.
aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
Annullare la registrazione di un certificato
Utilizza uno dei seguenti metodi per annullare la registrazione di un certificato.Note
Se è registrato un solo certificato, è necessario disabilitare LDAPS prima di poter annullare laregistrazione del certificato.
Metodo 1: Per annullare la registrazione di un certificato in AWS Directory Service (Console digestione AWS)
1. Nel riquadro di navigazione di AWS Directory Service console, selezionare Directories (Directory).
Version 1.040
AWS Directory Service Guida di amministrazioneProtezione della directory
2. Seleziona il collegamento dell'ID per la tua directory.3. Nella pagina Directory details (Dettagli della directory) selezionare la scheda Networking & security
(Reti e sicurezza).4. Nella sezione Client-side LDAPS (LDAPS lato client) selezionare il menu Actions (Operazioni) e quindi
selezionare Deregister certificate (Annulla registrazione certificato).5. Nella finestra di dialogo Deregister a CA certificate (Annulla la registrazione di un certificato CA)
scegliere Deregister (Annulla registrazione).
Metodo 2: Per annullare la registrazione di un certificato in AWS Directory Service (AWS CLI)
• Eseguire il comando riportato qui di seguito: Per l'ID del certificato, utilizzare l'identificatore restituito daregister-certificate o list-certificates.
aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
Disabilitare LDAPS lato client
Utilizza uno dei seguenti metodi per disabilitare LDAPS lato client.
Metodo 1: Per disabilitare LDAPS lato client in AWS Directory Service (Console di gestione AWS)
1. Nel riquadro di navigazione di AWS Directory Service console, selezionare Directories (Directory).2. Seleziona il collegamento dell'ID per la tua directory.3. Nella pagina Directory details (Dettagli della directory) selezionare la scheda Networking & security
(Reti e sicurezza).4. Nella sezione Client-side LDAPS (LDAPS lato client) scegliere Disable (Disabilita).5. Nella finestra di dialogo Disable client-side LDAPS (Disabilita LDAPS lato client) scegliere Disable
(Disabilita).
Metodo 2: Per disabilitare LDAPS lato client in AWS Directory Service (AWS CLI)
• Eseguire il comando riportato qui di seguito:
aws ds disable-ldaps --directory-id your_directory_id --type Client
Gestione della conformità per AWS Managed Microsoft ADPuoi utilizzare AWS Managed Microsoft AD per supportare le tue applicazioni – compatibili con ActiveDirectory nel cloud AWS, che sono soggette ai seguenti requisiti di conformità. Tuttavia, le tue applicazioninon conformi saranno a requisiti di conformità se usi Simple AD o AD Connector.
Standard di conformità supportati
AWS Managed Microsoft AD è stato sottoposto a controllo per i seguenti standard ed è idoneo per essereparte delle soluzioni per le quali occorre ottenere una certificazione di conformità.
Version 1.041
AWS Directory Service Guida di amministrazioneProtezione della directory
AWS Managed Microsoft AD soddisfa inoltre i requisiti disicurezza Federal Risk and Authorization ManagementProgram (FedRAMP) e ha ricevuto una certificazioneFedRAMP Joint Authorization Board (JAB) ProvisionalAuthority to Operate (P-ATO) a livello FedRAMP ModerateBaseline. Per ulteriori informazioni su FedRamp, consulta lasezione relativa alla Conformità al programma Fedramp.
AWS Managed Microsoft AD ha un'attestazione di conformitàper lo standard Payment Card Industry (PCI) Data Security(DSS) versione 3.2 come fornitore di servizi di livello 1. Iclienti che utilizzano i prodotti e i servizi AWS per archiviare,elaborare o trasmettere dati dei titolari di carte di creditopossono utilizzare AWS Managed Microsoft AD nella gestionedella propria certificazione di conformità PCI DSS.
Per ulteriori informazioni sullo standard PCI DSS, inclusele istruzioni su come richiedere una copia del Pacchettoconformità PCI di AWS, consulta PCI DSS livello 1. Lacosa importante è che è necessario configurare le policy dipassword fine-grained in AWS Managed Microsoft AD in modoche siano coerenti con gli standard PCI DSS versione 3.2. Perulteriori informazioni su quali politiche devono essere applicate,consulta la sezione di seguito intitolata Abilita la conformità PCIer la tua directory AWS Managed Microsoft AD.
AWS ha ampliato il proprio programma di conformità conHealth Insurance Portability and Accountability Act (HIPAA) perincludere AWS Managed Microsoft AD come servizio idoneo aifini HIPAA. Se hai stipulato un Business Associate Agreement(BAA) con AWS, puoi utilizzare AWS Managed MicrosoftAD per supportare la creazione di applicazioni conformi allostandard HIPAA.
AWS offre un whitepaper incentrato sulle disposizioni HIPAAai clienti interessati a scoprire come utilizzare AWS perl'elaborazione e lo storage dei dati sanitari. Per ulterioriinformazioni, consulta Standard HIPAA.
Version 1.042
AWS Directory Service Guida di amministrazioneProtezione della directory
Responsabilità condivisa
La sicurezza, inclusa la conformità con FedRAMP, HIPAA e PCI, è una responsabilità condivisa. Èimportante capire che lo stato di conformità di AWS Managed Microsoft AD non si applica automaticamentealle applicazioni che esegui nel cloud AWS. È necessario accertarsi che l'uso dei servizi AWS sia conformeagli standard.
Per un elenco completo di tutti i vari programmi di conformità AWS supportati da AWS Managed MicrosoftAD, consultare Servizi AWS coperti dal programma di compliance.
Abilitazione della conformità PCI per la tua directory AWS Managed Microsoft AD
Per abilitare la conformità PCI per la tua directory AWS Managed Microsoft AD, è necessario configurare lepolicy di password fine-grained come specificato nell'attestazione di conformità (AOC) per lo standard PCIDSS e nel documento di riepilogo delle responsabilità fornito da AWS Artifact.
Per ulteriori informazioni sull'utilizzo di policy di password fine-grained, consulta Gestione delle policy sullepassword per AWS Managed Microsoft AD (p. 29).
Migliorare la configurazione della sicurezza di rete AWS ManagedMicrosoft ADIl gruppo di sicurezza AWS di cui è stato eseguito il provisioning per la directory AWS Managed MicrosoftAD viene configurato con le porte di rete in ingresso minime necessarie per supportare tutti i casi d'uso notiper la directory AWS Managed Microsoft AD. Per ulteriori informazioni sul gruppo di sicurezza AWS conprovisioning, consulta Cosa viene creato (p. 12).
Per migliorare ulteriormente la sicurezza di rete della directory AWS Managed Microsoft AD, è possibilemodificare il gruppo di sicurezza AWS in base agli scenari comuni elencati di seguito.
Argomenti• Solo supporto applicazioni AWS (p. 43)• Solo applicazioni AWS con supporto Trust (p. 44)• Supporto AWS per applicazioni e carichi di lavoro nativi di Active Directory (p. 46)• Supporto per carichi di lavoro nativi di Active Directory e applicazioni AWS con supporto trust (p. 48)
Solo supporto applicazioni AWS
Tutti gli account utente vengono sottoposti a provisioning solo in AWS Managed Microsoft AD per essereutilizzati con le applicazioni AWS supportate, ad esempio le seguenti:
• Amazon Chime• Amazon Connect• Amazon QuickSight• AWS Single Sign-On• Amazon WorkDocs• Amazon WorkMail• AWS Client VPN• Console di gestione AWS
È possibile utilizzare la seguente configurazione di gruppo di sicurezza AWS per bloccare tutto il trafficonon essenziale ai controller di dominio AWS Managed Microsoft AD.
Version 1.043
AWS Directory Service Guida di amministrazioneProtezione della directory
Note
• I seguenti non sono compatibili con questa configurazione del gruppo di sicurezza AWS:• Istanze Amazon EC2*• Amazon FSx• Amazon RDS per MySQL• Amazon RDS per Oracle• Amazon RDS per PostgreSQL• Amazon RDS per SQL Server• Amazon WorkSpaces• Trust di Active Directory• Client o server aggiunti al dominio
Regole in entrata
None
Regole in uscita
None
Solo applicazioni AWS con supporto Trust
Tutti gli account utente vengono sottoposti a provisioning in AWS Managed Microsoft AD o in ActiveDirectory attendibile per essere utilizzati con le applicazioni AWS supportate, ad esempio le seguenti:
• Amazon Chime• Amazon Connect• Amazon QuickSight• AWS Single Sign-On• Amazon WorkDocs• Amazon WorkMail• AWS Client VPN• Console di gestione AWS
È possibile modificare la configurazione del gruppo AWS di sicurezza con provisioning per bloccare tutto iltraffico non essenziale ai controller di dominio AWS Managed Microsoft AD.
Note
• I seguenti non sono compatibili con questa configurazione del gruppo di sicurezza AWS:• Istanze Amazon EC2*• Amazon FSx• Amazon RDS per MySQL• Amazon RDS per Oracle• Amazon RDS per PostgreSQL• Amazon RDS per SQL Server• Amazon WorkSpaces• Trust di Active Directory Version 1.0
44
AWS Directory Service Guida di amministrazioneProtezione della directory
• Client o server aggiunti al dominio• Questa configurazione richiede che la rete CIDR in locale sia sicura.• TCP 445 viene utilizzato solo per la creazione di trust e può essere rimosso dopo che il trust è
stato stabilito.• TCP 636 è richiesto solo quando LDAP su SSL è in uso.
Regole in entrata
Protocol(Protocollo) .
Intervallo porte Crea Tipo di traffico Utilizzo di ActiveDirectory
TCP e UDP 53 CIDR in locale DNS Autenticazioneutente e computer,risoluzione deinomi, trust
TCP e UDP 88 CIDR in locale Kerberos Autenticazioneutente e computer,trust a livello diforesta
TCP e UDP 389 CIDR in locale LDAP Policy di gruppoper l'autenticazionedi directory,replica, utente ecomputer, trust
TCP e UDP 464 CIDR in locale Kerberos cambia/imposta lapassword
Autenticazioneutente e computer,replica, trust
TCP 445 CIDR in locale SMB/CIFS Replica,autenticazioneutente e computer,policy di gruppo,trust
TCP 135 CIDR in locale Replica RPC, EPM
TCP 636 CIDR in locale LDAP SSL Policy di gruppoper l'autenticazionedi directory,replica, utente ecomputer, trust
TCP 49152 - 65535 CIDR in locale RPC Replica,autenticazioneutente e computer,policy di gruppo,trust
TCP 3268 - 3269 CIDR in locale LDAP GC e LDAPGC SSL
Policy di gruppoper l'autenticazionedi directory,replica, utente ecomputer, trust
Version 1.045
AWS Directory Service Guida di amministrazioneProtezione della directory
Protocol(Protocollo) .
Intervallo porte Crea Tipo di traffico Utilizzo di ActiveDirectory
UDP 123 CIDR in locale Ora di Windows Ora di Windows,trust
Regole in uscita
Protocol(Protocollo) .
Intervallo porte Crea Tipo di traffico Utilizzo di ActiveDirectory
All (Tutti) All (Tutti) CIDR in locale Tutto il traffico
Supporto AWS per applicazioni e carichi di lavoro nativi di Active Directory
Gli account utente vengono sottoposti a provisioning solo in AWS Managed Microsoft AD per essereutilizzati con le applicazioni AWS supportate, ad esempio le seguenti:
• Amazon Chime• Amazon Connect• Istanze Amazon EC2*• Amazon FSx• Amazon QuickSight• Amazon RDS per MySQL• Amazon RDS per Oracle• Amazon RDS per PostgreSQL• Amazon RDS per SQL Server• AWS Single Sign-On• Amazon WorkDocs• Amazon WorkMail• Amazon WorkSpaces• AWS Client VPN• Console di gestione AWS
È possibile modificare la configurazione del gruppo AWS di sicurezza con provisioning per bloccare tutto iltraffico non essenziale ai controller di dominio AWS Managed Microsoft AD.
Note
• I trust di Active Directory non possono essere creati e gestiti tra la directory AWS ManagedMicrosoft AD e il dominio locale.
• Richiede che la rete "Client CIDR" sia sicura.• TCP 636 è richiesto solo quando LDAP su SSL è in uso.• Se si desidera utilizzare una CA Enterprise con questa configurazione è necessario creare una
regola in uscita "TCP, 443, CA CIDR".
Regole in entrata
Version 1.046
AWS Directory Service Guida di amministrazioneProtezione della directory
Protocol(Protocollo) .
Intervallo porte Crea Tipo di traffico Utilizzo di ActiveDirectory
TCP e UDP 53 CIDR client DNS Autenticazioneutente e computer,risoluzione deinomi, trust
TCP e UDP 88 CIDR client Kerberos Autenticazioneutente e computer,trust a livello diforesta
TCP e UDP 389 CIDR client LDAP Policy di gruppoper l'autenticazionedi directory,replica, utente ecomputer, trust
TCP e UDP 445 CIDR client SMB/CIFS Replica,autenticazioneutente e computer,policy di gruppo,trust
TCP e UDP 464 CIDR client Kerberos cambia/imposta lapassword
Autenticazioneutente e computer,replica, trust
TCP 135 CIDR client Replica RPC, EPM
TCP 636 CIDR client LDAP SSL Policy di gruppoper l'autenticazionedi directory,replica, utente ecomputer, trust
TCP 49152 - 65535 CIDR client RPC Replica,autenticazioneutente e computer,policy di gruppo,trust
TCP 3268 - 3269 CIDR client LDAP GC e LDAPGC SSL
Policy di gruppoper l'autenticazionedi directory,replica, utente ecomputer, trust
TCP 9389 CIDR client SOAP Servizi Web DSAD
UDP 123 CIDR client Ora di Windows Ora di Windows,trust
UDP 138 CIDR client DFSN e NetLogon DFS, policy digruppo
Version 1.047
AWS Directory Service Guida di amministrazioneProtezione della directory
Regole in uscita
None
Supporto per carichi di lavoro nativi di Active Directory e applicazioni AWS consupporto trustTutti gli account utente vengono sottoposti a provisioning in AWS Managed Microsoft AD o in ActiveDirectory attendibile per essere utilizzati con le applicazioni AWS supportate, ad esempio le seguenti:
• Amazon Chime• Amazon Connect• Istanze Amazon EC2*• Amazon FSx• Amazon QuickSight• Amazon RDS per MySQL• Amazon RDS per Oracle• Amazon RDS per PostgreSQL• Amazon RDS per SQL Server• AWS Single Sign-On• Amazon WorkDocs• Amazon WorkMail• Amazon WorkSpaces• AWS Client VPN• Console di gestione AWS
È possibile modificare la configurazione del gruppo AWS di sicurezza con provisioning per bloccare tutto iltraffico non essenziale ai controller di dominio AWS Managed Microsoft AD.
Note
• È necessario assicurarsi che le reti "CIDR in locale" e "CIDR client" siano sicure.• TCP 445 con il "CIDR in locale" viene utilizzato solo per la creazione di trust e può essere
rimosso dopo che il trust è stato stabilito.• TCP 445 con il "CIDR client" deve essere lasciato aperto in quanto è necessario per
l'elaborazione di policy di gruppo.• TCP 636 è richiesto solo quando LDAP su SSL è in uso.• Se si desidera utilizzare una CA Enterprise con questa configurazione è necessario creare una
regola in uscita "TCP, 443, CA CIDR".
Regole in entrata
Protocol(Protocollo) .
Intervallo porte Crea Tipo di traffico Utilizzo di ActiveDirectory
TCP e UDP 53 CIDR in locale DNS Autenticazioneutente e computer,risoluzione deinomi, trust
TCP e UDP 88 CIDR in locale Kerberos Autenticazioneutente e computer,
Version 1.048
AWS Directory Service Guida di amministrazioneProtezione della directory
Protocol(Protocollo) .
Intervallo porte Crea Tipo di traffico Utilizzo di ActiveDirectorytrust a livello diforesta
TCP e UDP 389 CIDR in locale LDAP Policy di gruppoper l'autenticazionedi directory,replica, utente ecomputer, trust
TCP e UDP 464 CIDR in locale Kerberos cambia/imposta lapassword
Autenticazioneutente e computer,replica, trust
TCP 445 CIDR in locale SMB/CIFS Replica,autenticazioneutente e computer,policy di gruppo,trust
TCP 135 CIDR in locale Replica RPC, EPM
TCP 636 CIDR in locale LDAP SSL Policy di gruppoper l'autenticazionedi directory,replica, utente ecomputer, trust
TCP 49152 - 65535 CIDR in locale RPC Replica,autenticazioneutente e computer,policy di gruppo,trust
TCP 3268 - 3269 CIDR in locale LDAP GC e LDAPGC SSL
Policy di gruppoper l'autenticazionedi directory,replica, utente ecomputer, trust
UDP 123 CIDR in locale Ora di Windows Ora di Windows,trust
TCP e UDP 53 CIDR client DNS Autenticazioneutente e computer,risoluzione deinomi, trust
TCP e UDP 88 CIDR client Kerberos Autenticazioneutente e computer,trust a livello diforesta
Version 1.049
AWS Directory Service Guida di amministrazioneProtezione della directory
Protocol(Protocollo) .
Intervallo porte Crea Tipo di traffico Utilizzo di ActiveDirectory
TCP e UDP 389 CIDR client LDAP Policy di gruppoper l'autenticazionedi directory,replica, utente ecomputer, trust
TCP e UDP 445 CIDR client SMB/CIFS Replica,autenticazioneutente e computer,policy di gruppo,trust
TCP e UDP 464 CIDR client Kerberos cambia/imposta lapassword
Autenticazioneutente e computer,replica, trust
TCP 135 CIDR client Replica RPC, EPM
TCP 636 CIDR client LDAP SSL Policy di gruppoper l'autenticazionedi directory,replica, utente ecomputer, trust
TCP 49152 - 65535 CIDR client RPC Replica,autenticazioneutente e computer,policy di gruppo,trust
TCP 3268 - 3269 CIDR client LDAP GC e LDAPGC SSL
Policy di gruppoper l'autenticazionedi directory,replica, utente ecomputer, trust
TCP 9389 CIDR client SOAP Servizi Web DSAD
UDP 123 CIDR client Ora di Windows Ora di Windows,trust
UDP 138 CIDR client DFSN e NetLogon DFS, policy digruppo
Regole in uscita
Protocol(Protocollo) .
Intervallo porte Crea Tipo di traffico Utilizzo di ActiveDirectory
All (Tutti) All (Tutti) CIDR in locale Tutto il traffico
Version 1.050
AWS Directory Service Guida di amministrazioneMonitoraggio della directory
Monitorare i AWS Managed Microsoft ADPuoi monitorare la directory AWS Managed Microsoft AD nei seguenti modi:
Argomenti• Comprendere lo stato della directory (p. 51)• Configurazione di notifiche dello stato di directory (p. 52)• Analisi dei log della directory AWS Managed Microsoft AD (p. 53)• Abilita inoltro dei log (p. 55)
Comprendere lo stato della directoryThe following are the various statuses for a directory.
Active
The directory is operating normally. No issues have been detected by the AWS Directory Service foryour directory.
Creating
The directory is currently being created. Directory creation typically takes between 20 to 45 minutes butmay vary depending on the system load.
Deleted
The directory has been deleted. All resources for the directory have been released. Once a directoryenters this state, it cannot be recovered.
Deleting
The directory is currently being deleted. The directory will remain in this state until it has beencompletely deleted. Once a directory enters this state, the delete operation cannot be cancelled, andthe directory cannot be recovered.
Failed
The directory could not be created. Please delete this directory. If this problem persists, please contactthe AWS Support Center.
Impaired
The directory is running in a degraded state. One or more issues have been detected, and notall directory operations may be working at full operational capacity. There are many potentialreasons for the directory being in this state. These include normal operational maintenance activitysuch as patching or EC2 instance rotation, temporary hot spotting by an application on one ofyour domain controllers, or changes you made to your network that inadvertently disrupt directorycommunications. For more information, see either Risoluzione dei problemi del AWS ManagedMicrosoft AD (p. 167), Risoluzione dei problemi del AD Connector (p. 209), Risoluzione deiproblemi del Simple AD (p. 264). For normal maintenance related issues, AWS resolves these issueswithin 40 minutes. If after reviewing the troubleshooting topic, your directory is in an Impaired statelonger than 40 minutes, we recommend that you contact the AWS Support Center.
Important
Do not restore a snapshot while a directory is in an Impaired state. It is rare that snapshotrestore is necessary to resolve impairments. For more information, see Snapshot o ripristinodella directory (p. 118).
Version 1.051
AWS Directory Service Guida di amministrazioneMonitoraggio della directory
Inoperable
The directory is not functional. All directory endpoints have reported issues.Requested
A request to create your directory is currently pending.RestoreFailed
Restoring the directory from a snapshot failed. Please retry the restore operation. If this continues, try adifferent snapshot, or contact the AWS Support Center.
Restoring
The directory is currently being restored from an automatic or manual snapshot. Restoring from asnapshot typically takes several minutes, depending on the size of the directory data in the snapshot.
For more information, see Motivi dello stato della directory Simple AD (p. 265).
Configurazione di notifiche dello stato di directoryTramite Amazon Simple Notification Service (Amazon SNS), puoi ricevere messaggi e-mail o di testo(SMS) quando lo stato della directory cambia. Ricevi una notifica se la directory passa da uno stato Active(Attivo) a uno stato Impaired (Danneggiato) o Inoperable (Inutilizzabile). Puoi anche ricevere una notificaquando la directory torna a uno stato Active (Attivo).
Come funziona
Amazon SNS usa "argomenti" per raccogliere e distribuire i messaggi. Ogni argomento ha uno o piùsottoscrittori che ricevono i messaggi che sono stati pubblicati su quell'argomento. Con la proceduraseguente puoi aggiungere AWS Directory Service come publisher per un argomento Amazon SNS. QuandoAWS Directory Service rileva un cambiamento nello stato della directory, pubblica un messaggio perquell'argomento, che viene poi inviato ai sottoscrittori dell'argomento.
Puoi associare più directory come editori a un singolo argomento. Puoi anche aggiungere messaggi di statodella directory agli argomenti che in precedenza hai creato in Amazon SNS. Hai un controllo dettagliato suchi può pubblicare ed effettuare la sottoscrizione a un argomento. Per informazioni complete su AmazonSNS, consulta Che cos'è Amazon Simple Notification Service?.
Per abilitare la messaggistica SNS per la directory
1. Accedere alla Console di gestione AWS e aprire la console AWS Directory Service all'indirizzo https://console.aws.amazon.com/directoryservicev2/.
2. Nella pagina Directories (Directory), scegli l'ID della directory.3. Selezionare la scheda Maintenance (Manutenzione).4. Nella sezione Directory monitoring (Monitoraggio della directory) selezionare Actions (Operazioni),
quindi Create notification (Crea notifica).5. Nella pagina Create notification (Crea notifica) selezionare Choose a notification type (Seleziona
un tipo di notifica), quindi Create a new notification (Crea nuova notifica). In alternativa, se disponigià di un argomento SNS, puoi scegliere Associate existing SNS topic (Associa ad argomento SNSesistente) per l'invio di messaggi di stato da questa directory a tale argomento.
Note
Se scegli Create a new notification (Crea nuova notifica), ma utilizzi lo stesso nomedi argomento di un argomento SNS già esistente, Amazon SNS non creerà un nuovoargomento, ma aggiungerà semplicemente le nuove informazioni sulla sottoscrizioneall'argomento esistente.
Version 1.052
AWS Directory Service Guida di amministrazioneMonitoraggio della directory
Se scegli Associa ad argomento SNS esistente, potrai solo scegliere un argomento SNSpresente nella stessa regione della directory.
6. Scegli Recipient type (Tipo di destinatario) e inserisci le informazioni di contatto di Recipient(Destinatario). Se inserisci un numero di telefono per SMS, utilizza solo numeri. Non includere trattini,spazi o parentesi.
7. (Opzionale) Indicare un nome per l'argomento e il nome visualizzato SNS. Il nome visualizzato è unnome breve di massimo 10 caratteri incluso in tutti i messaggi SMS di questo argomento. Quandoutilizzi l'opzione SMS, il nome visualizzato è obbligatorio.
Note
Se hai effettuato l'accesso utilizzando un utente o un ruolo IAM con la sola policy gestitaDirectoryServiceFullAccess, il nome dell'argomento deve iniziare con "DirectoryMonitoring".Se desideri personalizzare ulteriormente il nome dell'argomento, avrai bisogno di ulterioriprivilegi per SNS.
8. Scegliere Create (Crea).
Se desideri designare ulteriori sottoscrittori SNS, come un indirizzo e-mail aggiuntivo, code Amazon SQS oAWS Lambda, puoi farlo dalla console Amazon SNS a https://console.aws.amazon.com/sns/v3/home.
Per rimuovere i messaggi di stato della directory da un argomento
1. Accedere alla Console di gestione AWS e aprire la console AWS Directory Service all'indirizzo https://console.aws.amazon.com/directoryservicev2/.
2. Nella pagina Directories (Directory), scegli l'ID della directory.3. Selezionare la scheda Maintenance (Manutenzione).4. Nella sezione Directory monitoring (Monitoraggio della directory) selezionare un nome argomento SNS
nell'elenco, scegliere Actions (Operazioni), quindi selezionare Remove (Rimuovi).5. Scegliere Remove (Rimuovi).
Questa operazione rimuove la directory come editore per l'argomento SNS selezionato. Se desiderieliminare l'intero argomento, puoi farlo dalla console Amazon SNS su https://console.aws.amazon.com/sns/v3/home.
Note
Prima di eliminare un argomento Amazon SNS tramite la console di SNS, devi accertarti che unadirectory non stia inviando messaggi di stato a tale argomento.Se elimini un argomento Amazon SNS tramite la console SNS, questa modifica non si rifletteràimmediatamente nella console Directory Services. Riceverai una notifica solo la prossima voltache una directory pubblica una notifica all'argomento eliminato, nel qual caso visualizzerai unostato aggiornato nella scheda Monitoring (Monitoraggio) della directory che indica che l'argomentonon è stato trovato.Pertanto, per evitare di perdere importanti messaggi di stato della directory, prima di eliminarequalsiasi argomento che riceve messaggi da AWS Directory Service, associa la directory a undiverso argomento Amazon SNS.
Analisi dei log della directory AWS Managed Microsoft ADI log di sicurezza dalle istanze dei controller di dominio AWS Managed Microsoft AD sono archiviati per unanno. Puoi anche configurare la directory AWS Managed Microsoft AD per inoltrare i log del controller didominio a Amazon CloudWatch Logs quasi in tempo reale. Per ulteriori informazioni, consulta Abilita inoltrodei log (p. 55).
AWS registra i seguenti eventi per motivi di conformità.
Version 1.053
AWS Directory Service Guida di amministrazioneMonitoraggio della directory
Categoria di monitoraggio Impostazione di policy Stato di audit
Accesso account Convalida delle credenziali diaudit
Esito positivo/negativo
Audit di altri eventi di accesso diaccount
Esito positivo/negativo
Gestione dell'account Audit della gestione dell'accountcomputer
Esito positivo/negativo
Audit di altri eventi di gestioneaccount
Esito positivo/negativo
Audit della gestione dei gruppi disicurezza
Esito positivo/negativo
Audit della gestione dell'accountutente
Esito positivo/negativo
Monitoraggio dettagliato Audit attività DPAPI Esito positivo/negativo
Audit attività PNP Riuscito
Audit della creazione dei processi Esito positivo/negativo
Accesso a DS Audit dell'accesso a DirectoryService
Esito positivo/negativo
Audit delle modifiche a DirectoryService
Esito positivo/negativo
Accesso/Disconnessione Audit blocco account Esito positivo/negativo
Audit della disconnessione Riuscito
Audit dell'accesso Esito positivo/negativo
Audit di altri eventi di accesso/disconnessione
Esito positivo/negativo
Audit dell'accesso speciale Esito positivo/negativo
Accesso agli oggetti Audit di altri eventi di accesso aoggetti
Esito positivo/negativo
Audit degli archivi rimovibili Esito positivo/negativo
Audit della gestione temporaneapolicy di accesso centrale
Esito positivo/negativo
Modifiche di policy Audit delle modifiche di policy Esito positivo/negativo
Audit delle modifiche delle policydi autenticazione
Esito positivo/negativo
Audit delle modifiche delle policydi autorizzazione
Esito positivo/negativo
Audit modifica policy a livello diregola MPSSVC
Riuscito
Version 1.054
AWS Directory Service Guida di amministrazioneMonitoraggio della directory
Categoria di monitoraggio Impostazione di policy Stato di audit
Audit altri eventi di modificapolicy
Errore
Uso dei privilegi Audit dell'uso di privilegi sensibili Esito positivo/negativo
Sistema Audit del driver IPsec Esito positivo/negativo
Audit di altri eventi di sistema Esito positivo/negativo
Audit della modifica statosicurezza
Esito positivo/negativo
Audit dell'estensione del sistemadi sicurezza
Esito positivo/negativo
Audit dell'integrità del sistema Esito positivo/negativo
Abilita inoltro dei logPuoi utilizzare la console AWS Directory Service o le API per inoltrare i log di eventi di sicurezza consoledel controller di dominio a Amazon CloudWatch Logs. Questo consente di soddisfare i requisiti dimonitoraggio di sicurezza, audit e policy di retention di log offrendo trasparenza degli eventi di sicurezzanella directory.
CloudWatch Logs può anche inoltrare questi eventi ad altri account AWS, servizi AWS o applicazioni diterze parti. Ciò semplifica il monitoraggio e la configurazione centralizzata degli avvisi che consentono dirilevare, in modo proattivo, attività insolite e rispondere a esse in tempo reale.
Una volta abilitata, puoi utilizzare la console CloudWatch Logs per recuperare i dati dal gruppo di logspecificato quando hai abilitato il servizio. Questo gruppo di log contiene i log di sicurezza dei controller didominio.
Per ulteriori informazioni sui gruppi di log e su come leggere i relativi dati, consulta Utilizzo di gruppi di log eflussi di log nella Guida per l'utente di Amazon CloudWatch Logs.
Per abilitare inoltro dei log
1. Nel riquadro di navigazione AWS Directory Service console, scegliere Directories (Directory).2. Scegliere l'ID directory della directory AWS Managed Microsoft AD da condividere.3. Nella pagina Directory details (Dettagli della directory) selezionare la scheda Networking & security
(Reti e sicurezza).4. Nella sezione Log forwarding (Inoltro dei log), scegliere Enable (Abilita).5. Nella finestra di dialogo Enable log forwarding to CloudWatch (Abilita l'inoltro dei log in CloudWatch),
scegliere una delle seguenti opzioni:
a. Selezionare Create a new CloudWatch log group (Crea un nuovo gruppo di log CloudWatch) ein Log group name (Nome gruppo di log) specificare un nome a cui è possibile fare riferimento inCloudWatch Logs.
b. Selezionare Choose an existing CloudWatch log group (Seleziona un gruppo di log CloudWatchesistente ) e in Gruppi di log CloudWatch esistenti, selezionare un gruppo di log dal menu.
6. Esaminare le informazioni sui prezzi e il collegamento e quindi scegliere Enable (Abilita).
Version 1.055
AWS Directory Service Guida di amministrazioneMonitoraggio della directory
Per disabilitare l'inoltro dei log
1. Nel riquadro di navigazione Console di AWS Directory Service, scegliere Directories (Directory).2. Scegliere l'ID directory della directory AWS Managed Microsoft AD da condividere.3. Nella pagina Directory details (Dettagli della directory) selezionare la scheda Networking & security
(Reti e sicurezza).4. Nella sezione Log forwarding (Inoltro dei log), scegliere Disable (Disabilita).5. Dopo aver letto le informazioni nella finestra di dialogo Disable log forwarding (Disabilita inoltro dei
log), scegliere Disable (Disabilita).
Utilizzo dell'interfaccia a riga di comando per abilitare l'inoltro dei logPrima di poter usare il comando ds create-log-subscription, è necessario creare un gruppo di logAmazon CloudWatch e quindi creare una policy di risorse IAM che concederà le autorizzazioni necessariea quel gruppo. Per abilitare l'inoltro di log utilizzando l'interfaccia a riga di comando, completare tutte le fasidescritte di seguito.
Fase 1 Creazione di un gruppo di log in CloudWatch Logs
Creare un gruppo di log che verrà utilizzato per ricevere i log di sicurezza dai controller di dominio.Consigliamo di aggiungere /aws/directoryservice/ prima del nome, ma non è obbligatorio. Adesempio: .
ESEMPIO DI COMANDO CLI
aws logs create-log-group --log-group-name '/aws/directoryservice/d-9876543210'
ESEMPIO DI COMANDO POWERSHELL
New-CWLLogGroup -LogGroupName '/aws/directoryservice/d-9876543210'
Per istruzioni sulla creazione di un gruppo CloudWatch Logs, consulta Creazione di un gruppo di log inCloudWatch Logs nella Guida per l'utente di Amazon CloudWatch Logs.
Fase 2. Creazione di un CloudWatch Logs Policy delle risorse in IAM
Creare una policy di risorse CloudWatch Logs che conceda ad AWS Directory Service i diritti peraggiungere log al nuovo gruppo di log creato nella fase 1. È possibile specificare l'ARN esatto per il gruppodi log per limitare l'accesso di Directory Service ad altri gruppi o utilizzare un carattere jolly per includeretutti i gruppi di log. La seguente policy di esempio usa il metodo con carattere jolly per specificare chesaranno inclusi tutti i gruppi di log che iniziano con /aws/directoryservice/ per l'account AWS doverisiede la directory.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ds.amazonaws.com" }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:YOUR_REGION:YOUR_ACCOUNT_NUMBER:log-group:/aws/directoryservice/*" } ]
Version 1.056
AWS Directory Service Guida di amministrazioneCondivisione della directory
}
È necessario salvare questa policy in un file di testo (ad esempio DSPolicy.json) sulla workstation localepoiché sarà necessario eseguirlo dall'interfaccia a riga di comando. Ad esempio: .
ESEMPIO DI COMANDO CLI
aws logs put-resource-policy --policy-name DSLogSubscription --policy-documentfile://DSPolicy.json
ESEMPIO DI COMANDO POWERSHELL
$PolicyDocument = Get-Content .\DSPolicy.json –Raw
Write-CWLResourcePolicy -PolicyName DSLogSubscription -PolicyDocument$PolicyDocument
Fase 3 Creazione di un AWS Directory Service Registra abbonamento
In questa fase finale è possibile abilitare l'inoltro di log creando la sottoscrizione di log. Ad esempio: .
ESEMPIO DI COMANDO CLI
aws ds create-log-subscription --directory-id 'd-9876543210' --log-group-name'/aws/directoryservice/d-9876543210'
ESEMPIO DI COMANDO POWERSHELL
New-DSLogSubscription -DirectoryId 'd-9876543210' -LogGroupName '/aws/directoryservice/d-9876543210'
Condivisione della directoryAWS Managed Microsoft AD è strettamente integrato con AWS Organizations per consentire condivisioneuna directory ottimizzata su più account AWS. Puoi condividere una singola directory con altri accountAWS affidabili all'interno della stessa organizzazione o condividere la directory con altri account AWS chesi trovano all'esterno dell'organizzazione. Puoi anche condividere la directory quando il tuo account AWSnon è attualmente un membro di un'organizzazione.
Note
AWS addebita un costo aggiuntivo per la condivisione directory. Per ulteriori informazioni, consultala pagina Prezzi sul sito Web di AWS Directory Service.
La condivisione delle directory rende AWS Managed Microsoft AD un metodo particolarmente convenienteper l'integrazione di Amazon EC2 in più account e VPC. Questa funzionalità è disponibile in tutte le regioniAWS in cui viene offerto AWS Managed Microsoft AD.
Note
Nella regione AWS Cina (Ningxia), questa caratteristica è disponibile solo quando si utilizza AWSSystems Manager (SSM) per unire senza problemi le istanze Amazon EC2.
Per ulteriori informazioni sulla condivisione directory e su come estendere la copertura della directory AWSManaged Microsoft AD sui limiti dell'account AWS, consulta i seguenti argomenti.
Argomenti• Concetti di condivisione directory chiave (p. 58)• Tutorial Condivisione del tuo AWS Managed Microsoft AD Directory per unione di dominio EC2 senza
soluzione di continuità (p. 59)• Annullamento della condivisione della directory (p. 65)
Version 1.057
AWS Directory Service Guida di amministrazioneCondivisione della directory
Concetti di condivisione directory chiavePotrai ottimizzare l'utilizzo della caratteristica di condivisione directory acquisendo familiarità con i seguenticoncetti fondamentali.
Account del proprietario della directoryIl proprietario di una directory è il titolare dell'account AWS che possiede la directory di origine nellarelazione directory condivisa. Un amministratore in questo account avvia il flusso di lavoro di condivisionedirectory specificando con quali account AWS condividere la directory. I proprietari di directory possonovedere con chi hanno condiviso una directory utilizzando la scheda Scale & Share (Dimensiona e condividi)per una directory specificata nella console AWS Directory Service.
Account dell'utilizzatore della directoryIn una relazione directory condivisa, un utilizzatore della directory rappresenta l'account AWS con cui ilproprietario della directory ha condiviso la directory. A seconda del metodo di condivisione utilizzato, èpossibile che un amministratore in questo account debba accettare un invito inviato dal proprietario delladirectory prima di iniziare a utilizzare la directory condivisa.
Il processo di condivisione directory crea una directory condivisa nell'account dell'utilizzatore della directory.Questa directory condivisa contiene i metadati che consentono di unire senza interruzioni l'istanza EC2al dominio; ciò individua la directory di origine nell'account del proprietario della directory. Ogni directorycondivisa nell'account dell'utilizzatore della directory dispone di un identificatore univoco (Shared directoryID (ID directory condivisa)).
Metodi di condivisioneAWS Managed Microsoft AD fornisce i seguenti due metodi di condivisione della directory:
• AWS Organizations – Questo metodo consente di semplificare la condivisione della directory all'internodell'organizzazione perché è possibile individuare e convalidare gli account dell'utilizzatore delladirectory. Per utilizzare questa opzione, l'organizzazione deve avere Tutte le caratteristiche abilitatoe la directory deve essere nell'organizzazione management account. Questo metodo di condivisionesemplifica la configurazione perché non richiede che gli account dell'utilizzatore della directory accettinola richiesta di condivisione della directory. Nella console, questo metodo è denominato Share thisdirectory with AWS accounts inside your organization (Condividi questa directory con altri account AWSall'interno della tua organizzazione).
Version 1.058
AWS Directory Service Guida di amministrazioneCondivisione della directory
• Handshake - Questo metodo consente la condivisione directory durante l'utilizzo di AWS Organizations.Il metodo di handshake richiede che l'account dell'utilizzatore della directory accetti la richiesta dicondivisione della directory. Nella console, questo metodo è denominato Share this directory with otherAWS accounts (Condividi questa directory con altri account AWS).
Connettività di reteLa connettività di rete è un prerequisito per utilizzare una relazione di condivisione di directory tra gliaccount AWS. AWS supporta molte soluzioni per connettere i VPC, tra cui Peering VPC, Transit Gateway eVPN. Per iniziare, consulta Tutorial Condivisione del tuo AWS Managed Microsoft AD Directory per unionedi dominio EC2 senza soluzione di continuità (p. 59).
Tutorial Condivisione del tuo AWS Managed Microsoft ADDirectory per unione di dominio EC2 senza soluzione di continuitàIn questo tutorial viene mostrato come condividere la directory AWS Managed Microsoft AD (l'account delproprietario della directory) con un altro account AWS (l'account dell'utilizzatore della directory). Dopo avercompletato i prerequisiti di rete, sarà possibile condividere una directory tra due account AWS. Verrà quindimostrato come unire senza interruzioni un'istanza EC2 a un dominio nell'account dell'utilizzatore delladirectory.
Ti consigliamo di rivedere innanzitutto i concetti chiave di condivisione di directory e utilizzare il contenutodel caso d'uso prima di iniziare a utilizzare questo tutorial. Per ulteriori informazioni, consulta Concetti dicondivisione directory chiave (p. 58).
Il processo di condivisione della directory è diverso a seconda che la directory venga condivisa con un altroaccount AWS nella stessa organizzazione AWS o con un account esterno all'organizzazione AWS. Perulteriori informazioni sul funzionamento della condivisione, consulta Metodi di condivisione (p. 58).
Questo flusso di lavoro ha quattro fasi di base.
Fase 1 Configurazione dell'ambiente di rete (p. 60)
Nell'account del proprietario della directory, configura tutti i prerequisiti di rete necessari per il processodi condivisione della directory.
Fase 2. Condivisione della directory (p. 62)
Dopo aver effettuato l'accesso con le credenziali di amministratore del proprietario della directory, aprila console AWS Directory Service e avvia il flusso di lavoro di condivisione directory, che invia un invitoall'account dell'utilizzatore della directory.
Fase 3 Accetta invito directory condivisa (facoltativo) (p. 62)
Dopo aver effettuato l'accesso con le credenziali di amministratore dell'utilizzatore della directory, aprila console AWS Directory Service e accetta l'invito di condivisione della directory.
Version 1.059
AWS Directory Service Guida di amministrazioneCondivisione della directory
Fase 4. Test di collegamento continuo di un'istanza EC2 per Windows Server a un dominio (p. 63)
Infine, in qualità di amministratore utilizzatore della directory, puoi tentare di unire un'istanza EC2 aldominio e verificare che funzioni.
Risorse aggiuntive
• Caso d'uso: Condividere la directory per unire senza problemi le istanze Amazon EC2 a un dominio traaccount AWS
• Articolo del blog sulla sicurezza AWS: Come unire istanze Amazon EC2 da più account e VPC a unasingola directory Microsoft AD gestita da AWS
Fase 1 Configurazione dell'ambiente di rete
Prima di iniziare le fasi in questo tutorial, è necessario, innanzitutto, eseguire le operazioni seguenti:
• Crea due nuovi account AWS a scopo di test nella stessa regione. Quando crei un account AWS, vienecreato automaticamente un VPC dedicato in ogni account. Prendi nota dell'ID VPC in ogni account.Saranno necessari in seguito.
• Crea una connessione peering di VPC tra due VPC in ogni account utilizzando le procedure in questafase.
Note
Sebbene ci siano molti modi per connettere i VPC del proprietario della directory e i VPCdell'account utente Directory, questa esercitazione utilizzerà il metodo di peering VPC. Perulteriori opzioni di connettività VPC, consulta Connettività di rete (p. 59).
Configura una connessione peering di VPC tra il proprietario della directory e l'accountdell'utilizzatore della directory
La connessione peering di VPC creata è tra i VPC dell'utilizzatore della directory e il proprietario delladirectory. Segui queste fasi per configurare una connessione peering di VPC per la connettività conl'account dell'utilizzatore della directory. Con questa connessione puoi instradare il traffico tra entrambi iVPC utilizzando indirizzi IP privati.
Per creare una connessione peering di VPC tra l'account del proprietario della directory e l'accountdell'utilizzatore della directory
1. Aprire la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/. Assicurarsi dieseguire l'accesso come un utente con credenziali di amministratore nell'account del proprietario delladirectory.
2. Nel riquadro di navigazione, scegliere Peering Connections (Connessioni peering). Quindi scegliereCreate Peering Connection (Crea connessione peering).
3. Configurare le seguenti informazioni:
• Tag nome connessione peering: Fornire un nome che identifichi chiaramente questa connessionecon il VPC nell'account del consumatore della directory.
• VPC (richiedente): Selezionare l'ID VPC per l'account del proprietario della directory.• In Select another VPC to peer with (Seleziona un altro VPC da collegare in peering), accertarsi che
My account (Il mio account) e This region (Questa regione) siano entrambe selezionate.• VPC (accettante): Selezionare l'ID VPC per l'account del consumatore della directory.
4. Scegliere Create Peering Connection (Crea connessione peering). Nella finestra di dialogo diconferma, scegliere OK.
Version 1.060
AWS Directory Service Guida di amministrazioneCondivisione della directory
Poiché entrambi i VPC si trovano nella stessa regione, l'amministratore dell'account del proprietario delladirectory che ha inviato la richiesta di peering di VPC può anche accettare la richiesta di peering per contodell'account dell'utilizzatore della directory.
Per accettare la richiesta di peering per conto dell'account dell'utilizzatore della directory
1. Aprire la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.2. Nel riquadro di navigazione, scegliere Peering Connections (Connessioni peering).3. Selezionare la connessione peering di VPC in attesa. (Il suo stato è In attesa di accettazione.) Scegli
Azioni, Accetta richiesta.4. Nella finestra di dialogo di conferma, scegliere Yes, Accept (Sì, accetta). Nella finestra di dialogo di
conferma successiva, scegliere Modify my route tables now (Modifica le tabelle di routing ora ) peraccedere direttamente alla pagina delle tabelle di routing.
A questo punto, la connessione peering di VPC è attiva e devi quindi aggiungere una voce alla tabella dirouting VPC nell'account del proprietario della directory. Questo consente di indirizzare il traffico al VPCnell'account dell'utilizzatore della directory.
Per aggiungere una voce alla tabella di routing VPC nell'account del proprietario della directory
1. Nella sezione Route Tables (Tabelle di routing) della console Amazon VPC, selezionare la tabella dirouting per il VPC del proprietario della directory.
2. Scegliere la scheda Routes (Route), selezionare Edit (Modifica), quindi Add another route (Aggiungiun'altra route ).
3. Nella colonna Destination (Destinazione), immettere il blocco CIDR per il VPC dell'utilizzatore delladirectory.
4. Nella colonna Target (Destinazione), immettere l'ID connessione peering di VPC (ad esempiopcx-123456789abcde000) per la connessione peering creata in precedenza nell'account delproprietario della directory.
5. Seleziona Save (Salva).
Per aggiungere una voce alla tabella di routing VPC nell'account dell'utilizzatore della directory
1. Nella sezione Route Tables (Tabelle di routing) della console Amazon VPC, selezionare la tabella dirouting per il VPC dell'utilizzatore della directory.
2. Scegliere la scheda Routes (Route), selezionare Edit (Modifica), quindi Add another route (Aggiungiun'altra route ).
3. Nella colonna Destination (Destinazione), immettere il blocco CIDR per il VPC del proprietario delladirectory.
4. Nella colonna Target (Destinazione), digitare l'ID connessione peering di VPC (ad esempiopcx-123456789abcde001) per la connessione peering creata in precedenza nell'accountdell'utilizzatore della directory.
5. Seleziona Save (Salva).
Accertati di configurare il gruppo di sicurezza del VPC dell'utilizzatore della directory per attivare il trafficoin uscita aggiungendo i protocolli e le porte Active Directory alla tabella delle regole in uscita. Per ulterioriinformazioni, consulta Gruppi di sicurezza per il VPC e Prerequisiti di AWS Managed Microsoft AD.
Approfondimenti
Fase 2. Condivisione della directory (p. 62)
Version 1.061
AWS Directory Service Guida di amministrazioneCondivisione della directory
Fase 2. Condivisione della directory
Utilizza le seguenti procedure per avviare il flusso di lavoro di condivisione directory dall'account delproprietario della directory.
Per condividere la directory dall'account del proprietario della directory
1. Eseguire l'accesso ad Console di gestione AWS con le credenziali di amministratore nell'accountdel proprietario della directory e aprire la AWS Directory Service console all'indirizzo https://console.aws.amazon.com/directoryservicev2/.
2. Nel riquadro di navigazione, seleziona Directories (Directory).3. Scegliere l'ID directory della directory AWS Managed Microsoft AD da condividere.4. Nella pagina Directory details (Dettagli della directory), scegliere la scheda Scale & share (Dimensiona
e condividi).5. Nella sezione Shared directories (Directory condivise), scegliere Actions (Operazioni), quindi
selezionare Create new shared directory (Crea nuova directory condivisa ).6. Nella pagina Choose which AWS accounts to share with (Scegli gli account AWS da condividere),
scegliere uno dei metodi di condivisione a seconda delle necessità aziendali:
a. Share this directory with AWS accounts inside your organization (Condividi questa directory conaccount AWS all'interno della tua organizzazione) - Con questa opzione è possibile selezionaregli account AWS da condividere con la directory da una elenco che mostra tutti gli account AWSall'interno dell'organizzazione AWS. Prima di condividere una directory, è necessario abilitarel'accesso sicuro con AWS Directory Service. Per ulteriori informazioni, consulta la sezione relativaa come abilitare o disabilitare l'accesso sicuro.
i. In AWS accounts in your organization (Account AWS nell'organizzazione ), selezionare gliaccount AWS con cui condividere la directory e cliccare Add (Aggiungi).
ii. Esaminare i dettagli prezzi e quindi scegliere Share (Condividi).iii. Continuare con la fase 4 (p. 63) in questa guida. Poiché tutti gli account AWS si trovano
nella stessa organizzazione, non occorre seguire la fase 3.b. Share this directory with other AWS accounts (Condividi questa directory con altri account AWS) -
Con questa opzione, è possibile condividere una directory con gli account all'interno o all'esternodell'organizzazione AWS. È anche possibile usare questa opzione quando la directory non è unmembro di un'organizzazione AWS e si desidera condividere con un altro account AWS.
i. In AWS account ID(s) (ID account AWS), immettere tutti gli ID account AWS con cuicondividere la directory, quindi cliccare Add (Aggiungi).
ii. In Send a note (Invia una nota), digitare una messaggio per l'amministratore nell'altro accountAWS.
iii. Esaminare i dettagli prezzi e quindi scegliere Share (Condividi).iv. Continuare con la fase 3.
Approfondimenti
Fase 3 Accetta invito directory condivisa (facoltativo) (p. 62)
Fase 3 Accetta invito directory condivisa (facoltativo)
Se nella procedura precedente è stata selezionata l'opzione Share this directory with other AWS accounts(Condividi questa directory con altri account AWS ) (metodo handshake), utilizza questa procedura perterminare il flusso di lavoro directory condivisa. Se scegli l'opzione Share this directory with AWS accountsinside your organization (Condividi questa directory con account AWS all'interno della tua organizzazione),ignora questa fase e continua con la fase 4.
Version 1.062
AWS Directory Service Guida di amministrazioneCondivisione della directory
Per accettare l'invito directory condivisa
1. Eseguire l'accesso ad Console di gestione AWS con le credenziali di amministratore nell'accountdell'utilizzatore della directory e aprire la AWS Directory Service console all'indirizzo https://console.aws.amazon.com/directoryservicev2/.
2. Nel riquadro di navigazione, scegliere Directories shared with me (Directory condivise).3. Nella colonna Shared directory ID (ID directory condivisa ), scegliere l'ID della directory che si trova
nello stato Pending acceptance (Accettazione in sospeso ).4. Nella pagina Shared directory details (Visualizza dettagli della directory), scegliere Review (Revisione).5. Nella finestra di dialogo Pending shared directory invitation (Invito directory condivisa in sospeso ),
rivedere la nota, i dettagli del proprietario della directory e le informazioni relative la prezzo. Se siaccetta, scegliere Accept (Accetta) per iniziare a utilizzare la directory.
Approfondimenti
Fase 4. Test di collegamento continuo di un'istanza EC2 per Windows Server a un dominio (p. 63)
Fase 4. Test di collegamento continuo di un'istanza EC2 per Windows Server a undominio
Puoi utilizzare uno dei due metodi seguenti per testare la semplice aggiunta di dominio.
Metodo 1: Eseguire il test del join di dominio utilizzando la Amazon EC2 console
Utilizza questa fase nell'account dell'utilizzatore della directory.
1. Accedi alla Console di gestione AWS e apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.
2. Nella barra di navigazione dello strumento di selezione della regione, scegli la stessa regione delladirectory esistente.
3. Scegliere Launch Instance (Avvia istanza).4. Nella pagina Step 1 (Fase 1), scegli Select (Seleziona) per l'AMI appropriata.5. Nella pagina Step 2 (Fase 2), seleziona il tipo di istanza giusto e scegli Next: Configure Instance
Details (Successivo: configura dettagli istanza).6. Nella pagina Step 3 (Fase 3), eseguire le operazioni seguenti e scegliere Next: Add Storage
(Successivo: Aggiungi storage):
1. Per Network (Rete), scegli il VPC in cui la tua directory è stata creata.2. Per Subnet (Sottorete), seleziona una delle sottoreti pubbliche nel tuo VPC. La sottorete che
selezioni deve avere tutto il traffico esterno instradato a un gateway Internet. In caso contrario, nonpotrai connetterti in remoto all'istanza.
3. Per Auto-assign Public IP (Assegna automaticamente IP pubblico), scegliere Enable (Abilita).
Per ulteriori informazioni sulle impostazioni degli indirizzi IP pubblici e privati, consultareAssegnazione degli indirizzi IP delle istanze EC2 Amazon nella Guida per l'utente di Amazon EC2per le istanze Windows.
4. Per la Domain join directory (Directory aggiunta dominio), selezionare il dominio dall'elenco.
Note
Questa opzione è disponibile solo per le istanze di Windows. Le istanze Linux devonoessere collegate manualmente alla directory come illustrato in Collegamento manuale diun'istanza Linux (p. 74).
5. In IAM role (Ruolo IAM), eseguire una delle seguenti operazioni:
Version 1.063
AWS Directory Service Guida di amministrazioneCondivisione della directory
Selezionare un ruolo IAM che ha le policy gestite AWS AmazonSSMManagedInstanceCore eAmazonSSMDirectoryServiceAccess collegate.
-oppure-
Se non si è creato un ruolo IAM che ha le policy gestite AmazonSSMManagedInstanceCore eAmazonSSMDirectoryServiceAccess collegate, scegliere il collegamento Create new IAM role (Creanuovo ruolo IAM) ed eseguire quanto segue:a. Seleziona Create role (Crea ruolo).b. In Select type of trusted entity (Seleziona tipo di entità attendibile), scegliere AWS service
(Servizio AWS).c. In Scegli il servizio che questo ruolo utilizzerà, nell'elenco completo di servizi, scegliere EC2.d. In Select your use case (Seleziona il caso d'uso), selezionare EC2 e quindi Next: Permissions
(Successivo: autorizzazioni).e. Nell’elenco di policy, selezionare le policy AmazonSSMManagedInstanceCore e
AmazonSSMDirectoryServiceAccess. (Per filtrare l’elenco, digitare SSM nella casella di ricerca.)
Note
AmazonSSMDirectoryServiceAccess fornisce le autorizzazioni per collegarele istanze a una Active Directory gestita da AWS Directory Service.AmazonSSMManagedInstanceCore fornisce le autorizzazioni minime necessarie perutilizzare il servizio Systems Manager. Per ulteriori informazioni sulla creazione di unruolo con queste autorizzazioni e per informazioni su altre autorizzazioni e policy che èpossibile assegnare al ruolo IAM, consultare Crea un profilo di istanza IAM per SystemsManager nella Guida per l'utente di AWS Systems Manager.
f. Scegliere Next: Tags (Successivo: Tag).g. (Facoltativo) Aggiungere una o più coppie chiave-valore di tag da organizzare, monitorare o
controllare l'accesso per questo ruolo, quindi scegliere Next: Review (Successivo: Rivedi).h. Per Role nome (Nome ruolo), immettere un nome per il nuovo ruolo, ad esempio
EC2DomainJoin o un altro nome che si preferisce.i. (Facoltativo) Per Role Description (Descrizione ruolo), immettere una descrizione.j. Seleziona Create role (Crea ruolo).k. Tornare alla pagina Step 3 (Fase 3). Per IAM role (Ruolo IAM), seleziona l'icona di
aggiornamento accanto a IAM role (Ruolo IAM). Il tuo nuovo ruolo deve essere visibile nel menua discesa. Selezionarlo e lasciare il resto delle impostazioni su questa pagina con i propri valoripredefiniti, quindi selezionare Next: Add Storage (Successivo: aggiungi storage).
7. Nelle pagine Step 4 (Fase 4) e Step 5 (Fase 5), mantenere le impostazioni predefinite o apportare lemodifiche desiderate, quindi scegliere i pulsanti Next (Avanti).
8. Nella pagina Step 6 (Fase 6), selezionare un gruppo di sicurezza per l'istanza configurata perconsentire l'accesso remoto all'istanza dalla rete, quindi scegliere Review and Launch (Analizza eavvia).
9. Nella pagina Step 7 (Fase 7), scegliere Launch (Avvia), selezionare una coppia di chiavi e scegliereLaunch Instance (Avvia istanza).
Metodo 2: Eseguire il test del join di dominio utilizzando la AWS Console di Systems Manager
Uso questa fase nell'account dell'utilizzatore della directory. Per completare questa procedura, sononecessarie alcune informazioni sull'account del proprietario della directory.
Note
Assicurarsi di collegare le policy gestite AmazonSSMManagedInstanceCore eAmazonSSMDirectoryServiceAccess alle autorizzazioni del ruolo IAM per l’istanza prima di iniziare
Version 1.064
AWS Directory Service Guida di amministrazioneCondivisione della directory
le fasi in questa procedura. Per informazioni su queste policy gestite e altre policy che è possibilecollegare a un profilo di istanza IAM per Systems Manager, consulta Creazione di un profilodi istanza IAM per Systems Manager nella Guida per l'utente di AWS Systems Manager. Perinformazioni sulle policy gestite, consulta Policy gestite AWS nella Guida per l'utente di IAM.
1. Accedi a Console di gestione AWS e apri la console AWS Systems Manager all'indirizzo https://console.aws.amazon.com/systems-manager/.
2. Nel riquadro di navigazione, selezionare Run Command.3. Selezionare Run command.4. Nella pagina Run a command (Esegui un comando), cerca AWS-JoinDirectoryServiceDomain. Quando
viene visualizzata nei risultati di ricerca, seleziona l'opzione AWS-JoinDirectoryServiceDomain.5. Scorri verso il basso fino alla sezione Command parameters (Parametri comando). Occorre fornire i
seguenti parametri:
• Per Directory Id (ID directory), immettere il nome della directory AWS Directory Service.
Note
Puoi individuare il valore Directory Id (ID directory) tornando alla console AWS DirectoryService, scegliendo Directories shared with me (Directory condivise), selezionando ladirectory e quindi trovando il valore nella sezione Shared directory details (Visualizzadettagli della directory ).
• Per Directory Name (Nome directory), immettere il nome della directory (per l’account delproprietario della directory).
• Per Dns Ip Addresses (Indirizzi IP DNS), immettere gli indirizzi IP dei server DNS nella directory (perl’account del proprietario della directory).
Note
Puoi individuare i valori per Directory Name (Nome directory) e Dns Ip Addresses (IndirizziIP DNS) tornando alla console AWS Directory Service, scegliendo Directories shared withme (Directory condivise), selezionando la directory ed esaminando gli attributi trovati nellasezione Owner directory details (Dettagli della directory proprietario).
6. Per Targets (Destinazioni), selezionare le istanze che si desidera aggiungere al dominio.7. Lascia il resto del modulo impostato sui valori predefiniti, scorri la pagina verso il basso e quindi scegli
Run (Esegui).8. Nel riquadro di navigazione, selezionare Managed Instances (Istanze gestite).9. Verifica che l'istanza sia stata aggiunta al dominio esaminandola nell'elenco. Se il campo Association
Status (Stato associazione) visualizza Success (Riuscito), l'istanza è stata aggiunta al dominio.
Dopo aver completato uno di questi passaggi, dovrebbe essere possibile aggiungere l'istanza EC2 aldominio. Al termine, puoi accedere all'istanza utilizzando un client Remote Desktop Protocol (RDP) con lecredenziali dell'account utente AWS Managed Microsoft AD.
Annullamento della condivisione della directoryPer annullare la condivisione di una directory AWS Managed Microsoft AD, utilizza la procedura seguente.
Per annullare la condivisione della directory
1. Nel riquadro di navigazione di AWS Directory Service console, in Active Directory, selezionareDirectories (Directory).
2. Scegliere l'ID directory della directory AWS Managed Microsoft AD da condividere.
Version 1.065
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
3. Nella pagina Directory details (Dettagli della directory), scegliere la scheda Scale & share (Dimensionae condividi).
4. Nella sezione Shared directories (Directory condivise), selezionare la directory condivisa di cuiannullare la condivisione e scegliere Actions (Operazioni), Unshare (Annulla condivisione).
5. Nella finestra di dialogo Unshare directory (Annulla condivisione directory), scegliere Unshare (Annullacondivisione).
Risorse aggiuntive
• Caso d'uso: Condividere la directory per unire in modo trasparente le istanze Amazon EC2 a un dominioin tutto AWS Conti
• AWS Articolo del blog sulla sicurezza: Come unire istanze Amazon EC2 da più account e VPC a unsingolo AWS Directory di Microsoft AD gestita
• Unisciti al tuo Amazon RDS Istanze database tra account in un singolo dominio condiviso
Collega un'istanza EC2 alla tua directory AWSManaged Microsoft ADPuoi collegare in tutta facilità un'istanza EC2 al dominio della directory quando l'istanza viene avviatautilizzando AWS Systems Manager. Per ulteriori informazioni, consulta la pagina sull'aggiunta di un'istanzadi Windows a un dominio AWS Directory Service nella guida Guida per l'utente di Amazon EC2 per leistanze Windows.
Se devi aggiungere manualmente un'istanza EC2 al tuo dominio, devi avviare l'istanza nella regione e nelgruppo di sicurezza o nella sottorete corretti e collegare l'istanza al dominio.
Per essere in grado di connettersi in remoto a queste istanze, devi disporre di connettività IP per le istanzedalla rete da cui ti connetti. Nella maggior parte dei casi, questo richiede che un gateway Internet siaassociato al VPC e che l'istanza disponga di un indirizzo IP pubblico.
Argomenti• Aggiunta di un'istanza EC2 Windows (p. 66)• Collegamento manuale di un'istanza Windows (p. 68)• Unisci in modo trasparente un'istanza EC2 Linux al tuo AWS Managed Microsoft AD Rubrica (p. 70)• Collegamento manuale di un'istanza Linux (p. 74)• Delegare i privilegi di aggiunta per AWS Managed Microsoft AD (p. 85)• Crea un set di opzioni DHCP (p. 87)
Aggiunta di un'istanza EC2 WindowsQuesta procedura collega perfettamente un'istanza EC2 Windows alla directory AWS ManagedMicrosoft AD. Se occorre eseguire una semplice aggiunta di dominio tra più account AWS, puoi sceglierefacoltativamente di abilitare la condivisione di directory. Per ulteriori informazioni, consulta TutorialCondivisione del tuo AWS Managed Microsoft AD Directory per unione di dominio EC2 senza soluzione dicontinuità (p. 59).
Per collegare perfettamente un'istanza EC2 Windows
1. Accedi alla Console di gestione AWS e apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.
Version 1.066
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
2. Nella barra di navigazione dello strumento di selezione della regione, scegli la stessa regione delladirectory esistente.
3. Scegliere Launch Instance (Avvia istanza).4. Nella pagina Step 1 (Fase 1), scegli Select (Seleziona) per l'AMI appropriata.5. Nella pagina Step 2 (Fase 2), seleziona il tipo di istanza giusto e scegli Next: Configure Instance
Details (Successivo: configura dettagli istanza).6. Nella pagina Step 3 (Fase 3), eseguire le operazioni seguenti e scegliere Next: Add Storage
(Successivo: Aggiungi storage):
1. Per Network (Rete), scegli il VPC in cui la tua directory è stata creata.2. Per Subnet (Sottorete), seleziona una delle sottoreti pubbliche nel tuo VPC. La sottorete che
selezioni deve avere tutto il traffico esterno instradato a un gateway Internet. In caso contrario, nonpotrai connetterti in remoto all'istanza.
3. Per Auto-assign Public IP (Assegna automaticamente IP pubblico), scegliere Enable (Abilita).
Per ulteriori informazioni sulle impostazioni degli indirizzi IP pubblici e privati, consultareAssegnazione degli indirizzi IP delle istanze EC2 Amazon nella Guida per l'utente di Amazon EC2per le istanze Windows.
4. Per la Domain join directory (Directory aggiunta dominio), selezionare il dominio dall'elenco.
Note
Questa opzione è disponibile solo per le istanze di Windows. Le istanze Linux devonoessere collegate manualmente alla directory come illustrato in Collegamento manuale diun'istanza Linux (p. 74).
5. In IAM role (Ruolo IAM), eseguire una delle seguenti operazioni:
Selezionare un ruolo IAM che ha le policy gestite AWS AmazonSSMManagedInstanceCore eAmazonSSMDirectoryServiceAccess collegate.
-oppure-
Se non si è creato un ruolo IAM che ha le policy gestite AmazonSSMManagedInstanceCore eAmazonSSMDirectoryServiceAccess collegate, scegliere il collegamento Create new IAM role (Creanuovo ruolo IAM) ed eseguire quanto segue:a. Seleziona Create role (Crea ruolo).b. In Select type of trusted entity (Seleziona tipo di entità attendibile), scegliere AWS service
(Servizio AWS).c. In Scegli il servizio che questo ruolo utilizzerà, nell'elenco completo di servizi, scegliere EC2.d. In Select your use case (Seleziona il caso d'uso), selezionare EC2 e quindi Next: Permissions
(Successivo: autorizzazioni).e. Nell’elenco di policy, selezionare le policy AmazonSSMManagedInstanceCore e
AmazonSSMDirectoryServiceAccess. (Per filtrare l’elenco, digitare SSM nella casella di ricerca.)
Note
AmazonSSMDirectoryServiceAccess fornisce le autorizzazioni per collegarele istanze a una Active Directory gestita da AWS Directory Service.AmazonSSMManagedInstanceCore fornisce le autorizzazioni minime necessarie perutilizzare il servizio Systems Manager. Per ulteriori informazioni sulla creazione di unruolo con queste autorizzazioni e per informazioni su altre autorizzazioni e policy che èpossibile assegnare al ruolo IAM, consultare Crea un profilo di istanza IAM per SystemsManager nella Guida per l'utente di AWS Systems Manager.
f. Scegliere Next: Tags (Successivo: Tag).Version 1.067
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
g. (Facoltativo) Aggiungere una o più coppie chiave-valore di tag da organizzare, monitorare ocontrollare l'accesso per questo ruolo, quindi scegliere Next: Review (Successivo: Rivedi).
h. Per Role nome (Nome ruolo), immettere un nome per il nuovo ruolo, ad esempioEC2DomainJoin o un altro nome che si preferisce.
i. (Facoltativo) Per Role Description (Descrizione ruolo), immettere una descrizione.j. Seleziona Create role (Crea ruolo).k. Tornare alla pagina Step 3 (Fase 3). Per IAM role (Ruolo IAM), seleziona l'icona di
aggiornamento accanto a IAM role (Ruolo IAM). Il tuo nuovo ruolo deve essere visibile nel menua discesa. Selezionarlo e lasciare il resto delle impostazioni su questa pagina con i propri valoripredefiniti, quindi selezionare Next: Add Storage (Successivo: aggiungi storage).
7. Nelle pagine Step 4 (Fase 4) e Step 5 (Fase 5), mantenere le impostazioni predefinite o apportare lemodifiche desiderate, quindi scegliere i pulsanti Next (Avanti).
8. Nella pagina Step 6 (Fase 6), selezionare un gruppo di sicurezza per l'istanza configurata perconsentire l'accesso remoto all'istanza dalla rete, quindi scegliere Review and Launch (Analizza eavvia).
9. Nella pagina Step 7 (Fase 7), scegliere Launch (Avvia), selezionare una coppia di chiavi e scegliereLaunch Instance (Avvia istanza).
Collegamento manuale di un'istanza WindowsPer collegare manualmente un'istanza di Windows Amazon EC2 esistente a una directory Simple AD oAWS Directory Service for Microsoft Active Directory, l'istanza deve essere avviata come specificato inAggiunta di un'istanza EC2 Windows (p. 66).
Collegamento di un'istanza di Windows a una directory Simple AD o AWS Managed Microsoft AD
1. Connettiti all'istanza utilizzando qualsiasi client Remote Desktop Protocol.2. Apri la finestra di dialogo delle proprietà TCP/IPv4 sull'istanza.
a. Apri Network Connections (Connessioni di rete).
Tip
Puoi aprire le Network Connections (Connessioni di rete) direttamente eseguendo quantosegue da un prompt del comando sull'istanza.
%SystemRoot%\system32\control.exe ncpa.cpl
b. Apri il menu contestuale (fai clic con il pulsante destro del mouse) per qualsiasi connessione direte abilitata e scegli Properties (Proprietà).
c. Nella finestra di dialogo delle proprietà di connessione, apri (doppio clic) Internet Protocol Version4 (Protocollo Internet versione 4).
3. Seleziona Use the following DNS server addresses (Utilizza i seguenti indirizzi server DNS), modifica ilPreferred DNS server (server DNS preferito) e gli indirizzi Alternate DNS server (server DNS alternati)con gli indirizzi IP dei server DNS forniti da AWS Directory Service e scegli OK.
Version 1.068
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
4. Apri la finestra di dialogo System Properties (Proprietà del sistema) per l'istanza, seleziona la schedaComputer Name (Nome computer) e scegli Change (Modifica).
Tip
Puoi aprire la finestra di dialogo System Properties (Proprietà di sistema) direttamenteeseguendo quanto segue da un prompt del comando sull'istanza.
%SystemRoot%\system32\control.exe sysdm.cpl
5. Nel campo Membro di seleziona Dominio, immetti il nome completo della tua directory AWS DirectoryService e scegli OK.
6. Quando viene richiesto di specificare il nome e la password per l'amministratore del dominio, immettiil nome utente e la password di un account che dispone di privilegi di aggiunta di dominio. Per ulterioriinformazioni sulla delega di questi privilegi, consulta Delegare i privilegi di aggiunta per AWS ManagedMicrosoft AD (p. 85).
Note
Puoi inserire il nome completo del dominio o il nome NetBios, seguiti da una barra rovesciata(\) e dal nome utente.Se si utilizza AWS Managed Microsoft AD, il nome utente diventerebbe Admin. Ad esempio,corp.example.com\admin o corp\admin.Se si utilizza Simple AD, il nome utente sarebbe Amministratore. Ad esempio,corp.example.com\administrator o corp\administrator.
7. Dopo aver ricevuto il messaggio che ti invita al dominio, riavvia l'istanza perché le modifiche diventinoeffettive.
Ora che la tua istanza è stata aggiunta al dominio, puoi accedere all'istanza in remoto e installare utilità pergestire la directory, ad esempio l'aggiunta di utenti e gruppi.
Version 1.069
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
Unisci in modo trasparente un'istanza EC2 Linux al tuo AWSManaged Microsoft AD RubricaQuesta procedura consente di unire un'istanza EC2 Linux a AWS Managed Microsoft AD directory. Se ènecessario eseguire un'unione di dominio ininterrotta tra più AWS account, è possibile scegliere di abilitareCondivisione di directory.
Sono supportate le seguenti distribuzioni e versioni di istanze Linux:
• AMI Amazon Linux 2018.03.0• Amazon Linux 2 (64-bit x86)• Red Hat Enterprise Linux 8 (HVM) (64-bit x86)• Ubuntu Server 18.04 LTS e Ubuntu Server 16.04 LTS• CentOS 7 x86-64• SUSE Linux Enterprise Server 15 SP1
Note
Le distribuzioni precedenti a Ubuntu 14 e Red Hat Enterprise Linux 7 non supportano lafunzionalità di join del dominio senza soluzione di continuità.
PrerequisitesPrima di poter configurare un'unione di dominio senza interruzioni a un'istanza EC2 Linux, è necessariocompletare le procedure in questa sezione.
Seleziona il tuo account del servizio di partecipazione al dominio senza interruzioni
È possibile unire senza problemi i computer Linux al proprio AWS Dominio Active Directory gestito. Pereseguire questa operazione, è necessario utilizzare un account utente con le autorizzazioni di creazionedell'account computer per unire le macchine al dominio. Anche se i membri del AWS amministratoridelegati o altri gruppi potrebbero disporre di privilegi sufficienti per unire i computer al dominio, si consigliadi non utilizzare questi. Come best practice, ti consigliamo di utilizzare un account di servizio che disponedei privilegi minimi necessari per unire i computer al dominio.
Per delegare un account con i privilegi minimi necessari per unire i computer al dominio, puoi eseguire iseguenti comandi PowerShell. È necessario eseguire questi comandi da un computer Windows aggiuntoal dominio con Installazione degli strumenti di amministrazione di Active Directory (p. 89) ha installato.Inoltre, è necessario utilizzare un account che dispone dell'autorizzazione per modificare le autorizzazionisull'unità organizzativa dei computer o sul container. Il comando PowerShell imposta le autorizzazioni checonsentono all'account del servizio di creare oggetti computer nel container dei computer predefiniti deldominio.
$AccountName = 'awsSeamlessDomain'# DO NOT modify anything below this comment.# Getting Active Directory information.Import-Module 'ActiveDirectory'$Domain = Get-ADDomain -ErrorAction Stop$BaseDn = $Domain.DistinguishedName$ComputersContainer = $Domain.ComputersContainer$SchemaNamingContext = Get-ADRootDSE | Select-Object -ExpandProperty 'schemaNamingContext'[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $SchemaNamingContext -Filter { lDAPDisplayName -eq 'Computer' } -Properties 'schemaIDGUID').schemaIDGUID# Getting Service account Information.$AccountProperties = Get-ADUser -Identity $AccountName$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value# Getting ACL settings for the Computers container.
Version 1.070
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
$ObjectAcl = Get-ACL -Path "AD:\$ComputersContainer" # Setting ACL allowing the service account the ability to create child computer objects in the Computers container.$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'CreateChild', 'Allow', $ServicePrincipalNameGUID, 'All'$ObjectAcl.AddAccessRule($AddAccessRule)Set-ACL -AclObject $ObjectAcl -Path "AD:\$ComputersContainer"
Se si preferisce utilizzare un'interfaccia grafica utente (GUI), è possibile utilizzare la procedura manualedescritta in Delegare privilegi all'account del servizio (p. 179).
Creare i segreti per archiviare l'account del servizio di dominio
È possibile utilizzare AWS Secrets Manager per archiviare l'account del servizio di dominio.
Per creare segreti e archiviare le informazioni sull'account del servizio di dominio
1. Accedere alla Console di gestione AWS, quindi aprire la console AWS Secrets Manager all'indirizzohttps://console.aws.amazon.com/secretsmanager/.
2. Scegli Store a new secret (Archivia un nuovo segreto).3. Nella pagina Archivia un nuovo segreto procedi come segue:
a. In Select secret type (Seleziona tipo di segreto), scegliere Other type of secrets (Altro tipo disegreti).
b. In Specificare le coppie chiave/valore da memorizzare nel segreto, effettuare le seguentioperazioni:
i. Nella prima casella digita awsSeamlessDomainUsername. Nella stessa riga, nellacasella successiva, immettere il nome utente per l'account di servizio. Ad esempio, se ilcomando PowerShell è stato utilizzato in precedenza, il nome dell'account del servizio saràawsSeamlessDomain.
Note
È necessario inserire awsSeamlessDomainUsername esattamente così com'è.Assicurarsi che non vi siano spazi iniziali o finali. In caso contrario, l'aggiunta aldominio non riuscirà
ii. Scegliere Aggiungi riga.iii. Nella nuova riga, nella prima casella, immettere awsSeamlessDomainPassword. Nella
stessa riga, nella casella successiva, inserire la password per il tuo account di servizio.Note
È necessario inserire awsSeamlessDomainPassword esattamente così com'è.Assicurarsi che non vi siano spazi iniziali o finali. In caso contrario, l'aggiunta aldominio non riuscirà
iv. In Selezionare la chiave di crittografia, scegliere DefaultEncryptionKey dal menu. SecretsManager crittografa sempre il segreto quando si sceglie questa opzione e lo forniscegratuitamente all’utente. È anche possibile scegliere una chiave che hai creato.
v. Selezionare Successivo.4. In Nome segreto, immettere un nome segreto che includa l'ID della directory utilizzando il formato
seguente aws/directory-services/d-xxxxxxxxx/seamless-domain-join. Questo verràutilizzato per recuperare i segreti nell'applicazione.
Note
Devi inserire aws/directory-services/d-xxxxxxxxx/seamless-domain-joinesattamente com'è, ma sostituire d-xxxxxxxxxx con il tuo ID di directory. Assicurarsi chenon vi siano spazi iniziali o finali. In caso contrario, l'aggiunta al dominio non riuscirà
Version 1.071
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
5. Lasciare tutto il resto impostato su valori predefiniti, quindi scegliere Avanti.6. In Configura rotazione automatica, scegliere Disattiva rotazione automatica, quindi scegliere Avanti.7. Esaminare le impostazioni, quindi scegliere Archivia per salvare le modifiche. La console Secrets
Manager restituisce l'elenco dei segreti nel tuo account con il nuovo segreto ora incluso nell'elenco.8. Scegliere il nome segreto appena creato dall'elenco e prendere nota del valore ARN segreto . Questo
valore servirà nella fase successiva.
Creazione della policy e del ruolo IAM richiesti.
Utilizzare i passaggi dei prerequisiti riportati di seguito per creare un criterio personalizzato che consental'accesso in sola lettura al segreto di join del dominio Secrets Manager senza interruzioni (creato inprecedenza) e per creare un nuovo ruolo LinuxEC2DomainJoin IAM.
Creare il criterio di lettura Secrets Manager IAM
È possibile utilizzare la console IAM per creare un criterio che conceda l'accesso in sola lettura al segretoSecrets Manager.
Per creare il criterio di lettura Secrets Manager IAM
1. Accedere a Console di gestione AWS come utente che dispone dell'autorizzazione per creare criteriIAM. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
2. Nel riquadro di navigazione scegli Policies (Policy).3. Seleziona Create Policy (Crea policy).4. Selezionare la scheda JSON e copiare il testo dal documento della seguente policy JSON. Quindi
incollarlo nella casella di testo JSON.
Note
Assicurarsi di sostituire l'ARN Resource con l'effettivo ARN del segreto che hai creato inprecedenza.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Resource": [ "arn:aws:secretsmanager:us-east-1:############:secret:aws/directory-service/d-xxxxxxxxxx/seamless-domain-join-example" ] } ]}
5. Al termine, selezionare Review policy (Rivedi policy). In Validatore di policy vengono segnalatieventuali errori di sintassi.
6. Nella pagina Criterio revisione immettere un nome di criterio, ad esempio SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read. Esaminare la sezione Riepilogo per visualizzare le autorizzazioni concesse dalcriterio. Selezionare Crea policy per salvare il proprio lavoro. La nuova policy appare nell'elenco dellepolicy gestite ed è pronta a collegarsi a un’identità.
Version 1.072
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
Note
Si consiglia di creare un criterio per segreto. In questo modo, le istanze hanno accesso solo alsegreto appropriato e si riduce al minimo l'impatto se un'istanza viene compromessa.
Creare il ruolo LinuxEC2DomainJoin
È possibile utilizzare la console IAM per creare il ruolo che verrà utilizzato e aggiungere il dominioall'istanza Linux EC2.
Per creare il ruolo LinuxEC2DomainJoin
1. Accedere a Console di gestione AWS come utente che dispone dell'autorizzazione per creare criteriIAM. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
2. Nel riquadro di navigazione, scegliere Roles (Ruoli).3. Nel riquadro del contenuto selezionare Crea ruolo.4. In Select type of trusted entity (Seleziona tipo di entità attendibile), scegli AWS service (Servizio AWS).5. In Scegliere un caso d'uso, selezionare EC2, quindi scegliere Next: Permissions (Successivo:
autorizzazioni).6. Per Criteri filtro, eseguire le operazioni seguenti:
a. Specificare AmazonSSMManagedInstanceCore (sì). Selezionare quindi la casella di controllorelativa a tale elemento nell'elenco.
b. Specificare AmazonSSMDirectoryServiceAccess (sì). Selezionare quindi la casella dicontrollo relativa a tale elemento nell'elenco.
c. Immettere SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read (o il nome del criterio creato nellaprocedura precedente). Selezionare quindi la casella di controllo relativa a tale elementonell'elenco.
Note
AmazonSSMDirectoryServiceAccess fornisce le autorizzazioni per collegare le istanze auna Active Directory gestita da AWS Directory Service. AmazonSSMManagedInstanceCorefornisce le autorizzazioni minime necessarie per utilizzare il servizio AWS Systems Manager.Per ulteriori informazioni sulla creazione di un ruolo con queste autorizzazioni e perinformazioni su altre autorizzazioni e policy che è possibile assegnare al ruolo IAM, consultareCrea un profilo di istanza IAM per Systems Manager in Guida per l'utente di AWS SystemsManager.
7. Scegliere Next: Tags (Successivo: Tag).8. (Facoltativo) Aggiungere una o più coppie chiave-valore di tag per organizzare, monitorare o
controllare l'accesso per questo ruolo. Scegli quindi Next: Review (Avanti: Verifica).9. In Nome ruolo, immettere un nome per il nuovo ruolo, ad esempio LinuxEC2DomainJoin o un altro
nome che si preferisce.10. (Facoltativo) Per Role Description (Descrizione ruolo), immettere una descrizione.11. Seleziona Create role (Crea ruolo).
Unisciti perfettamente all'istanza EC2 Linux
Ora che sono state configurate tutte le attività dei prerequisiti, è possibile utilizzare la procedura seguenteper unirsi perfettamente all'istanza Linux EC2.
Version 1.073
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
Per unire senza problemi l'istanza Linux EC2
1. Accedere a Console di gestione AWS e aprire la console Amazon EC2 all’indirizzo https://console.aws.amazon.com/ec2/.
2. Nella barra di navigazione dello strumento di selezione della regione, scegli la stessa regione delladirectory esistente.
3. Scegliere Launch Instance (Avvia istanza).4. Nella pagina Fase 1 scegliere Seleziona per l'immagine Amazon Machine (AMI) appropriata.
Note
L'AMI utilizzata deve avere AWS Systems Manager (agente SSM) versione 2.3.1644.0 osuccessiva. Per verificare la versione dell'agente SSM installata nell'AMI avviando un'istanzada tale AMI, vedere Ottenere la versione dell'agente SSM attualmente installata. Se ènecessario aggiornare l'agente SSM, vedere Installazione e configurazione dell'agente SSMsu istanze EC2 per Linux.
5. Nella pagina Step 2 (Fase 2), seleziona il tipo di istanza giusto e scegli Next: Configure InstanceDetails (Successivo: configura dettagli istanza).
6. Nella pagina Step 3 (Fase 3), eseguire le operazioni seguenti e scegliere Next: Add Storage(Successivo: Aggiungi storage):
a. Per Network (Rete), scegli il VPC in cui la tua directory è stata creata.b. Per Subnet (Sottorete), seleziona una delle sottoreti pubbliche nel tuo VPC. La sottorete che
selezioni deve avere tutto il traffico esterno instradato a un gateway Internet. In caso contrario,non potrai connetterti in remoto all'istanza.
c. Per Auto-assign Public IP (Assegna automaticamente IP pubblico), scegliere Enable (Abilita).Per ulteriori informazioni sulle impostazioni degli indirizzi IP pubblici e privati, consulta la sezioneImpostazione degli indirizzi IP dell'istanza EC2 Amazon nella Guida per l'utente Amazon EC2 perle istanze Windows.
d. Per la Domain join directory (Directory aggiunta dominio), selezionare il dominio dall'elenco.e. Per il ruolo IAM, scegliere il ruolo IAM creato in precedenza nella sezione prerequisiti Passaggio 2:
Creare il ruolo LinuxEC2DomainJoin.7. Nelle pagine Fase 4 e Fase 5, mantenere le impostazioni predefinite o apportare le modifiche
desiderate. Quindi scegliere Avanti su ciascuna pagina.8. Nella pagina Passaggio 6 selezionare un gruppo di protezione configurato per consentire l'accesso
remoto all'istanza dalla rete. Scegliere Analizza e avvia.9. Nella pagina Fase 7, scegliere Avvia, selezionare una coppia di chiavi e scegliere Avvia istanza.
Note
Se si sta eseguendo un join di dominio senza soluzione di continuità con SUSE Linux, ènecessario un riavvio prima che le autenticazioni funzionino. Per riavviare SUSE dal terminaleLinux, digitare sudo reboot.
Collegamento manuale di un'istanza LinuxOltre alle istanze Windows Amazon EC2, è possibile aggiungere determinate istanze Linux AmazonEC2 alla tua directory AWS Directory Service for Microsoft Active Directory. Sono supportate le seguentidistribuzioni e versioni di istanze Linux:
• Amazon Linux AMI 2018.03.0• Amazon Linux 2 (64-bit x86)• Red Hat Enterprise Linux 8 (HVM) (64-bit x86)• Ubuntu Server 18.04 LTS & Ubuntu Server 16.04 LTS
Version 1.074
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
• CentOS 7 x86-64• SUSE Linux Enterprise Server 15 SP1
Note
Other Linux distributions and versions may work but have not been tested.
Collega un'istanza alla tua directory
Before you can join either an Amazon Linux, CentOS, Red Hat, or Ubuntu instance to your directory, theinstance must first be launched as specified in Aggiunta di un'istanza EC2 Windows (p. 66).
Important
Some of the following procedures, if not performed correctly, can render your instanceunreachable or unusable. Therefore, we strongly suggest you make a backup or take a snapshotof your instance before performing these procedures.
Per aggiungere un'istanza Linux alla tua directory
Segui i passaggi descritti per l'istanza Linux specifica utilizzando una delle seguenti schede:
Amazon Linux
1. Connettiti all'istanza tramite qualsiasi client SSH.2. Configura l'istanza Linux per utilizzare gli indirizzi IP del server DNS forniti da AWS Directory
Service. A tale scopo, puoi configurare l'istanza nel set di opzioni DHCP collegato al VPC oeffettuare la configurazione manualmente sull'istanza. Se intendi configurarla manualmente,consulta la pagina relativa a come assegnare un server DNS statico a un'istanza Amazon EC2privata di AWS Knowledge Center per istruzioni sull'impostazione del server DNS persistente per latua particolare distribuzione e versione di Linux.
3. Assicurati che l'istanza Amazon Linux - 64bit sia aggiornata.
sudo yum -y update
4. Installa i pacchetti Amazon Linux necessari nell'istanza Linux.
Note
Alcuni di questi pacchetti potrebbero essere già installati.Quando installi i pacchetti, potrebbero essere visualizzate diverse schermate popup diconfigurazione. In generale, puoi lasciare vuoti i campi di queste schermate.
Amazon Linux 1
sudo yum -y install sssd realmd krb5-workstation
Amazon Linux 2
sudo yum -y install sssd realmd krb5-workstation samba-common-tools
Note
Per stabilire la versione di Amazon Linux che stai utilizzando, consulta Identificazione delleimmagini Amazon Linux nella Guida per l'utente per le istanze Linux di Amazon EC2.
5. Collega l'istanza alla directory tramite il comando seguente.
Version 1.075
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
sudo realm join -U [email protected] example.com --verbose
Un account nel dominio example.com che dispone di privilegi di aggiunta al dominio. Inseriscila password dell'account quando richiesta. Per ulteriori informazioni sulla delega di questiprivilegi, consulta Delegare i privilegi di aggiunta per AWS Managed Microsoft AD (p. 85).
example.com
Il nome DNS completo della directory.
... * Successfully enrolled machine in realm
6. Imposta il servizio SSH per permettere l'autenticazione della password.a. Apri il file /etc/ssh/sshd_config in un editor di testo.
sudo vi /etc/ssh/sshd_config
b. Imposta PasswordAuthentication su yes.
PasswordAuthentication yes
c. Riavvia il servizio SSH.
sudo systemctl restart sshd.service
In alternativa:
sudo service sshd restart
7. After the instance has restarted, connect to it with any SSH client and add the AWS DelegatedAdministrators group to the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
## Add the "AWS Delegated Administrators" group from the example.com domain.%AWS\ Delegated\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
CentOS
1. Connettiti all'istanza tramite qualsiasi client SSH.2. Configura l'istanza Linux per utilizzare gli indirizzi IP del server DNS forniti da AWS Directory
Service. A tale scopo, puoi configurare l'istanza nel set di opzioni DHCP collegato al VPC oeffettuare la configurazione manualmente sull'istanza. Se intendi configurarla manualmente,
Version 1.076
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
consulta la pagina relativa a come assegnare un server DNS statico a un'istanza Amazon EC2privata di AWS Knowledge Center per istruzioni sull'impostazione del server DNS persistente per latua particolare distribuzione e versione di Linux.
3. Assicurati che l'istanza CentOS 7 sia aggiornata.
sudo yum -y update
4. Installa i pacchetti CentOS 7 necessari nell'istanza Linux.
Note
Alcuni di questi pacchetti potrebbero essere già installati.Quando installi i pacchetti, potrebbero essere visualizzate diverse schermate popup diconfigurazione. In generale, puoi lasciare vuoti i campi di queste schermate.
sudo yum -y install sssd realmd krb5-workstation samba-common-tools
5. Collega l'istanza alla directory tramite il comando seguente.
sudo realm join -U [email protected] example.com --verbose
Un account nel dominio example.com che dispone di privilegi di aggiunta al dominio. Inseriscila password dell'account quando richiesta. Per ulteriori informazioni sulla delega di questiprivilegi, consulta Delegare i privilegi di aggiunta per AWS Managed Microsoft AD (p. 85).
example.com
Il nome DNS completo della directory.
... * Successfully enrolled machine in realm
6. Imposta il servizio SSH per permettere l'autenticazione della password.a. Apri il file /etc/ssh/sshd_config in un editor di testo.
sudo vi /etc/ssh/sshd_config
b. Imposta PasswordAuthentication su yes.
PasswordAuthentication yes
c. Riavvia il servizio SSH.
sudo systemctl restart sshd.service
In alternativa:
sudo service sshd restart
7. After the instance has restarted, connect to it with any SSH client and add the AWS DelegatedAdministrators group to the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
sudo visudo
Version 1.077
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
b. Add the following to the bottom of the sudoers file and save it.
## Add the "AWS Delegated Administrators" group from the example.com domain.%AWS\ Delegated\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
Red Hat
1. Connettiti all'istanza tramite qualsiasi client SSH.2. Configura l'istanza Linux per utilizzare gli indirizzi IP del server DNS forniti da AWS Directory
Service. A tale scopo, puoi configurare l'istanza nel set di opzioni DHCP collegato al VPC oeffettuare la configurazione manualmente sull'istanza. Se intendi configurarla manualmente,consulta la pagina relativa a come assegnare un server DNS statico a un'istanza Amazon EC2privata di AWS Knowledge Center per istruzioni sull'impostazione del server DNS persistente per latua particolare distribuzione e versione di Linux.
3. Assicurati che l'istanza Red Hat - 64bit sia aggiornata.
sudo yum -y update
4. Installa i pacchetti Red Hat necessari nell'istanza Linux.
Note
Alcuni di questi pacchetti potrebbero essere già installati.Quando installi i pacchetti, potrebbero essere visualizzate diverse schermate popup diconfigurazione. In generale, puoi lasciare vuoti i campi di queste schermate.
sudo yum -y install sssd realmd krb5-workstation samba-common-tools
5. Collega l'istanza alla directory tramite il comando seguente.
sudo realm join -v -U join_account example.com --install=/
join_account
SAMAccountName per un account nel dominio example.com con privilegi di join al dominio.Inserisci la password dell'account quando richiesta. Per ulteriori informazioni sulla delegadi questi privilegi, consulta Delegare i privilegi di aggiunta per AWS Managed MicrosoftAD (p. 85).
example.com
Il nome DNS completo della directory.
... * Successfully enrolled machine in realm
6. Imposta il servizio SSH per permettere l'autenticazione della password.a. Apri il file /etc/ssh/sshd_config in un editor di testo.
sudo vi /etc/ssh/sshd_configVersion 1.0
78
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
b. Imposta PasswordAuthentication su yes.
PasswordAuthentication yes
c. Riavvia il servizio SSH.
sudo systemctl restart sshd.service
In alternativa:
sudo service sshd restart
7. After the instance has restarted, connect to it with any SSH client and add the AWS DelegatedAdministrators group to the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
## Add the "AWS Delegated Administrators" group from the example.com domain.%AWS\ Delegated\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
SUSE
1. Connettiti all'istanza tramite qualsiasi client SSH.2. Configura l'istanza Linux per utilizzare gli indirizzi IP del server DNS forniti da AWS Directory
Service. A tale scopo, puoi configurare l'istanza nel set di opzioni DHCP collegato al VPC oeffettuare la configurazione manualmente sull'istanza. Se intendi configurarla manualmente,consulta la pagina relativa a come assegnare un server DNS statico a un'istanza Amazon EC2privata di AWS Knowledge Center per istruzioni sull'impostazione del server DNS persistente per latua particolare distribuzione e versione di Linux.
3. Assicurati che l'istanza di SUSE Linux 15 sia aggiornata.a. Collega il repository dei pacchetti.
sudo SUSEConnect -p PackageHub/15.1/x86_64
b. Aggiorna SUSE.
sudo zypper update -y
4. Installa i pacchetti SUSE Linux 15 richiesti sulla propria istanza Linux.
Note
Alcuni di questi pacchetti potrebbero essere già installati.Quando installi i pacchetti, potrebbero essere visualizzate diverse schermate popup diconfigurazione. In generale, puoi lasciare vuoti i campi di queste schermate.
Version 1.079
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
sudo zypper -n install realmd adcli sssd sssd-tools sssd-ad samba-client krb5-client
5. Collega l'istanza alla directory tramite il comando seguente.
sudo realm join -U join_account example.com --verbose
join_account
Il sAMAccountName nella example.com dominio che dispone di privilegi di aggiunta aldominio. Inserisci la password dell'account quando richiesta. Per ulteriori informazioni sulladelega di questi privilegi, consulta Delegare i privilegi di aggiunta per AWS Managed MicrosoftAD (p. 85).
example.com
Il nome completo del DNS della directory.
…realm: Couldn't join realm: Enabling SSSD in nsswitch.conf and PAM failed.
Si noti che sono attesi entrambi i seguenti rendimenti.
! Couldn't authenticate with keytab while discovering which salt to use:! Enabling SSSD in nsswitch.conf and PAM failed.
6. Abilitare manualmente SSSD in PAM.
sudo pam-config --add --sss
7. Modifica nsswitch.conf per abilitare SSSD in nsswitch.conf
sudo vi /etc/nsswitch.conf
passwd: compat sssgroup: compat sssshadow: compat sss
8. Aggiungi la seguente riga a /etc/pam.d/common-session per creare automaticamente una homedirectory al login iniziale
sudo vi /etc/pam.d/common-session
session optional pam_mkhomedir.so skel=/etc/skel umask=077
9. Riavviare l'istanza per completare il processo di aggiunta al dominio.
sudo reboot
10.Riconnettersi all'istanza utilizzando qualsiasi client SSH per verificare che l’aggiunta al dominio siastata completata correttamente e finalizzare ulteriori passaggia. Per confermare che l'istanza è stata registrata nel dominio
sudo realm list
Version 1.080
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
example.com type: kerberos realm-name: EXAMPLE.COM domain-name: example.com configured: kerberos-member server-software: active-directory client-software: sssd required-package: sssd-tools required-package: sssd required-package: adcli required-package: samba-client login-formats: %[email protected] login-policy: allow-realm-logins
b. Per verificare lo stato del daemon SSSD
systemctl status sssd
sssd.service - System Security Services Daemon Loaded: loaded (/usr/lib/systemd/system/sssd.service; enabled; vendor preset: disabled) Active: active (running) since Wed 2020-04-15 16:22:32 UTC; 3min 49s ago Main PID: 479 (sssd) Tasks: 4 CGroup: /system.slice/sssd.service ##479 /usr/sbin/sssd -i --logger=files ##505 /usr/lib/sssd/sssd_be --domain example.com --uid 0 --gid 0 --logger=files ##548 /usr/lib/sssd/sssd_nss --uid 0 --gid 0 --logger=files ##549 /usr/lib/sssd/sssd_pam --uid 0 --gid 0 --logger=files
11.Per consentire a un utente l'accesso tramite SSH e console
sudo realm permit [email protected]
Per consentire l'accesso a un gruppo di dominio tramite SSH e console
sudo realm permit -g 'AWS Delegated Administrators'
O per consentire a tutti gli utenti di accedere
sudo realm permit --all
12.Imposta il servizio SSH per permettere l'autenticazione della password.a. Apri il file /etc/ssh/sshd_config in un editor di testo.
sudo vi /etc/ssh/sshd_config
b. Imposta il PasswordAuthentication impostazione su yes.
PasswordAuthentication yes
c. Riavvia il servizio SSH.
sudo systemctl restart sshd.service
Version 1.081
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
In alternativa:
sudo service sshd restart
13.13. Dopo il riavvio dell'istanza, connettiti all'istanza tramite qualsiasi client SSH e aggiungi il gruppodegli amministratori delegati AWS all'elenco sudoers completando la procedura seguente:a. Aprire il file sudoers con il seguente comando:
sudo visudo
b. Aggiungi il codice seguente alla fine del file sudoers e salva il file.
## Add the "Domain Admins" group from the awsad.com domain.%AWS\ Delegated\ [email protected] ALL=(ALL) NOPASSWD: ALL
Ubuntu
1. Connettiti all'istanza tramite qualsiasi client SSH.2. Configura l'istanza Linux per utilizzare gli indirizzi IP del server DNS forniti da AWS Directory
Service. A tale scopo, puoi configurare l'istanza nel set di opzioni DHCP collegato al VPC oeffettuare la configurazione manualmente sull'istanza. Se intendi configurarla manualmente,consulta la pagina relativa a come assegnare un server DNS statico a un'istanza Amazon EC2privata di AWS Knowledge Center per istruzioni sull'impostazione del server DNS persistente per latua particolare distribuzione e versione di Linux.
3. Assicurati che l'istanza Ubuntu - 64bit sia aggiornata.
sudo apt-get updatesudo apt-get -y upgrade
4. Installa i pacchetti Ubuntu necessari nell'istanza Linux.
Note
Alcuni di questi pacchetti potrebbero essere già installati.Quando installi i pacchetti, potrebbero essere visualizzate diverse schermate popup diconfigurazione. In generale, puoi lasciare vuoti i campi di queste schermate.
sudo apt-get -y install sssd realmd krb5-user samba-common packagekit adcli
5. Disattivare la risoluzione DNS inversa e impostare l'area di autenticazione predefinita sul nomedi dominio completo del dominio. Perché un realm possa funzionare, le istanze Ubuntu devonoessere risolvibili in modo inverso nel DNS. In caso contrario, dovrai disabilitare il DNS inverso in /etc/krb5.conf come segue:
sudo vi /etc/krb5.conf
[libdefaults] default_realm = EXAMPLE.COM rdns = false
6. Collega l'istanza alla directory tramite il comando seguente.
Version 1.082
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
sudo realm join -U join_account example.com --verbose
SAMAccountName per un account nel dominio example.com con privilegi di join al dominio.Inserisci la password dell'account quando richiesta. Per ulteriori informazioni sulla delegadi questi privilegi, consulta Delegare i privilegi di aggiunta per AWS Managed MicrosoftAD (p. 85).
example.com
Il nome DNS completo della directory.
... * Successfully enrolled machine in realm
7. Imposta il servizio SSH per permettere l'autenticazione della password.a. Apri il file /etc/ssh/sshd_config in un editor di testo.
sudo vi /etc/ssh/sshd_config
b. Imposta PasswordAuthentication su yes.
PasswordAuthentication yes
c. Riavvia il servizio SSH.
sudo systemctl restart sshd.service
In alternativa:
sudo service sshd restart
8. After the instance has restarted, connect to it with any SSH client and add the AWS DelegatedAdministrators group to the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
## Add the "AWS Delegated Administrators" group from the example.com domain.%AWS\ Delegated\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
Limitazioni di accesso all'account
Poiché tutti gli account vengono definiti in Active Directory, per impostazione predefinita tutti gli utenti nelladirectory possono accedere all'istanza. Puoi permettere solo a utenti specifici di accedere all'istanza conad_access_filter in sssd.conf. Ad esempio:
Version 1.083
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
memberOf
Indica che agli utenti è consentito solo l'accesso all'istanza se membri di un determinato gruppo.cn
Il nome canonico del gruppo a cui è consentito l'accesso. In questo esempio, il nome del gruppo èadmins.
ou
È l'unità organizzativa in cui si trova il gruppo di cui sopra. In questo esempio, OU è Testou.dc
È il componente di dominio del tuo dominio. In questo esempio, example (esempio).dc
È un componente di dominio aggiuntivo. In questo esempio, com.
È necessario aggiungere manualmente ad_access_filter a /etc/sssd/sssd.conf.
Apri il file /etc/sssd/sssd.conf in un editor di testo.
sudo vi /etc/sssd/sssd.conf
A questo punto, il tuo sssd.conf potrebbe avere questo aspetto:
[sssd]domains = example.comconfig_file_version = 2 services = nss, pam
[domain/example.com] ad_domain = example.com krb5_realm = EXAMPLE.COM realmd_tags = manages-system joined-with-samba cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True use_fully_qualified_names = True fallback_homedir = /home/%u@%d access_provider = ad ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
Perché la configurazione diventi effettiva, devi riavviare il servizio sssd:
sudo systemctl restart sssd.service
In alternativa, puoi usare:
sudo service sssd start
Version 1.084
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
Collegamento all'istanzaQuando un utente effettua la connessione all'istanza tramite un client SSH, gli verrà richiesto di inserireil proprio nome utente. L'utente può immettere il nome utente nei formati [email protected] oEXAMPLE\username . La risposta apparirà simile alla seguente, a seconda della distribuzione linux chestai usando:
Amazon Linux, Red Hat Enterprise Linux e CentOS Linux
login as: [email protected]@example.com's password:Last login: Thu Jun 25 16:26:28 2015 from XX.XX.XX.XX
SUSE Linux
SUSE Linux Enterprise Server 15 SP1 x86_64 (64-bit) As "root" (sudo or sudo -i) use the: - zypper command for package management - yast command for configuration management Management and Config: https://www.suse.com/suse-in-the-cloud-basicsDocumentation: https://www.suse.com/documentation/sles-15/Forum: https://forums.suse.com/forumdisplay.php?93-SUSE-Public-Cloud Have a lot of fun...
Ubuntu Linux
login as: [email protected]@[email protected]'s password:Welcome to Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-1057-aws x86_64) * Documentation: https://help.ubuntu.com* Management: https://landscape.canonical.com* Support: https://ubuntu.com/advantage System information as of Sat Apr 18 22:03:35 UTC 2020 System load: 0.01 Processes: 102 Usage of /: 18.6% of 7.69GB Users logged in: 2 Memory usage: 16% IP address for eth0: 10.24.34.1 Swap usage: 0%
Delegare i privilegi di aggiunta per AWS Managed Microsoft ADPer unire un computer alla directory, devi disporre di un account con privilegi per aggiungere computer alladirectory.
Con AWS Directory Service for Microsoft Active Directory, i membri dei gruppi Admins (Amministratori) eAWS Delegated Server Administrators (Amministratori server delegati AWS) dispongono di tali privilegi.
Tuttavia, come best practice, dovresti utilizzare un account che disponga solo dei privilegi minimi necessari.La seguente procedura mostra come creare un nuovo gruppo denominato Joiners e delegare i privileginecessari a questo gruppo per aggiungere i computer alla directory.
È necessario eseguire questa procedura su un computer collegato alla directory e dotato di Utenti ecomputer di Active Directory Snap-in MMC installato. Inoltre, è necessario aver eseguito l'accesso comeamministratore del dominio.
Version 1.085
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
Per delegare i privilegi di aggiunta per AWS Managed Microsoft AD
1. Apri Active Directory User and Computers (Utenti e computer di Active Directory) e seleziona l'unitàorganizzativa che ha il tuo nome NetBIOS nell'albero di spostamento, quindi selezionare l'unitàorganizzativa Users (Utenti).
Important
Quando avvii un AWS Directory Service for Microsoft Active Directory, AWS crea un'unitàorganizzativa (UO) che contiene tutti gli oggetti della directory. Questa unità organizzativa,che ha lo stesso nome NetBIOS che hai digitato al momento della creazione della directory,si trova nella radice del dominio. La radice del dominio è di proprietà di ed è gestita da AWS.Non puoi apportare modifiche alla radice del dominio stessa, pertanto devi creare il gruppoJoiners all'interno dell'unità organizzativa che ha il tuo nome NetBIOS.
2. Apri il menu contestuale (tasto destro del mouse) per Users (Utenti), scegli New (Nuovo), quindi Group(Gruppo).
3. Nella finestra New Object - Group (Nuovo oggetto - Gruppo), digita quanto segue e scegli OK.
• Per Group name (Nome gruppo), digita Joiners.• In Group scope (Ambito del gruppo), scegli Global (Globale).• Per Group type (Tipo gruppo), scegli Security (Sicurezza).
4. Nell'albero di spostamento, seleziona il container Computers (Computer) sotto il tuo nome NetBIOS.Nel menu Action (Operazione), scegli Delegate Control (Delega controllo).
5. Nella pagina Delegation of Control Wizard (Delega guidata del controllo), scegli Next (Avanti), quindiscegli Add (Aggiungi).
6. Nella finestra Select Users, Computers, or Groups (Seleziona utenti, computer o gruppi), digitaJoiners e scegli OK. Se viene trovato più di un oggetto, selezionare il gruppo Joiners creato sopra.Seleziona Next (Successivo).
7. Nella pagina Operazioni da delegare, selezionare Crea un'operazione personalizzata per eseguire ladelega, quindi scegliere Avanti.
8. Seleziona Only the following objects in the folder (Solo i seguenti oggetti contenuti nella cartella),quindi Computer objects (Oggetti computer).
9. Selezionare Crea gli oggetti selezionati in questa cartella e Elimina gli oggetti selezionati in questacartella. Quindi, seleziona Next (Successivo).
10. Seleziona Read (Lettura) e Write (Scrittura), quindi scegli Next (Avanti).
Version 1.086
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
11. Verificare le informazioni nella pagina Completing the Delegation of Control Wizard (Completamentodella delega guidata del controllo) e scegli Finish (Termina).
12. Crea un utente con una password complessa e aggiungilo al gruppo Joiners. Questo utente devetrovarsi nel container Users (Utenti) presente sotto il tuo nome NetBIOS. L'utente disporrà quindiprivilegi sufficienti per connettere le istanze alla directory.
Crea un set di opzioni DHCPAWS consiglia di creare un set di opzioni DHCP per la directory AWS Directory Service e di assegnarlo alVOPC in cui si trova la directory. Questo permette alle istanze in tale VPC di puntare al dominio e ai serverDNS specificati per risolvere i propri nomi di dominio.
Per ulteriori informazioni sui set opzioni DHCP, consulta Set opzioni DHCP nella Guida per l'utente diAmazon VPC.
Creazione di un set opzioni DHCP per la tua directory
1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.2. Nel riquadro di navigazione, scegliere DHCP Options Sets (Set di opzioni DHCP), quindi selezionare
Create DHCP options set (Crea set di opzioni DHCP).3. Nella pagina Create DHCP options set (Crea set opzioni DHCP), fornire i seguenti valori per la
directory:
Nome
Un tag opzionale per il set di opzioni.Nome dominio
Il nome completo della tua directory, ad esempio corp.example.com.Domain name servers (Server dei nomi di dominio (DNS))
Gli indirizzi IP dei server DNS della directory fornita da AWS.
Note
È possibile trovare questi indirizzi accedendo al riquadro di navigazione AWS DirectoryService console, selezionando Directories (Directory) e scegliendo l’ID di directorycorretto.
Version 1.087
AWS Directory Service Guida di amministrazioneGestione di utenti e gruppi
NTP servers (Server NTP)
Lascia questo campo vuoto.NetBIOS name servers (Server dei nomi NetBIOS)
Lascia questo campo vuoto.NetBIOS node type (Tipo di nodo NetBIOS
Lascia questo campo vuoto.4. Selezionare Create DHCP options set (Crea set di opzioni DHCP). Il nuovo set di opzioni DHCP viene
visualizzato nell'elenco delle opzioni DHCP.5. Annotare l'ID del nuovo set di opzioni DHCP (dopt-xxxxxxxx). Si utilizza per associare il nuovo set di
opzioni al VPC.
Modifica del set opzioni DHCP associato a un VPC
Dopo aver creato un set di opzioni DHCP, non puoi modificarle. Se desideri che il tuo VPC utilizzi un altroset di opzioni DHCP, devi creare un nuovo set e associarlo al tuo VPC. Puoi anche impostare il tuo VPCsenza utilizzare alcuna opzione DHCP.
1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.2. Nel riquadro di navigazione, scegliere Your VPCs (I tuoi VPC).3. Selezionare il VPC e quindi selezionare Actions (Operazioni), Edit DHCP Options Set (Modifica set
opzioni DHCP).4. Per DHCP Options Set (Set di opzioni DHCP), selezionare o scegliere No DHCP Options Set (Nessun
set di opzioni DHCP) e Save (Salva).
Gestione di utenti e gruppi in AWS Managed MicrosoftADUsers represent individual people or entities that have access to your directory. Groups are very usefulfor giving or denying privileges to groups of users, rather than having to apply those privileges to eachindividual user. If a user moves to a different organization, you move that user to a different group and theyautomatically receive the privileges needed for the new organization.
To create users and groups in an AWS Directory Service directory, you must use any instance (from eitheron-premises or EC2) that has been joined to your AWS Directory Service directory, and be logged in asa user that has privileges to create users and groups. You will also need to install the Active DirectoryTools on your EC2 instance so you can add your users and groups with the Active Directory Users andComputers snap-in. For more information about how to set up an EC2 instance and install the necessarytools, see Fase 3 Distribuzione di un'istanza EC2 da gestire AWS Managed Microsoft AD (p. 155).
Note
Your user accounts must have Kerberos preauthentication enabled. This is the default setting fornew user accounts, but it should not be modified. For more information about this setting, go toPreauthentication on Microsoft TechNet.
The following topics include instructions on how to create and manage users and groups.
Argomenti• Installazione degli strumenti di amministrazione di Active Directory (p. 89)• Creazione di un utente (p. 89)
Version 1.088
AWS Directory Service Guida di amministrazioneGestione di utenti e gruppi
• Reimpostare la password utente (p. 90)• Creare un Gruppo (p. 91)• Aggiunta di un utente a un gruppo (p. 91)
Installazione degli strumenti di amministrazione di ActiveDirectoryTo manage your directory from an EC2 Windows instance, you need to install the Active Directory DomainServices and Active Directory Lightweight Directory Services Tools on the instance. Use the followingprocedure to install these tools on either Windows Server 2012, Windows Server 2016, or Windows Server2019.
You can optionally choose to install the Active Directory administration tools using Windows PowerShell.For example, you can install the Active Directory remote administration tools from a PowerShell promptusing Install-WindowsFeature RSAT-ADDS. For more information, see Install-WindowsFeature on theMicrosoft Website.
Install the Active Directory Administration Tools on Windows Server 2012 throughWindows Server 2019
To install the Active Directory administration tools on Windows Server 2012 through WindowsServer 2019
1. Open Server Manager from the Start screen by choosing Server Manager.2. In the Server Manager Dashboard, choose Add roles and features,3. In the Add Roles and Features Wizard choose Installation Type, select Role-based or feature-based
installation, and choose Next.4. Under Server Selection, make sure the local server is selected, and choose Features in the left
navigation pane.5. In the Features tree, open Remote Server Administration Tools, Role Administration Tools, select AD
DS and AD LDS Tools, scroll down and select DNS Server Tools, and then choose Next.6. Review the information and choose Install. When the feature installation is finished, the Active
Directory Domain Services and Active Directory Lightweight Directory Services Tools are available onthe Start screen in the Administrative Tools folder.
Creazione di un utenteUtilizzare la procedura seguente per creare un utente con un'istanza EC2 aggiunta alla directory AWSManaged Microsoft AD.
To create a user
1. Open the Active Directory Users and Computers tool. There is a shortcut to this tool in theAdministrative Tools folder.
Tip
You can run the following from a command prompt on the instance to open the ActiveDirectory Users and Computers tool box directly.
%SystemRoot%\system32\dsa.msc
Version 1.089
AWS Directory Service Guida di amministrazioneGestione di utenti e gruppi
2. In the directory tree, select an OU under your directory's NetBIOS name OU where you want to storeyour user (for example, Corp\Users). For more information about the OU structure used by directoriesin AWS, see Cosa viene creato (p. 12).
3. On the Action menu, click New, and then click User to open the new user wizard.4. On the first page of the wizard, enter the values for the following fields, and then click Next.
• First name• Last name• User logon name
5. On the second page of the wizard, type a temporary password in Password and Confirm Password.Make sure the User must change password at next logon option is selected. None of the other optionsshould be selected. Click Next.
6. On the third page of the wizard, verify that the new user information is correct and click Finish. The newuser will appear in the Users folder.
Reimpostare la password utenteGli utenti devono rispettare le policy per le password, definite nella directory. A volte, queste policy sonotalmente complesse da far dimenticare le password agli utenti, incluso l'amministratore della directory. Seaccade, puoi reimpostare rapidamente la password dell'utente con AWS Directory Service, se l'utente sitrova in una directory Simple AD o AWS Managed Microsoft AD.
Puoi reimpostare la password di qualsiasi utente della directory, con le seguenti eccezioni:
• In Simple AD, non puoi reimpostare la password per gli utenti membri del gruppo Domain Admins(Amministratori dominio) o Enterprise Admins (Amministratori azienda), ad eccezione dell'utenteAmministratore.
• In AWS Managed Microsoft AD, non puoi reimpostare la password per gli utenti di unità organizzativediverse dall'unità organizzativa basata sul nome NetBIOS digitato quando la directory è stata creata. Adesempio, non puoi reimpostare la password per un utente nell'unità organizzativa AWS Reserved (AWS- Riservato). Per ulteriori informazioni sulla struttura delle unità organizzative utilizzata da una directoryAWS Managed Microsoft AD, consulta Cosa viene creato (p. 12).
Per reimpostare la password di un utente, puoi utilizzare i metodi indicati di seguito.
Metodo 1: per reimpostare la password di un utente (Console di gestione AWS)
1. Nel riquadro di navigazione della console di AWS Directory Service, in Active Directory, scegliereDirectories (Directory), quindi selezionare la directory nell'elenco in cui si desidera reimpostare lapassword di un utente.
2. Nella pagina Dettagli directory scegliere Reimposta password utente.3. Nella finestra di dialogo Reimposta password utente, in Nome utente, digitare il nome dell'utente di cui
si vuole cambiare la password.4. Digitare una password in Nuova password e Conferma nuova password, quindi scegliere Reimposta
password.
Metodo 2: per reimpostare la password di un utente (Windows PowerShell)
1. Aprire Windows PowerShell.2. Digitare il comando seguente e sostituire il nome utente "joebob" e la password "P@ssw0rd" con le
credenziali desiderate. Per ulteriori informazioni, consulta Reimposta il cmdlet DSUserPassword.
Version 1.090
AWS Directory Service Guida di amministrazioneGestione di utenti e gruppi
Reset-DSUserPassword -UserName joebob -DirectoryId d-1234567890 -NewPasswordP@ssw0rd
Metodo 3: per reimpostare la password di un utente (AWS CLI)
1. Aprire la AWS CLI.2. Digitare il comando seguente e sostituire il nome utente "joebob" e la password "P@ssw0rd" con
le credenziali desiderate. Per ulteriori informazioni, consulta reset-user-password in Riferimento aicomandi AWS CLI.
aws ds reset-user-password --directory-id d-1234567890 --user-name joebob --new-password P@ssw0rd
Creare un GruppoUtilizzare la procedura seguente per creare un gruppo di sicurezza con un'istanza EC2 aggiunta alladirectory AWS Managed Microsoft AD.
To create a group
1. Open the Active Directory Users and Computers tool. There is a shortcut to this tool in theAdministrative Tools folder.
Tip
You can run the following from a command prompt on the instance to open the ActiveDirectory Users and Computers tool box directly.
%SystemRoot%\system32\dsa.msc
2. In the directory tree, select an OU under your directory's NetBIOS name OU where you want to storeyour group (for example, Corp\Users). For more information about the OU structure used by directoriesin AWS, see Cosa viene creato (p. 12).
3. On the Action menu, click New, and then click Group to open the new group wizard.4. Type a name for the group in Group name, select a Group scope, and select Security for the Group
type.5. Click OK. The new security group will appear in the Users folder.
Aggiunta di un utente a un gruppoUtilizzare la procedura seguente per aggiungere un utente a un gruppo di sicurezza con un'istanza EC2aggiunta alla directory AWS Managed Microsoft AD.
Aggiunta di un utente a un gruppo
1. Apri lo strumento Users and Computers (Utenti e computer) di Active Directory. Nella cartellaAdministrative Tools (Strumenti amministrativi) è disponibile un collegamento a questo strumento.
Tip
Puoi eseguire quanto segue da un prompt dei comandi sull'istanza per aprire direttamente lacasella dello strumento Users and Computers (Utenti e computer) di Active Directory.
%SystemRoot%\system32\dsa.msc
Version 1.091
AWS Directory Service Guida di amministrazioneConnessione all'infrastruttura AD esistente
2. Nella struttura di directory, selezionare l'unità organizzativa nell'unità organizzativa con il nomeNetBIOS della directory in cui è salvato il proprio gruppo, quindi selezionare il gruppo a cui aggiungerel'utente come membro.
3. Nel menu Action (Operazione), fare clic su Properties (Proprietà) per aprire la finestra di dialogo delleproprietà del gruppo.
4. Selezionare la scheda Members (Membri) e fare clic su Add (Aggiungi).5. In Inserisci il nome degli oggetti da selezionare, inserire il nome utente da aggiungere e fare clic
su OK. Il nome verrà visualizzato nell'elenco Members (Membri). Fare nuovamente clic su OK peraggiornare l'appartenenza al gruppo.
6. Verificare che l'utente sia ora membro del gruppo selezionandolo nella cartella Users (Utenti) efacendo clic su Properties (Proprietà) nel menu Action (Operazione) per aprire la finestra di dialogodella proprietà. Selezionare la scheda Member Of (Membro di). Il nome del gruppo dovrebbe esserevisualizzato nell'elenco dei gruppi a cui l'utente appartiene.
Connessione all'infrastruttura AD esistenteIn questa sezione viene descritto come configurare relazioni di trust tra AWS Managed Microsoft AD el'infrastruttura AD esistente.
Argomenti• Quando creare una relazione di trust (p. 92)• Tutorial Crea una relazione di fiducia tra il tuo AWS Managed Microsoft AD e il vostro dominio
locale (p. 100)
Quando creare una relazione di trustÈ possibile configurare relazioni di trust una o due vie esterne e tra foreste tra le AWS Directory Service forMicrosoft Active Directory e le directory locali, nonché tra più AWS Managed Microsoft AD directory nellaAWS cloud. AWS Managed Microsoft AD supporta tutte e tre le direzioni delle relazioni di trust: In entrata,In uscita e bidirezionale (bidirezionale).
Note
Durante la configurazione delle relazioni di trust, è necessario accertarsi che la directory localesia e rimanga compatibile con i servizi di AWS Directory. Per ulteriori informazioni sulle proprieresponsabilità, consultare il nostro modello sulla responsabilità condivisa.
AWS Managed Microsoft AD supporta trust tra foreste ed esterne. Per esaminare uno scenario di esempioche mostra come creare un trust tra foreste, consulta Tutorial Crea una relazione di fiducia tra il tuo AWSManaged Microsoft AD e il vostro dominio locale (p. 100).
Prerequisites
La creazione di un trust richiede solo pochi passaggi, ma è necessario completare diverse fasi preliminariprima di configurare il trust.
Note
AWS Managed Microsoft AD non supporta l'attendibilità con Single Label Domains.
Connettiti a VPC
Se crei una relazione di trust con la directory locale, è necessario prima connettere la rete locale al VPCcontenente AWS Managed Microsoft AD. Il firewall della rete locale deve avere le seguenti porte aperte aiCIDR per entrambe le sottoreti del VPC.
Version 1.092
AWS Directory Service Guida di amministrazioneConnessione all'infrastruttura AD esistente
• TCP/UDP 53 - DNS• TCP/UDP 88 - autenticazione Kerberos• TCP/UDP 389 - LDAP• TCP 445 - SMB
Note
SMBv1 non è più supportato.
Queste sono le porte minime necessarie per riuscire a connettersi alla directory. La propria configurazionespecifica potrebbe richiedere l'apertura di porte aggiuntive.
Configura il VPC
Il VPC contenente AWS Managed Microsoft AD deve avere le regole in entrata e in uscita appropriate.
Configurazione delle regole in uscita del VPC
1. In AWS Directory Service console, nella pagina Directory Details (Dettagli della directory), prendi notadell'ID directory AWS Managed Microsoft AD.
2. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.3. Scegli i Security Groups (Gruppi di sicurezza).4. Cerca il tuo ID directory AWS Managed Microsoft AD. Nei risultati di ricerca, seleziona l'item con la
descrizione "AWS ha creato un gruppo di sicurezza per i controller della directory ID della directory".
Note
Il gruppo di sicurezza selezionato è un gruppo di sicurezza che viene creato in modoautomatico quando crei la directory inizialmente.
5. Vai alla scheda Outbound Rules (Regole in uscita) di tale gruppo di sicurezza. Seleziona Edit(Modifica), quindi seleziona Add another rule (Aggiungi un'altra regola). Inserisci i valori seguenti per lanuova regola:
• Type (Tipo) All Traffic• Protocollo All (Tutti)• Destination (Destinazione) determina il traffico che può lasciare i controller di dominio e dove può
andare all'interno della rete locale. Specifica un singolo indirizzo IP o un intervallo di indirizzi IPnella notazione CIDR (ad esempio, 203.0.113.5/32). Puoi specificare anche il nome o l'ID di un altrogruppo di sicurezza nella stessa regione. Per ulteriori informazioni, consulta Scopri la configurazionee l'utilizzo del gruppo di sicurezza AWS della directory (p. 138).
6. Seleziona Save (Salva).
Configurazione delle regole in entrata del VPC
1. In AWS Directory Service console, nella pagina Directory Details (Dettagli della directory), prendi notadell'ID directory AWS Managed Microsoft AD.
2. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.3. Scegli i Security Groups (Gruppi di sicurezza).4. Cerca il tuo ID directory AWS Managed Microsoft AD. Nei risultati di ricerca, seleziona l'item con la
descrizione "AWS ha creato un gruppo di sicurezza per i controller della directory ID della directory".
Note
Il gruppo di sicurezza selezionato è un gruppo di sicurezza che viene creato in modoautomatico quando crei la directory inizialmente.
Version 1.093
AWS Directory Service Guida di amministrazioneConnessione all'infrastruttura AD esistente
5. Vai alla scheda Inbound Rules (Regole in entrata) di tale gruppo di sicurezza. Seleziona Edit(Modifica), quindi seleziona Add another rule (Aggiungi un'altra regola). Inserisci i valori seguenti per lanuova regola:
• Type (Tipo) Regola UDP personalizzata• Protocollo UDP• Intervallo porte 445• In Source (Origine), specifica un singolo indirizzo IP o un intervallo di indirizzi IP nella notazione
CIDR (ad esempio, 203.0.113.5/32). Puoi specificare anche il nome o l'ID di un altro gruppo disicurezza nella stessa regione. Questa impostazione stabilisce il traffico che può raggiungerei controller di dominio provenienti dalla rete locale. Per ulteriori informazioni, consulta Scopri laconfigurazione e l'utilizzo del gruppo di sicurezza AWS della directory (p. 138).
6. Seleziona Save (Salva).7. Ripeti queste fasi, aggiungendo ognuna delle regole seguenti:
Type Protocol(Protocollo) .
Intervalloporte
Crea
Regola UDP personalizzata UDP 88 Specificail trafficodi origineutilizzatonella faseprecedente.
Regola UDP personalizzata UDP 123 Specificail trafficodi origineutilizzatonella faseprecedente.
Regola UDP personalizzata UDP 138 Specificail trafficodi origineutilizzatonella faseprecedente.
Regola UDP personalizzata UDP 389 Specificail trafficodi origineutilizzatonella faseprecedente.
Regola UDP personalizzata UDP 464 Specificail trafficodi origineutilizzatonella faseprecedente.
Regola TCP personalizzata TCP 88 Specificail trafficodi origine
Version 1.094
AWS Directory Service Guida di amministrazioneConnessione all'infrastruttura AD esistente
Type Protocol(Protocollo) .
Intervalloporte
Crea
utilizzatonella faseprecedente.
Regola TCP personalizzata TCP 135 Specificail trafficodi origineutilizzatonella faseprecedente.
Regola TCP personalizzata TCP 445 Specificail trafficodi origineutilizzatonella faseprecedente.
Regola TCP personalizzata TCP 464 Specificail trafficodi origineutilizzatonella faseprecedente.
Regola TCP personalizzata TCP 636 Specificail trafficodi origineutilizzatonella faseprecedente.
Regola TCP personalizzata TCP 1024-65535 Specificail trafficodi origineutilizzatonella faseprecedente.
Regola TCP personalizzata TCP 3268 - 3269 Specificail trafficodi origineutilizzatonella faseprecedente.
DNS (UDP) UDP 53 Specificail trafficodi origineutilizzatonella faseprecedente.
Version 1.095
AWS Directory Service Guida di amministrazioneConnessione all'infrastruttura AD esistente
Type Protocol(Protocollo) .
Intervalloporte
Crea
DNS (TCP) TCP 53 Specificail trafficodi origineutilizzatonella faseprecedente.
LDAP TCP 389 Specificail trafficodi origineutilizzatonella faseprecedente.
Tutte le regole ICMP All (Tutti) N/D* Specificail trafficodi origineutilizzatonella faseprecedente.
Tutto il traffico All (Tutti) All (Tutti) Il gruppo disicurezzacorrente(gruppo disicurezzadelladirectory).
Queste regole di sicurezza incidono su un'interfaccia di rete interna che non viene espostapubblicamente.
Abilitazione della preautenticazione Kerberos
Gli account utente devono avere la preautenticazione Kerberos abilitata. Per ulteriori informazioni su questaimpostazione, rivedi la sezione relativa alla preautenticazione in Microsoft TechNet.
Configurazione dei server d'inoltro condizionale DNS sul dominio locale
È necessario configurare i server d'inoltro condizionale DNS sul dominio locale. Fai riferimento alla sezionerelativa all'assegnazione di un server d'inoltro condizionale a un nome dominio in Microsoft TechNet perdettagli sui server d'inoltro condizionale.
Per eseguire la procedura seguente, è necessario avere l'accesso ai seguenti strumenti di Windows Servernel dominio locale:
• Strumenti AD DS e AD LDS• DNS
Version 1.096
AWS Directory Service Guida di amministrazioneConnessione all'infrastruttura AD esistente
Configurazione dei server d'inoltro condizionale sul dominio in locale
1. In primo luogo è necessario ottenere alcune informazioni su AWS Managed Microsoft AD. Accedi allaConsole di gestione AWS e apri la AWS Directory Service console in https://console.aws.amazon.com/directoryservicev2/.
2. Nel riquadro di navigazione seleziona Directories (Directory).3. Seleziona l'ID directory del tuo AWS Managed Microsoft AD.4. Annota il nome di dominio completo (FQDN) e l'indirizzo DNS della tua directory.5. Ora, torna al tuo controller di dominio in locale. Aprire Server Manager.6. Nel menu Tools (Strumenti), seleziona DNS.7. Nella struttura della console, espandi il server DNS del dominio per il quale configuri il trust.8. Nella struttura della console, scegli Conditional Forwarders (Serve d'inoltro condizionale).9. Nel menu Action (Operazione), scegli New conditional forwarder (Nuovo server d'inoltro condizionale).10. In DNS domain (Dominio DNS), digita il nome di dominio completo (FQDN) di AWS Managed Microsoft
AD annotato in precedenza.11. Seleziona IP addresses of the master servers (Indirizzi IP dei server master), quindi digita gli indirizzi
DNS della directory AWS Managed Microsoft AD annotati in precedenza.
Dopo aver inserito l'indirizzo DNS, potresti ricevere un errore "timeout" o "unable toresolve" ("impossibile risolvere"). In genere, puoi ignorare questi errori.
12. Seleziona Archiviare questo inoltro condizionale in Active Directory e replicarlo come segue: Tutti iserver DNS in questo dominio. Selezionare OK.
Password della relazione di trust
Se crei una relazione di trust con un dominio esistente, configurala su tale dominio utilizzando gli strumentidi Windows Server Administration. Nel farlo, annota la password di trust utilizzata. Sarà necessarioutilizzare questa stessa password durante la configurazione della relazione di trust su AWS ManagedMicrosoft AD. Per ulteriori informazioni, consulta la sezione relativa alla gestione dei trust in MicrosoftTechNet.
Puoi ora creare la relazione di trust su AWS Managed Microsoft AD.
Crea, verifica o elimina una relazione di trust
Creazione di una relazione di trust con AWS Managed Microsoft AD
1. Aprire la AWS Directory Service console.2. Nella pagina Directories (Directory), scegli il tuo ID AWS Managed Microsoft AD.3. Nella pagina Directory details (Dettagli della directory), seleziona la scheda Networking & security (Reti
e sicurezza).4. Nella sezione Trust relationships (Relazioni di trust), scegli Actions (Azioni), quindi seleziona Add trust
relationship (Aggiungi relazione di trust).5. Nella pagina Add a trust relationship (Aggiungi una relazione di trust), fornisci le informazioni
necessarie, tra cui il tipo di trust, il nome dominio completo (FQDN) del dominio trusted, la password ditrust e la direzione di trust.
6. (Facoltativo) Per consentire solo agli utenti autorizzati l'accesso alle risorse nella directory AWSManaged Microsoft AD, puoi selezionare la casella di controllo Selective authentication (Autenticazioneselettiva). Per informazioni generali sull'autenticazione selettiva, consulta Security Considerations forTrusts in Microsoft TechNet.
7. In Conditional forwarder (Server d'inoltro condizionale), digita l'indirizzo IP del server DNS locale. Se inprecedenza hai creato server d'inoltro condizionale, puoi digitare il nome di dominio completo (FQDN)del dominio locale, invece dell'indirizzo IP DNS.
Version 1.097
AWS Directory Service Guida di amministrazioneConnessione all'infrastruttura AD esistente
8. (Facoltativo) Scegli Add another IP address (Aggiungi un altro indirizzo IP) e digita l'indirizzo IP di unserver DNS locale aggiuntivo. Puoi ripetere questa fase per ogni indirizzo del server DNS applicabile,per un totale di quattro indirizzi.
9. Scegli Add (Aggiungi).10. Se il server DNS o la rete del dominio locale utilizza un spazio indirizzi IP pubblici (al di fuori dello
spazio RFC 1918), accedi alla sezione IP routing (Routing IP), scegli Actions (Operazioni), quindiseleziona Add route (Aggiungi instradamento). Digita il blocco dell'indirizzo IP del server DNS o dellarete locale tramite il formato CIDR, ad esempio 203.0.113.0/24. Questa fase non è necessaria se sia ilserver DNS che la rete locale utilizzano spazi di indirizzi IP RFC 1918.
Note
Quando utilizzi uno spazio indirizzi IP pubblici, assicurati di non utilizzare nessuno degliintervalli di indirizzi IP AWS, in quanto questi non possono essere utilizzati.
11. (Facoltativo) Quando sei sulla pagina Add routes (Aggiungi instradamento), ti consigliamo diselezionare anche Add routes to the security group for this directory's VPC (Aggiungi instradamential gruppo di sicurezza del VPC di questa directory). Ciò permetterà la configurazione dei gruppi disicurezza, come descritto sopra nella sezione "Configura VPC". Queste regole di sicurezza incidonosu un'interfaccia di rete interna che non viene esposta pubblicamente. Se questa opzione non èdisponibile, visualizzerai un messaggio che indica che hai già personalizzato i gruppi di sicurezza.
È necessario configurare la relazione di trust su entrambi i domini. Le relazioni devono esserecomplementari. Ad esempio, nel caso di creazione di un trust in uscita su un dominio, sarà necessariocreare un trust in entrata sull'altro.
Se crei una relazione di trust con un dominio esistente, configurala su tale dominio utilizzando gli strumentidi Windows Server Administration.
Puoi creare più trust tra AWS Managed Microsoft AD e vari domini di Active Directory. Tuttavia, puòesistere solo una relazione di fiducia per coppia alla volta. Ad esempio, se disponi di un trust unidirezionaleesistente in "direzione in entrata" e desideri configurare un'altra relazione di trust nella "direzione in uscita",sarà necessario eliminare la relazione di trust esistente e crearne una nuova "bidirezionale".
Verifica di una relazione di trust in uscita
1. Aprire la AWS Directory Service console.2. Nella pagina Directories (Directory), scegli il tuo ID AWS Managed Microsoft AD.3. Nella pagina Directory details (Dettagli della directory), seleziona la scheda Networking & security (Reti
e sicurezza).4. Nella sezione Trust relationships (Relazioni di trust), seleziona il trust da verificare, scegli Actions
(Operazioni), quindi seleziona Verify trust relationship (Verifica relazione di trust).
In questo processo viene verificata solo la direzione in uscita di una trust bidirezionale. AWS non supportala verifica di un trust in ingresso. Per ulteriori informazioni su come verificare un trust da o verso ActiveDirectory locale, consulta la sezione relativa alla verifica di un trust in Microsoft TechNet.
Eliminazione di una relazione di trust esistente
1. Aprire la AWS Directory Service console.2. Nella pagina Directories (Directory), scegli il tuo ID AWS Managed Microsoft AD.3. Nella pagina Directory details (Dettagli della directory), seleziona la scheda Networking & security (Reti
e sicurezza).4. Nella sezione Trust relationships (Relazioni di trust), seleziona il trust da eliminare, scegli Actions
(Operazioni), quindi seleziona Delete trust relationship (Elimina relazione di trust).
Version 1.098
AWS Directory Service Guida di amministrazioneConnessione all'infrastruttura AD esistente
5. Scegli Delete (Elimina).
Aggiunta di instradamenti IP durante l'uso di indirizzi IP pubblici
Puoi utilizzare AWS Directory Service for Microsoft Active Directory per sfruttare molte potenti funzionalitàdi Active Directory, tra cui stabilire trust con altre directory. Tuttavia, se i server DNS per le reti delle altredirectory utilizzano indirizzi IP, pubblici (al di fuori dello spazio RFC 1918), è necessario specificare taliindirizzi IP come parte della configurazione della fiducia. Le istruzioni necessarie per eseguire questaoperazione sono disponibili in Quando creare una relazione di trust (p. 92).
Analogamente, è necessario inserire anche le informazioni dell'indirizzo IP quando instradi il traffico dal tuoAWS Managed Microsoft AD su AWS a un AWS VPC in peering, se il VPC utilizza intervalli di IP pubblici.
Quando aggiungi gli indirizzi IP come descritto in Quando creare una relazione di trust (p. 92), puoiselezionare Add routes to the security group for this directory's VPC (Aggiungi instradamenti al gruppo disicurezza per il VPC di questa directory). Questa opzione dovrebbe essere selezionata a meno che tu nonabbia precedentemente personalizzato il gruppo di sicurezza per consentire il traffico necessario comeillustrato di seguito. Per ulteriori informazioni, consulta Scopri la configurazione e l'utilizzo del gruppo disicurezza AWS della directory (p. 138).
Questa opzione consente di configurare i gruppi di sicurezza per il VPC della tua directory come segue:
Regole in entrata
Type Protocol(Protocollo) .
Intervalloporte
Crea
Regola UDP personalizzata UDP 88 0.0.0.0/0
Regola UDP personalizzata UDP 123 0.0.0.0/0
Regola UDP personalizzata UDP 138 0.0.0.0/0
Regola UDP personalizzata UDP 389 0.0.0.0/0
Regola UDP personalizzata UDP 445 0.0.0.0/0
Regola UDP personalizzata UDP 464 0.0.0.0/0
Regola TCP personalizzata TCP 88 0.0.0.0/0
Regola TCP personalizzata TCP 135 0.0.0.0/0
Regola TCP personalizzata TCP 445 0.0.0.0/0
Regola TCP personalizzata TCP 464 0.0.0.0/0
Regola TCP personalizzata TCP 636 0.0.0.0/0
Regola TCP personalizzata TCP 1024-65535 0.0.0.0/0
Regola TCP personalizzata TCP 3268 - 3269 0.0.0.0/0
DNS (UDP) UDP 53 0.0.0.0/0
DNS (TCP) TCP 53 0.0.0.0/0
LDAP TCP 389 0.0.0.0/0
Tutte le regole ICMP All (Tutti) N/D* 0.0.0.0/0
Version 1.099
AWS Directory Service Guida di amministrazioneConnessione all'infrastruttura AD esistente
Regole in uscita:
Type Protocol(Protocollo) .
Intervalloporte
Destinazione
Tutto il traffico All (Tutti) All (Tutti) 0.0.0.0/0
Queste regole di sicurezza influiscono su un'interfaccia di rete interna che non viene espostapubblicamente.
Tutorial Crea una relazione di fiducia tra il tuo AWS ManagedMicrosoft AD e il vostro dominio localeQuesto tutorial ti guiderà attraverso tutte le fasi necessarie per configurare una relazione di trust tra AWSDirectory Service for Microsoft Active Directory e la tua Microsoft Active Directory in locale. Sebbene lacreazione di trust comprenda poche fasi, è necessario prima completare le seguenti fasi preliminari.
Argomenti• Prerequisites (p. 100)• Fase 1 Prepara il tuo dominio locale (p. 101)• Fase 2. Prepara il tuo AWS Managed Microsoft AD (p. 104)• Fase 3 Creare una relazione di fiducia (p. 109)
Vedi anche
Quando creare una relazione di trust (p. 92)
Prerequisites
Questo tutorial presuppone che tu abbia già:
Note
AWS Managed Microsoft AD non supporta l'attendibilità con Single Label Domains.
• Una directory AWS Managed Microsoft AD creata su AWS. Se hai bisogno di aiuto per eseguire questaoperazione, consulta Nozioni di base su AWS Managed Microsoft AD (p. 9).
• Un'istanza EC2 che esegue Windows aggiunta a tale AWS Managed Microsoft AD. Se hai bisogno diaiuto per eseguire questa operazione, consulta Collegamento manuale di un'istanza Windows (p. 68).
Important
L'account Admin per la tua AWS Managed Microsoft AD deve avere l'accesso amministrativo aquesta istanza.
• I seguenti strumenti di Windows Server installati su tale istanza:• Strumenti AD DS e AD LDS• DNS
Se hai bisogno di aiuto per eseguire questa operazione, consulta Installazione degli strumenti diamministrazione di Active Directory (p. 89).
• Una Microsoft Active Directory locale
È necessario disporre dell'accesso amministrativo a questa directory. Gli stessi strumenti di WindowsServer sopra elencati devono essere disponibili per questa directory.
Version 1.0100
AWS Directory Service Guida di amministrazioneConnessione all'infrastruttura AD esistente
• Una connessione attiva tra la rete locale e il VPC contenente la tua AWS Managed Microsoft AD. Se haibisogno di assistenza, consulta il documento sulle opzioni di connettività di Amazon Virtual Private Cloud(VPC).
Configurazione del tutorial
Per questo tutorial, abbiamo già creato una AWS Managed Microsoft AD e un dominio locale. La rete localeè connessa al VPC della AWS Managed Microsoft AD. Di seguito sono riportate le proprietà delle duedirectory:
AWS Managed Microsoft AD in esecuzione su AWS
• Nome di dominio (FQDN): IlMioGestitoAD.esempio.com• NetBIOS name (Nome NetBIOS) Il mioADGestito• Indirizzi DNS: 10.0.10.246, 10.0.20.121• CIDR VPC 10.0.0.0/16
La AWS Managed Microsoft AD risiede nell'ID VPC: vpc-12345678.
Dominio in locale
• Nome del dominio (FQDN): corp.example.com• NetBIOS name (Nome NetBIOS) CORP (Corporate of Cooperative• Indirizzi DNS: 172,16,15,153• CIDR locale: 172.16.0.0/16
Approfondimenti
Fase 1 Prepara il tuo dominio locale (p. 101)
Fase 1 Prepara il tuo dominio locale
In primo luogo, è necessario completare varie fasi preliminari sul tuo dominio in locale.
Configura il firewall in locale
È necessario configurare il firewall locale in modo che le seguenti porte siano aperte ai CIDR per tutte lesottoreti utilizzate dal VPC contenente il tuo AWS Managed Microsoft AD. In questo tutorial, permettiamoil traffico in entrata e in uscita da 10.0.0.0/16 (il blocco CIDR del VPC del nostro AWS Managed MicrosoftAD) sulle seguenti porte:
• TCP/UDP 53 - DNS• TCP/UDP 88 - autenticazione Kerberos• TCP/UDP 389 - LDAP• TCP 445 - SMB
Note
SMBv1 non è più supportato.
Note
Queste sono le porte minime necessarie per riuscire a connettere il VPC alla directory locale. Lapropria configurazione specifica potrebbe richiedere l'apertura di porte aggiuntive.
Version 1.0101
AWS Directory Service Guida di amministrazioneConnessione all'infrastruttura AD esistente
Assicurati che la preautenticazione di Kerberos sia abilitata
La preautenticazione di Kerberos deve essere abilitata per gli account utente in entrambe le directory.Questa è l'impostazione predefinita, ma controlliamo le proprietà di qualsiasi utente causale per assicurarciche non siano state apportate modifiche.
Visualizzazione delle impostazioni Kerberos dell'utente
1. Sul controller di dominio locale, apri Server Manager.2. Nel menu Tools (Strumenti), scegli Active Directory Users and Computers (Strumento Users and
Computers (Utenti e computer) di Active Directory).3. Scegli la cartella Users (Utenti) e apri il menu contestuale (clic sul tasto destro). Seleziona un account
utente casuale elencato nel riquadro di destra. Scegliere Properties (Proprietà).4. Seleziona la scheda Account. Nell'elenco Account options (Opzioni account), scorri verso il basso
e assicurati che Do not require Kerberos preauthentication (Non richiedere la preautenticazioneKerberos) non sia selezionato.
Configurazione dei server d'inoltro condizionale DNS per il dominio in locale
È necessario configurare i server d'inoltro condizionale DNS su ciascun dominio. Prima di eseguirel'operazione sul tuo dominio locale, è necessario ottenere alcune informazioni su AWS Managed MicrosoftAD.
Configurazione dei server d'inoltro condizionale sul dominio in locale
1. Accedi alla Console di gestione AWS e apri la AWS Directory Service console in https://console.aws.amazon.com/directoryservicev2/.
2. Nel riquadro di navigazione seleziona Directories (Directory).
Version 1.0102
AWS Directory Service Guida di amministrazioneConnessione all'infrastruttura AD esistente
3. Seleziona l'ID directory del tuo AWS Managed Microsoft AD.4. Nella pagina Details (Dettagli), prendi nota dei valori in Directory name (Nome directory) e in DNS
address (Indirizzo DNS) della tua directory.5. Ora, torna al tuo controller di dominio in locale. Aprire Server Manager.6. Nel menu Tools (Strumenti), seleziona DNS.7. Nella struttura della console, espandi il server DNS del dominio per il quale configuri il trust. Il nostro
server è WIN-5V70CN7VJ0.corp.example.com.8. Nella struttura della console, scegli Conditional Forwarders (Serve d'inoltro condizionale).9. Nel menu Action (Operazione), scegli New conditional forwarder (Nuovo server d'inoltro condizionale).10. In DNS domain (Dominio DNS), digita il nome di dominio completo (FQDN) di AWS Managed Microsoft
AD annotato in precedenza. In questo esempio, il FQDN è MyManagedAD.example.com.11. Seleziona IP addresses of the master servers (Indirizzi IP dei server master), quindi digita gli indirizzi
DNS della directory AWS Managed Microsoft AD annotati in precedenza. In questo esempio sono:10.0.10.246, 10.0.20.121
Dopo aver inserito l'indirizzo DNS, potresti ricevere un errore "timeout" o "unable toresolve" ("impossibile risolvere"). In genere, puoi ignorare questi errori.
12. Seleziona Store this conditional forwarder in Active Directory, and replicate it as follows (Memorizzaquesto server d'inoltro condizionale in Active Directory e replicalo come segue).
13. Seleziona All DNS servers in this domain (Tutti i server DNS in questo dominio), quindi seleziona OK.
Approfondimenti
Fase 2. Prepara il tuo AWS Managed Microsoft AD (p. 104)
Version 1.0103
AWS Directory Service Guida di amministrazioneConnessione all'infrastruttura AD esistente
Fase 2. Prepara il tuo AWS Managed Microsoft AD
Inizia a preparare AWS Managed Microsoft AD per la relazione di trust. Molte delle fasi seguenti sono quasiidentiche a quelle appena completate per il dominio locale. Stavolta, tuttavia, lavorerai con AWS ManagedMicrosoft AD.
Configurazione delle sottoreti VPC e dei gruppi di sicurezza
È necessario consentire il traffico dalla rete locale al VPC contenente AWS Managed Microsoft AD. Atale scopo, occorre assicurarsi che le ACL associate alle sottoreti utilizzate per distribuire AWS ManagedMicrosoft AD e le regole del gruppo di sicurezza configurate sui controller di dominio, consentano entrambeil traffico richiesto per supportare i trust.
I requisiti di porta variano in base alla versione di Windows Server utilizzata dal controller di dominio e daiservizi o applicazioni che sfruttano il trust. Per gli scopi di questo tutorial, sarà necessario aprire le seguentiporte:
In entrata
• TCP/UDP 53 - DNS• TCP/UDP 88 - autenticazione Kerberos• UDP 123 - NTP• TCP 135 - RPC• UDP 137-138 - Netlogon• TCP 139 - Netlogon• TCP/UDP 389 - LDAP• TCP/UDP 445 - SMB
Note
SMBv1 non è più supportato.• TCP/UDP 464 - Autenticazione Kerberos• TCP 636 - LDAPS (LDAP su TLS/SSL)• TCP 873 - Rsync• TCP 3268-3269 - Catalogo globale• TCP/UDP 1024-65535 - Porte temporanee per RPC• ICMP Tutti
In uscita
• ALL
Note
Queste sono le porte minime necessarie per riuscire a connettere il VPC e la directory locale. Lapropria configurazione specifica potrebbe richiedere l'apertura di porte aggiuntive.
Per configurare le regole in entrata e in uscita del controller di dominio AWS Managed MicrosoftAD
1. Torna a AWS Directory Service console. Nell'elenco delle directory, prendi nota dell'ID della directoryper la tua directory AWS Managed Microsoft AD.
2. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.
Version 1.0104
AWS Directory Service Guida di amministrazioneConnessione all'infrastruttura AD esistente
3. Fai clic su Security Groups (Gruppi di sicurezza) nel riquadro di navigazione..4. Utilizza la casella di ricerca per cercare l'ID directory di AWS Managed Microsoft AD. Nei risultati
di ricerca, seleziona la voce con la descrizione AWS created security group for <yourdirectoryID>directory controller (AWS ha creato un gruppo di sicurezza per <yourdirectoryID> controller delladirectory).
5. Vai alla scheda Outbound Rules (Regole in uscita) per tale gruppo di sicurezza. Scegli Edit (Modifica),quindi seleziona Add another rule (Aggiungi un'altra regola). Inserisci i valori seguenti per la nuovaregola:
• Type (Tipo) Tutto il traffico• Protocollo ALL• Destination (Destinazione) determina il traffico che può lasciare i controller di dominio e dove può
andare. Specifica un singolo indirizzo IP o un intervallo di indirizzi IP nella notazione CIDR (adesempio, 203.0.113.5/32). Puoi specificare anche il nome o l'ID di un altro gruppo di sicurezza nellastessa regione. Per ulteriori informazioni, consulta Scopri la configurazione e l'utilizzo del gruppo disicurezza AWS della directory (p. 138).
6. Seleziona Save (Salva).
7. Vai alla scheda Inbound Rules (Regole in entrata) per lo stesso gruppo di sicurezza. Scegli Edit(Modifica), quindi seleziona Add another rule (Aggiungi un'altra regola). Inserisci i valori seguenti per lanuova regola:
• Type (Tipo) Regola UDP personalizzata• Protocollo UDP• Intervallo porte 445• In Source (Origine), specifica un singolo indirizzo IP o un intervallo di indirizzi IP nella notazione
CIDR (ad esempio, 203.0.113.5/32). Puoi specificare anche il nome o l'ID di un altro gruppo disicurezza nella stessa regione. Questa impostazione stabilisce il traffico che può raggiungere i
Version 1.0105
AWS Directory Service Guida di amministrazioneConnessione all'infrastruttura AD esistente
controller di dominio. Per ulteriori informazioni, consulta Scopri la configurazione e l'utilizzo delgruppo di sicurezza AWS della directory (p. 138).
8. Seleziona Save (Salva).9. Ripeti i passaggi 7 e 8, aggiungendo ciascuna delle seguenti regole:
Type Protocol(Protocollo) .
Intervalloporte
Crea
Regola UDP personalizzata UDP 88 Specificail trafficodi origineutilizzatonella faseprecedente.
Regola UDP personalizzata UDP 123 Specificail trafficodi origineutilizzatonella faseprecedente.
Regola UDP personalizzata UDP 138 Specificail trafficodi origineutilizzatonella faseprecedente.
Regola UDP personalizzata UDP 389 Specificail trafficodi origineutilizzatonella faseprecedente.
Regola UDP personalizzata UDP 464 Specificail trafficodi origineutilizzatonella faseprecedente.
Regola TCP personalizzata TCP 88 Specificail trafficodi origineutilizzatonella faseprecedente.
Regola TCP personalizzata TCP 135 Specificail trafficodi origineutilizzatonella faseprecedente.
Version 1.0106
AWS Directory Service Guida di amministrazioneConnessione all'infrastruttura AD esistente
Type Protocol(Protocollo) .
Intervalloporte
Crea
Regola TCP personalizzata TCP 445 Specificail trafficodi origineutilizzatonella faseprecedente.
Regola TCP personalizzata TCP 464 Specificail trafficodi origineutilizzatonella faseprecedente.
Regola TCP personalizzata TCP 636 Specificail trafficodi origineutilizzatonella faseprecedente.
Regola TCP personalizzata TCP 1024-65535 Specificail trafficodi origineutilizzatonella faseprecedente.
Regola TCP personalizzata TCP 3268 - 3269 Specificail trafficodi origineutilizzatonella faseprecedente.
DNS (UDP) UDP 53 Specificail trafficodi origineutilizzatonella faseprecedente.
DNS (TCP) TCP 53 Specificail trafficodi origineutilizzatonella faseprecedente.
LDAP TCP 389 Specificail trafficodi origineutilizzatonella faseprecedente.
Version 1.0107
AWS Directory Service Guida di amministrazioneConnessione all'infrastruttura AD esistente
Type Protocol(Protocollo) .
Intervalloporte
Crea
Tutte le regole ICMP All (Tutti) N/D* Specificail trafficodi origineutilizzatonella faseprecedente.
Tutto il traffico All (Tutti) All (Tutti) Il gruppo disicurezzacorrente(gruppo disicurezzadelladirectory).
Assicurati che la preautenticazione di Kerberos sia abilitata
Ora sarà necessario confermare che gli utenti di AWS Managed Microsoft AD abbiano la preautenticazioneKerberos abilitata. Si tratta della stesso processo completato per la directory locale. Questa èl'impostazione predefinita, ma controlliamo per assicurarci che non siano state apportate modifiche.
Visualizzazione delle impostazioni Kerberos dell'utente
1. Accedi a un'istanza che fa parte della tua directory AWS Managed Microsoft AD utilizzando l'AccountAdmin (p. 17) per il dominio o un account a cui sono state delegate le autorizzazioni per gestire gliutenti nel dominio.
2. Se non sono installati, installa gli strumenti DNS e Utenti e computer di Active Directory. Scopricome installare questi strumenti in Installazione degli strumenti di amministrazione di ActiveDirectory (p. 89).
3. Aprire Server Manager. Nel menu Tools (Strumenti), scegli Active Directory Users and Computers(Strumento Users and Computers (Utenti e computer) di Active Directory).
4. Scegli la cartella Users (Utenti) nel dominio. Da notare che questa è la cartella Users (Utenti) sotto ilnome NetBIOS e non la cartella Users (Utenti) sotto il nome del dominio completo (FQDN).
Version 1.0108
AWS Directory Service Guida di amministrazioneConnessione all'infrastruttura AD esistente
5. Nell'elenco di utenti, fai clic con il pulsante destro del mouse su un utente, quindi scegli Proprietà(Properties).
6. Seleziona la scheda Account. Nell'elenco Account options (Opzioni account), assicurati che Do notrequire Kerberos preauthentication (Non richiedere la preautenticazione Kerberos) non sia selezionato.
Approfondimenti
Fase 3 Creare una relazione di fiducia (p. 109)
Fase 3 Creare una relazione di fiducia
Ora che il lavoro di preparazione è completato, le fasi finali servono a creare i trust. In primo luogosi crea il trust sul proprio dominio locale, quindi su AWS Managed Microsoft AD. In caso di problemidurante il processo di creazione del trust, consultare Motivo stato di creazione trust (p. 174) per ricevereassistenza.
Configurazione del trust nella Active Directory locale
In questo tutorial, è possibile configurare un trust tra foreste bidirezionale. Tuttavia, se si crea un trust traforeste unidirezionale occorre tenere presente che le direzioni del trust su ciascuno dei domini devonoessere complementari. Ad esempio, se si crea un trust unidirezionale in uscita sul dominio locale, ènecessario creare un trust unidirezionale in ingresso su AWS Managed Microsoft AD.
Note
AWS Managed Microsoft AD supporta anche trust esterni. Tuttavia, ai fini di questo tutorial, verràcreato un trust tra foreste bidirezionale.
Per configurare il trust nella AD locale
1. Aprire Server Manager e nel menu Tools (Strumenti) scegliere Active Directory Domains and Trusts(Trust e domini di Active Directory).
2. Aprire il menu contestuale (pulsante destro del mouse) del dominio e scegliere Properties (Proprietà).
Version 1.0109
AWS Directory Service Guida di amministrazioneConnessione all'infrastruttura AD esistente
3. Scegliere la scheda Trusts (Trust) e scegliere New trust (Nuovo trust). Digita il nome di AWS ManagedMicrosoft AD e scegli Next (Avanti).
4. Scegliere Forest Trust (Trust tra foreste). Seleziona Next (Successivo).5. Scegliere Two-way (Bidirezionale). Seleziona Next (Successivo).6. Scegliere This domain only (Solo questo dominio). Seleziona Next (Successivo).7. Scegliere Forest-wide authentication (Autenticazione a livello di foresta). Seleziona Next (Successivo).8. Digitare una Trust password (Password di trust). Assicurarsi di ricordare questa password perché sarà
necessaria durante la configurazione del trust per il proprio AWS Managed Microsoft AD.9. Nella finestra di dialogo successiva, confermare le impostazioni e scegliere Next (Avanti). Confermare
la corretta creazione del trust e scegliere nuovamente Next (Avanti).10. Scegliere No, do not confirm the outgoing trust (No, non confermare il trust in uscita). Seleziona Next
(Successivo).11. Scegliere No, do not confirm the incoming trust (No, non confermare il trust in ingresso). Seleziona
Next (Successivo).
Configurazione del trust nella directory AWS Managed Microsoft AD
Per finire, configura la relazione di trust tra foreste con la directory AWS Managed Microsoft AD. Poiché haicreato un trust tra foreste bidirezionale sul dominio locale, crea anche un trust bidirezionale utilizzando ladirectory AWS Managed Microsoft AD.
Per configurare il trust nella directory AWS Managed Microsoft AD
1. Torna a AWS Directory Service console.2. Nella pagina Directories (Directory), scegli il tuo ID AWS Managed Microsoft AD.3. Nella pagina Directory details (Dettagli della directory), seleziona la scheda Networking & security (Reti
e sicurezza).4. Nella sezione Trust relationships (Relazioni di trust), scegli Actions (Azioni), quindi seleziona Add trust
relationship (Aggiungi relazione di trust).5. Nella pagina Add a trust relationship (Aggiungi una relazione di trust), digitare il FQDN del proprio
dominio locale (in questo tutorial corp.example.com). Digitare la stessa password di trust utilizzatadurante la creazione del trust sul dominio in loco. Specificare la direzione. In questo caso scegliamoTwo-way (Bidirezionale).
6. Nel campo Conditional forwarder (Server d'inoltro condizionale), immettere l'indirizzo IP del proprioserver DNS locale. In questo esempio, inserire 172.16.10.153.
7. (Facoltativo) Scegliere Add another IP address (Aggiungi un altro indirizzo IP) e immettere un secondoindirizzo IP del proprio server DNS locale. È possibile specificare fino a un totale di quattro serverDNS.
8. Scegli Add (Aggiungi).
Complimenti! Ora si dispone di una relazione di trust tra il proprio dominio locale (corp.example.com)e il proprio AWS Managed Microsoft AD (MyManagedAD.example.com). È possibile configurare solouna relazione tra questi due domini. Se, ad esempio, si desidera modificare la direzione del trust inunidirezionale, sarebbe prima di tutto necessario eliminare questa relazione di trust esistente e crearne unanuova.
Per ulteriori informazioni, incluse le istruzioni sulla verifica o sull'eliminazione di trust, consultare Quandocreare una relazione di trust (p. 92).
Version 1.0110
AWS Directory Service Guida di amministrazioneEstensione dello schema
Estensione dello schemaAWS Managed Microsoft AD utilizza gli schemi per organizzare e applicare il modo in cui i dati delladirectory vengono archiviati. Il processo di aggiunta di definizioni allo schema viene definito estensionedello schema. Le estensioni dello schema consentono di modificare lo schema della directory AWSManaged Microsoft AD utilizzando un file LDAP Data Interchange Format (LDIF) valido. Per ulterioriinformazioni sugli schemi AD e su come estendere gli schemi, consulta gli argomenti elencati di seguito.
Argomenti• Quando estendere lo schema AWS Managed Microsoft AD (p. 111)• Tutorial Estendi il tuo AWS Managed Microsoft AD Schema (p. 111)
Quando estendere lo schema AWS Managed Microsoft ADPuoi estendere lo schema AWS Managed Microsoft AD aggiungendo nuovi attributi e classi di oggetto.Ad esempio, puoi eseguire questa operazione se disponi di un'applicazione che richiede modifiche delloschema, al fine di supportare funzionalità Single Sign-On.
Puoi utilizzare le estensioni di schema anche per abilitare il supporto per applicazioni che si affidano aspecifici attributi e classi di oggetto di Active Directory. Ciò può essere particolarmente utile nel caso in cuitu debba trasferire applicazioni aziendali che dipendono da AWS Managed Microsoft AD nel cloud AWS.
Ogni attributo o classe che viene aggiunto a uno schema di Active Directory esistente deve essere definitocon un ID univoco. In questo modo, quando le aziende aggiungono estensioni allo schema, possono averela certezza che queste siano univoche e che non siano in conflitto tra loro. Questi ID vengono definiti ADObject Identifiers (OID) e sono archiviati in AWS Managed Microsoft AD.
Per iniziare, consulta Tutorial Estendi il tuo AWS Managed Microsoft AD Schema (p. 111).
Argomenti correlati
• Estensione dello schema (p. 111)• Elementi dello schema (p. 19)
Tutorial Estendi il tuo AWS Managed Microsoft AD SchemaQuesto tutorial illustra come estendere lo schema per la directory AWS Directory Service for MicrosoftActive Directory, anche nota come AWS Managed Microsoft AD, aggiungendo attributi univoci e classiche soddisfano le esigenze specifiche. Le estensioni dello schema AWS Managed Microsoft AD possonoessere caricate e applicate solo usando un file di script LDIF (Lightweight Directory Interchange Format)valido.
Gli attributi (attributeSchema) definiscono i campi nel database mentre le classi (classSchema) definisconole tabelle nel database. Ad esempio, tutti gli oggetti utente in Active Directory sono definiti dalla classe dischema user, mentre le singole proprietà di un utente, come l'indirizzo e-mail o il numero di telefono, sonodefinite da un attributo.
Se desideri aggiungere una nuova proprietà, ad esempio Dimensione-piede, dovrai definire un nuovoattributo, che sarebbe di tipo integer. Puoi anche definire limiti superiore e inferiore, ad esempio da 1 a20. Una volta creato l'oggetto attributeSchema Dimensione-piede, devi modificare l'oggetto classSchemautente per contenere tale attributo. Gli attributi possono essere collegati a più classi. Ad esempio,Dimensione-piede può anche essere aggiunto alla classe contatto. Per ulteriori informazioni sugli schemiActive Directory, consulta Quando estendere lo schema AWS Managed Microsoft AD (p. 111).
Questo flusso di lavoro ha tre fasi di base:
Version 1.0111
AWS Directory Service Guida di amministrazioneEstensione dello schema
Fase 1 Crea il tuo file LDIF (p. 112)
In primo luogo, devi creare un file LDIF e definire i nuovi attributi e le classi a cui gli attributi devonoessere aggiunti. Puoi usare questo file per la prossima fase del flusso di lavoro.
Fase 2. Importa il tuo file LDIF (p. 113)
In questa fase utilizzi la console AWS Directory Service per importare il file LDIF nell'ambienteMicrosoft AD.
Fase 3 Verificare se l'estensione dello schema è riuscita (p. 114)
Infine, come amministratore, utilizzi un'istanza EC2 per verificare che le nuove estensioni venganovisualizzate nello snap-in Active Directory Schema (Schema Active Directory).
Fase 1 Crea il tuo file LDIF
Un file LDIF è un formato standard per lo scambio di dati in testo semplice per rappresentare il contenutodella directory LDAP (Lightweight Directory Access Protocol) e le richieste di aggiornamento. LDIFtrasmette il contenuto della directory come un insieme di record, un record per ogni oggetto (o voce).Rappresenta anche le richieste di aggiornamento, come Add (Aggiungi), Modify (Modifica), Delete (Elimina)e Rename (Rinomina), come insieme di record, un record per ogni richiesta di aggiornamento.
AWS Directory Service importa il file LDIF con le modifiche dello schema eseguendo l'applicazioneldifde.exe sulla directory AWS Managed Microsoft AD. Pertanto, potrai trovarlo utile per comprendere lasintassi degli script LDIF. Per ulteriori informazioni, consulta la sezione relativa alle LDIF Scripts.
Diversi strumenti LDIF di terze parti possono estrarre, ripulire e aggiornare gli aggiornamenti dello schema.Indipendentemente dallo strumento che utilizzi, è importante capire che tutti gli identificatori utilizzati nel fileLDIF devono essere unici.
Consigliamo vivamente di rivedere i seguenti concetti e suggerimenti prima di creare il file LDIF.
• Elementi dello schema – scopri ulteriori informazioni sugli elementi dello schema, ad esempioattributi, classi, ID oggetto e attributi collegati. Per ulteriori informazioni, consulta Elementi delloschema (p. 19).
• Sequenza di elementi – assicurati che l'ordine in cui sono disposti gli elementi nel file LDIF segua ilDirectory Information Tree (DIT) dall'alto verso il basso. Le regole generali per il sequenziamento in unfile LDIF includono quanto segue:
Version 1.0112
AWS Directory Service Guida di amministrazioneEstensione dello schema
• Separare gli elementi con una riga vuota.• Elencare gli elementi figlio dopo i loro elementi padre.• Verificare che gli elementi, come attributi o classi di oggetti, esistano nello schema. Se non sono
presenti, devi aggiungerli allo schema prima che possa essere utilizzato. Ad esempio, prima di poterassegnare un attributo a una classe, l'attributo deve essere creato.
• Formato del DN – per ogni nuova istruzione nel file LDIF, definisci il nome distinto (DN) come primariga dell'istruzione. Il DN identifica un oggetto Active Directory all'interno dell'albero dell'oggetto ActiveDirectory e deve contenere i componenti del dominio per la directory. Ad esempio, i componenti deldominio per la directory in questo tutorial sono DC=example,DC=com.
Il DN deve contenere anche il nome comune (CN) dell'oggetto Active Directory. La prima voce CN èl'attributo o il nome della classe. Quindi, è necessario utilizzare CN=Schema,CN=Configuration.Questo CN garantisce che tu sia in grado di estendere lo schema Active Directory. Come accennatoin precedenza, non puoi aggiungere o modificare il contenuto degli oggetti Active Directory. Il formatogenerale per un DN è indicato di seguito.
dn: CN=[attribute or class name],CN=Schema,CN=Configuration,DC=[domain_name]
Per questo tutorial, il DN per il nuovo attributo Dimensione-piede sarà simile a:
dn: CN=Shoe-Size,CN=Schema,CN=Configuration,DC=example,DC=com
• Avvisi – esamina gli avvisi di seguito prima di estendere lo schema.• Prima di estendere lo schema Active Directory, è importante esaminare gli avvisi di Microsoft
sull'impatto di questa operazione. Per ulteriori informazioni, consulta What You Must Know BeforeExtending the Schema (Che cosa sapere prima di estendere lo schema).
• Non puoi eliminare un attributo o una classe dello schema. Pertanto, se commetti un errore e nondesideri eseguire il ripristino dal backup, puoi solo disabilitare l'oggetto. Per ulteriori informazioni,consulta Disabling Existing Classes and Attributes (Disabilitazione degli attributi e delle classiesistenti).
Per saperne di più su come sono creati i file LDIF e per visualizzare un file LDIF di esempio che puòessere utilizzato per il test delle estensioni dello schema AWS Managed Microsoft AD, leggi l'articolo Comeestendere lo schema della directory AWS Managed Microsoft AD sul blog AWS sulla sicurezza.
Approfondimenti
Fase 2. Importa il tuo file LDIF (p. 113)
Fase 2. Importa il tuo file LDIF
Puoi estendere lo schema importando un file LDIF dalla console AWS Directory Service o utilizzando l'API.Per ulteriori informazioni su come eseguire questa operazione con le API dell'estensione dello schema,consulta la AWS Directory Service API Reference. Al momento, AWS non supporta applicazioni esterne,come Microsoft Exchange, per eseguire direttamente gli aggiornamenti dello schema.
Important
Quando esegui un aggiornamento dello schema della directory AWS Managed Microsoft AD,l'operazione non è reversibile. In altre parole, dopo aver creato una nuova classe o un nuovoattributo, Active Directory non ne consente la rimozione. Tuttavia, è possibile effettuarne ladisabilitazione.Se devi eliminare le modifiche allo schema, un'opzione è il ripristino della directory da unasnapshot precedente. Il ripristino di una snapshot riporta lo schema e i dati della directory a unpunto precedente, non riguarda solo lo schema. Nota, l'età massima supportata di uno snapshot è
Version 1.0113
AWS Directory Service Guida di amministrazioneEstensione dello schema
di 180 giorni. Per ulteriori informazioni, consulta Useful shelf life of a system-state backup of ActiveDirectory nel sito Web Microsoft.
Prima che inizi il processo di aggiornamento, AWS Managed Microsoft AD acquisisce una snapshot perpreservare lo stato corrente della directory.
Per importare il file LDIF
1. Nel riquadro di navigazione di AWS Directory Service console, selezionare Directories (Directory).2. Nella pagina Directories (Directory), scegli l'ID della directory.3. Nella pagina Directory details (Dettagli della directory), seleziona la scheda Maintenance
(Manutenzione).4. Nella sezione Schema extensions (Estensioni dello schema), seleziona Actions (Azioni), quindi scegli
Upload and update schema (Carica e aggiorna schema).5. Nella finestra di dialogo, fai clic su Browse (Cerca), seleziona un file LDIF valido, digita una descrizione
e quindi scegli Update Schema (Aggiorna schema).Important
Estendere lo schema è un'operazione critica. Non applicare alcun aggiornamento delloschema nell'ambiente di produzione senza prima verificarlo con l'applicazione in un ambientedi test o sviluppo.
Come si applica il file LDIF
Dopo che il file LDIF è stato caricato, AWS Managed Microsoft AD adotta misure per proteggere ladirectory dagli errori applicando le modifiche nel seguente ordine.
1. Convalida il file LDIF. Dato che gli script LDIF possono manipolare qualsiasi oggetto nel dominio, AWSManaged Microsoft AD esegue controlli subito dopo il caricamento per garantire che l'operazione diimportazione non abbia esito negativo. Questi includono anche controlli per garantire quanto segue:• Gli oggetti da aggiornare sono conservati solo nel container dello schema• La parte DC (controller dei domini) corrisponde al nome del dominio in cui è in esecuzione lo script
LDIF2. Acquisisce una snapshot della directory. Puoi usare la snapshot per ripristinare la directory in caso di
problemi con l'applicazione dopo aver aggiornato lo schema.3. Applica le modifiche a un solo DC. AWS Managed Microsoft AD isola uno dei DC e applica gli
aggiornamenti nel file LDIF per il DC isolato. Quindi seleziona uno dei controller di dominio come masterdello schema, rimuove tale DC dalla replica della directory e applica il file LDIF tramite Ldifde.exe.
4. La replica viene eseguita per tutti i DC. AWS Managed Microsoft AD aggiunge nuovamente il DC isolatoalla replica per completare l'aggiornamento. Mentre ciò accade, la directory continua a fornire senzainterruzioni il servizio Active Directory alle applicazioni.
Approfondimenti
Fase 3 Verificare se l'estensione dello schema è riuscita (p. 114)
Fase 3 Verificare se l'estensione dello schema è riuscitaDopo aver completato il processo di importazione, è importante verificare che gli aggiornamenti delloschema siano stati applicati alla directory. Questo è particolarmente importante prima di migrare oaggiornare qualsiasi applicazione che si basa sull'aggiornamento dello schema. Puoi farlo utilizzando unaserie di strumenti LDAP o scrivendo uno strumento di test che emette i comandi LDAP appropriati.
Questa procedura utilizza lo snap-in Active Directory Schema (Schema Active Directory) e/o PowerShellper verificare che gli aggiornamenti dello schema siano stati applicati. Devi eseguire questi strumenti da
Version 1.0114
AWS Directory Service Guida di amministrazioneEstensione dello schema
un computer aggiunto al dominio a AWS Managed Microsoft AD. Può trattarsi di un server Windows inesecuzione nella rete locale con accesso al cloud privato virtuale (VPC) o tramite una connessione VPN(Virtual Private Network). Puoi anche eseguire questi strumenti su un'istanza Amazon EC2 Windows(consulta Come avviare una nuova istanza EC2 tramite il semplice collegamento del dominio).
Per verificare tramite lo snap-in Active Directory Schema (Schema Active Directory)
1. Installa lo snap-in Active Directory Schema (Schema Active Directory) utilizzando le istruzionidisponibili sul sito Web TechNet.
2. Apri Microsoft Management Console (MMC) ed espandi l'albero AD Schema (Schema AD) per ladirectory.
3. Esplora le cartelle Classes (Classi) e Attributes (Attributi) fino a trovare le modifiche dello schemaapportate in precedenza.
Per verificare l'utilizzo di PowerShell
1. Apri la finestra di PowerShell.2. Utilizza il cmdlet Get-ADObject come mostrato di seguito per verificare la modifica dello schema. Ad
esempio: .
get-adobject -Identity 'CN=Shoe-Size,CN=Schema,CN=Configuration,DC=example,DC=com' -Properties *
Fase facoltativa
(Facoltativo) Aggiunta di un valore al nuovo attributo (p. 115)
(Facoltativo) Aggiunta di un valore al nuovo attributo
Utilizza questa fase facoltativa quando crei un nuovo attributo e desideri aggiungere un nuovo valoreall'attributo nella directory AWS Managed Microsoft AD.
Per aggiungere un valore a un attributo
1. Apri l'utilità della riga di comando di Windows PowerShell e imposta il nuovo attributo con il seguentecomando. In questo esempio, aggiungeremo un nuovo valore EC2InstanceID all'attributo per uncomputer specifico.
PS C:\> set-adcomputer -Identity computer name -add @{example-EC2InstanceID= 'EC2 instance ID'}
2. Puoi verificare se il valore EC2InstanceID è stato aggiunto all'oggetto computer, eseguendo ilseguente comando:
PS C:\> get-adcomputer -Identity computer name –Property example-EC2InstanceID
Risorse correlate
I seguenti collegamenti alle risorse si trovano sul sito Web di Microsoft e forniscono informazioni correlate.
• Extending the Schema (Windows) (Estensione dello schema (Windows))• Active Directory Schema (Windows) (Schema Active Directory (Windows))• Active Directory Schema (Schema Active Directory)• Amministrazione di Windows: Estensione dello schema di Active Directory
Version 1.0115
AWS Directory Service Guida di amministrazioneGestione della directory
• Restrictions on Schema Extension (Windows) (Restrizioni sull'estensione dello schema (Windows))• Ldifde
Gestione della directory AWS Managed Microsoft ADIn questa sezione viene descritto come gestire le attività di amministrazione più comuni per l'ambiente AWSManaged Microsoft AD.
Argomenti• Aggiunta di Alternate suffissi UPN alternativi (p. 116)• Eliminazione della tua directory (p. 116)• Rinomina il sito della directory (p. 117)• Snapshot o ripristino della directory (p. 118)• Visualizza le informazioni sulla directory (p. 119)
Aggiunta di Alternate suffissi UPN alternativiÈ possibile semplificare la gestione dei nomi di accesso di Active Directory (AD) e migliorare l'esperienzadi accesso degli utenti aggiungendo suffissi di nomi utente principali (UPN) alternativi alla directory AWSManaged Microsoft AD. A tal fine, è necessario aver effettuato l'accesso all'account Amministratore o conun account membro del gruppo Amministratori delegati del suffisso nome principale degli utenti AWS. Perulteriori informazioni su questo gruppo, consulta Cosa viene creato (p. 12).
Aggiunta di suffissi UPN alternativi
1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.2. Individua un'istanza Amazon EC2 aggiunta alla tua directory AWS Managed Microsoft AD. Seleziona
l'istanza quindi scegli Connect (Connetti).3. Nella finestra Server Manager, scegli Tools (Strumenti). Successivamente, scegli Domini e trust di
Active Directory.4. Nel riquadro a sinistra, fai clic su Domini e trust di Active Directory, quindi scegli Proprietà.5. Nella scheda Suffissi UPN, digita un suffisso UPN alternativo (ad esempio sales.example.com).
Scegli Add (Aggiungi) quindi scegli Apply (Applica).6. Qualora fosse necessario aggiungere altri suffissi UPN alternativi, ripeti il passaggio 5 per il numero di
volte necessario.
Eliminazione della tua directoryWhen a Simple AD or AWS Directory Service for Microsoft Active Directory directory is deleted, all ofthe directory data and snapshots are deleted and cannot be recovered. After the directory is deleted, allinstances that are joined to the directory remain intact. You cannot, however, use your directory credentialsto log in to these instances. You need to log in to these instances with a user account that is local to theinstance.
When an AD Connector directory is deleted, your on-premises directory remains intact. All instances thatare joined to the directory also remain intact and remain joined to your on-premises directory. You can stilluse your directory credentials to log in to these instances.
To delete a directory
1. In the AWS Directory Service console navigation pane, select Directories.
Version 1.0116
AWS Directory Service Guida di amministrazioneGestione della directory
2. Ensure that no AWS applications are enabled for the directory.
a. On the Directories page, choose your directory ID.b. On the Directory details page, select the Application management tab. In the AWS apps &
services section, you see which AWS applications are enabled for your directory.
• To disable Amazon WorkSpaces, you must deregister the service from the directory in theAmazon WorkSpaces console. For more information, see Deregistering From a Directory in theAmazon WorkSpaces Administration Guide.
• To disable Amazon WorkSpaces Application Manager, you must remove all applicationassignments in the Amazon WAM console. For more information, see Removing All ApplicationAssignments in the Amazon WAM Administration Guide.
• To disable Amazon WorkDocs, you must delete the Amazon WorkDocs site in the AmazonWorkDocs console. For more information, see Delete a Site in the Guida per l'amministratore diAmazon WorkDocs.
• To disable Amazon WorkMail, you must remove the Amazon WorkMail organization in theAmazon WorkMail console. For more information, see Remove an Organization in the AmazonWorkMail Administrator Guide.
• Disable Console di gestione AWS access.• To disable Amazon Relational Database Service, you must remove the Amazon RDS instance
from the domain. For more information, see Managing a DB Instance in a Domain in the Guidaper l'utente di Amazon RDS.
• To disable Amazon QuickSight, you must unsubscribe from Amazon QuickSight. For moreinformation, see Closing Your Amazon QuickSight Account in the Amazon QuickSight UserGuide.
• To disable Amazon Connect, you must delete the Amazon Connect Instance. For moreinformation, see Deleting an Amazon Connect Instance in the Amazon Connect AdministrationGuide.
• To disable Amazon FSx for Windows File Server, you must remove the Amazon FSx file systemfrom the domain. For more information, see Working with Active Directory in Amazon FSx forWindows File Server in the Guida per l'utente di Amazon FSx for Windows File Server.
Note
If you are using AWS Single Sign-On and have previously connected it to the AWSManaged Microsoft AD directory you plan to delete, you must first disconnect thedirectory from AWS SSO before you can delete it. For more information, see Disconnecta Directory in the AWS SSO User Guide.
3. In the navigation pane, choose Directories.4. Select only the directory to be deleted and click Delete. It takes several minutes for the directory to be
deleted. When the directory has been deleted, it is removed from your directory list.
Rinomina il sito della directoryPuoi modificare il nome del sito predefinito della directory AWS Managed Microsoft AD in modo checorrisponda ai nomi dei siti esistenti di Microsoft Active Directory (AD). In questo modo, AWS ManagedMicrosoft AD trova e autentica più velocemente gli utenti AD esistenti nella directory locale. Il risultatoè un'esperienza migliore quando gli utenti si collegano a risorse AWS quali le istanze Amazon EC2 eAmazon RDS per SQL Server che sono state unite alla directory AWS Managed Microsoft AD.
Per farlo, è necessario essere connessi con l'account Admin o con un account membro del gruppoAWS Delegated Sites and Services Administrators (Amministratori di siti e servizi delegati). Per ulterioriinformazioni su questo gruppo, consulta Cosa viene creato (p. 12).
Version 1.0117
AWS Directory Service Guida di amministrazioneGestione della directory
Per ulteriori vantaggi sulla rinominazione del sito in relazione ai trust, consulta Domain Locator Across aForest Trust nel sito Web di Microsoft.
Per rinominare il sito AWS Managed Microsoft AD
1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.2. Individua un'istanza Amazon EC2 aggiunta alla tua directory AWS Managed Microsoft AD. Seleziona
l'istanza quindi scegli Connect (Connetti).3. Nella finestra Server Manager, scegli Tools (Strumenti). Quindi scegli Active Directory Sites and
Services (Servizi e siti Active Directory).4. Nel riquadro sinistro, espandi la cartella Sites (Siti), fai clic con il pulsante destro del mouse sul nome
del sito (l'impostazione predefinita è Default-Site-Name) quindi scegli Rename (Rinomina).5. Digita il nuovo nome del sito quindi scegli Enter (Invio).
Snapshot o ripristino della directoryAWS Directory Service provides the ability to take manual snapshots of data for a Simple AD or AWSDirectory Service for Microsoft Active Directory directory. These snapshots can be used to perform a point-in-time restore for your directory.
Note
You cannot take snapshots of AD Connector directories.
Argomenti• Creating a Snapshot of Your Directory (p. 118)• Restoring Your Directory from a Snapshot (p. 119)• Deleting a Snapshot (p. 119)
Creating a Snapshot of Your Directory
A snapshot can be used to restore your directory to what it was at the point in time that the snapshot wastaken. To create a manual snapshot of your directory, perform the following steps.
Note
You are limited to 5 manual snapshots for each directory. If you have already reached this limit,you must delete one of your existing manual snapshots before you can create another.
To create a manual snapshot
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Maintenance tab.4. In the Snapshots section, choose Actions, and then select Create snapshot.5. In the Create directory snapshot dialog box, provide a name for the snapshot, if desired. When ready,
choose Create.
Depending on the size of your directory, it may take several minutes to create the snapshot. When thesnapshot is ready, the Status value changes to Completed.
Version 1.0118
AWS Directory Service Guida di amministrazioneGestione della directory
Restoring Your Directory from a Snapshot
Restoring a directory from a snapshot is equivalent to moving the directory back in time. Directorysnapshots are unique to the directory they were created from. A snapshot can only be restored to thedirectory from which it was created. In addition, the maximum supported age of a manual snapshot is180 days. For more information, see Useful shelf life of a system-state backup of Active Directory on theMicrosoft website.
Warning
We recommend that you contact the AWS Support Center before any snapshot restore; we maybe able to help you avoid the need to do a snapshot restore. Any restore from snapshot can resultin data loss as they are a point in time. It is important you understand that all of the DCs and DNSservers associated with the directory will be offline until the restore operation has been completed.
To restore your directory from a snapshot, perform the following steps.
To restore a directory from a snapshot
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Maintenance tab.4. In the Snapshots section, select a snapshot in the list, choose Actions, and then select Restore
snapshot.5. Review the information in the Restore directory snapshot dialog box, and choose Restore.
For a Simple AD directory, it may take several minutes for the directory to be restored. For a AWSManaged Microsoft AD directory, it can take from two to three hours. When it has been successfullyrestored, the Status value of the directory changes to Active. Any changes made to the directory after thesnapshot date are overwritten.
Deleting a Snapshot
To delete a snapshot
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Maintenance tab.4. In the Snapshots section, choose Actions, and then select Delete snapshot.5. Verify that you want to delete the snapshot, and then choose Delete.
Visualizza le informazioni sulla directoryYou can view detailed information about a directory.
To view detailed directory information
1. In the AWS Directory Service console navigation pane, select Directories.2. Click the directory ID link for your directory. Information about the directory is displayed in the Directory
details page.
For more information about the Status field, see Comprendere lo stato della directory (p. 51).
Version 1.0119
AWS Directory Service Guida di amministrazioneConcessione dell'accesso alle risorse AWS
Concessione dell'accesso alle risorse AWS a utenti egruppiAWS Directory Service offre la possibilità di consentire l'accesso ai servizi e alle risorse di AWS agli utentie ai gruppi della tua directory, tra cui l'accesso alla console Amazon EC2. Come per la concessionedell'accesso alla gestione delle directory agli utenti IAM, descritto in Policy basate su identità (policyIAM) (p. 273), è necessario assegnare ruoli e policy IAM agli utenti e ai gruppi affinché gli utenti delladirectory abbiano accesso ad altre risorse AWS, come Amazon EC2. Per ulteriori informazioni, consultaRuoli IAM in Guida per l'utente di IAM.
Per informazioni su come concedere agli utenti l'accesso a Console di gestione AWS, consulta Attivazionedell'accesso a Console di gestione AWS con le credenziali AD (p. 133).
Argomenti• Creazione di un nuovo ruolo (p. 120)• Modifica della relazione di trust per un ruolo esistente (p. 121)• Assegnazione di utenti o gruppi a un ruolo esistente (p. 122)• Visualizzazione di utenti e gruppi assegnati a un ruolo (p. 122)• Rimozione di un utente o di un gruppo da un ruolo (p. 122)• Utilizzo delle policy gestite in AWS con AWS Directory Service (p. 123)
Creazione di un nuovo ruoloSe intendi creare un nuovo ruolo IAM da utilizzare con AWS Directory Service, è necessario crearloutilizzando la console IAM. Una volta creato il ruolo, è necessario configurare una relazione di trust con taleruolo prima di poterlo visualizzare nella console AWS Directory Service. Per ulteriori informazioni, consultaModifica della relazione di trust per un ruolo esistente (p. 121).
Note
L'utente che esegue questa operazione deve disporre dell'autorizzazione a eseguire leseguenti operazioni IAM. Per ulteriori informazioni, consulta Policy basate su identità (policyIAM) (p. 273).
• iam:PassRole• iam:GetRole• iam:CreateRole• iam:PutRolePolicy
Per creare un nuovo ruolo nella console IAM
1. Nel riquadro di navigazione della console IAM seleziona Roles (Ruoli). Per ulteriori informazioni,consulta la pagina relativa alla creazione di un ruolo (Console di gestione AWS) nella Guida perl'utente IAM.
2. Seleziona Create role (Crea ruolo).3. In Choose the service that will use this role (Scegli il servizio che utilizzerà questo ruolo), scegliere
Directory Service, quindi Next (Successivo).4. Selezionare la casella di controllo accanto alla policy (ad esempio, AmazonEC2FullAccess) da
applicare agli utenti della directory, quindi scegliere Next (Successivo).5. Se necessario, aggiungere un tag al ruolo, quindi scegliere Next (Successivo).
Version 1.0120
AWS Directory Service Guida di amministrazioneConcessione dell'accesso alle risorse AWS
6. Specificare un Role name (Nome ruolo) e una Description (Descrizione) opzionale, quindi scegliereCreate role (Crea ruolo).
Esempio: Creare un ruolo da abilitare Console di gestione AWS accesso
L'elenco di controllo seguente fornisce un esempio di attività da completare per creare un nuovo ruolo chegarantirà a specifici utenti della directory l'accesso alla console Amazon EC2.
1. Creare un ruolo con la console IAM utilizzando la procedura descritta sopra. Quando viene richiestauna policy, scegliere AmazonEC2FullAccess.
2. Utilizzare le istruzioni riportate nelle fasi Modifica della relazione di trust per un ruoloesistente (p. 121) per modificare il ruolo creato, quindi aggiungere le informazioni sulla relazione ditrust al documento della policy. Questa operazione è necessaria per rendere immediatamente visibile ilruolo dopo avere abilitato l'accesso alla Console di gestione AWS nella fase successiva.
3. Segui le istruzioni fornite nelle fasi Attivazione dell'accesso a Console di gestione AWS con lecredenziali AD (p. 133) per configurare l'accesso generale alla Console di gestione AWS.
4. Segui le istruzioni fornite nelle fasi Assegnazione di utenti o gruppi a un ruolo esistente (p. 122) peraggiungere al nuovo ruolo gli utenti che necessitano di accesso completo alle risorse EC2.
Modifica della relazione di trust per un ruolo esistentePuoi assegnare i ruoli IAM esistenti ai tuoi utenti e gruppi AWS Directory Service. Per eseguire questaoperazione, tuttavia, il ruolo deve avere una relazione di trust con AWS Directory Service. Quando usiAWS Directory Service per creare un ruolo tramite la procedura descritta in Creazione di un nuovoruolo (p. 120), la relazione di trust viene impostata automaticamente. È necessario solo stabilire questarelazione di trust per i ruoli IAM che non sono stati creati da AWS Directory Service.
Stabilire una relazione di trust per un ruolo esistente verso AWS Directory Service
1. Nel riquadro di navigazione della console IAM seleziona Roles (Ruoli).
La console visualizza i ruoli del tuo account.2. Seleziona il nome del ruolo che intendi modificare, quindi seleziona la scheda Trust
relationships (Relazioni di trust) nella pagina dei dettagli.3. Scegliere Edit trust relationship (Modifica relazione di trust).4. In Policy Document (Documento policy), incolla quanto indicato di seguito, quindi seleziona Update
Trust Policy (Aggiorna policy di trust).
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ds.amazonaws.com" }, "Action": "sts:AssumeRole" } ]}
È inoltre possibile aggiornare questo documento della policy utilizzando l'interfaccia a riga di comando IAM.Per ulteriori informazioni, consultare put-role-policy nel Guida di riferimento alla riga di comando di IAM.
Version 1.0121
AWS Directory Service Guida di amministrazioneConcessione dell'accesso alle risorse AWS
Assegnazione di utenti o gruppi a un ruolo esistentePuoi assegnare un ruolo IAM esistente a un utente o a un gruppo AWS Directory Service. Il ruolo deveavere una relazione di trust con AWS Directory Service. Per ulteriori informazioni, consulta Modifica dellarelazione di trust per un ruolo esistente (p. 121).
Assegnazione di utenti o gruppi a un ruolo IAM esistente
1. Nel riquadro di navigazione di AWS Directory Service console, seleziona Directory.2. Nella pagina Directories (Directory), scegli l'ID della directory.3. Nella pagina Directory details (Dettagli della directory), seleziona la scheda Application management
(Gestione dell'applicazione).4. Nella sezione Console di gestione AWS, in Delega dell'accesso alla console, scegliere il nome del
ruolo IAM per il ruolo IAM esistente a cui si desidera assegnare gli utenti. Se il ruolo non è ancora statocreato, consultare Creazione di un nuovo ruolo (p. 120).
5. Nella pagina Ruolo selezionato, in Manage users and groups for this role (Gestione di utenti e gruppiper questo ruolo), scegliere Aggiungi.
6. Nella pagina Add Users and Groups to Role (Aggiungi utenti e gruppi al ruolo), in Select ActiveDirectory Forest (Seleziona foresta Active Directory) selezionare la foresta AWS Managed MicrosoftAD (questa foresta) oppure la foresta locale (foresta trusted), a seconda di quale contiene gli accountche necessitano dell'accesso ad Console di gestione AWS. Per ulteriori informazioni su comeconfigurare una foresta affidabile, consulta Tutorial Crea una relazione di fiducia tra il tuo AWSManaged Microsoft AD e il vostro dominio locale (p. 100).
7. In Specify the users or groups to add (Specifica quali utenti o gruppi aggiungere), selezionare Find byuser (Cerca per utente) o Find by group (Cerca per gruppo), quindi digitare il nome dell'utente o delgruppo. Nell'elenco di corrispondenze possibili, seleziona l'utente o il gruppo che intendi aggiungere.
8. Selezionare Add (Aggiungi) per terminare l'assegnazione di utenti e gruppi al ruolo.
Note
L'accesso per gli utenti nei gruppi nidificati all'interno della directory non è supportato. Imembri del gruppo padre hanno accesso alla console, diversamente dai membri dei gruppifigli.
Visualizzazione di utenti e gruppi assegnati a un ruoloPer visualizzare gli utenti e i gruppi assegnati a un ruolo, esegui la procedura seguente.
Visualizzazione di utenti e gruppi assegnati a un ruolo
1. Nel riquadro di navigazione di AWS Directory Service console, seleziona Directory.2. Nella pagina Directories (Directory), scegli l'ID della directory.3. Nella pagina Directory details (Dettagli della directory), seleziona la scheda Application management
(Gestione dell'applicazione).4. Nella sezione Console di gestione AWS, scegli il ruolo da visualizzare.5. Nella pagina Selected role (Ruolo selezionato), in Manage users and groups for this role (Gestione di
utenti e gruppi per questo ruolo) sono presenti gli utenti e i gruppi assegnati al ruolo.
Rimozione di un utente o di un gruppo da un ruoloPer rimuovere un utente o un gruppo da un ruolo, esegui la procedura seguente.
Version 1.0122
AWS Directory Service Guida di amministrazioneConcessione dell'accesso alle risorse AWS
Rimozione di un utente o di un gruppo da un ruolo
1. Nel riquadro di navigazione di AWS Directory Service console, seleziona Directory.2. Nella pagina Directories (Directory), scegli l'ID della directory.3. Nella pagina Directory details (Dettagli della directory), seleziona la scheda Application management
(Gestione dell'applicazione).4. Nella sezione Console di gestione AWS, scegli il ruolo da visualizzare.5. Nella pagina Selected role (Ruolo selezionato), in Manage users and groups for this role (Gestione
utenti e gruppi per questo ruolo), seleziona gli utenti o i gruppi da cui rimuovere il ruolo e scegliRemove (Rimuovi). Il ruolo viene rimosso dagli utenti e dai gruppi specificati, ma non viene rimosso daltuo account.
Utilizzo delle policy gestite in AWS con AWS Directory ServiceAWS Directory Service fornisce le seguenti policy gestite in AWS per offrire ai tuoi utenti e ai tuoi gruppil'accesso ai servizi e alle risorse di AWS, come la console Amazon EC2. È necessario accedere allaConsole di gestione AWS prima di poter visualizzare queste policy.
• Accesso in sola lettura• Accesso utenti avanzati• AWS Directory Service Accesso completo• AWS Directory Service Accesso in sola lettura• Amazon Cloud Directory Accesso completo• Amazon Cloud Directory Accesso in sola lettura• Amazon EC2 Accesso completo• Amazon EC2 Accesso in sola lettura• Amazon VPC Accesso completo• Amazon VPC Accesso in sola lettura• Amazon RDS Accesso completo• Amazon RDS Accesso in sola lettura• Amazon DynamoDB Accesso completo• Amazon DynamoDB Accesso in sola lettura• Amazon S3 Accesso completo• Amazon S3 Accesso in sola lettura• AWS CloudTrail Accesso completo• AWS CloudTrail Accesso in sola lettura• Amazon CloudWatch Accesso completo• Amazon CloudWatch Accesso in sola lettura• Amazon CloudWatch Logs Accesso completo• Amazon CloudWatch Logs Accesso in sola lettura
Per ulteriori informazioni su come creare le policy, consulta la sezione relativa agli Esempi di policy peramministrare le risorse AWS nella Guida per l'utente di IAM.
Version 1.0123
AWS Directory Service Guida di amministrazioneAbilitazione dell'accesso alle applicazioni e ai servizi AWS
Abilitazione dell'accesso alle applicazioni e ai serviziAWSAWS Directory Service can give other AWS applications and services, such as Amazon WorkSpaces,access to your directory users. The following AWS applications and services can be enabled or disabled towork with AWS Directory Service.
AWS application / service More information...
Amazon Chime For more information, see the Amazon ChimeAdministration Guide.
Amazon Connect For more information, see the Amazon ConnectAdministration Guide.
Amazon FSx for Windows File Server For more information, see Using Amazon FSxwith AWS Directory Service for Microsoft ActiveDirectory in the Amazon FSx for Windows FileServer User Guide.
Amazon QuickSight For more information, see the Amazon QuickSightUser Guide.
Amazon Relational Database Service For more information, see the Guida per l'utente diAmazon RDS.
Amazon WorkDocs For more information, see the Guida perl'amministratore di Amazon WorkDocs.
Amazon WorkMail For more information, see the Amazon WorkMailAdministrator Guide.
Amazon WorkSpaces You can create a Simple AD, AWS ManagedMicrosoft AD, or AD Connector directly fromAmazon WorkSpaces. Simply launch AdvancedSetup when creating your Workspace.
For more information, see the AmazonWorkSpaces Administration Guide.
Amazon WorkSpaces Application Manager For more information, see the Amazon WAMAdministration Guide.
Console di gestione AWS For more information, see Attivazione dell'accessoa Console di gestione AWS con le credenzialiAD (p. 133).
Once enabled, you manage access to your directories in the console of the application or service that youwant to give access to your directory. To find the AWS applications and services links described above inthe AWS Directory Service console, perform the following steps.
To display the applications and services for a directory
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.
Version 1.0124
AWS Directory Service Guida di amministrazioneAbilitazione dell'accesso alle applicazioni e ai servizi AWS
4. Review the list under the AWS apps & services section.
Argomenti• Creazione di un URL di accesso (p. 125)• Single Sign-On (p. 125)
Creazione di un URL di accessoAn access URL is used with AWS applications and services, such as Amazon WorkSpaces, to reach alogin page that is associated with your directory. The URL must be unique globally. You can create anaccess URL for your directory by performing the following steps.
Warning
Once you create an application access URL for this directory, it cannot be changed. After anaccess URL is created, it cannot be used by others. If you delete your directory, the access URL isalso deleted and can then be used by any other account.
To create an access URL
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. In the Application access URL section, if an access URL has not been assigned to the directory, the
Create button is displayed. Enter a directory alias and choose Create. If an Entity Already Exists erroris returned, the specified directory alias has already been allocated. Choose another alias and repeatthis procedure.
Your access URL is displayed in the format <alias>.awsapps.com.
Single Sign-OnAWS Directory Service offre la possibilità di consentire agli utenti di accedere a Amazon WorkDocs da uncomputer collegato alla directory senza immettere le proprie credenziali separatamente.
Prima di abilitare l'accesso single sign-on, è necessario eseguire operazioni aggiuntive per abilitare ilbrowser Web dei tuoi utenti a supportare l'accesso single sign-on. Gli utenti potrebbero dover modificare leproprie impostazioni del browser Web per abilitare l'accesso single sign-on.
Note
L'accesso single sign-on funziona solo quando viene utilizzato su un computer collegato alladirectory AWS Directory Service e non può essere utilizzato sui computer che non sono collegatialla directory.
Se la directory è una directory del connettore AD e l'account del servizio Connettore AD non disponedell'autorizzazione per aggiungere o rimuovere l'attributo nome dell'entità servizio, per i passaggi 5 e 6seguenti sono disponibili due opzioni:
1. È possibile procedere e verrà richiesto il nome utente e la password per un utente di directory chedispone di questa autorizzazione per aggiungere o rimuovere l'attributo nome dell'entità servizionell'account del servizio Connettore AD. Queste credenziali vengono utilizzate solo per abilitarel'accesso single sign-on e non vengono archiviate dal servizio. Le autorizzazioni dell'account del servizioConnettore AD non vengono modificate.
Version 1.0125
AWS Directory Service Guida di amministrazioneAbilitazione dell'accesso alle applicazioni e ai servizi AWS
2. È possibile delegare le autorizzazioni per consentire all'account del servizio Connettore AD diaggiungere o rimuovere l'attributo nome dell'entità servizio su se stesso, è possibile eseguire i comandiPowerShell riportati di seguito da un computer associato a un dominio utilizzando un account chedispone delle autorizzazioni per modificare le autorizzazioni per l'account del servizio Connettore AD. Ilcomando seguente darà all'account del servizio Connettore AD la possibilità di aggiungere e rimuovereun attributo nome dell'entità servizio solo per se stesso.
$AccountName = 'ConnectorAccountName'# DO NOT modify anything below this comment.# Getting Active Directory information.Import-Module 'ActiveDirectory'$RootDse = Get-ADRootDSE [System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID# Getting AD Connector service account Information.$AccountProperties = Get-ADUser -Identity $AccountName$AclPath = $AccountProperties.DistinguishedName$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value# Getting ACL settings for AD Connector service account.$ObjectAcl = Get-ACL -Path "AD:\$AclPath" # Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None'$ObjectAcl.AddAccessRule($AddAccessRule)Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
Attivazione o disattivazione dell'accesso single sign-on con Amazon WorkDocs
1. Nel riquadro di navigazione di AWS Directory Service console, selezionare Directories (Directory).2. Nella pagina Directories (Directory), scegli l'ID della directory.3. Nella pagina Directory details (Dettagli della directory), seleziona la scheda Application management
(Gestione dell'applicazione).4. Nella sezione Application access URL (URL di accesso all'applicazione) scegliere Enable (Abilita) per
abilitare l'accesso Single Sign-On per Amazon WorkDocs.
Se non visualizzi il pulsante Enable (Abilita), potresti dover creare un URL di accesso prima che questaopzione venga visualizzata. Per ulteriori informazioni su come creare un URL di accesso, consultaCreazione di un URL di accesso (p. 125).
5. Nella finestra di dialogo Enable Single Sign-On for this directory (Abilita accesso single sign-on perquesta directory) scegli Enable (Abilita). L'accesso single sign-on è abilitato per la directory.
6. Se successivamente desideri disabilitare l'accesso single sign-on con Amazon WorkDocs, selezionaDisable (Disabilita) e nella finestra di dialogo Disable Single Sign-On for this directory (Disabilitaaccesso single sign-on per questa directory) seleziona di nuovo Disable (Disabilita).
Argomenti• Accesso single sign-on per IE e Chrome (p. 126)• Accesso single sign-on per Firefox (p. 132)
Accesso single sign-on per IE e Chrome
Per permettere ai browser Internet Explorer (IE) e Google Chrome di Microsoft di supportare l'accessosingle sign-on, è necessario eseguire le attività seguenti sul computer client:
Version 1.0126
AWS Directory Service Guida di amministrazioneAbilitazione dell'accesso alle applicazioni e ai servizi AWS
• Aggiungi il tuo URL di accesso (ad esempio, https://<alias>.awsapps.com) all'elenco dei siti approvatiper l'accesso single sign-on.
• Abilita lo scripting attivo (JavaScript).• Permetti l'accesso automatico.• Abilita l'autenticazione integrata.
Tu o i tuoi utenti potete eseguire queste attività manualmente oppure potete modificare queste impostazioniusando le impostazioni delle policy di gruppo.
Argomenti• Aggiornamento manuale per l'accesso single sign-on su Windows (p. 127)• Aggiornamento manuale per l'accesso single sign-on su OS X (p. 129)• Impostazioni delle policy di gruppo per l'accesso single sign-on (p. 129)
Aggiornamento manuale per l'accesso single sign-on su Windows
Per abilitare manualmente l'accesso single sign-on su un computer Windows, esegui la proceduraseguente sul computer client. Alcune di queste impostazioni possono essere già impostate correttamente.
Abilitazione manuale dell'accesso single sign-on per Internet Explorer e Chrome su Windows
1. Per aprire la finestra di dialogo Internet Properties (Proprietà Internet), seleziona il menu Start, digitaInternet Options nella casella di ricerca e seleziona Internet Options (Opzioni Internet).
2. Aggiungi il tuo URL di accesso all'elenco dei siti approvati per l'accesso single sign-on eseguendo lefasi seguenti:
a. Nella finestra di dialogo Internet Properties (Proprietà Internet), seleziona la scheda Security(Sicurezza).
b. Seleziona Local Intranet (Intranet locale) e scegli Sites (Siti).c. Nella finestra di dialogo Local intranet (Intranet locale) scegli Advanced (Opzioni avanzate).d. Aggiungi il tuo URL di accesso all'elenco di siti Web e scegli Close (Chiudi).e. Nella finestra di dialogo Local intranet (Intranet locale) scegli OK.
3. Per abilitare lo scripting attivo, segui la procedura seguente:
a. Nella scheda Security (Sicurezza) della finestra di dialogo Internet Properties (Proprietà Internet),scegli Custom level (Livello personalizzato).
b. Nella finestra di dialogo Security Settings - Local Intranet Zone (Impostazioni di sicurezza - AreaIntranet locale), scorri verso il basso a Scripting e seleziona Enable (Abilita) sotto Active scripting(Scripting attivo).
Version 1.0127
AWS Directory Service Guida di amministrazioneAbilitazione dell'accesso alle applicazioni e ai servizi AWS
c. Nella finestra di dialogo Security Settings - Local Intranet Zone (Impostazioni di sicurezza - AreaIntranet locale) scegli OK.
4. Per abilitare l'accesso automatico, segui la procedura seguente:
a. Nella scheda Security (Sicurezza) della finestra di dialogo Internet Properties (Proprietà Internet),scegli Custom level (Livello personalizzato).
b. Nella finestra di dialogo Security Settings - Local Intranet Zone (Impostazioni di sicurezza - AreaIntranet locale), scorri verso il basso a User Authentication (Autenticazione utenti) e selezionaAutomatic logon only in Intranet zone (Accesso automatico solo in area intranet) sotto Logon(Accesso).
c. Nella finestra di dialogo Security Settings - Local Intranet Zone (Impostazioni di sicurezza - AreaIntranet locale) scegli OK.
d. Nella finestra di dialogo Security Settings - Local Intranet Zone (Impostazioni di sicurezza - AreaIntranet locale) scegli OK.
5. Per abilitare l'autenticazione integrata, segui la procedura seguente:
Version 1.0128
AWS Directory Service Guida di amministrazioneAbilitazione dell'accesso alle applicazioni e ai servizi AWS
a. Nella finestra di dialogo Internet Properties (Proprietà Internet), seleziona la scheda Advanced(Opzioni avanzate).
b. Scorri verso il basso a Security (Sicurezza) e seleziona Enable Integrated Windows Authentication(Abilita autenticazione di Windows integrata).
c. Nella finestra di dialogo Internet Properties (Proprietà Internet) scegli OK.6. Chiudi e riapri il browser perché queste modifiche diventino effettive.
Aggiornamento manuale per l'accesso single sign-on su OS X
Per abilitare manualmente l'accesso single sign-on a Chrome su OS X, esegui la procedura seguentesul computer client. Dovrai disporre di diritti di amministratore sul tuo computer per completare questaprocedura.
Abilitazione manuale dell'accesso single sign-on a Chrome su OS X
1. Aggiungi il tuo URL di accesso alla policy AuthServerWhitelist eseguendo il seguente comando:
defaults write com.google.Chrome AuthServerWhitelist "https://<alias>.awsapps.com"
2. Apri System Preferences (Preferenze di sistema), vai al pannello Profiles (Profili) ed elimina il profiloChrome Kerberos Configuration.
3. Riavvia Chrome e apri chrome://policy in Chrome per confermare che le nuove impostazioni sianoeffettive.
Impostazioni delle policy di gruppo per l'accesso single sign-on
L'amministratore di dominio può implementare le impostazioni delle policy di gruppo per effettuare lemodifiche dell'accesso single sign-on su computer client collegati al dominio.
Note
Se gestisci il browser Web Chrome sui computer nel tuo dominio con le policy di Chrome, ènecessario aggiungere l'URL di accesso alla policy AuthServerWhitelist. Per ulteriori informazioni
Version 1.0129
AWS Directory Service Guida di amministrazioneAbilitazione dell'accesso alle applicazioni e ai servizi AWS
su come impostare le policy di Chrome, vai all'argomento relativo alle Impostazioni delle policy inChrome.
Abilitazione manuale dell'accesso single sign-on per Internet Explorer e Chrome utilizzando leimpostazioni delle policy di gruppo
1. Crea un nuovo oggetto Group Policy seguendo questa procedura:
a. Apri lo strumento di gestione di Group Policy, vai al tuo dominio e seleziona Group Policy Objects(Oggetti Group Policy).
b. Dal menu principale, seleziona Action (Operazione) e quindi New (Nuovo).c. Nella finestra di dialogo New GPO (Nuovo GPO) digita un nome descrittivo per l'oggetto Group
Policy, ad esempio SSO Policy e lascia Source Starter GPO (GPO Starter di origine) impostatosu (none) (nessuno). Fare clic su OK.
2. Aggiungi l'URL di accesso all'elenco dei siti approvati per l'accesso single sign-on eseguendo laprocedura seguente:
a. Nello strumento di gestione di Group Policy, vai al tuo dominio, seleziona Group Policy Objects(Oggetti Group Policy), apri il menu contestuale (pulsante destro del mouse) per la tua policy SSOe scegli Edit (Modifica).
b. Nella struttura della policy, seleziona User Configuration (Configurazione utente) > Preferences(Preferenze) > Windows Settings (Impostazioni di Windows).
c. Nell'elenco Windows Settings (Impostazioni di Windows), apri il menu contestuale (pulsante destrodel mouse) per Registry (Registro di sistema) e seleziona New registry item (Nuovo elemento diregistro di sistema).
d. Nella finestra di dialogo New Registry Properties (Nuove proprietà di registro di sistema), inseriscile impostazioni seguenti e scegli OK:
Action (Operazione)
Update
Hive
HKEY_CURRENT_USER
Path (Percorso)
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>
Il valore di <alias> deriva dall'URL di accesso. Se il tuo URL di accesso è https://examplecorp.awsapps.com, l'alias è examplecorp e la chiave di registro sarà Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp.
Value name (Nome valore)
https
Value type (Tipo di valore)
REG_DWORD
Value data (Dati valore)
1
3. Per abilitare lo scripting attivo, segui la procedura seguente:
Version 1.0130
AWS Directory Service Guida di amministrazioneAbilitazione dell'accesso alle applicazioni e ai servizi AWS
a. Nello strumento di gestione di Group Policy, vai al tuo dominio, seleziona Group Policy Objects(Oggetti Group Policy), apri il menu contestuale (pulsante destro del mouse) per la tua policy SSOe scegli Edit (Modifica).
b. Nella struttura della policy, passa a Computer Configuration (Configurazione computer) > Policies(Policy) > Administrative Templates (Modelli amministrativi) > Windows Components (Componentidi Windows) > Internet Explorer > Internet Control Panel (Pannello di controllo Internet) > SecurityPage (Pagina protezione) > Intranet Zone (Area Intranet).
c. Nell'elenco Intranet Zone (Area Intranet), apri il menu contestuale (pulsante destro del mouse) perAllow active scripting (Consenti scripting attivo) e scegli Modifica (Edit).
d. Nella finestra di dialogo Allow active scripting (Consenti scripting attivo), inserisci le impostazioniseguenti e scegli OK:
• Seleziona il pulsante di opzione Enabled (Abilitato).• In Options (Opzioni) imposta Allow active scripting (Consenti scripting attivo) su Enable (Abilita).
4. Per abilitare l'accesso automatico, segui la procedura seguente:
a. Nello strumento di gestione di Group Policy, passa al tuo dominio, seleziona Group Policy Objects(Oggetti Group Policy), apri il menu contestuale (pulsante destro del mouse) della policy SSO escegli Edit (Modifica).
b. Nella struttura della policy, passa a Computer Configuration (Configurazione computer) > Policies(Policy) > Administrative Templates (Modelli amministrativi) > Windows Components (Componentidi Windows) > Internet Explorer > Internet Control Panel (Pannello di controllo Internet) > SecurityPage (Pagina protezione) > Intranet Zone (Area Intranet).
c. Nell'elenco Intranet Zone (Area Intranet), apri il menu contestuale (pulsante destro del mouse) perLogon options (Opzioni di accesso) e scegli Modifica (Edit).
d. Nella finestra di dialogo Logon options (Opzioni di accesso), inserisci le impostazioni seguenti escegli OK:
• Seleziona il pulsante di opzione Enabled (Abilitato).• In Options (Opzioni) imposta Logon options (Opzioni di accesso) su Automatic logon only in
Intranet zone (Accesso automatico solo nell'area Intranet).5. Per abilitare l'autenticazione integrata, segui la procedura seguente:
a. Nello strumento di gestione di Group Policy, vai al tuo dominio, seleziona Group Policy Objects(Oggetti Group Policy), apri il menu contestuale (pulsante destro del mouse) per la tua policy SSOe scegli Edit (Modifica).
b. Nella struttura della policy, seleziona User Configuration (Configurazione utente) > Preferences(Preferenze) > Windows Settings (Impostazioni di Windows).
c. Nell'elenco Windows Settings (Impostazioni di Windows), apri il menu contestuale (pulsante destrodel mouse) per Registry (Registro di sistema) e seleziona New registry item (Nuovo elemento diregistro di sistema).
d. Nella finestra di dialogo New Registry Properties (Nuove proprietà di registro di sistema), inseriscile impostazioni seguenti e scegli OK:
Action (Operazione)
Update
Hive
HKEY_CURRENT_USER
Path (Percorso)
Software\Microsoft\Windows\CurrentVersion\Internet Settings
Version 1.0131
AWS Directory Service Guida di amministrazioneAbilitazione dell'accesso alle applicazioni e ai servizi AWS
Value name (Nome valore)
EnableNegotiate
Value type (Tipo di valore)
REG_DWORD
Value data (Dati valore)
1
6. Chiudi la finestra Group Policy Management Editor (Editor gestione di Group Policy) se è ancoraaperta.
7. Assegna la nuova policy al tuo dominio seguendo questa procedura:
a. Nella struttura di gestione di Group Policy, apri il menu contestuale (pulsante destro del mouse)del tuo dominio e scegli Link an Existing GPO (Collega un GPO esistente).
b. Nell'elenco Group Policy Objects (Oggetti Group Policy), seleziona la policy SSO e scegli OK.
Queste modifiche diventeranno effettive dopo l'aggiornamento successivo della policy di gruppo sul client,oppure all'accesso successivo da parte dell'utente.
Accesso single sign-on per Firefox
Per permettere al browser Firefox di Mozilla di supportare l'accesso single sign-on, aggiungi l'URL diaccesso (ad esempio, https://<alias>.awsapps.com) all'elenco dei siti approvati per l'accesso single sign-on. Puoi eseguire questa operazione manualmente oppure in maniera automatizzata con uno script.
Argomenti• Aggiornamento manuale dell'accesso single sign-on (p. 132)• Aggiornamento automatico dell'accesso single sign-on (p. 133)
Aggiornamento manuale dell'accesso single sign-on
Per aggiungere manualmente l'URL di accesso all'elenco dei siti approvati in Firefox, esegui la seguenteprocedura sul computer client.
Aggiunta manuale dell'URL di accesso all'elenco dei siti approvati in Firefox
1. Apri Firefox e apri la pagina about:config.2. Apri la preferenza network.negotiate-auth.trusted-uris e aggiungi il tuo URL di accesso
all'elenco dei siti. Utilizza una virgola (,) per separare più voci.
Version 1.0132
AWS Directory Service Guida di amministrazioneAbilitazione dell'accesso a Console di gestione AWS
Aggiornamento automatico dell'accesso single sign-on
In qualità di amministratore di dominio, puoi utilizzare uno script per aggiungere l'URL di accesso allapreferenza utente network.negotiate-auth.trusted-uris di Firefox su tutti i computer della rete.Per ulteriori informazioni, vai a https://support.mozilla.org/en-US/questions/939037.
Attivazione dell'accesso a Console di gestione AWScon le credenziali ADAWS Directory Service allows you to grant members of your directory access to the Console di gestioneAWS. By default, your directory members do not have access to any AWS resources. You assign IAM rolesto your directory members to give them access to the various AWS services and resources. The IAM roledefines the services, resources, and level of access that your directory members have.
Before you can grant console access to your directory members, your directory must have an accessURL. For more information about how to view directory details and get your access URL, see Visualizzale informazioni sulla directory (p. 119). For more information about how to create an access URL, seeCreazione di un URL di accesso (p. 125).
For more information about how to create and assign IAM roles to your directory members, seeConcessione dell'accesso alle risorse AWS a utenti e gruppi (p. 120).
Argomenti• Enable Console di gestione AWS Access (p. 134)• Disable Console di gestione AWS Access (p. 134)
Version 1.0133
AWS Directory Service Guida di amministrazioneAbilitazione dell'accesso a Console di gestione AWS
• Set Login Session Length (p. 134)
Related AWS Security Blog Article
• How to Access the Console di gestione AWS Using AWS Managed Microsoft AD and Your On-PremisesCredentials
Enable Console di gestione AWS AccessBy default, console access is not enabled for any directory. To enable console access for your directoryusers and groups, perform the following steps:
To enable console access
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. Under the Console di gestione AWS section, choose Enable. Console access is now enabled for your
directory.
Before users can sign-in to the console with your access URL, you must first add your users to the role.For general information about assigning users to IAM roles, see Assegnazione di utenti o gruppi a unruolo esistente (p. 122). After the IAM roles have been assigned, users can then access the consoleusing your access URL. For example, if your directory access URL is example-corp.awsapps.com, theURL to access the console is https://example-corp.awsapps.com/console/.
Disable Console di gestione AWS AccessTo disable console access for your directory users and groups, perform the following steps:
To disable console access
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. Under the Console di gestione AWS section, choose Disable. Console access is now disabled for your
directory.5. If any IAM roles have been assigned to users or groups in the directory, the Disable button may
be unavailable. In this case, you must remove all IAM role assignments for the directory beforeproceeding, including assignments for users or groups in your directory that have been deleted, whichwill show as Deleted User or Deleted Group.
After all IAM role assignments have been removed, repeat the steps above.
Set Login Session LengthBy default, users have 1 hour to use their session after successfully signing in to the console before theyare logged out. After that, users must sign in again to start the next 1 hour session before being logged offagain. You can use the following procedure to change the length of time to up to 12 hours per session.
To set login session length
1. In the AWS Directory Service console navigation pane, choose Directories.
Version 1.0134
AWS Directory Service Guida di amministrazioneDistribuzione di controller di dominio aggiuntivi
2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. Under the AWS apps & services section, choose AWS Management Console.5. In the Manage Access to AWS Resource dialog box, choose Continue.6. In the Assign users and groups to IAM roles page, under Set login session length, edit the numbered
value, and then choose Save.
Distribuzione di controller di dominio aggiuntiviLa distribuzione di controller di dominio aggiuntivi aumenta la ridondanza, che comporta maggiori resilienzae disponibilità. Questo inoltre consente di migliorare le prestazioni della tua directory, sostenendo unmaggior numero di richieste di Active Directory. Ad esempio, ora puoi utilizzare AWS Managed MicrosoftAD per supportare più applicazioni .NET distribuite su grandi parchi di istanze Amazon EC2 e Amazon RDSper SQL Server.
Quando crei la directory per la prima volta, AWS Managed Microsoft AD distribuisce due controller didominio in più zone di disponibilità, il che è necessario per garantire alta disponibilità. In seguito, è possibiledistribuire controller di dominio aggiuntivi tramite la console AWS Directory Service semplicementespecificando il numero totale di controller di dominio desiderati. AWS Managed Microsoft AD distribuiscei controller di dominio aggiuntivi alle zone di disponibilità e alle sottoreti del VPC su cui è in esecuzione ladirectory.
Ad esempio, nella seguente illustrazione, DC-1 e DC-2 rappresentano i due controller di dominio creatioriginariamente con la directory. La console AWS Directory Service fa riferimento a questi controller didominio predefiniti come Required (Obbligatorio). AWS Managed Microsoft AD posiziona intenzionalmenteciascuno di questi controller di dominio in zone di disponibilità diverse durante il processo di creazionedella directory. In seguito, potresti decidere di aggiungere due ulteriori controller di dominio per aiutarea distribuire il carico di autenticazione su tempi di login di picco. DC-3 e DC-4 rappresentano il nuovocontroller di dominio, a cui la console ora fa riferimento come Additional (Aggiuntivo). Come in precedenza,AWS Managed Microsoft AD posiziona nuovamente in modo automatico i nuovi controller di dominio indiverse zone di disponibilità per garantire un'alta disponibilità del tuo dominio.
Version 1.0135
AWS Directory Service Guida di amministrazioneDistribuzione di controller di dominio aggiuntivi
Grazie a questo processo, non è più necessario configurare manualmente la replica della directory, glisnapshot automatizzati giornalieri o il monitoraggio dei dati della directory per i controller di dominioaggiuntivi. È più semplice migrare ed eseguire carichi di lavoro mission critical integrati con Active Directorynel cloud AWS senza dover distribuire e mantenere la tua infrastruttura Active Directory. Puoi inoltredistribuire o rimuovere controller di dominio aggiuntivi per AWS Managed Microsoft AD tramite l'APIUpdateNumberOfDomainControllers.
Aggiunta o eliminazione di controller di dominio aggiuntiviUtilizza la procedura seguente per distribuire o rimuovere controller di dominio aggiuntivi nella tua directoryAWS Managed Microsoft AD.
Note
Se hai configurato il tuo AWS Managed Microsoft AD per l'abilitazione di LDAPS, anche tutti glialtri controller di dominio aggiunti presenteranno LDAPS abilitato automaticamente. Per ulterioriinformazioni, consulta Abilita LDAP sicuro (LDAPS) (p. 34).
Aggiunta o eliminazione di controller di dominio aggiuntivi
1. Nel riquadro di navigazione di AWS Directory Service console, seleziona Directory.2. Nella pagina Directories (Directory), scegli l'ID della directory.3. Nella pagina Directory details (Dettagli della directory), seleziona la scheda Scale (Dimensiona).4. Nella sezione Domain controllers (Controller dominio), seleziona Edit (Modifica).
Version 1.0136
AWS Directory Service Guida di amministrazioneMigrazione di utenti da AD in AWS Managed Microsoft AD
5. Specifica il numero di controller di dominio da aggiungere o rimuovere dalla directory, quindi selezionaModify (Modifica).
6. Quando AWS Managed Microsoft AD ha completato il processo di distribuzione, tutti i controllerdi dominio visualizzano lo stato Active (Attivo), oltre alla zona di disponibilità e alle sottoreti VPCassegnate. I nuovi controller di dominio vengono distribuiti in modo uniforme tra le zone di disponibilitàe le sottoreti in cui la directory è già stata distribuita.
Note
Dopo la distribuzione dei controller di dominio aggiuntivi, puoi ridurre il numero di controllerdi dominio a due, ovvero al minimo necessario agli scopi di tolleranza ai guasti ed elevatadisponibilità.
Articolo correlato del blog AWS sulla sicurezza
• Come aumentare la ridondanza e le prestazioni di AWS Directory Service per AWS Managed MicrosoftAD aggiungendo controller di dominio
Migrazione di utenti da Active Directory in AWSManaged Microsoft ADPuoi utilizzare Active Directory Migration Toolkit (ADMT) insieme a Password Export Service (PES) permigrare gli utenti dalla tua AD auto-gestita alla directory AWS Managed Microsoft AD. In questo modo èpossibile migrare oggetti AD e password crittografate per gli utenti in modo più semplice.
Per istruzioni dettagliate, consulta How to migrate your on-premises domain to AWS Managed Microsoft ADusing ADMT nel Blog sulla sicurezza di AWS.
Best practice per AWS Managed Microsoft ADDi seguito alcuni suggerimenti e linee guida da tenere in considerazione per evitare problemi e sfruttare almassimo AWS Managed Microsoft AD.
Configurazione Prerequisiti:Tieni presenti queste linee guida prima di creare la directory.
Verify You Have the Right Directory TypeAWS Directory Service provides multiple ways to use Microsoft Active Directory with other AWS services.You can choose the directory service with the features you need at a cost that fits your budget:
• AWS Directory Service for Microsoft Active Directory is a feature-rich managed Microsoft Active Directoryhosted on the AWS cloud. AWS Managed Microsoft AD is your best choice if you have more than 5,000users and need a trust relationship set up between an AWS hosted directory and your on-premisesdirectories.
• AD Connector simply connects your existing on-premises Active Directory to AWS. AD Connector is yourbest choice when you want to use your existing on-premises directory with AWS services.
• Simple AD is an inexpensive Active Directory–compatible service with the common directory features.In most cases, Simple AD is the least expensive option and your best choice if you have 5,000 or fewerusers and don’t need the more advanced Microsoft Active Directory features.
Version 1.0137
AWS Directory Service Guida di amministrazioneConfigurazione Prerequisiti:
For a more detailed comparison of AWS Directory Service options, see Quale scegliere (p. 1).
Ensure Your VPCs and Instances are Configured CorrectlyIn order to connect to, manage, and use your directories, you must properly configure the VPCs thatthe directories are associated with. See either Prerequisiti di AWS Managed Microsoft AD (p. 9),Prerequisiti di AD Connector (p. 176), or Prerequisiti di Simple AD (p. 214) for information about theVPC security and networking requirements.
If you are adding an instance to your domain, ensure that you have connectivity and remote access to yourinstance as described in Collega un'istanza EC2 alla tua directory AWS Managed Microsoft AD (p. 66).
Be Aware of Your LimitsLearn about the various limits for your specific directory type. The available storage and the aggregate sizeof your objects are the only limitations on the number of objects you may store in your directory. See eitherLimiti per AWS Managed Microsoft AD (p. 142), Limiti per AD Connector (p. 208), or Limiti per SimpleAD (p. 262) for details about your chosen directory.
Scopri la configurazione e l'utilizzo del gruppo di sicurezza AWSdella directoryAWS crea un gruppo di sicurezza e lo collega all'interfaccia di rete elastica del controller di dominiodella directory. Questo gruppo di sicurezza blocca traffico superfluo verso il controller di dominio econsente il traffico necessario per le comunicazioni di Active Directory. AWS configura il gruppo disicurezza per aprire solo le porte necessarie per le comunicazioni di Active Directory. Nella configurazionepredefinita, il gruppo di sicurezza accetta il traffico verso queste porte da qualsiasi indirizzo IP. AWScollega il gruppo di sicurezza alle interfacce dei controller di dominio accessibili dai tuoi VPC in peeringo ridimensionati. Queste interfacce sono inaccessibili da Internet anche se modifichi le tabelle di routing,le connessioni di rete al VPC e configuri il servizio gateway NAT. In questo modo, solo le istanze e icomputer che dispongono di un percorso di rete al VPC possono accedere alla directory. Questo semplificala configurazione, evitando la necessità di configurare intervalli di indirizzi specifici. Al contrario, puoiconfigurare route e gruppi di sicurezza nel VPC che consentano il traffico solo da istanze e computeraffidabili.
Modifica del gruppo di sicurezza della directory
Se desideri aumentare la sicurezza dei gruppi di sicurezza delle directory, puoi modificarli affinché accettinotraffico da un elenco di indirizzi IP più restrittivo. Ad esempio, puoi modificare gli indirizzi accettati da0.0.0.0/0 a un intervallo CIDR specifico di una sottorete o un computer singoli. Analogamente, puoiscegliere di limitare gli indirizzi di destinazione con i quali i controller di dominio possono comunicare.Apporta tali modifiche solo se hai compreso a pieno come funziona il filtraggio del gruppo di sicurezza.Per ulteriori informazioni, consulta ai Gruppi di sicurezza Amazon EC2 per istanze Linux nella Guidaper l'utente di Amazon EC2. Modifiche improprie possono portare a una mancata comunicazione con icomputer e le istanze desiderati. AWS consiglia di non tentare di aprire porte aggiuntive al controller didominio, in quanto ciò potrebbe ridurre la sicurezza della directory. Esamina attentamente il modello diresponsabilità condivisa di AWS.
Warning
Tecnicamente, hai la possibilità di associare i gruppi di sicurezza utilizzati dalla directory ad altreistanze EC2 da te create. Tuttavia, AWS sconsiglia questa pratica. AWS potrebbe decidere dimodificare il gruppo di sicurezza senza preavviso, al fine di soddisfare esigenze funzionali o disicurezza della directory gestita. Tali modifiche coinvolgono tutte le istanze alle quali hai associatoil gruppo di sicurezza della directory. Inoltre, associare il gruppo di sicurezza della directory alleistanze EC2 crea un potenziale rischio per la sicurezza per le istanze EC2. Il gruppo di sicurezza
Version 1.0138
AWS Directory Service Guida di amministrazioneConfigurazione Creazione della directory
della directory accetta traffico sulle porte Active Directory necessarie proveniente da qualsiasiindirizzo IP. Se associ tale gruppo di sicurezza a un'istanza EC2 che dispone di un indirizzo IPpubblico collegato a Internet, qualsiasi computer su Internet può comunicare con l'istanza EC2sulle porte aperte.
Configurazione Creazione della directoryDi seguito sono elencati alcuni suggerimenti da considerare durante la creazione della directory.
Ricorda l'ID amministratore e la passwordQuando configuri la directory, fornisci una password per l'account amministratore. Questo ID account èAdmin (Amministratore) per AWS Managed Microsoft AD. Ricorda la password creata per questo account;altrimenti non potrai aggiungere gli oggetti alla directory.
Crea un set di opzioni DHCPTi consigliamo di creare un set di opzioni DHCP per la directory AWS Directory Service e di assegnarloal VPC in cui si trova la tua directory. Questo permette alle istanze in tale VPC di puntare al dominiospecificato, mentre i server DNS possono risolvere i propri nomi di dominio.
Per ulteriori informazioni sui set opzioni DHCP, consulta Crea un set di opzioni DHCP (p. 87).
Distribuzione di controller di dominio aggiuntiviPer impostazione predefinita, AWS crea due controller di dominio esistenti in zone di disponibilità separate.Ciò fornisce resilienza ai guasti durante l'applicazione di patch software e altri eventi che potrebberorendere un controller di dominio irraggiungibile o non disponibile. Ti consigliamo di distribuire controller didominio aggiuntivi per aumentare ulteriormente la resilienza e garantire prestazioni di scalabilità orizzontalein caso di un evento a lungo termine che influisce sull'accesso a un controller di dominio o a una zona didisponibilità.
Per ulteriori informazioni, consulta Utilizza il servizio di localizzazione DC di Windows (p. 142).
Informazioni sulle limitazioni per il nome utente delle applicazioniAWSAWS Directory Service fornisce supporto per la maggior parte dei formati di carattere che possono essereutilizzati per la costruzione dei nomi utente. Tuttavia, esistono delle limitazioni sui caratteri applicate ai nomiutente che verranno utilizzati per l'accesso alle applicazioni AWS, come Amazon WorkSpaces, AmazonWorkDocs, Amazon WorkMail o Amazon QuickSight. Queste limitazioni richiedono che non venganoutilizzati i seguenti caratteri:
• Spazi• !"#$%&'()*+,/:;<=>?@[\]^`{|}~
Note
Il simbolo @ è consentito purché preceda un suffisso UPN.
Utilizzo della directoryDi seguito sono elencati alcuni suggerimenti da tenere a mente quando utilizzi la directory.
Version 1.0139
AWS Directory Service Guida di amministrazioneGestione della directory
Non modificare utenti, gruppi e unità organizzative predefinitiQuando utilizzi AWS Directory Service per avviare una directory, AWS crea un'unità organizzativa (OU) checontiene tutti gli oggetti della directory. Questa unità organizzativa, che ha lo stesso nome NetBIOS che haidigitato al momento della creazione della directory, si trova nella radice del dominio. La radice del dominioè di proprietà di ed è gestita da AWS. Vengono creati anche diversi gruppi e un utente amministrativo.
Non spostare, eliminare o modificare in qualsiasi altro modo questi oggetti predefiniti. Farlo potrebberendere la directory inaccessibile sia da te che da AWS. Per ulteriori informazioni, consulta Cosa vienecreato (p. 12).
Unisci i domini automaticamenteQuando avvii un'istanza Windows che sia parte di un dominio AWS Directory Service, spesso è piùsemplice unire il dominio come parte del processo di creazione dell'istanza, piuttosto che aggiungerel'istanza manualmente in seguito. Per unire un dominio automaticamente, semplicemente seleziona ladirectory corretta in Domain join directory (Directory aggiunta dominio) quando avvii una nuova istanza.Puoi trovare i dettagli in Aggiunta di un'istanza EC2 Windows (p. 66).
Configura i trust correttamenteQuando configuri una relazione di trust tra la directory AWS Managed Microsoft AD e un'altra directory,tieni a mente queste linee guida:
• Il tipo di trust deve corrispondere su entrambi i lati (foresta o esterno)• Assicurarsi che la direzione di trust sia impostata correttamente se si utilizza un trust unidirezionale (In
uscita su dominio trusting, In entrata su dominio trusted)• Sia i nomi di dominio completo (FQDN) sia i nomi NetBIOS devono essere univoci tra foreste e domini
Per ulteriori dettagli e istruzioni specifiche su come configurare una relazione di trust, consulta Quandocreare una relazione di trust (p. 92).
Gestione della directoryConsidera questi suggerimenti per gestire la directory.
Pianificazione delle estensioni dello schemaApplica con attenzione le estensioni dello schema per indicizzare le directory per le query importanti efrequenti. Ti consigliamo di non eseguire un numero eccessivo di indicizzazioni poiché gli indici occupanorapidamente lo spazio della directory e una modifica rapida dei valori indicizzati può essere la causa dieventuali problemi di prestazioni. Per aggiungere indici, è necessario creare un file a LDIF (DirectoryInterchange Format) per LDAP (Lightweight Directory Access Protocol ) ed estendere la modifica delloschema. Per ulteriori informazioni, consulta Estensione dello schema (p. 111).
Informazioni sui sistemi di bilanciamento del caricoNon utilizzare un sistema di bilanciamento del carico con gli end-point AWS Managed Microsoft AD.Microsoft Active Directory (AD) è stata progettata per essere utilizzata con un algoritmo di individuazionedei controller dei domini (DC) per individuare quelli più reattivi senza il bilanciamento del carico esterno. INetwork Load Balancer esterni rilevano in modo inaccurato i DC attivi e possono essere la causa dell'inviodella tua applicazione a un DC previsto ma non ancora pronto per l'utilizzo. Per ulteriori informazioni,consulta la pagina sui sistemi di bilanciamento del carico e su Active Directory in Microsoft TechNet, incui sono disponibili suggerimenti per correggere le applicazioni e utilizzare AD correttamente, anzichéimplementare sistemi di bilanciamento del carico esterni.
Version 1.0140
AWS Directory Service Guida di amministrazioneGestione della directory
Fai un backup dell'istanzaSe decidi di aggiungere manualmente un'istanza a un dominio AWS Directory Service esistente, fai primaun backup o una snapshot di tale istanza. Ciò è particolarmente importante quando aggiungi un'istanzaLinux. Alcune delle procedure utilizzate per aggiungere un'istanza, se non vengono eseguite correttamente,possono rendere l'istanza non raggiungibile o inutilizzabile. Per ulteriori informazioni, consulta Snapshot oripristino della directory (p. 118).
Configura la messaggistica SNSCon Amazon Simple Notification Service (Amazon SNS), puoi ricevere e-mail o messaggi di testo (SMS)quando lo stato della directory cambia. Riceverai una notifica se la directory passa dallo stato Active(Attivo) agli stati Impaired (Insufficiente) o Inoperable (Inutilizzabile). Puoi anche ricevere una notificaquando la directory torna a uno stato Active (Attivo).
Ricorda inoltre che se hai un argomento SNS che riceve messaggi da AWS Directory Service, primadi eliminare tale argomento dalla console Amazon SNS è necessario associare la directory a un altroargomento SNS. In caso contrario, rischi di non ricevere importanti messaggi sullo stato della directory.Per informazioni su come configurare Amazon SNS, consulta Configurazione di notifiche dello stato didirectory (p. 52)
Rimozione delle applicazioni Amazon Enterprise prima dieliminare una directoryPrima di eliminare una directory associata a una o più applicazioni Amazon Enterprise, ad esempioAmazon WorkSpaces, Amazon WorkSpaces Application Manager, Amazon WorkDocs, Amazon WorkMail,Console di gestione AWS o Amazon Relational Database Service (Amazon RDS), occorre rimuovere ogniapplicazione. Per ulteriori informazioni su come rimuovere queste applicazioni, consulta Eliminazione dellatua directory (p. 116).
Utilizzo dei client SMB 2.x quando si accede alle condivisioniSYSVOL e NETLOGONI computer client utilizzano SMB (Server Message Block) per accedere alle condivisioni SYSVOL eNETLOGON sui controller di dominio AWS Managed Microsoft AD per la policy di gruppo, gli script diaccesso e altri file. AWS Managed Microsoft AD supporta solo SMB versione 2.0 (SMBv2) e versionisuccessive.
I protocolli SMBv2 e le versioni successive aggiungono una serie di caratteristiche che migliorano leprestazioni dei client e aumentano la sicurezza dei controller di dominio e dei client. Questa modifica seguele raccomandazioni di United States Computer Emergency Readiness Team (US-CERT) e di Microsoft perdisabilitare il protocollo SMBv1.
Important
Se attualmente si utilizzano client SMBv1 per accedere alle condivisioni SYSVOL e NETLOGONdel controller di dominio, è necessario aggiornare tali client per utilizzare SMBv2 o una versionepiù recente. La directory continuerà a funzionare correttamente, ma i client SMBv1 non riuscirannoa connettersi alle condivisioni SYSVOL e NETLOGON dei controller di dominio AWS ManagedMicrosoft AD e non saranno in grado di elaborare la policy di gruppo.
I client SMBv1 funzioneranno con tutti i file server compatibili con SMBv1 di cui dispone l'utente. Tuttavia,AWS consiglia di aggiornare tutti i server e i client SMB a SMBv2 o versioni successive. Per ulterioriinformazioni sulla disabilitazione di SMBv1 e l'aggiornamento a versioni SMB più recenti nei sistemi,consultare questi post su Microsoft TechNet e Supporto.
Tracciamento delle connessioni remote SMBv1
Version 1.0141
AWS Directory Service Guida di amministrazioneProgrammazione delle applicazioni
È possibile esaminare il log eventi di Windows Microsoft-Windows-SMBServer/Audit collegato in remoto alcontroller di dominio AWS Managed Microsoft AD, tutti gli eventi in questo log indicano connessioni SMBv1.Di seguito è riportato un esempio delle informazioni che è possibile visualizzare in uno di questi log:
Accesso SMB1
Indirizzo client: ###.###.###.###
Linee guida:
Questo evento indica che un client ha tentato di accedere al server utilizzando SMB1. Per interromperel'audit dell'accesso SMB1, utilizza il cmdlet Windows PowerShell Set-SmbServerConfiguration.
Programmazione delle applicazioniPrima di programmare le applicazioni, valuta quanto segue:
Utilizza il servizio di localizzazione DC di WindowsQuando sviluppi le applicazioni, utilizza il servizio di localizzazione Windows DC oppure il servizio DNSdinamico (DDNS) di AWS Managed Microsoft AD per individuare i controller dei domini (DC). Noneffettuare l'hard coding delle applicazioni con l'indirizzo di un DC. Il servizio di localizzazione DC garantisceche il carico della directory venga distribuito e ti consente di sfruttare i vantaggi della scalabilità orizzontaleaggiungendo i controller dei domini alla distribuzione. Se associ l'applicazione a un DC fisso e si deveapplicare una patch o eseguire una procedura di ripristino, l'applicazione perde l'accesso al DC e nonutilizza uno dei DC restanti. Inoltre, l'hard coding di un DC può provocare la creazione di "hot spot" su unsolo DC. In casi gravi, gli hot spot possono provocare un blocco del DC. Possono anche essere la causadi una segnalazione automatica di compromissione della directory AWS e far partire così le procedure diripristino per la sostituzione di un DC che non risponde.
Esecuzione di test di caricamento prima della produzioneAssicurati di effettuare test di laboratorio con gli oggetti e le richieste più importanti del tuo carico di lavorodi produzione per confermare che la directory si adatti al carico dell'applicazione. Qualora fosse necessariauna maggiore capacità, prova altri DC mentre distribuisci le richieste tra i vari DC. Per ulteriori informazioni,consulta Distribuzione di controller di dominio aggiuntivi (p. 135).
Utilizzo delle query LDAPQuery LDAP estese su un controller di dominio e decine di migliaia di oggetti possono consumare ciclidi CPU significativi in un singolo DC e generare così hot spot. L'operazione potrebbe incidere sulleapplicazioni che condividono lo stesso DC durante la query.
Limiti per AWS Managed Microsoft ADDi seguito sono elencati i limiti predefiniti per AWS Managed Microsoft AD. Salvo dove diversamentespecificato, ogni limite è per regione.
Limiti degli AWS Managed Microsoft AD
Resource Limite predefinito
Directory AWS Managed Microsoft AD 20%
Snapshot manuali 5 per AWS Managed Microsoft AD
Version 1.0142
AWS Directory Service Guida di amministrazioneAumenta il tuo limite
Resource Limite predefinito
Età snapshot manuali ** 180 giorni
Numero massimo di controller di dominio perdirectory
20%
Domini condivisi per Microsoft AD Standard 5%
Domini condivisi per Microsoft AD Enterprise $125
Numero massimo di certificati emessi da una CAregistrati per directory
5%
* Il limite di snapshot manuali non può essere modificato.
** L'età massima supportata di uno snapshot manuale è di 180 giorni e non può essere modificata. Ciò èdovuto all'attributo Tombstone-Lifetime degli oggetti eliminati che definisce la durata utile di un backup dellostato del sistema di Active Directory. Non è possibile ripristinare da uno snapshot precedente a 180 giorni.Per ulteriori informazioni, consulta Useful shelf life of a system-state backup of Active Directory nel sitoWeb Microsoft.
Note
Non è possibile collegare un indirizzo IP pubblico all'interfaccia di rete elastica AWS (ENI).
Per informazioni sulla progettazione delle applicazioni e la distribuzione del carico, consultaProgrammazione delle applicazioni (p. 142).
Per i limiti per lo storage e gli oggetti, consulta la tabella di confronto nella pagina dei prezzi del serviziodirectory AWS.
Aumenta il tuo limiteEsegui la procedura seguente per aumentare il tuo limite per una regione.
Per richiedere un aumento del limite per una regione
1. Vai alla pagina AWS Support Center, effettua l'accesso se necessario e fai clic su Open a new case(Apri nuovo caso).
2. In Regarding (Motivo) selezionare Service Limit Increase (Aumento delle restrizioni del servizio).3. Sotto Limit Type (Tipo di limite), seleziona AWS Directory Service.4. Compila tutti i campi necessari nel modulo e fai clic sul pulsante relativo al metodo di contatto
desiderato nella parte inferiore della pagina.
Policy di compatibilità delle applicazioni per AWSManaged Microsoft AD
AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) è compatibile con piùservizi AWS e applicazioni di terze parti.
Di seguito è riportato un elenco di applicazioni e servizi AWS compatibili:
• Amazon Chime - Per istruzioni dettagliate, consulta Connessione ad Active Directory.• Amazon Connect - Per ulteriori informazioni, consulta Funzionamento di Amazon Connect.
Version 1.0143
AWS Directory Service Guida di amministrazioneCompatibilità delle applicazioni
• Amazon EC2 Collega un'istanza EC2 alla tua directory AWS Managed Microsoft AD (p. 66) Perulteriori informazioni, consulta:
• Amazon FSx for Windows File Server – Per ulteriori informazioni, consulta Cos'è Amazon FSx forWindows File Server?.
• Amazon QuickSight - Per ulteriori informazioni, consulta Gestione degli account utente in AmazonQuickSight Enterprise Edition.
• Amazon RDS per MySQL – Per ulteriori informazioni, consulta Utilizzo dell'autenticazione Kerberos perMySQL.
• Amazon RDS per SQL Server - Per ulteriori informazioni, consulta Utilizzo dell'autenticazione di Windowscon un'istanza DB di Amazon RDS per Microsoft SQL Server.
• Amazon RDS per Oracle – Per ulteriori informazioni, consulta la sezione relativa all'Utilizzo diAutenticazione Kerberos con Amazon RDS per Oracle.
• Amazon RDS per PostgreSQL – Per ulteriori informazioni, consulta Utilizzo di Autenticazione Kerberoscon Amazon RDS per PostgreSQL.
• AWS Single Sign-On - Per istruzioni dettagliate, consulta Connessione di AWS SSO a un ActiveDirectory locale.
• Amazon WorkDocs - Per istruzioni dettagliate, consulta Connessione alla directory locale con AWSManaged Microsoft AD.
• Amazon WorkMail - Per istruzioni dettagliate, consulta Integrazione di Amazon WorkMail con unadirectory esistente (configurazione standard).
• Amazon WorkSpaces - Per istruzioni dettagliate, consulta Avvio di WorkSpace con AWS ManagedMicrosoft AD.
• AWS Client VPN – Per istruzioni dettagliate, consulta Autenticazione e autorizzazione client.• Console di gestione AWS Attivazione dell'accesso a Console di gestione AWS con le credenziali
AD (p. 133) Per ulteriori informazioni, consulta:
A causa del gran numero di applicazioni personalizzate e commerciali predefinite che utilizzano ActiveDirectory, AWS non esegue e non può eseguire la verifica formale o generale della compatibilità delleapplicazioni di terze parti con AWS Directory Service for Microsoft Active Directory (AWS ManagedMicrosoft AD). Sebbene AWS collabori con i clienti nel tentativo di superare i potenziali problemi diinstallazione delle applicazioni, non siamo in grado di garantire la compatibilità corrente o futura di unadeterminata applicazione con AWS Managed Microsoft AD.
Le seguenti applicazioni di terze parti sono compatibili con AWS Managed Microsoft AD:
• Attivazione basata su Active Directory (ADBA)• Servizi certificati Active Directory (AD CS): Enterprise Certificate Authority• Active Directory Federation Services (AD FS)• Utenti Active Directory e computer (ADUC)• Application Server (.NET)• Azure Active Directory (Azure AD)• Azure Active Directory (AD) Connect• Distributed File System Replication (DFSR)• Distributed File System Namespaces (DFSN)• Server licenze Servizi Desktop remoto Microsoft• Microsoft SharePoint Server• Microsoft SQL Server (inclusi i gruppi di disponibilità AlwaysOn di SQL Server)• Microsoft System Center Configuration Manager (SCCM) – L'utente che implementa SCCM deve essere
un membro del gruppo AWS Delegated System Management Administrators.• Sistema operativo Microsoft Windows e Windows Server
Version 1.0144
AWS Directory Service Guida di amministrazioneLinee guida per la compatibilità
• Office 365
Tenere presente che alcune configurazioni di queste applicazioni potrebbero non essere supportate.
Linee guida per la compatibilitàSebbene le applicazioni possano avere configurazioni incompatibili, spesso le configurazioni didistribuzione delle applicazioni possono superare l'incompatibilità. Di seguito sono descritti i motivi piùcomuni per l'incompatibilità delle applicazioni. I clienti possono utilizzare queste informazioni per analizzarele caratteristiche di compatibilità di un'applicazione desiderata e identificare le potenziali modifiche didistribuzione.
• Amministratore di dominio o altre autorizzazioni con privilegi – Alcune applicazioni richiedono di essereinstallate dall'utente amministratore di dominio. Poiché AWS deve mantenere il controllo esclusivodel livello di autorizzazione per distribuire Active Directory come servizio gestito, non puoi agire comeamministratore di dominio per l'installazione di tali applicazioni. Tuttavia, spesso puoi installare taliapplicazioni delegando autorizzazioni specifiche, meno privilegiate e supportate da AWS alla personache esegue l'installazione. Per ulteriori dettagli sulle precise autorizzazioni richieste da un'applicazione,rivolgiti al fornitore dell'applicazione. Per ulteriori informazioni sulle autorizzazioni che AWS consente didelegare, consulta Cosa viene creato (p. 12).
• Accesso a container di Active Directory privilegiati - All'interno della directory, AWS Managed MicrosoftAD fornisce un'unità organizzativa (UO) sulla quale hai il pieno controllo a livello amministrativo. Nondisponi di autorizzazioni di creazione o scrittura e potresti avere autorizzazioni in lettura limitate peri container che si trovano in una posizione nella struttura dell'Active Directory superiore rispetto allatua unità organizzativa. Le applicazioni che creano o accedono ai container per i quali non si disponedi autorizzazioni potrebbero non funzionare. Tuttavia, tali applicazioni spesso hanno la possibilità diutilizzare un container che puoi creare nella tua unità organizzativa come alternativa. Verifica con ilprovider di applicazioni i diversi modi disponibili per creare e utilizzare un container nella tua unitàorganizzativa come alternativa. Per ulteriori informazioni sulla gestione dell'unità organizzativa, consultaCome amministrare AWS Managed Microsoft AD (p. 28).
• Modifiche allo schema durante il flusso di lavoro di installazione - Alcune applicazioni Active Directoryrichiedono delle modifiche allo schema predefinito di Active Directory e potrebbero tentare di installaretali modifiche durante il flusso di lavoro di installazione delle applicazioni. A causa della natura privilegiatadelle estensioni dello schema, AWS rende possibile questa operazione mediante l'importazione difile LDIF (Lightweight Directory Interchange Format) solo tramite la console AWS Directory Service,l'interfaccia a riga di comando (CLI) o SDK. Tali applicazioni spesso sono dotate di un file LDIF che èpossibile applicare alla directory tramite il processo di aggiornamento dello schema di AWS DirectoryService. Per ulteriori informazioni su come funziona il processo di importazione LDIF, consulta TutorialEstendi il tuo AWS Managed Microsoft AD Schema (p. 111). Puoi installare l'applicazione in modo daevitare l'installazione dello schema durante il processo di installazione.
Applicazioni sicuramente incompatibiliDi seguito sono elencate le applicazioni predefinite commerciali richieste più di frequente per cui nonabbiamo trovato alcuna configurazione compatibile con AWS Managed Microsoft AD. AWS aggiornaperiodicamente questo elenco a sua discrezione e come cortesia per aiutarti a evitare sforzi inutili. AWSfornisce queste informazioni senza alcuna garanzia o responsabilità concernente la compatibilità attuale ofutura.
• Servizi certificati Active Directory (AD CS): Servizio Web di registrazione certificati• Servizi certificati Active Directory (AD CS): Servizio Web criteri di registrazione certificati• Microsoft Exchange Server• Skype for Business Server Microsoft
Version 1.0145
AWS Directory Service Guida di amministrazioneTutorial di lab di sviluppo AWS Managed Microsoft AD
Tutorial di lab di sviluppo AWS Managed MicrosoftAD
Questa sezione fornisce una serie di tutorial guidati per aiutarti a stabilire un ambiente di lab di sviluppo inAWS dove puoi sperimentare AWS Managed Microsoft AD.
Argomenti• Tutorial Impostazione della base AWS Managed Microsoft AD Laboratorio di test in AWS (p. 146)• Tutorial Creazione di un trust da AWS Managed Microsoft AD a un'installazione di Active Directory
autogestita su Amazon EC2 (p. 159)
Tutorial Impostazione della base AWS ManagedMicrosoft AD Laboratorio di test in AWSIn questo tutorial, viene illustrato come configurare il tuo ambiente AWS per prepararti a una nuovainstallazione di AWS Managed Microsoft AD che utilizza una nuova istanza EC2 in esecuzione su WindowsServer 2019. Il tutorial spiega come usare i tipici strumenti di amministrazione standard di Active Directoryper gestire il tuo ambiente AWS Managed Microsoft AD dal sistema Windows. Una volta completato iltutorial, avrai impostato i prerequisiti di rete e configurato una nuova foresta AWS Managed Microsoft AD.
Come illustrato nella figura seguente, il laboratorio che crei da questo tutorial è il componente basilareper l'apprendimento pratico di AWS Managed Microsoft AD. Successivamente, puoi aggiungere tutorialopzionali per ulteriore esperienza pratica. Questa serie di tutorial è ideale per tutti coloro che hannoiniziato da poco a utilizzare AWS Managed Microsoft AD e che desiderano un lab di sviluppo per scopi divalutazione. questo tutorial dura circa un'ora.
Version 1.0146
AWS Directory Service Guida di amministrazioneTutorial Imposta la tua base AWS Managed
Microsoft AD Laboratorio di prova
Fase 1 Imposta il tuo AWS Ambiente per AWS Managed Microsoft AD (p. 148)
Dopo aver completato le tue attività preliminari, è necessario creare e configurare un VPC nella tuaistanza EC2.
Fase 2. Crea il tuo AWS Managed Microsoft AD Rubrica in AWS (p. 153)
In questa fase, è necessario configurare AWS Managed Microsoft AD in AWS per la prima volta.Fase 3 Distribuzione di un'istanza EC2 da gestire AWS Managed Microsoft AD (p. 155)
Di seguito, ti guiderà attraverso le varie attività successive alla distribuzione necessarie per i computerdei client per connetterti al tuo nuovo dominio e configurare un nuovo sistema di Windows Server inEC2.
Fase 4. Verificare che il laboratorio di prova di base sia operativo (p. 158)
Infine, in qualità di amministratore, è necessario verificare che è possibile accedere e connettersi aAWS Managed Microsoft AD dal tuo sistema di Windows Server in EC2. Una volta che hai testato lafunzionalità del tuo lab, puoi continuare ad aggiungere altri moduli di guide lab di sviluppo.
PrerequisitesSe prevedi di usare solo i passaggi dell'interfaccia utente descritti in questo tutorial per creare il tuo labdi sviluppo, è possibile ignorare questa sezione relativa ai prerequisiti e passare alla Fase 1. Tuttavia, seprevedi di utilizzare i comandi AWS CLI o i moduli Strumenti AWS per Windows PowerShell per creare iltuo ambiente di lab di sviluppo, è necessario prima configurare:
Version 1.0147
AWS Directory Service Guida di amministrazioneTutorial Imposta la tua base AWS Managed
Microsoft AD Laboratorio di prova
• Utente IAM con la chiave di accesso e la chiave di accesso segreta – è necessario un utente IAM conuna chiave di accesso se desideri usare AWS CLI o i moduli Strumenti AWS per Windows PowerShell.Se non si disponi di una chiave di accesso, consulta la pagina relativa alla Creazione, modifica evisualizzazione delle chiavi di accesso (Console di gestione AWS).
• AWS Command Line Interface (facoltativo) – Download e Installazione di AWS CLI su Windows. Unavolta installato, aprire il prompt dei comandi o la finestra di Windows PowerShell, quindi digitare awsconfigure. Tieni presente che sono necessari la chiave di accesso e la chiave segreta per completarela configurazione di. Guarda i prerequisiti iniziali per le fasi relative alle modalità di esecuzione di questaoperazione. Ti verrà richiesto:• L'ID chiave di accesso di AWS [Nessuna]: AKIAIOSFODNN7EXAMPLE• La secret access key di AWS [Nessuna]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY• Il nome di default della regione [Nessuno]: us-west-2• Il formato di output di default: [Nessuno]: json
• Strumenti AWS per Windows PowerShell (facoltativo) – scaricare e installare la versione più recentedi Strumenti AWS per Windows PowerShell da https://aws.amazon.com/powershell/, quindi esegui ilcomando seguente. Nota che è necessaria la tua chiave di accesso e la chiave segreta per completarela configurazione. Guarda i prerequisiti iniziali per le fasi relative alle modalità di esecuzione di questaoperazione.
Set-AWSCredentials -AccessKey {AKIAIOSFODNN7EXAMPLE} -SecretKey{wJalrXUtnFEMI/K7MDENG/ bPxRfiCYEXAMPLEKEY} -StoreAs {default}
Fase 1 Imposta il tuo AWS Ambiente per AWS ManagedMicrosoft ADPrima di creare AWS Managed Microsoft AD nel tuo laboratorio di sviluppo AWS, è necessario impostare lacoppia di chiavi Amazon EC2 in modo che tutti i dati di accesso siano crittografati.
Crea una coppia di chiavi
Se già disponi una coppia di chiavi, questa fase può essere ignorata. Per ulteriori informazioni sullecoppie di chiavi Amazon EC2, consulta http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html.
Per creare una coppia di chiavi
1. Accedi alla Console di gestione AWS e apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.
2. Nel pannello di navigazione, in Network & Security (Sicurezza e rete), scegli Key Pairs (Coppie dichiavi) e quindi scegliere Crea Key Pair (Crea coppia di chiavi).
3. Per Nome coppia di chiavi, tipo AWS-DS-KP. Per Formato file coppia di chiavi, seleziona di pem, quindiscegliere Crea.
4. Il file della chiave privata viene automaticamente scaricato dal browser. Il nome del file è il nomespecificato al momento della creazione della coppia di chiavi con un'estensione di .pem. Salvare il filedella chiave privata in un luogo sicuro.
Important
Questo è l'unico momento in cui salvare il file della chiave privata. È necessario fornire ilnome della coppia di chiavi quando avvii un'istanza e la chiave privata corrispondente ognivolta che decripti la password per l'istanza.
Version 1.0148
AWS Directory Service Guida di amministrazioneTutorial Imposta la tua base AWS Managed
Microsoft AD Laboratorio di prova
Creare, configurare ed eseguire il peering di due vPCCome illustrato nella figura seguente, al termine di questo processo in più passaggi verranno creatie configurati due VPC pubblici, due subnet pubbliche per VPC, un gateway Internet per VPC e unaconnessione peering VPC tra i VPC. Abbiamo scelto di utilizzare VPC pubblici per semplicità e costi.Per i carichi di lavoro di produzione, si consiglia di utilizzare VPC privati. Per maggiori informazioni sulmiglioramento della sicurezza VPC, consulta Sicurezza in Amazon Virtual Private Cloud.
Tutti gli esempi di interfaccia a riga di comando AWS e PowerShell utilizzano le informazioni VPC dal bassoe sono costruiti in us-west-2. È possibile scegliere qualsiasi regione supportata in cui creare l'ambiente. Perulteriori informazioni, consulta Cos'è Amazon VPC?
Fase 1: Creazione di due VPC
In questo passaggio, è necessario creare due VPC nello stesso account utilizzando i parametri specificatinella tabella seguente. AWS Managed Microsoft AD supporta l'uso di account separati con la funzioneCondivisione della directory (p. 57). Il primo VPC verrà utilizzato per AWS Managed Microsoft AD. Ilsecondo VPC verrà utilizzato per le risorse che possono essere utilizzate successivamente in TutorialCreazione di un trust da AWS Managed Microsoft AD a un'installazione di Active Directory autogestita suAmazon EC2 (p. 159).
Informazioni VPC AD gestito Informazioni VPC in locale
Name tag (Tag nome) Interfaccia AWS-DS-VPC01
IPv4 CIDR block (Blocco CIDR IPv4) 10.0.0.0/16
Name tag (Tag nome) Proprietà AWS-OnPrem-VPC01
Version 1.0149
AWS Directory Service Guida di amministrazioneTutorial Imposta la tua base AWS Managed
Microsoft AD Laboratorio di prova
Informazioni VPC AD gestito Informazioni VPC in localeIPv6 CIDR block (Blocco CIDR IPv6) No IPv6 CIDRBlock (Nessun blocco CIDR IPv6)
Tenancy Default:
IPv4 CIDR block (Blocco CIDR IPv4) 10.100.0.0/16
IPv6 CIDR block (Blocco CIDR IPv6) No IPv6 CIDRBlock (Nessun blocco CIDR IPv6)
Tenancy Default:
Per istruzioni dettagliate, consulta Creazione di un VPC.
Fase 2. Creazione di due sottoreti per VPC
Dopo aver creato i VPC, sarà necessario creare due sottoreti per VPC utilizzando i parametri specificatinella tabella seguente. Per questo laboratorio di test ogni sottorete sarà /24. Ciò consente di emettere finoa 256 indirizzi per sottorete. Ogni sottorete deve essere un in una AZ separata. Mettere ogni sottorete inuna AZ separata è uno dei Prerequisiti di AWS Managed Microsoft AD (p. 9).
Informazioni sulla sottorete AWS-DS-VPC01: Informazioni sulla sottorete AWS-OnPrem-VPC01
Name tag (Tag nome) Sottorete01 di AWS-DS-VPC01
VPC: vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01
Zona di disponibilità predefinita: us-west-2a
IPv4 CIDR block (Blocco CIDR IPv4) 10.0.0.0/24
Name tag (Tag nome) Sottorete01 AWS-OnPrem-VPC01
VPC: vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01
Zona di disponibilità predefinita: us-west-2a
IPv4 CIDR block (Blocco CIDR IPv4) 10.100.0,0/24
Name tag (Tag nome) AWS-DS-VPC01-Sottorete02
VPC: vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01
Zona di disponibilità: us-west-2b
IPv4 CIDR block (Blocco CIDR IPv4) 10.0.1.0/24
Name tag (Tag nome) Sottorete 02 AWS-OnPrem-VPC01
VPC: vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01
Zona di disponibilità: us-west-2b
IPv4 CIDR block (Blocco CIDR IPv4) 10.100.1,0/24
Per istruzioni dettagliate, consulta Creazione di una sottorete nel VPC.
Fase 3 Creazione e collegamento di un Internet Gateway ai VPC
Dal momento che stiamo utilizzando VPC pubblici sarà necessario creare e collegare un gateway Internetai VPC utilizzando i parametri specificati nella tabella seguente. Ciò consentirà di connettersi e gestire leistanze EC2.
Informazioni sul gateway Internet AWS-DS-VPC01 Informazioni sul gateway Internet AWS-OnPrem-VPC01
Name tag (Tag nome) Applicazione
VPC: vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01
Name tag (Tag nome) Proprietà AWS-OnPrem-VPC01-IGW
VPC: vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01
Version 1.0150
AWS Directory Service Guida di amministrazioneTutorial Imposta la tua base AWS Managed
Microsoft AD Laboratorio di prova
Per istruzioni dettagliate, consulta Gateway Internet.
Fase 4. Configurazione di una connessione peering VPC tra AWS-DS-VPC01 e AWS-OnPrem-VPC01
Poiché sono già stati creati due VPC in precedenza, sarà necessario collegarli in rete utilizzando il peeringVPC utilizzando i parametri specificati nella tabella seguente. Sebbene ci siano molti modi per connetterei VPC, questo tutorial utilizzerà il peering VPC. AWS Managed Microsoft AD supporta molte soluzioni perconnettere i VPC, alcune di queste includono il peering VPC, ilgateway di transito e la VPN.
Tag nome connessione peering: Proprietà Peer di AWS-DS-VPC01 e AWS-OnPrem-VPC01
VPC (richiedente): vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01
Account Il mio account
Region (Regione) Questa regione
VPC (accettante): vpc-xxxxxxxxxxxxx AWS-OnPrem-VPC01
Per istruzioni su come creare una connessione di peering VPC con un altro VPC dal tuo account, consultaCreazione di una connessione di peering VPC con un altro VPC nell'account.
Fase 5. Aggiungi due route a ogni tabella di routing principale VPC
Affinché i gateway Internet e la connessione peering VPC creati nei passaggi precedenti siano funzionali,è necessario aggiornare la tabella di route principale di entrambi i VPC utilizzando i parametri specificatinella tabella seguente. Verranno aggiunti due route: 0.0.0.0/0 che sarà indirizzato a tutte le destinazioninon esplicitamente note alla tabella del percorso e 10.0.0.0/16 o 10.100.0.0/16 che verranno instradati aciascun VPC tramite la connessione peering VPC stabilita sopra.
È possibile trovare facilmente la tabella di route corretta per ogni VPC filtrando il tag nome VPC (AWS-DS-VPC01 o AWS-OnPrem-VPC01).
Informazioni sul route 1AWS-DS-VPC01
Informazioni sul route 2AWS-DS-VPC01
Informazioni route 1AWS-Onprem-VPC01
Informazioni route 2AWS-Onprem-VPC01
Destinazione 0.0.0.0/0
Destinazione: igw-xxxxxxxxxxxxxxxxxAWS-DS-VPC01-IGW
Destinazione10.100.0.0/16
Destinazione: pcx-xxxxxxxxxxxxx AWS-DS-VPC01&AWS-OnPrem-VPC01-peer
Destinazione 0.0.0.0/0
Destinazione: igw-xxxxxxxxxxxxxxxxxAWS-OnPrem-VPC01
Destinazione10.0.0.0/16
Destinazione: pcx-xxxxxxxxxxxxx AWS-DS-VPC01&AWS-OnPrem-VPC01-peer
Per istruzioni su come aggiungere route a una tabella di route VPC, consulta Aggiunta e rimozione di routeda una tabella di route.
Gruppi di sicurezza standard per istanze EC2.
Per impostazione predefinita, AWS Managed Microsoft AD crea un gruppo di sicurezza per gestire il trafficotra i suoi controller di dominio. In questa sezione, sarà necessario creare 2 gruppi di sicurezza (uno perogni VPC) che verranno utilizzati per gestire il traffico all'interno del VPC per le istanze EC2, utilizzandoi parametri specificati nelle tabelle seguenti. È inoltre possibile aggiungere una regola che consentel'ingresso di RDP (3389) da qualunque luogo e l'ingresso di tutti i tipi di traffico dal VPC locale. Per ulterioriinformazioni, consulta Gruppi di sicurezza Amazon EC2 per le istanze Windows.
Version 1.0151
AWS Directory Service Guida di amministrazioneTutorial Imposta la tua base AWS Managed
Microsoft AD Laboratorio di prova
Informazioni sul gruppo di sicurezza AWS-DS-VPC01:
Nome del gruppo di sicurezza Gruppo di sicurezza di AWS DS Test Lab
Descrizione: Gruppo di sicurezza di AWS DS Test Lab
VPC: vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01
Regole in ingresso del gruppo di sicurezza per AWS-DS-VPC01
Type Protocol(Protocollo) .
Intervallo porte Crea Tipo di traffico
Regola TCPpersonalizzata
TCP 3389 Il mio IP Remote Desktop(Desktop remoto)
All Traffic All (Tutti) All (Tutti) 10.0.0.0/16 Tutto il trafficoVPC locale
Regole in uscita del gruppo di sicurezza per AWS-DS-VPC01
Type Protocol(Protocollo) .
Intervallo porte Crea Tipo di traffico
All Traffic All (Tutti) All (Tutti) 0.0.0.0/0 Tutto il traffico
Informazioni sul gruppo di sicurezza AWS-OnPrem-VPC01:
Nome del gruppo di sicurezza Gruppo di sicurezza di AWS OnPrem Test Lab.
Descrizione: Gruppo di sicurezza di AWS OnPrem Test Lab.
VPC: vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01
Regole in ingresso del gruppo di sicurezza per AWS-OnPrem-VPC01
Type Protocol(Protocollo) .
Intervallo porte Crea Tipo di traffico
Regola TCPpersonalizzata
TCP 3389 Il mio IP Remote Desktop(Desktop remoto)
Regola TCPpersonalizzata
TCP 53 10.0.0.0/16 DNS
Regola TCPpersonalizzata
TCP 88 10.0.0.0/16 Kerberos
Regola TCPpersonalizzata
TCP 389 10.0.0.0/16 LDAP
Version 1.0152
AWS Directory Service Guida di amministrazioneTutorial Imposta la tua base AWS Managed
Microsoft AD Laboratorio di prova
Type Protocol(Protocollo) .
Intervallo porte Crea Tipo di traffico
Regola TCPpersonalizzata
TCP 464 10.0.0.0/16 Kerberos cambia/imposta lapassword
Regola TCPpersonalizzata
TCP 445 10.0.0.0/16 SMB/CIFS
Regola TCPpersonalizzata
TCP 135 10.0.0.0/16 Replica
Regola TCPpersonalizzata
TCP 636 10.0.0.0/16 LDAP SSL
Regola TCPpersonalizzata
TCP 49152 - 65535 10.0.0.0/16 RPC
Regola TCPpersonalizzata
TCP 3268 - 3269 10.0.0.0/16 LDAP GC & LDAPGC SSL
Regola TCPpersonalizzata
UDP 53 10.0.0.0/16 DNS
Regola UDPpersonalizzata
UDP 88 10.0.0.0/16 Kerberos
Regola UDPpersonalizzata
UDP 123 10.0.0.0/16 Ora di Windows
Regola UDPpersonalizzata
UDP 389 10.0.0.0/16 LDAP
Regola UDPpersonalizzata
UDP 464 10.0.0.0/16 Kerberos cambia/imposta lapassword
All Traffic All (Tutti) All (Tutti) 10.100.0.0/16 Tutto il trafficoVPC locale
Regole in uscita del gruppo di sicurezza per AWS-OnPrem-VPC01
Type Protocol(Protocollo) .
Intervallo porte Crea Tipo di traffico
All Traffic All (Tutti) All (Tutti) 0.0.0.0/0 Tutto il traffico
Per istruzioni dettagliate su come creare e aggiungere regole ai gruppi di sicurezza, consulta Utilizzo deigruppi di sicurezza.
Fase 2. Crea il tuo AWS Managed Microsoft AD Rubrica in AWSÈ possibile utilizzare tre metodi differenti per creare la tua directory. Puoi utilizzare la procedura Console digestione AWS (raccomandata per questo tutorial) oppure utilizzare le procedure di AWS CLI o StrumentiAWS per Windows PowerShell per creare la tua directory.
Version 1.0153
AWS Directory Service Guida di amministrazioneTutorial Imposta la tua base AWS Managed
Microsoft AD Laboratorio di prova
Metodo 1: Per creare il tuo AWS Managed Microsoft AD directory (Console di gestione AWS)
1. Nel riquadro di navigazione di AWS Directory Service console, selezionare Directories (Directory),quindi scegliere Set up Directory (Configura la directory).
2. Nella pagina Select directory type (Seleziona il tipo di directory), scegliere AWS Managed MicrosoftAD, quindi selezionare Next (Successivo).
3. Nella pagina Enter directory information (Inserisci le informazioni sulla directory), fornisci le seguentiinformazioni, quindi seleziona Next (Successivo).
• Per Edition (Edizione), scegli Standard Edition o Enterprise Edition. Per ulteriori informazioni sulleedizioni, consulta AWS Directory Service for Microsoft Active Directory.
• In Directory DNS name (Nome DNS directory), digita corp.example.com.• In Directory NetBIOS name (Nome NetBIOS della directory), digita corp.• In Directory description (Descrizione directory), digita AWS DS Managed.• Per Admin password (Amministratore password) digita la password da utilizzare per questo account
e digitala nuovamente in Confirm password (Conferma password). Questo Admin (Amministratore)dell'account è creato automaticamente durante il processo di creazione della directory. La passwordnon può includere la parola admin. La password dell'amministratore della directory applica ladistinzione tra maiuscole e minuscole e deve contenere tra 8 e 64 caratteri, inclusi. Deve anchecontenere un carattere di almeno tre delle seguenti quattro categorie:• Lettere minuscole (a-z)• Lettere maiuscole (A-Z)• Numeri (0-9)• Caratteri non alfanumerici (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
4. Nella pagina Choose VPC and subnets (Scegli VPC e sottoreti) fornire le seguenti informazioni, quindiselezionare Next (Successivo).
• Per VPC, scegli l'opzione che inizia con AWS-DS-VPC01 e termina con (10.0.0.0/16).• Per Sottoreti, scegli le sottoreti pubbliche 10.0.0.0/24 e 10.0.1.0/24.
5. Nella pagina Review & create (Rivedi e crea), esaminare le informazioni relative alla directory edeseguire eventuali modifiche. Quando le informazioni sono corrette, scegli Create directory (Creadirectory). La creazione di una directory richiede dai 20 ai 40 minuti. Una volta creato, il valore Statuscambia in Active (Attivo).
Metodo 2: Per creare il tuo AWS Managed Microsoft AD (Windows PowerShell) (facoltativo)
1. Apri Windows PowerShell.2. Digita il seguente comando: Assicurati di utilizzare i valori forniti nella Fase 4 della procedura Console
di gestione AWS precedente.
New-DSMicrosoftAD -Name corp.example.com –ShortName corp –PasswordP@ssw0rd –Description “AWS DS Managed” - VpcSettings_VpcId vpc-xxxxxxxx -VpcSettings_SubnetId subnet-xxxxxxxx, subnet-xxxxxxxx
Metodo 3: Per creare il tuo AWS Managed Microsoft AD (AWS CLI) (opzionale)
1. Aprire la AWS CLI.2. Digita il seguente comando: Assicurati di utilizzare i valori forniti nella Fase 4 della procedura Console
di gestione AWS precedente.
aws ds create-microsoft-ad --name corp.example.com --short-name corp --password P@ssw0rd --description "AWS DS Managed" --vpc-settings VpcId= vpc-xxxxxxxx,SubnetIds= subnet-xxxxxxxx, subnet-xxxxxxxx
Version 1.0154
AWS Directory Service Guida di amministrazioneTutorial Imposta la tua base AWS Managed
Microsoft AD Laboratorio di prova
Fase 3 Distribuzione di un'istanza EC2 da gestire AWS ManagedMicrosoft ADPer questa lab, usiamo le istanze EC2 che hanno indirizzi IP pubblici per facilitare l'accesso alle istanze digestione da qualsiasi luogo. In un contesto di produzione, puoi utilizzare le istanze in un VPC privato chesono accessibili solo attraverso una VPN o Amazon Direct Connect link. Non è necessario che l'istanzaabbia un indirizzo IP pubblico.
In questa sezione, procedi gradualmente nelle varie attività successive alla distribuzione, necessarie per icomputer client per connettere il tuo dominio usando il Windows Server sulla tua nuova istanza EC2. Usa laWindows Server nella fase successiva per verificare che il lab sia operativo.
: Opzionale. Creazione di un set di opzioni DHCP in AWS-DS-VPC01 per ladirectory
In questa procedura facoltativa, è necessario impostare un ambito di opzione DHCP in modo che le istanzeEC2 nel tuo VPC utilizzino automaticamente AWS Managed Microsoft AD per la risoluzione DNS. Perulteriori informazioni, consulta la pagina relativa ai Set di opzioni DHCP.
Creazione di un set opzioni DHCP per la tua directory
1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.2. Nel riquadro di navigazione, scegliere DHCP Options Sets (Set di opzioni DHCP), quindi selezionare
Create DHCP options set (Crea set di opzioni DHCP).3. Nella pagina Create DHCP options set (Crea set opzioni DHCP), fornire i seguenti valori per la
directory:
• In Nome, digitare AWS DS DHCP.• Per Domain name (Nome dominio), digitare corp.example.com.• Per Domain name servers (Server dei nomi di dominio), digita gli indirizzi IP dei server DNS della tua
directory fornita da AWS.
Note
Per trovare questi indirizzi, andare alla pagina AWS Directory Service Directories(Directory) e scegliere l’ID di directory applicabile. Nella pagina Details (Dettagli),identificare e utilizzare gli IP visualizzati nell’DNS address (Indirizzo DNS).
• Lascia vuoto per le impostazioni NTP servers (Server NTP), NetBIOS name servers (Server deinomi NetBIOS) e NetBIOS node type (Tipo di nodo NetBIOS).
4. Scegliere Create DHCP options set (Crea set di opzioni DHCP) e Close (Chiudi). Il nuovo set di opzioniDHCP viene visualizzato nel tuo elenco delle opzioni DHCP.
5. Annotare l'ID del nuovo set di opzioni DHCP (del dopt-xxxxxxxx(vedi ). Puoi utilizzarlo alla fine diquesta procedura quando associ il nuovo set di opzioni al VPC.
Note
L'aggiunta ai domini uniforme funziona senza dover configurare un set di opzioni DHCP.6. Nel riquadro di navigazione scegliere Your VPCs (I tuoi VPC).7. Nell’elenco di VPC, selezionare AWS DS VPC, scegliere Actions (Operazioni) e Edit DHCP options set
(Modifica set di opzioni DHCP).8. Nella pagina Edit DHCP options set (Modifica set di opzioni DHCP), selezionare le opzioni registrate
nella fase e scegliereSave.
Version 1.0155
AWS Directory Service Guida di amministrazioneTutorial Imposta la tua base AWS Managed
Microsoft AD Laboratorio di prova
Creazione di un ruolo per aggiungere le istanze Windows al tuo dominio AWSManaged Microsoft ADUtilizza questa procedura per configurare un ruolo che aggiunge un'istanza EC2 di Windows a un dominio.Per ulteriori informazioni, consulta Collegamento perfetto di un’istanza EC2 Windows nella Guida perl'utente di Amazon EC2 per le istanze Windows.
Configurazione di EC2 per aggiungere le istanze Windows al tuo dominio
1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.2. Nel riquadro di navigazione della console IAM, scegliere Roles (Ruoli) e quindi Create role (Crea
ruolo).3. In Select type of trusted entity (Seleziona tipo di entità attendibile), scegliere AWS service (Servizio
AWS).4. Immediatamente sotto Scegli il servizio che utilizzerà questo ruolo, scegli Ec2, quindi scegliere
Successivo: Autorizzazioni5. Nella pagina Attached permissions policy (Policy autorizzazioni collegate), eseguire quanto segue:
• Selezionare la casella accanto alla policy AmazonSSMManagedInstanceCore. Questa policyfornisce le autorizzazioni minime necessari per utilizzare il servizio Systems Manager.
• Selezionare la casella accanto alla policy gestita AmazonSSMDirectoryServiceAccess policy. Lapolicy fornisce le autorizzazioni per collegare le istanze a una Active Directory gestita da AWSDirectory Service.
Per ulteriori informazioni su queste regole gestite e altre policy che è possibile collegare a un profilodi istanza IAM per Systems Manager, consultare Creazione di un profilo di istanza IAM per SystemsManager nella Guida per l'utente di AWS Systems Manager. Per ulteriori informazioni sulle policygestite, consultare Policy gestite da AWS nella Guida per l'utente di IAM.
6. Seleziona Next (Successivo). Tag7. (Facoltativo) Aggiungere una o più coppie chiave-valore di tag per organizzare, monitorare o
controllare l'accesso per questo ruolo, quindi scegliere Successivo: Review (Revisione)8. Per nome ruolo, immettere un nome per il ruolo che descrive utilizzato per collegare le istanze a un
dominio, come EC2DomainJoin.9. (Facoltativo) Per Role Description (Descrizione ruolo), immettere una descrizione.10. Seleziona Create role (Crea ruolo). Il sistema visualizza di nuovo la pagina Roles (Ruoli).
Creazione di un'istanza EC2 e aggiunta automatica della directoryIn questa procedura configura un sistema di Windows Server in Amazon EC2 che può essere utilizzato inseguito per gestire utenti, gruppi e policy in Active Directory.
Creazione di un'istanza EC2 e aggiunta automatica della directory
1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.2. Seleziona Launch Instance (Avvia istanza).3. Nella pagina Passaggio 1 accanto a Base di Microsoft Windows Server 2019 -
ami-xxxxxxxxxxxxxxxxx scegli Seleziona.4. Nella pagina Passaggio 2 selezionare t3.micro (nota: è possibile scegliere un tipo di istanza più
grande), quindi scegliere Successivo: Configura i dettagli dell'istanza5. Nella pagina Step 3 (Fase 3), esegui le operazioni seguenti:
• Per Rete, scegli il VPC che termina con Interfaccia AWS-DS-VPC01 (ad esempio, disicurezzaxxxxxxxxxxxxxxxxx | AWS-DS-VPC01).
Version 1.0156
AWS Directory Service Guida di amministrazioneTutorial Imposta la tua base AWS Managed
Microsoft AD Laboratorio di prova
• Per Sottorete scegli Sottorete pubblica 1, che deve essere preconfigurato per la zona di disponibilitàpreferita (ad esempio, della sottoretexxxxxxxxxxxxxxxxx | AWS-DS-VPC01-Sottorete01 | us-west-2a).
• Per Auto-assign Public IP (Assegna automaticamente IP pubblico), scegli Enable (Abilita) (sel'impostazione della sottorete non è configurata per l'abilitazione come impostazione predefinita).
• Per Directory aggiunta dominio, scegli corp.esempio.com (d-xxxxxxxxxx).• Per IAM role (Ruolo IAM) scegliere il nome assegnato al ruolo di istanza in Creazione di un ruolo
per aggiungere le istanze Windows al tuo dominio AWS Managed Microsoft AD (p. 156), comeEC2DomainJoin.
• Lascia le altre impostazioni ai valori predefiniti.• Seleziona Next (Successivo). aggiungere storage:
6. Nella pagina Passaggio 4 , lasciare le impostazioni predefinite, quindi scegliere Successivo: Aggiungitag
7. Nella pagina Step 5 (Fase 5), scegli Add tag (Aggiungi tag). Meno di Chiave tipocorp.example.com-mgmt e quindi scegliere Successivo: Configura il gruppo di sicurezza
8. Nella pagina Step 6 (Fase 6), scegli Select an existing security group (Seleziona un gruppo disicurezza esistente), scegli AWS DS RDP Security Group (Gruppo di sicurezza RDP DS per AWS) equindi scegli Review and Launch (Verifica e Avvia) per verificare la tua istanza.
9. Nella pagina Step 7 (Fase 7), analizza la pagina, quindi scegli Launch (Avvia).10. Nella finestra di dialogo Select an existing key pair or create a new key pair (Seleziona una coppia di
chiavi esistente o crea una nuova coppia di chiavi) esegui le operazioni seguenti:
• Scegli Choose an existing key pair (Scegli una coppia di chiavi esistente).
• In Select a key pair (Selezionare una coppia di chiavi), scegli AWS-DS-KP.• Seleziona la casella di controllo I acknowledge... (Acconsento...).• Scegli Launch Instances (Avvia istanze).
11. Scegli View Instances (Visualizza istanze) per tornare alla console Amazon EC2 e visualizzare lo statodella distribuzione.
Installa gli strumenti di Active Directory nella tua istanza EC2
È possibile scegliere tra due metodi per installare gli strumenti di gestione del dominio di Active Directorysulla tua istanza EC2. È possibile utilizzare l'interfaccia utente di Server Manager (raccomandata perquesto tutorial) o Windows PowerShell.
Installazione degli strumenti di Active Directory sulla tua istanza EC2 (Server Manager)
1. Nella console Amazon EC2, scegli Instances (Istanze), seleziona l'istanza appena creata, quindi scegliConnect (Connetti).
2. Nella casella di dialogo Connect To Your Instance (Connetti all’istanza), scegliere Get Password(Ottieni password) per recuperare la password se non è stato già fatto e scegliere Download RemoteDesktop File (Scarica file Desktop remoto).
3. Nella finestra di dialogo Windows Security (Sicurezza di Windows), digita le credenzialidell'amministratore locale per il computer Windows Server per effettuare l'accesso (ad esempio,administrator).
4. Nel menu Start (Inizia), scegli Server Manager.5. In Dashboard (Pannello di controllo), scegli Add Roles and Features (Aggiungi ruoli e funzionalità).6. In Add Roles and Features Wizard (Procedura guidata aggiunta ruoli e funzionalità), scegli Next
(Successivo).
Version 1.0157
AWS Directory Service Guida di amministrazioneTutorial Imposta la tua base AWS Managed
Microsoft AD Laboratorio di prova
7. Nella pagina Select installation type (Seleziona tipo di installazione), scegli Role-based or feature-based installation (Installazione basata su ruoli o su funzionalità), quindi scegli Next (Successivo).
8. Nella pagina Select destination server (Seleziona server di destinazione), assicurati che siaselezionato il server locale, quindi scegli Next (Successivo).
9. Nella pagina Select server roles (Seleziona ruoli server), scegli Next (Successivo).10. Nella pagina Select features (Seleziona funzionalità), effettua le operazioni seguenti:
• Seleziona la casella di Group Policy Management (Gestione di Group Policy).• Espandi Remote Server Administration Tools (Strumenti di amministrazione server remoti) e
successivamente espandi Role Administration Tools (Strumenti amministrazione ruoli).• Seleziona la casella di controllo AD DS and AD LDS Tools (Strumenti AD DS e AD LDS).• Seleziona la casella di controllo DNS Server Tools (Strumenti del server DNS).• Seleziona Next (Successivo).
11. Nella pagina Confirm installation selections (Conferma selezioni di installazione), verifica l'informazionee quindi scegli Install (Installa). Quando la funzione di installazione è terminata, i seguenti nuovistrumenti o snap-in saranno disponibili nella cartella Strumenti di amministrazione di Windows nelmenu Start.
• Centro di amministrazione di Active Directory• Dominio Active Directory e Trust• Modulo di Active Directory per Windows PowerShell• Siti di Active Directory e servizi• Utenti Active Directory e computer• Modifica ADSI• DNS• Gestione di Group Policy
Installazione degli strumenti di Active Directory sulla tua istanza EC2 (Windows PowerShell)(Opzionale)
1. Avvia Windows PowerShell.2. Digita il seguente comando:
Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
Fase 4. Verificare che il laboratorio di prova di base sia operativoUtilizza la procedura seguente per verificare che il lab di sicurezza sia stato impostato correttamente primadi aggiungere ulteriori moduli di guida di lab di sicurezza. Questa procedura verifica che Windows Serversia configurato in modo appropriato, che sia in grado di connettersi al dominio corp.example.com e che siautilizzato per amministrare la tua foresta AWS Managed Microsoft AD.
Verifica che il lab di sviluppo sia operativo
1. Disconnettiti dall'istanza EC2 in cui hai effettuato l'accesso come amministratore locale.2. Torna nella console Amazon EC2 e nel riquadro di navigazione seleziona Instances (Istanze).
Successivamente seleziona l'istanza che hai creato. Scegliere Connetti.3. Nella finestra di dialogo Connect To Your Instance (Connetti all'istanza), scegli Download Remote
Desktop File (Scarica file per il desktop remoto).Version 1.0158
AWS Directory Service Guida di amministrazioneTutorial Crea un trust da AWS Managed Microsoft
AD a un'installazione AD autogestita su EC2
4. Nella finestra di dialogo Windows Security (Sicurezza di Windows), digita le credenziali del tuoamministratore per il dominio CORP per accedere (per esempio, corp\admin).
5. Una volta effettuato l'accesso, nel menu Start (Avvia), in Windows Administrative Tools (Strumenti diamministrazione di Windows) scegli Active Directory Users and Computers (Utenti Active Directory ecomputer).
6. Dovresti vedere corp.example.com visualizzato con tutti gli account e UO di default associati a unnuovo dominio. In Domain Controllers (Controller di dominio), prendi nota dei nomi dei controller didominio che sono stati creati automaticamente quando hai creato il tuo AWS Managed Microsoft ADnella Fase 2 di questo tutorial.
Complimenti! Il tuo ambiente di lab di sviluppo di base AWS Managed Microsoft AD ora è stato configurato.Sei pronto per iniziare ad aggiungere il prossimo lab di sicurezza nelle serie.
Tutorial successivo: Tutorial Creazione di un trust da AWS Managed Microsoft AD a un'installazione diActive Directory autogestita su Amazon EC2 (p. 159)
Tutorial Creazione di un trust da AWS ManagedMicrosoft AD a un'installazione di Active Directoryautogestita su Amazon EC2In questo tutorial imparerai a creare un trust tra la foresta AWS Directory Service for Microsoft ActiveDirectory creata nel tutorial di base (p. 146). Imparerai anche a creare una nuova foresta nativa ActiveDirectory su un server Windows in Amazon EC2. Come mostrato nell'illustrazione seguente, il lab che haicreato in questo tutorial è il secondo blocco di creazione necessario durante la configurazione di un lab disviluppo AWS Managed Microsoft AD. Puoi utilizzare il lab di sviluppo per testare le soluzioni AWS basatesu cloud puro o ibrido.
È necessario creare questo tutorial una sola volta. In seguito potrai aggiungere tutorial facoltativi quandonecessario per ampliare l'esperienza.
Version 1.0159
AWS Directory Service Guida di amministrazioneTutorial Crea un trust da AWS Managed Microsoft
AD a un'installazione AD autogestita su EC2
Fase 1 Configurazione dell'ambiente per i trust (p. 160)
Prima di stabilire trust tra una nuova foresta di Active Directory e la foresta di AWS Managed MicrosoftAD creata nel tutorial di base (p. 146), è necessario preparare l'ambiente Amazon EC2. A tale scopo,crea un server di Windows Server 2019, promuovilo a controller di dominio, quindi configura il VPC diconseguenza.
Fase 2. Creare i trust (p. 165)
In questa fase, crea una relazione bidirezionale di trust tra foreste tra la foresta di Active Directoryappena creata ospitata su Amazon EC2 e la foresta di AWS Managed Microsoft AD in AWS.
Fase 3 Verifica della fiducia (p. 167)
Infine, in qualità di amministratore, utilizza la console AWS Directory Service per verificare che i nuovitrust siano operativi.
Fase 1 Configurazione dell'ambiente per i trustIn questa sezione configuri l'ambiente Amazon EC2, distribuisci la nuova foresta e prepari il VPC per i trustcon AWS.
Version 1.0160
AWS Directory Service Guida di amministrazioneTutorial Crea un trust da AWS Managed Microsoft
AD a un'installazione AD autogestita su EC2
Crea un'istanza EC2 di Windows Server 2019
Utilizza la procedura seguente per creare un server membro di Windows Server 2019 in Amazon EC2.
Creazione di un'istanza EC2 di Windows Server 2019
1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.2. Nella console Amazon EC2 scegli Launch Instance (Avvia istanza).3. Nella pagina Passaggio 1 , individua Base di Microsoft Windows Server 2019 -
ami-xxxxxxxxxxxxxxxxx nell'elenco. Quindi scegliere Select (Seleziona).4. Nella pagina Passaggio 2 selezionare t2.grande, quindi scegliere Successivo: Configura i dettagli
dell'istanza5. Nella pagina Step 3 (Fase 3), esegui le operazioni seguenti:
• Per Rete, seleziona di sicurezzaxxxxxxxxxxxxxxxxx Interfaccia AWS-DS-VPC01 (che haiimpostato in precedenza nel Tutorial di base (p. 149)).
• Per Sottorete, seleziona della sottoretexxxxxxxxxxxxxxxxx | AWS-OnPrem-VPC01-Subnet01 |AWS-OnPrem-VPC01.
• Nell'elenco Auto-assign Public IP (Assegna automaticamente IP pubblico), scegli Enable (Abilita) (sel'impostazione della sottorete non è configurata su Enable (Abilita) per impostazione predefinita).
• Lascia le altre impostazioni ai valori predefiniti.• Seleziona Next (Successivo). aggiungere storage:
Version 1.0161
AWS Directory Service Guida di amministrazioneTutorial Crea un trust da AWS Managed Microsoft
AD a un'installazione AD autogestita su EC2
6. Nella pagina Passaggio 4 , lasciare le impostazioni predefinite, quindi scegliere Successivo: Aggiungitag
7. Nella pagina Step 5 (Fase 5), scegli Add tag (Aggiungi tag). Meno di Chiave tipo example.local-DC01, quindi scegliere Successivo: Configura il gruppo di sicurezza
8. Nella pagina Step 6 (Fase 6), scegli Select an existing security group (Seleziona un gruppo disicurezza esistente), seleziona AWS DS RDP Security Group (Gruppo di sicurezza RDP DS di AWS)(che hai già configurato nel tutorial di base (p. 151)), quindi scegli Review and Launch (Analizza eavvia) per analizzare l'istanza.
9. Nella pagina Step 7 (Fase 7), analizza la pagina, quindi scegli Launch (Avvia).10. Nella finestra di dialogo Select an existing key pair or create a new key pair (Seleziona una coppia di
chiavi esistente o crea una nuova coppia di chiavi) esegui le operazioni seguenti:
• Scegli Choose an existing key pair (Scegli una coppia di chiavi esistente).• In Select a key pair (Seleziona una coppia di chiavi), scegli AWS-DS-KP (che hai già configurato nel
tutorial di base (p. 148)).• Seleziona la casella di controllo I acknowledge... (Acconsento...).• Scegli Launch Instances (Avvia istanze).
11. Scegli View Instances (Visualizza istanze) per tornare alla console Amazon EC2 e visualizzare lo statodella distribuzione.
Promuovi il server a un controller di dominio
Prima di poter creare trust, è necessario creare e distribuire il primo controller di dominio per una nuovaforesta. Durante questo processo puoi configurare una nuova foresta di Active Directory, installare il DNS eimpostare questo server in modo da utilizzare il server DNS locale per la risoluzione dei nomi. È necessarioriavviare il server al termine di questa procedura.
Note
Se desideri creare un controller di dominio in AWS che replichi con la rete locale, prima uniscimanualmente l'istanza EC2 al dominio locale. Dopo potrai promuovere il server a un controller didominio.
Promuovere il server a un controller di dominio
1. Nella console Amazon EC2, scegli Instances (Istanze), seleziona l'istanza appena creata, quindi scegliConnect (Connetti).
2. Nella finestra di dialogo Connect To Your Instance (Connetti all'istanza), scegli Download RemoteDesktop File (Scarica file per il desktop remoto).
3. Nella finestra di dialogo Windows Security (Sicurezza di Windows), digita le credenzialidell'amministratore locale per il computer Windows Server per effettuare l'accesso (ad esempio,administrator). Se non disponi ancora della password di amministratore locale, ritorna alla consoleAmazon EC2, fai clic con il pulsante destro del mouse sull'istanza e scegli Get Windows Password(Ottieni password di Windows). Vai al file AWS DS KP.pem o alla tua chiave .pem personale, quindiscegli Decrypt Password (Decrittografa password).
4. Nel menu Start (Inizia), scegli Server Manager.5. In Dashboard (Pannello di controllo), scegli Add Roles and Features (Aggiungi ruoli e funzionalità).6. In Add Roles and Features Wizard (Procedura guidata aggiunta ruoli e funzionalità), scegli Next
(Successivo).7. Nella pagina Select installation type (Seleziona tipo di installazione), scegli Role-based or feature-
based installation (Installazione basata su ruoli o su funzionalità), quindi scegli Next (Successivo).8. Nella pagina Select destination server (Seleziona server di destinazione), assicurati che sia
selezionato il server locale, quindi scegli Next (Successivo).
Version 1.0162
AWS Directory Service Guida di amministrazioneTutorial Crea un trust da AWS Managed Microsoft
AD a un'installazione AD autogestita su EC2
9. Nella pagina Select server roles (Seleziona ruoli server), seleziona Active Directory DomainServices (Servizi di dominio di Active Directory). Nella finestra di dialogo Add Roles and FeaturesWizard (Procedura guidata aggiunta ruoli e funzionalità), verifica che la casella di controllo Includemanagement tools (if applicable) (Includi strumenti di gestione (se applicabile)) sia selezionata. ScegliAdd Features (Aggiungi funzionalità), quindi scegli Next (Successivo).
10. Nella pagina Select features (Seleziona funzionalità), scegli Next (Successivo).11. Nella pagina Active Directory Domain Services (Servizi di dominio di Active Directory), scegli Next
(Successivo).12. Nella pagina Confirm installation selections (Conferma selezioni di installazione), scegli Install
(Installa).13. Dopo aver installato i binari di Active Directory, scegli Close (Chiudi).14. Quando Server Manager si apre, scegli un flag nella parte superiore, accanto alla parola Manage
(Gestisci). Quando il flag diventa giallo, il server è pronto per essere promosso.15. Scegli il flag giallo, quindi scegli Promote this server to a domain controller (Promuovi questo server a
un controller di dominio).16. Nella pagina Deployment Configuration (Configurazione di distribuzione), scegli Add a new forest
(Aggiungi una nuova foresta). In Root domain name (Nome dominio root), digita example.local,quindi scegli Next (Successivo).
17. Nella pagina Domain Controller Options (Opzioni controller di dominio), esegui le operazioni seguenti:
• Sia in Livello funzionale foresta che in Livello funzionale dominio, scegli Windows Server 2019.• In Specify domain controller capabilities (Specifica funzionalità controller di dominio), verifica che sia
Domain Name System (DNS) che Global Catalog (GC) siano selezionati.• Digita e conferma una password di Directory Services Restore Mode (DSRM). Quindi, seleziona
Next (Successivo).18. Nella pagina DNS Options (Opzioni DNS), ignora l'avviso sulla delegazione e scegli Next (Successivo).19. Nella pagina Opzioni aggiuntive, assicurati che EXAMPLE sia elencato come nome dominio di
NetBios.20. Nella pagina Paths (Percorsi), mantieni le impostazioni predefinite, quindi scegli Next (Successivo).21. Nella pagina Review Options (Analizza opzioni), scegli Next (Successivo). Il server effettuerà ora delle
verifiche per accertarsi che tutti i prerequisiti del controller di dominio siano soddisfatti. Potrebberoessere visualizzati dei messaggi di errore, mai puoi ignorarli senza rischi per la sicurezza.
22. Scegli Install (Installa). Una volta completata l'installazione, il server si riavvia e diventa un controller didominio funzionale.
Configura il VPC
Le tre procedure seguenti ti guidano attraverso le fasi di configurazione del VPC per la connettività di AWS.
Configurazione delle regole in uscita del VPC
1. Nella console AWS Directory Service, annota l'ID directory AWS Managed Microsoft AD percorp.example.com creato in precedenza nel tutorial di base (p. 153).
2. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.3. Fai clic su Security Groups (Gruppi di sicurezza) nel riquadro di navigazione..4. Cerca il tuo ID directory AWS Managed Microsoft AD. Nei risultati della ricerca, selezionare l'elemento
con la descrizione Gruppo di sicurezza creato da AWS per d-xxxxxx controller di directory.
Note
Questo gruppo di sicurezza è stato creato automaticamente quando hai creato la directoryall'inizio.
Version 1.0163
AWS Directory Service Guida di amministrazioneTutorial Crea un trust da AWS Managed Microsoft
AD a un'installazione AD autogestita su EC2
5. Scegli la scheda Outbound Rules (Regole in uscita) per tale gruppo di sicurezza. Scegli Edit (Modifica),scegli Add another rule (Aggiungi un'altra regola), quindi aggiungi i seguenti valori:
• In Type (Tipo), scegli All Traffic (Tutto il traffico).• In Destination (Destinazione), digitare 0.0.0.0/0.• Lascia le altre impostazioni ai valori predefiniti.• Seleziona Save (Salva).
Verificare che la preautenticazione Kerberos sia abilitato
1. Nel controller di dominio example.local, apri Server Manager.2. Nel menu Tools (Strumenti), scegli Active Directory Users and Computers (Strumento Users and
Computers (Utenti e computer) di Active Directory).3. Passa alla directory Utenti, fai clic con il pulsante destro del mouse su un utente, seleziona Proprietà
e scegli la scheda Account. Nell'elenco Opzioni account, scorri verso il basso e verifica che Nonrichiedere l'autenticazione preliminare Kerberos non sia selezionato.
4. Esegui la stessa procedura per il dominio corp.example.com dall'istanza corp.example.com-mgmt .
Configurazione dei server d'inoltro condizionale DNS
Note
Un server di inoltro condizionale è un server DNS in una rete che viene utilizzato per inoltrarequery DNS in base al nome di dominio DNS nella query. Ad esempio, un server DNS può essereconfigurato per inoltrare tutte le query ricevute per i nomi che terminano con widgets.example.comall'indirizzo IP di un server DNS specifico o agli indirizzi IP di più server DNS.
1. In primo luogo è necessario ottenere alcune informazioni su AWS Managed Microsoft AD.
Accedi alla Console di gestione AWS e apri la console AWS Directory Service all'indirizzo https://console.aws.amazon.com/directoryservicev2/.
2. Nel riquadro di navigazione, seleziona Directories (Directory).3. Seleziona l'directory ID (ID directory) di AWS Managed Microsoft AD.4. Annota il nome di dominio completo (FQDN), corp.example.com e gli indirizzi DNS della directory.5. Ora, torna al controller di dominio example.local, quindi apri Server Manager.6. Nel menu Tools (Strumenti), seleziona DNS.7. Nella struttura della console, espandi il server DNS del dominio per il quale configuri il trust e vai a
Conditional Forwarders (Server d'inoltro condizionale).8. Fai clic con il pulsante destro del mouse su Conditional Forwarders(Server d'inoltro condizionale),
quindi scegli New Conditional Forwarder (Nuovo server d'inoltro condizionale).9. Nel dominio DNS digita corp.example.com.10. In IP addresses of the master servers (Indirizzi IP dei server master), scegli <Click here to add ... >
(Fai clic qui per aggiungere...), digita il primo indirizzo DNS della directory AWS Managed Microsoft AD(che hai annotato nella procedura precedente), quindi premi Enter (Invio). Esegui la stessa proceduraper il secondo indirizzo DNS. Dopo aver digitato gli indirizzi DNS, potresti visualizzare un errore deltipo "timeout" o "impossibile risolvere". In genere, puoi ignorare questi errori.
11. Seleziona la casella di controllo Store this conditional forwarder in Active Directory, and replicate it asfollows (Memorizza questo server d'inoltro condizionale in Active Directory e replicalo come segue).Nel menu a discesa, scegli All DNS servers in this Forest (Tutti i server DNS di questa foresta), quindiscegli OK.
Version 1.0164
AWS Directory Service Guida di amministrazioneTutorial Crea un trust da AWS Managed Microsoft
AD a un'installazione AD autogestita su EC2
Fase 2. Creare i trustIn questa sezione crei due trust tra foreste separati. Un trust viene creato dal dominio di Active Directorysull'istanza EC2 e l'altro da AWS Managed Microsoft AD in AWS.
Per creare un trust da un dominio EC2 a AWS Managed Microsoft AD
1. Accedi a example.local.2. Apri Server Manager e nella struttura della console scegli DNS. Annota l'indirizzo IPv4 elencato nel
server. Ne avrai bisogno nella procedura successiva, quando creerai un server d'inoltro condizionaleda corp.example.com nella directory example.local.
3. Nel menu Tools (Strumenti), scegli Active Directory Domains and Trust (Domini e trust di ActiveDirectory).
4. Nella struttura della console, fai clic con il pulsante destro del mouse su example.local, quindi scegliProperties (Proprietà).
5. Nella scheda Trusts (Trust), scegli New Trust (Nuovo trust), quindi scegli Next (Successivo).6. Nella pagina Trust Name (Nome trust), digita corp.example.com, quindi scegli Next (Successivo).7. Nella pagina Trust Type (Tipo di trust), scegli Forest trust (Trust tra foreste), quindi scegli Next
(Successivo).
Note
AWS Managed Microsoft AD supporta anche trust esterni. Tuttavia, ai fini di questo tutorial,verrà creato un trust tra foreste bidirezionale.
8. Nella pagina Direction of Trust (Direzione del trust), scegli Two-way (Bidirezionale), quindi scegli Next(Successivo).
Note
Se in seguito si decide di provare questa operazione con un trust unidirezionale, assicurarsiche le istruzioni di attendibilità siano configurate correttamente (in uscita sul dominio trusting,in entrata sul dominio trusted). Per informazioni generali, consulta Informazioni sulla direzionedi attendibilità nel sito Web di Microsoft.
9. Nella pagina Sides of Trust (Lato del trust), scegli This domain only (Solo per questo dominio), quindiscegli Next (Successivo).
10. Nella pagina Outgoing Trust Authentication Level (Livello di autenticazione del trust in uscita), scegliForest-wide authentication (Autenticazione a livello di foresta), quindi scegli Next (Successivo).
Note
Sebbene Selective authentication (Autenticazione selettiva) in un'opzione, per la semplicitàdi questo tutorial si consiglia di non abilitarlo qui. Quando configurato, limita l'accesso tramiteun trust esterno o di foresta solo agli utenti di un dominio o di una foresta attendibili a cui
Version 1.0165
AWS Directory Service Guida di amministrazioneTutorial Crea un trust da AWS Managed Microsoft
AD a un'installazione AD autogestita su EC2
sono state concesse esplicitamente autorizzazioni di autenticazione agli oggetti computer(computer delle risorse) che risiedono nel dominio trusting o nella foresta. Per ulterioriinformazioni, consulta Configurazione delle impostazioni di autenticazione selettiva.
11. Nella pagina Trust Password (Password del trust), digita la password del trust due volte, quindi scegliNext (Successivo). Utilizzerai questa stessa password nella prossima procedura.
12. Nella pagina Trust Selections Complete (Selezione dei trust completa), verifica i risultati, quindi scegliNext (Successivo).
13. Nella pagina Trust Creation Complete (Creazione dei trust completa), verifica i risultati, quindi scegliNext (Successivo).
14. Nella pagina Confirm Outgoing Trust (Conferma trust in uscita), scegli No, do not confirm the outgoingtrust (Non confermare trust in uscita). Quindi, seleziona Next (Successivo).
15. Nella pagina Confirm Incoming Trust (Conferma trust in entrata), scegli No, do not confirm theincoming trust (Non confermare trust in entrata). Quindi, seleziona Next (Successivo).
16. Nella pagina Completing the New Trust Wizard (Completamento procedura guidata del nuovo trust),scegli Finish (Fine).
Per creare un trust da AWS Managed Microsoft AD al dominio EC2
1. Apri la console AWS Directory Service.2. Scegli la directory corp.example.com.3. Nella pagina Directory details (Dettagli della directory), seleziona la scheda Networking & security (Reti
e sicurezza).4. Nella sezione Trust relationships (Relazioni di trust), scegli Actions (Azioni), quindi seleziona Add trust
relationship (Aggiungi relazione di trust).5. Nella finestra di dialogo Add a trust relationship (Aggiungi una relazione di trust), esegui le operazioni
seguenti:
• In Tipo di trust selezionare Trust tra foreste.
Note
Assicurarsi che il Tipo di trust scelto qui corrisponda allo stesso tipo di trust configuratonella procedura precedente (per creare il trust dal dominio EC2 al proprio AWS ManagedMicrosoft AD).
• Per Nome di dominio remoto esistente o nuovo, digitare example.local.• In Trust password (Password di trust), digita la stessa password fornita nella procedura precedente.• In Direzione trust, seleziona A due vie.
Note
• Se in seguito si decide di provare questa operazione con un trust unidirezionale,assicurarsi che le istruzioni di attendibilità siano configurate correttamente (in uscitasul dominio trusting, in entrata sul dominio trusted). Per informazioni generali, consultaInformazioni sulla direzione di attendibilità nel sito Web di Microsoft.
• Sebbene Selective authentication (Autenticazione selettiva) in un'opzione, per lasemplicità di questo tutorial si consiglia di non abilitarlo qui. Quando configurato,limita l'accesso tramite un trust esterno o di foresta solo agli utenti di un dominio odi una foresta attendibili a cui sono state concesse esplicitamente autorizzazionidi autenticazione agli oggetti computer (computer delle risorse) che risiedono neldominio trusting o nella foresta. Per ulteriori informazioni, consulta Configurazione delleimpostazioni di autenticazione selettiva.
• In Server d'inoltro condizionale, digita l'indirizzo IP del server DNS della foresta example.local (chehai annotato nella procedura precedente).Version 1.0
166
AWS Directory Service Guida di amministrazioneRisoluzione dei problemi di :
Note
Un server di inoltro condizionale è un server DNS in una rete che viene utilizzato perinoltrare query DNS in base al nome di dominio DNS nella query. Ad esempio, un serverDNS può essere configurato per inoltrare tutte le query ricevute per i nomi che terminanocon widgets.example.com all'indirizzo IP di un server DNS specifico o agli indirizzi IP di piùserver DNS.
6. Scegli Add (Aggiungi).
Fase 3 Verifica della fiduciaIn questa sezione verifichi se i trust sono stati configurati correttamente tra AWS e Active Directory suAmazon EC2.
Verifica del trust
1. Apri la console AWS Directory Service.2. Scegli la directory corp.example.com.3. Nella pagina Directory details (Dettagli della directory), seleziona la scheda Networking & security (Reti
e sicurezza).4. Nella sezione Trust relationships (Relazioni di trust), seleziona la relazione di trust creata.5. Scegli Actions (Operazioni), quindi scegli Verify trust relationship (Verifica relazione di trust).
Una volta completata la verifica, dovresti visualizzare Verified (Verificato) nella colonna Status (Stato).
Complimenti, hai completato questo tutorial! Ora disponi di un ambiente Active Directory con unamultiforesta completamente funzionale dal quale puoi iniziare a provare diversi scenari. Sono statiprogrammati dei tutorial di lab di sviluppo aggiuntivi per il 2018, ti consigliamo dunque di controllare di tantoin tanto per vedere gli aggiornamenti.
Risoluzione dei problemi del AWS ManagedMicrosoft AD
Quanto segue può aiutarti a risolvere alcuni problemi comuni che potrebbero verificarsi durante lacreazione o l'utilizzo della tua directory.
Recupero della passwordSe un utente dimentica la password o ha problemi di accesso alla directory Simple AD o AWS ManagedMicrosoft AD, è possibile reimpostare la password utilizzando la Console di gestione AWS, WindowsPowerShell o la CLI AWS.
Per ulteriori informazioni, consulta Reimpostare la password utente (p. 90).
Argomenti• Risoluzione dei problemi di DNS (p. 168)• Errori di unione dominio Linux (p. 168)• Spazio di storage disponibile insufficiente in Active Directory (p. 170)• Errori di estensione dello schema (p. 172)• Motivo stato di creazione trust (p. 174)
Version 1.0167
AWS Directory Service Guida di amministrazioneRisoluzione dei problemi di DNS
Risoluzione dei problemi di DNSPuoi controllare gli eventi DNS di AWS Managed Microsoft AD in modo da semplificare l'individuazione e larisoluzione dei problemi di DNS. Ad esempio, se manca un record DNS, puoi usare il log di eventi di auditDNS per individuare la causa e risolvere il problema. Puoi usare i log di eventi di audit DNS per potenziarela sicurezza rilevando e bloccando le richieste provenienti da indirizzi IP sospetti.
Per farlo, è necessario essere connessi con l'account Admin o con un account membro del gruppo AWSDomain Name System Administrators. Per ulteriori informazioni su questo gruppo, consulta Cosa vienecreato (p. 12).
Per la risoluzione dei problemi di AWS Managed Microsoft AD DNS
1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.2. Nel riquadro di navigazione a sinistra, scegli Instances (Istanze).3. Individua un'istanza Amazon EC2 aggiunta alla tua directory AWS Managed Microsoft AD. Seleziona
l'istanza quindi scegli Connect (Connetti).4. Apri l'Event Viewer (Visualizzatore eventi) che si trova nella cartella Administrative Tools (Strumenti
amministrativi).5. Nella finestra Event Viewer (Visualizzatore eventi), scegli Action (Operazione) quindi Connect to
Another Computer (Collega a un altro computer).6. Seleziona Another computer (Altro computer), digita il nome o l'indirizzo IP di uno dei server DNS di
AWS Managed Microsoft AD, quindi scegli OK.7. Nel riquadro di sinistra, passa a Applications and Services Logs>Microsoft>Windows>DNS-Server,
quindi seleziona Audit.
Errori di unione dominio LinuxLe informazioni seguenti possono aiutarti a risolvere i problemi relativi ai messaggi di errore che potrebberoverificarsi durante l'unione di un'istanza Linux EC2 alla directory di AWS Managed Microsoft AD.
Istanze Linux non in grado di eseguire l'unione di domini ol'autenticazionePerché un realm possa funzionare con Microsoft AD, deve essere possibile risolvere in modo inverso leistanze Ubuntu 14.04, 16.04 e 18.04 nel DNS. In caso contrario, potresti incontrare uno dei seguenti duescenari:
Scenario 1 Istanze Ubuntu che non sono ancora unite a un realmNel caso di istanze Ubuntu che stanno tentando di aggiungersi a un realm, il comando sudo realm joinpotrebbe non fornire le autorizzazioni necessarie per l'aggiunta al dominio e potrebbe venire visualizzato ilseguente errore:
! Couldn't authenticate to active directory: SASL(-1): generic failure: GSSAPI Error: An invalid name wassupplied (Success) adcli: couldn't connect to EXAMPLE.COM domain: Couldn't authenticate to activedirectory: SASL(-1): generic failure: GSSAPI Error: An invalid name was supplied (Success) ! Insufficientpermissions to join the domain realm: Couldn't join realm: Insufficient permissions to join the domain
Scenario 2 Istanze Ubuntu collegate a un realmNel caso di istanze Ubuntu già aggiunte a un dominio Microsoft AD, i tentativi di connessione SSHall'istanza con le credenziali del dominio potrebbero non andare a buon fine con i seguenti errori:
$ ssh [email protected]@198.51.100
Version 1.0168
AWS Directory Service Guida di amministrazioneErrori di unione dominio Linux
no such identity: /Users/username/.ssh/id_ed25519: No such file or directory
[email protected]@198.51.100's password:
Permission denied, please try again.
[email protected]@198.51.100's password:
Se si accede all'istanza con una chiave pubblica e si controlla /var/log/auth.log, potrebbero esserevisualizzati i seguenti errori relativi all'impossibilità di trovare l'utente:
May 12 01:02:12 ip-192-0-2-0 sshd[2251]: pam_unix(sshd:auth): authentication failure; logname= uid=0euid=0 tty=ssh ruser= rhost=203.0.113.0
May 12 01:02:12 ip-192-0-2-0 sshd[2251]: pam_sss(sshd:auth): authentication failure; logname= uid=0euid=0 tty=ssh ruser= rhost=203.0.113.0 [email protected]
May 12 01:02:12 ip-192-0-2-0 sshd[2251]: pam_sss(sshd:auth): received for user [email protected]:10 (User not known to the underlying authentication module)
May 12 01:02:14 ip-192-0-2-0 sshd[2251]: Failed password for invalid user [email protected] from203.0.113.0 port 13344 ssh2
May 12 01:02:15 ip-192-0-2-0 sshd[2251]: Connection closed by 203.0.113.0 [preauth]
Tuttavia, kinit per l'utente funziona ancora. Vedi questo esempio:
ubuntu@ip-192-0-2-0:~$ kinit [email protected] Password for [email protected]:ubuntu@ip-192-0-2-0:~$ klist Ticket cache: FILE:/tmp/krb5cc_1000 Default principal:[email protected]
WorkaroundL'attuale soluzione consigliata per entrambi questi scenari è quella di disabilitare il DNS inverso in /etc/krb5.conf nella sezione [libdefaults] come mostrato di seguito:
[libdefaults]default_realm = EXAMPLE.COMrdns = false
Problema di autenticazione attendibile unidirezionale con unionedi dominio senza interruzioniSe si dispone di una fiducia in uscita unidirezionale stabilita tra AWS Managed Microsoft AD e l'AD locale,potresti riscontrare un problema di autenticazione durante il tentativo di autenticazione rispetto all'istanzaLinux aggiunta al dominio utilizzando le credenziali AD affidabili con Winbind.
ErrorsJul 31 00:00:00 EC2AMAZ-LSMWqT sshd[23832]: Failed password for [email protected] fromxxx.xxx.xxx.xxx port 18309 ssh2
Jul 31 00:05:00 EC2AMAZ-LSMWqT sshd[23832]: pam_winbind(sshd:auth): getting password(0x00000390)
Jul 31 00:05:00 EC2AMAZ-LSMWqT sshd[23832]: pam_winbind(sshd:auth): pam_get_item returned apassword
Jul 31 00:05:00 EC2AMAZ-LSMWqT sshd[23832]: pam_winbind(sshd:auth): request wbcLogonUserfailed: WBC_ERR_AUTH_ERROR, PAM error: PAM_SYSTEM_ERR (4), NTSTATUS:**NT_STATUS_OBJECT_NAME_NOT_FOUND**, Error message was: The object name is not found.
Version 1.0169
AWS Directory Service Guida di amministrazioneSpazio di storage disponibile insufficiente
Jul 31 00:05:00 EC2AMAZ-LSMWqT sshd[23832]: pam_winbind(sshd:auth): internal module error (retval =PAM_SYSTEM_ERR(4), user = 'CORP\user')
WorkaroundPer risolvere questo problema, è necessario commentare o rimuovere una direttiva dal file diconfigurazione del modulo PAM (/etc/security/pam_winbind.conf) utilizzando i seguenti passaggi.
1. Apri il file /etc/security/pam_winbind.conf in un editor di testo.
sudo vim /etc/security/pam_winbind.conf
2. Commentare o rimuovere la seguente direttiva krb5_aut = sì.
[global]
cached_login = yeskrb5_ccache_type = FILE#krb5_auth = yes
3. Arrestare il servizio Winbind e quindi riavviarlo.
service winbind stop or systemctl stop winbindnet cache flush service winbind start or systemctl start winbind
Spazio di storage disponibile insufficiente in ActiveDirectoryQuando AWS Managed Microsoft AD è compromesso a causa dello scarso spazio di storage disponibilein Active Directory, è necessaria un'azione immediata per riportare la directory a uno stato attivo. Le duecause più comuni di questo problema sono trattate nelle sezioni seguenti:
1. La cartella SYSVOL memorizza più oggetti rispetto a quelli delle Policy di gruppo essenziali (p. 170)2. Il database di Active Directory ha il volume pieno (p. 171)
Per informazioni sui prezzi dello storage AWS Managed Microsoft AD, consulta Prezzi di AWS DirectoryService.
La cartella SYSVOL memorizza più oggetti rispetto a quelli dellePolicy di gruppo essenzialiUna causa comune di questo problema è dovuta alla memorizzazione di file non essenziali perl'elaborazione di policy di gruppo nella cartella SYSVOL. Questi file non essenziali possono essere EXE,MSI o qualsiasi altro file non essenziale per l'elaborazione di policy di gruppo. Gli oggetti essenziali perl'elaborazione di policy di gruppo sono gli oggetti Policy di gruppo, gli script di accesso/disattivazione e iCentral Store for Group Policy objects. Tutti i file non essenziali devono essere archiviati su un file serverdiverso dai controller di dominio AWS Managed Microsoft AD.
Se sono necessari file per l'installazione del software Criteri di gruppo. è necessario utilizzare un fileserver per archiviare i file di installazione. Se si preferisce non gestire autonomamente un file server, AWSfornisce un'opzione di file server gestito, Amazon FSx.
Version 1.0170
AWS Directory Service Guida di amministrazioneSpazio di storage disponibile insufficiente
Per rimuovere i file non necessari è possibile accedere alla condivisione SYSVOL tramite il suo percorsoUNC (Universal naming Convention). Ad esempio, se il nome di dominio completo (FQDN) del dominioè example.com, il percorso UNC per SYSVOL è "\\example.local\SYSVOL\example.local\". Dopo averindividuato e rimosso gli oggetti che non sono essenziali per l'elaborazione della directory policy digruppo, è necessario tornare a uno stato attivo entro 30 minuti. Se dopo 30 minuti la directory non è attiva,contattare AWS Support.
Archiviare solo i file delle policy di gruppo essenziali nella condivisione SYSVOL garantirà la noncompromissione della directory a causa dell'aumento delle dimensioni di SYSVOL.
Il database di Active Directory ha il volume pienoUna causa comune di questa compromissione è dovuta al riempimento del volume del database di ActiveDirectory. Per verificare se questo è il caso, è possibile esaminare il numero totale di oggetti nella directory.Abbiamo messo in grassetto la parola Total (Totale) per garantire che gli oggetti Deleted (Eliminati)vengano ancora calcolati nel numero totale di oggetti in una directory.
Per impostazione predefinita, AWS Managed Microsoft AD conserva gli elementi nel Cestino di AD per180 giorni prima che diventino oggetti riciclati. Una volta che un oggetto diventa riciclato (tombstoned),viene mantenuto per altri 180 giorni prima di essere finalmente eliminato dalla directory. Quindi, quandoun oggetto viene eliminato, esiste nel database delle directory da 360 giorni. Questo è il motivo per cui ènecessario valutare il numero totale di oggetti.
Per ulteriori dettagli sul conteggio degli oggetti AWS Managed Microsoft AD supportati, consulta Prezzi diAWS Directory Service.
Per ottenere il numero totale di oggetti in una directory che include gli oggetti eliminati, è possibile utilizzareil seguente comando di PowerShell da un'istanza di Windows aggiunta al dominio. Per la procedura diconfigurazione di un'istanza di gestione, consulta Gestione di utenti e gruppi in AWS Managed MicrosoftAD (p. 88).
Get-ADObject -Filter * -IncludeDeletedObjects | Measure-Object -Property 'Count' | Select-Object -Property 'Count'
Di seguito è riportato un esempio di output dal comando precedente:
Count10000
Se il conteggio totale è superiore al conteggio degli oggetti supportati per le dimensioni della directoryelencate nella nota precedente, è stata superata la capacità della directory.
Di seguito sono riportate le possibilità di risoluzione di questo problema:
1. Pulizia ADa. Eliminare eventuali oggetti AD indesiderati.b. Rimuovere tutti gli oggetti indesiderati dal Cestino AD. Tenere presente che questo è distruttivo e
l'unico modo per recuperare quegli oggetti eliminati sarà eseguire un ripristino della directory.c. Il comando seguente rimuoverà tutti gli oggetti eliminati dal Cestino di AD.
Important
Utilizzare questo comando con estrema cautela in quanto si tratta di un comando distruttivoe l'unico modo per recuperare gli oggetti eliminati sarà quello di eseguire un ripristino delladirectory.
$DomainInfo = Get-ADDomain$BaseDn = $DomainInfo.DistinguishedName
Version 1.0171
AWS Directory Service Guida di amministrazioneErrori di estensione dello schema
$NetBios = $DomainInfo.NetBIOSName$ObjectsToRemove = Get-ADObject -Filter { isDeleted -eq $true } -IncludeDeletedObjects -SearchBase "CN=Deleted Objects,$BaseDn" -Properties 'LastKnownParent','DistinguishedName','msDS-LastKnownRDN' | Where-Object { ($_.LastKnownParent -Like "*OU=$NetBios,$BaseDn") -or ($_.LastKnownParent -Like '*\0ADEL:*') }ForEach ($ObjectToRemove in $ObjectsToRemove) { Remove-ADObject -Identity $ObjectToRemove.DistinguishedName -IncludeDeletedObjects }
d. Apri un caso con AWS Support per richiedere che AWS Directory Service recuperi lo spazio libero.2. Se il tipo di directory è Standard Edition, apri un caso con AWS Support che richiede l'aggiornamento
della directory a Enterprise Edition. Ciò aumenterà anche il costo della directory. Per informazioni suiprezzi, consulta Prezzi di AWS Directory Service.
In AWS Managed Microsoft AD, i membri del gruppo AWS Delegated Deleted Object LifetimeAdministrators (Amministratori durata oggetto eliminato delegato AWS) hanno la possibilità di modificarel'attributo msDS-DeletedObjectLifetime che imposta la quantità di tempo, espressa in giorni, in cui glioggetti eliminati vengono conservati nel Cestino di AD prima di diventare oggetti riciclati.
Note
Questo è un argomento avanzato. Se configurato in modo inappropriato, può causare la perditadi dati. Ti consigliamo vivamente di leggere Il cestino AD: Comprensione, implementazione, bestpractice e risoluzione dei problemi per comprendere meglio questi processi.
La possibilità di modificare il valore dell'attributo msDS-DeletedObjectLifetime in un numero inferiorepuò aiutare a garantire che il numero di oggetti non superi i livelli supportati. Il valore più basso validosu cui è possibile impostare questo attributo è 2 giorni. Una volta superato tale valore, non sarà piùpossibile recuperare l'oggetto eliminato utilizzando il Cestino AD. Richiederà il ripristino della directoryda un'istantanea per recuperare gli oggetti. Per ulteriori informazioni, consulta Snapshot o ripristinodella directory (p. 118). Ogni ripristino da uno snapshot può risultare in perdita di dati come sono in unmomento specifico.
Per modificare la durata dell'oggetto eliminato della directory eseguire il seguente comando:Note
Se si esegue il comando così com'è, verrà impostato il valore dell'attributo Durata oggettoeliminato su 30 giorni. Se vuoi renderlo più lungo o più corto sostituisci "30" con il numero che sipreferisce. Tuttavia, si consiglia di non scegliere un numero maggiore di 180.
$DeletedObjectLifetime = 30$DomainInfo = Get-ADDomain$BaseDn = $DomainInfo.DistinguishedNameSet-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,$BaseDn" -Partition "CN=Configuration,$BaseDn" -Replace:@{"msDS-DeletedObjectLifetime" = $DeletedObjectLifetime}
Errori di estensione dello schemaLe informazioni seguenti possono aiutarti a risolvere i problemi relativi ai messaggi di errore che potrebberoverificarsi durante l'estensione degli schemi della directory di AWS Managed Microsoft AD.
ReferralErrore
Aggiungere un errore nel formato a partire dalla riga 1: Riferimento L'errore lato server è: 0x202bUn riferimento è stato restituito dal server. L'errore server esteso è: 0000202B: Errore di riferimento:DSID-0310082F, dati 0, 1 access point \tref 1: ‘example.com’ Numero di oggetti modificati: 0.
Version 1.0172
AWS Directory Service Guida di amministrazioneErrori di estensione dello schema
Risoluzione dei problemi di :
Assicurati che tutti i campi del nome distinti abbiano il nome di dominio corretto. Nell'esempio soprariportato, DC=example,dc=com deve essere sostituito con DistinguishedName mostrato dalcmdlet Get-ADDomain.
Impossibile leggere il file di importazioneErrore
Impossibile leggere il file di importazione. Numero di oggetti modificati: 0.Risoluzione dei problemi di :
Il file importato LDIF è vuoto (0 byte). Assicurati che sia stato caricato il file corretto.
Errore di sintassiErrore
Si è verificato un errore di sintassi nel file di input Failed on line 21. L'ultimo token inizia per "q".Numero di oggetti modificati: 0.
Risoluzione dei problemi di :
Il testo sulla riga 21 non è formattato correttamente. La prima lettera del testo non valido è A.Aggiornare la riga 21 con una sintassi LDIF valida. Per ulteriori informazioni su come formattare il fileLDIF, consulta Fase 1 Crea il tuo file LDIF (p. 112).
Esiste un attributo o un valoreErrore
Aggiungere un errore nel formato a partire dalla riga 1: Attributo o valore esistente L'errore lato serverè: 0x2083 Il valore specificato esiste già. L'errore server esteso è: 00002083: Err. att.: DSID-03151830,n. 1: \t0: 00002083: DSID-03151830, problema 1006 (ATT_OR_VALUE_EXISTS), dati 0, Att 20019(magyContain):len 4 Numero di oggetti modificati: 0.
Risoluzione dei problemi di :
La modifica dello schema è già stato applicata.
Nessun attributo di questo tipoErrore
Aggiungere un errore nel formato a partire dalla riga 1: Nessun attributo di questo tipo L'errore latoserver è: 0x2085 Il valore dell'attributo non può essere rimosso perché non è presente nell'oggetto.L'errore server esteso è: 00002085: Err. att.: DSID-03152367, n. 1: \t0: 00002085: DSID-03152367,problema 1001 (NO_ATTRIBUTE_OR_VAL), dati 0, Att 20019 (magyContain):len 4 Numero di oggettimodificati: 0.
Risoluzione dei problemi di :
Il file LDIF sta cercando di rimuovere un attributo da una classe, ma tale attributo non è attualmentecollegato alla classe. La modifica dello schema probabilmente è già stata applicata.
Version 1.0173
AWS Directory Service Guida di amministrazioneMotivo stato di creazione trust
Errore
Aggiungere un errore nel formato a partire dalla riga 41: Nessun attributo 0x57 di questo tipo Ilparametro non è corretto. L'errore server esteso è: 0x208d Oggetto directory non trovato. L'erroreserver esteso è: "00000057: ErrLadap: DSID-0C090D8A, commento: Errore nell'operazione diconversione attributo, dati 0, v2580" Numero di oggetti modificati: 0.
Risoluzione dei problemi di :
L'attributo elencato sulla riga 41 non è corretto. Controlla attentamente l'ortografia.
Nessun oggetto di questo tipoErrore
Aggiungere un errore nel formato a partire dalla riga 1: Nessun oggetto di questo tipo L'errorelato server è: 0x208d Oggetto directory non trovato. L'errore server esteso è: 0000208D: Err.nome: DSID-03100238, problema 2001 (NO_OBJECT), dati 0, migliore corrispondenza di:’CN=Schema,CN=Configurazione,DC=esempio,DC=com’ Numero di oggetti modificati: 0.
Risoluzione dei problemi di :
L'oggetto a cui si riferisce il nome distinto (DN) non esiste.
Motivo stato di creazione trustQuando la creazione di un trust non va a buon fine, il messaggio sullo stato contiene informazioniaggiuntive. Di seguito ti aiutiamo a capire cosa significano questi messaggi.
L'accesso viene negatoL'accesso è stato negato nel tentativo di creazione di un trust. È possibile che la password di trust siaerrata o che le impostazioni di sicurezza del dominio remoto non consentano la configurazione di un trust.Per risolvere questo problema, prova le seguenti soluzioni:
• Assicurati di utilizzare la stessa password di trust che hai utilizzato durante la creazione del trustcorrispondente sul dominio remoto.
• Verifica che le impostazioni di sicurezza del dominio consentano la creazione di trust.• Verifica che la policy di sicurezza locale sia impostata correttamente. Nello specifico, controlla LocalSecurity Policy > Local Policies > Security Options > Network access: NamedPipes that can be accessed anonymously e assicurati che contenga almeno le seguenti pipecon tre nomi:• netlogon• samr• lsarpc
Note
Per impostazione predefinita, Network access: Named Pipes that can be accessedanonymously non è impostato e verrà visualizzato Not Defined. Questo è normale, poiché leimpostazioni predefinite effettive del controller di dominio per Network access: Named Pipesthat can be accessed anonymously è netlogon, samr, lsarpc.
Version 1.0174
AWS Directory Service Guida di amministrazioneMotivo stato di creazione trust
Il nome di dominio specificato non esiste o non può esserecontattatoPer risolvere questo problema, assicurati che le impostazioni del gruppo di sicurezza del dominio e dellalista di controllo accessi (ACL) del VPC siano corrette; assicurati inoltre di aver inserito accuratamente leinformazioni di inoltro condizionale. Per ulteriori informazioni sui requisiti di sicurezza, consulta Quandocreare una relazione di trust (p. 92).
Se questa operazione non risolve il problema, è possibile che sia stato effettuato il caching delleinformazioni di un inoltro condizionale creato in precedenza, che impedisce la creazione di un nuovo trust.Attendi qualche minuto, quindi prova nuovamente a creare il trust e l'inoltro condizionale.
Strumento generale per la verifica dei trustLo strumento di verifica DirectoryServicePortTest può essere utile quando è necessaria una risoluzionedei problemi di creazione di un trust tra AWS Managed Microsoft AD e Active Directory in locale. Per unesempio su come questo strumento può essere utilizzato, consulta Test di un AD Connector (p. 181).
Version 1.0175
AWS Directory Service Guida di amministrazioneNozioni di base
Active Directory ConnectorAD Connector è un gateway di directory con il quale puoi reindirizzare le richieste di directory su MicrosoftActive Directory locale senza memorizzare alcuna informazione nel cloud. AD Connector è disponibile indue dimensioni, piccolo (Small) o grande (Large). È possibile suddividere carichi di applicazioni su più ADConnector per una ricalibrazione in base alle esigenze. Non sono previsti limiti di connessione o dell'utente.
Una volta configurato, AD Connector offre i seguenti benefici:
• Gli utenti finali e gli amministratori IT possono utilizzare le credenziali aziendali esistenti per l'accesso alleapplicazioni AWS, come Amazon WorkSpaces, Amazon WorkDocs o Amazon WorkMail.
• Puoi gestire le risorse AWS, come le istanze Amazon EC2 o i bucket Amazon S3 tramite l'accesso a IAMbasato su Console di gestione AWS.
• Puoi applicare in modo coerente le policy di sicurezza esistenti (come la scadenza della password,cronologia della password e il blocco dell'account) sia che siano gli utenti o gli amministratori IT adaccedere alle risorse dell'infrastruttura locale o al cloud AWS.
• Puoi utilizzare AD Connector per abilitare l'autenticazione a più fattori integrandolo con l'infrastrutturaMFA basata su RADIUS esistente per fornire un livello di sicurezza aggiuntivo quando gli utentiaccedono alle applicazioni AWS.
Continua a leggere gli argomenti contenuti in questa sezione per ulteriori informazioni su come stabilire unaconnessione a una directory e sfruttare al massimo le caratteristiche di AD Connector.
Argomenti• Nozioni di base su AD Connector (p. 176)• Come amministrare AD Connector (p. 188)• Best practice per AD Connector (p. 205)• Limiti per AD Connector (p. 208)• Policy di compatibilità delle applicazioni per AD Connector (p. 209)• Risoluzione dei problemi del AD Connector (p. 209)
Nozioni di base su AD ConnectorCon AD Connector è possibile connettere AWS Directory Service alla propria directory aziendale esistente.Quando si è connessi a una directory esistente, tutti i dati della directory rimangono sui controller deidomini. AWS Directory Service non replica alcun dato della directory.
Argomenti• Prerequisiti di AD Connector (p. 176)• Creazione di un AD Connector (p. 186)• Cosa viene creato (p. 187)
Prerequisiti di AD ConnectorPer connettere la directory esistente ad AD Connector, è necessario quanto segue:
Version 1.0176
AWS Directory Service Guida di amministrazionePrerequisiti di AD Connector
VPC
Impostare un VPC con quanto segue:• Almeno due sottoreti. Ciascuna sottorete deve trovarsi in una diversa zona di disponibilità.• Il VPC deve essere connesso alla rete esistente tramite una connessione VPN (rete privata virtuale)
o AWS Direct Connect.• Il VPC deve disporre di una tenancy hardware predefinita.
AWS Directory Service uses a two VPC structure. The EC2 instances which make up your directoryrun outside of your AWS account, and are managed by AWS. They have two network adapters, ETH0and ETH1. ETH0 is the management adapter, and exists outside of your account. ETH1 is createdwithin your account.
The management IP range of your directory's ETH0 network is chosen programmatically to ensure itdoes not conflict with the VPC where your directory is deployed. This IP range can be in either of thefollowing pairs (as Directories run in two subnets):• 10.0.1.0/24 & 10.0.2.0/24• 192.168.1.0/24 & 192.168.2.0/24
We avoid conflicts by checking the first octet of the ETH1 CIDR. If it starts with a 10, then we choose a192.168.0.0/16 VPC with 192.168.1.0/24 and 192.168.2.0/24 subnets. If the first octet is anything elseother than a 10 we choose a 10.0.0.0/16 VPC with 10.0.1.0/24 and 10.0.2.0/24 subnets.
The selection algorithm does not include routes on your VPC. It is therefore possible to have an IProuting conflict result from this scenario.
Per ulteriori informazioni, consulta gli argomenti seguenti nella Guida per l'utente di Amazon VPC:• Cos'è Amazon VPC?• Le sottoreti nel proprio VPC• Aggiunta di un gateway privato virtuale hardware al proprio VPC
Per ulteriori informazioni su AWS Direct Connect, consulta la Guida per l'utente di AWS DirectConnect.
Active Directory esistente
È necessario effettuare una connessione a una rete esistente con un dominio Active Directory.
Note
AD Connector non supporta l'attendibilità con Single Label Domains.
Il livello di funzionalità del dominio deve essere Windows Server 2003 o superiore. AD Connectorsupporta anche la connessione a un dominio ospitato su un'istanza Amazon EC2.
Note
AD Connector non supporta i controller del dominio di sola lettura (RODC) se utilizzato incombinazione con la funzionalità di aggiunta al dominio Amazon EC2.
Account del servizio
È necessario disporre delle credenziali di un account del servizio nella directory esistente a cui sonostati assegnati i seguenti privilegi:• Leggi utenti e gruppi - Obbligatorio• Unire i computer al dominio - Richiesto solo quando si utilizza l'aggiunta a un dominio senza
interruzioni e Amazon WorkSpaces
Version 1.0177
AWS Directory Service Guida di amministrazionePrerequisiti di AD Connector
• Crea oggetti computer - Richiesto solo quando si usa Seamless Domain Join e AmazonWorkSpaces
Per ulteriori informazioni, consulta Delegare privilegi all'account del servizio (p. 179).Autorizzazioni degli utenti
Tutti gli utenti di Active Directory devono avere le autorizzazioni necessarie per leggere i propriattributi, in particolare, quelli elencati di seguito:• GivenName• SurName• Mail• SamAccountName• UserPrincipalName• UserAccountControl• MemberOf
Per impostazione predefinita, gli utenti di Active Directory dispongono dell’autorizzazione in lettura perquesti attributi. Queste autorizzazioni potrebbero essere modificate nel tempo dagli amministratori,quindi è opportuno verificare che gli utenti le abbiano prima di configurare AD Connector per la primavolta.
Indirizzi IP.
Ottenere gli indirizzi IP di due server DNS o controller del dominio nella directory esistente.
AD Connector ottiene i record SRV _ldap._tcp.<DnsDomainName> e_kerberos._tcp.<DnsDomainName> da questi server durante la connessione alla directory, quindiquesti server devono contenere questi record SRV. AD Connector cerca di trovare un controller deldominio comune che fornirà entrambi i servizi LDAP e Kerberos, quindi questi record SRV devonocomprendere almeno un controller del dominio comune. Per ulteriori informazioni sui record SRV,consultare Record della risorsa SRV in Microsoft TechNet.
Porte per sottoreti
Per AD Connector, per reindirizzare le richieste di directory ai controller di dominio di Active Directory,il firewall per la rete esistente deve avere le seguenti porte aperte ai CIDR per entrambe le sottoreti nelAmazon VPC.• TCP/UDP 53 - DNS• TCP/UDP 88 - Kerberos authentication• TCP/UDP 389 - LDAP
Queste sono le porte minime necessarie prima cheAD Connector possa connettersi alla directory. Lapropria configurazione specifica potrebbe richiedere l'apertura di porte aggiuntive.
Note
Se i server DNS o quelli del controller di dominio Active Directory esistente sono all'internodel VPC, i gruppi di sicurezza associati a tali server devono avere le seguenti porte aperte aiCIDR per entrambe le sottoreti del VPC.
Per ulteriori requisiti di porta, consulta Requisiti di porta AD e AD DS in Microsoft TechNet.Preautenticazione Kerberos
I tuoi account utente devono avere la preautenticazione Kerberos abilitata. Per istruzioni dettagliatesu come abilitare questa impostazione, vedi Assicurati che la preautenticazione di Kerberos sia
Version 1.0178
AWS Directory Service Guida di amministrazionePrerequisiti di AD Connector
abilitata (p. 102). Per informazioni generali su questa impostazione, consulta la sezione Pre-autenticazione su Microsoft TechNet.
Tipi di crittografia
AD Connector supporta i seguenti tipi di crittografia durante l'autenticazione via Kerberos ai controllerdei domini Active Directory:• AES-256-HMAC• AES-128-HMAC• RC4-HMAC
Prerequisiti di AWS Single Sign-OnSe si prevede di utilizzare AWS Single Sign-On (AWS SSO) con AD Connector, è necessario assicurarsiche le seguenti condizioni siano vere:
• Il tuo AD Connector è impostato nel tuo AWS organizzazione management account.• L'istanza di AWS SSO si trova nella stessa regione in cui AD Connector è impostato.
Per ulteriori informazioni, consulta la pagina relativa ai prerequisiti di AWS SSO nella Guida per l'utente diAWS Single Sign-On.
Prerequisiti dell'autenticazione a più fattoriPer supportare l'autenticazione a più fattori con la propria directory AD Connector, è necessario quantosegue:
• Un server Remote Authentication Dial-In User Service (RADIUS) nella rete esistente che disponga di dueendpoint client. Gli endpoint client RADIUS hanno i seguenti requisiti:• Per creare gli endpoint, sono necessari gli indirizzi IP dei server AWS Directory Service. Questi indirizzi
IP possono essere ottenuti dal campo Directory IP Address (Indirizzo IP della directory) dei dettaglidella directory.
• Entrambi gli endpoint RADIUS devono utilizzare lo stesso codice segreto condiviso.• La rete esistente deve consentire il traffico in entrata tramite la porta di default del server RADIUS (1812)
da parte dei server di AWS Directory Service.• I nomi utente tra il server RADIUS e la directory esistente devono essere identici.
Per ulteriori informazioni sull'uso di AD Connector con MFA, consulta Abilitare l'autenticazione a più fattoriper AD Connector (p. 189).
Delegare privilegi all'account del servizioPer connettersi alla directory esistente, è necessario disporre delle credenziali per un account del servizioAD Connector nella directory esistente con determinati privilegi. Anche se i membri del gruppo DomainAdmins (Amministratori del dominio) dispongono di privilegi sufficienti per connettersi alla directory,come best practice è consigliabile utilizzare un account del servizio che disponga solo dei privilegi miniminecessari per connettersi alla directory. La procedura riportata di seguito illustra come creare un nuovogruppo denominato Connectors, delegare i privilegi necessari per connettere AWS Directory Service aquesto gruppo, quindi aggiungere un nuovo account di servizio.
Questa procedura deve essere eseguita su un computer che sia collegato alla directory e che abbiainstallato lo snap-in di MMC Utenti e computer di Active Directory. Inoltre, è necessario aver eseguitol'accesso come amministratore del dominio.
Version 1.0179
AWS Directory Service Guida di amministrazionePrerequisiti di AD Connector
Delegare privilegi all'account del servizio
1. Apri Active Directory User and Computers (Utenti e computer di Active Directory) e seleziona la radicedel dominio nell'albero di spostamento.
2. Nell'elenco nel riquadro a sinistra, fare clic con il pulsante destro del mouse su Utenti, selezionareNuovo, quindi selezionare Gruppo.
3. Nella finestra di dialogo Nuovo oggetto Gruppo, inserire quanto segue e fare clic su OK.
Campo Valore/Selezione
Group name (Nome gruppo) Connectors
Ambito del gruppo Globale
Tipo gruppo Sicurezza
4. Nell'albero di spostamento Utenti e computer di Active Directory, selezionare la radice del dominio.Nel menu, selezionare Azione e quindi Delega controllo. Se il vostro AD Connector è collegato a AWSManaged Microsoft AD, non avrai accesso per delegare il controllo a livello root del dominio. In questocaso, per delegare il controllo, selezionare l'unità organizzativa nella directory in cui verranno creati glioggetti del computer.
5. Nella pagina Delega guidata del controllo, fare clic su Avanti, quindi fare clic su Aggiungi.6. Nella finestra di dialogo Seleziona utenti, computer o gruppi, immettere Connectors e fare clic su OK.
Se viene trovato più di un oggetto, selezionare il gruppo Connectors creato sopra. Fai clic su Next(Successivo).
7. Nella pagina Operazioni da delegare, selezionare Crea un'operazione personalizzata per eseguire ladelega, quindi scegliere Avanti.
8. Selezionare Solo i seguenti oggetti contenuti nella cartella, quindi selezionare Oggetti computer eOggetti utente.
9. Selezionare Crea gli oggetti selezionati in questa cartella e Elimina gli oggetti selezionati in questacartella. Quindi, seleziona Next (Successivo).
10. Seleziona Read (Lettura), quindi scegli Next (Avanti).
Note
Se si utilizza Seamless Domain Join o Amazon WorkSpaces, è inoltre necessario abilitare leautorizzazioni di scrittura in modo che AWS Managed Microsoft AD possa creare gli oggetticomputer.
Version 1.0180
AWS Directory Service Guida di amministrazionePrerequisiti di AD Connector
11. Verificare le informazioni sulla pagina Completamento di Delega guidata del controllo e fare clic suFine.
12. Creare un account utente con una password complessa e aggiungerlo al gruppo Connectors. Questoutente sarà noto come account del servizio AD Connector e, dato che è ora un membro del gruppoConnectors ha privilegi sufficienti per connettere AWS Directory Service alla directory.
Test di un AD ConnectorPer consentire a AD Connector di connettersi alla directory esistente, il firewall della rete esistente deveavere alcune porte specifiche aperte per i CIDR di entrambe le sottoreti presenti nel VPC. Per verificare setali requisiti sono soddisfatti, eseguire i passaggi che seguono:
Per verificare la connessione
1. Lanciare un'istanza di Windows nel VPC e collegarla tramite RDP. L'istanza deve essere un membrodel dominio esistente. I passaggi rimanenti vengono eseguiti su questa istanza VPC.
2. Scaricare e decomprimere l'applicazione per i test DirectoryServicePortTest. Il codice sorgente e ifile di progetto Visual Studio sono inclusi, per cui è possibile modificare l'applicazione per i test, senecessario.
Note
Questo script non è supportato su Windows Server 2003 o sistemi operativi precedenti.3. Da un prompt dei comandi di Windows, eseguire l'applicazione per i test DirectoryServicePortTest con
le seguenti opzioni:
Note
L'applicazione di test DirectoryServicePortTest può essere utilizzata solo quando i livelli difunzionalità del dominio e della foresta sono impostati su Windows Server 2012 R2 e versioniprecedenti.
DirectoryServicePortTest.exe -d <domain_name> -ip <server_IP_address> -tcp "53,88,389" -udp "53,88,389"
<domain_name>
Il nome di dominio completo. Questo viene utilizzato per testare la foresta e i livelli funzionali deldominio. Se si esclude il nome del dominio, non sarà effettuato alcun test sui livelli funzionali.
Version 1.0181
AWS Directory Service Guida di amministrazionePrerequisiti di AD Connector
<server_IP_address>
L'indirizzo IP di un controller di dominio nel dominio esistente. Le porte saranno testate usandoquesto indirizzo IP. Se si esclude l'indirizzo IP, non sarà effettuato alcun test sulle porte.
Questa applicazione di test determina se le porte necessarie sono aperte dal VPC al dominio e, inoltre,verifica i livelli funzionali di dominio e di foresta minimi.
L'output sarà simile al seguente:
Testing forest functional level.Forest Functional Level = Windows2008R2Forest : PASSED
Testing domain functional level.Domain Functional Level = Windows2008R2Domain : PASSED
Testing required TCP ports to <server_IP_address>:Checking TCP port 53: PASSEDChecking TCP port 88: PASSEDChecking TCP port 389: PASSED
Testing required UDP ports to <server_IP_address>:Checking UDP port 53: PASSEDChecking UDP port 88: PASSEDChecking UDP port 389: PASSED
Il seguente è il codice di origine per il modulo di risposta per l'applicazione DirectoryServicePortTest.
/* Copyright 2010-2019 Amazon.com, Inc. or its affiliates. All Rights Reserved.
This file is licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance with the License. A copy of the License is located at
http://aws.amazon.com/apache2.0/
This file is distributed on an "AS IS" BASIS, WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. See the License for the specific language governing permissions and limitations under the License.*/using System;using System.Collections.Generic;using System.IO;using System.Linq;using System.Net;using System.Net.Sockets;using System.Text;using System.Threading.Tasks;using System.DirectoryServices.ActiveDirectory;using System.Threading;using System.DirectoryServices.AccountManagement;using System.DirectoryServices;using System.Security.Authentication;using System.Security.AccessControl;using System.Security.Principal;
namespace DirectoryServicePortTest{ class Program {
Version 1.0182
AWS Directory Service Guida di amministrazionePrerequisiti di AD Connector
private static List<int> _tcpPorts; private static List<int> _udpPorts;
private static string _domain = ""; private static IPAddress _ipAddr = null;
static void Main(string[] args) { if (ParseArgs(args)) { try { if (_domain.Length > 0) { try { TestForestFunctionalLevel();
TestDomainFunctionalLevel(); } catch (ActiveDirectoryObjectNotFoundException) { Console.WriteLine("The domain {0} could not be found.\n", _domain); } }
if (null != _ipAddr) { if (_tcpPorts.Count > 0) { TestTcpPorts(_tcpPorts); }
if (_udpPorts.Count > 0) { TestUdpPorts(_udpPorts); } } } catch (AuthenticationException ex) { Console.WriteLine(ex.Message); } } else { PrintUsage(); }
Console.Write("Press <enter> to continue."); Console.ReadLine(); }
static void PrintUsage() { string currentApp = Path.GetFileName(System.Reflection.Assembly.GetExecutingAssembly().Location); Console.WriteLine("Usage: {0} \n-d <domain> \n-ip \"<server IP address>\" \n[-tcp \"<tcp_port1>,<tcp_port2>,etc\"] \n[-udp \"<udp_port1>,<udp_port2>,etc\"]", currentApp); }
static bool ParseArgs(string[] args) { bool fReturn = false;
Version 1.0183
AWS Directory Service Guida di amministrazionePrerequisiti di AD Connector
string ipAddress = "";
try { _tcpPorts = new List<int>(); _udpPorts = new List<int>();
for (int i = 0; i < args.Length; i++) { string arg = args[i];
if ("-tcp" == arg | "/tcp" == arg) { i++; string portList = args[i]; _tcpPorts = ParsePortList(portList); }
if ("-udp" == arg | "/udp" == arg) { i++; string portList = args[i]; _udpPorts = ParsePortList(portList); }
if ("-d" == arg | "/d" == arg) { i++; _domain = args[i]; }
if ("-ip" == arg | "/ip" == arg) { i++; ipAddress = args[i]; } } } catch (ArgumentOutOfRangeException) { return false; }
if (_domain.Length > 0 || ipAddress.Length > 0) { fReturn = true; }
if (ipAddress.Length > 0) { _ipAddr = IPAddress.Parse(ipAddress); } return fReturn; }
static List<int> ParsePortList(string portList) { List<int> ports = new List<int>();
char[] separators = {',', ';', ':'};
string[] portStrings = portList.Split(separators); foreach (string portString in portStrings) { try
Version 1.0184
AWS Directory Service Guida di amministrazionePrerequisiti di AD Connector
{ ports.Add(Convert.ToInt32(portString)); } catch (FormatException) { } }
return ports; }
static void TestForestFunctionalLevel() { Console.WriteLine("Testing forest functional level.");
DirectoryContext dirContext = new DirectoryContext(DirectoryContextType.Forest, _domain, null, null); Forest forestContext = Forest.GetForest(dirContext);
Console.Write("Forest Functional Level = {0} : ", forestContext.ForestMode);
if (forestContext.ForestMode >= ForestMode.Windows2003Forest) { Console.WriteLine("PASSED"); } else { Console.WriteLine("FAILED"); }
Console.WriteLine(); }
static void TestDomainFunctionalLevel() { Console.WriteLine("Testing domain functional level.");
DirectoryContext dirContext = new DirectoryContext(DirectoryContextType.Domain, _domain, null, null); Domain domainObject = Domain.GetDomain(dirContext);
Console.Write("Domain Functional Level = {0} : ", domainObject.DomainMode);
if (domainObject.DomainMode >= DomainMode.Windows2003Domain) { Console.WriteLine("PASSED"); } else { Console.WriteLine("FAILED"); }
Console.WriteLine(); }
static List<int> TestTcpPorts(List<int> portList) { Console.WriteLine("Testing TCP ports to {0}:", _ipAddr.ToString());
List<int> failedPorts = new List<int>();
foreach (int port in portList) { Console.Write("Checking TCP port {0}: ", port);
TcpClient tcpClient = new TcpClient();
Version 1.0185
AWS Directory Service Guida di amministrazioneCreazione di un AD Connector
try { tcpClient.Connect(_ipAddr, port);
tcpClient.Close(); Console.WriteLine("PASSED"); } catch (SocketException) { failedPorts.Add(port); Console.WriteLine("FAILED"); } }
Console.WriteLine();
return failedPorts; }
static List<int> TestUdpPorts(List<int> portList) { Console.WriteLine("Testing UDP ports to {0}:", _ipAddr.ToString());
List<int> failedPorts = new List<int>();
foreach (int port in portList) { Console.Write("Checking UDP port {0}: ", port);
UdpClient udpClient = new UdpClient();
try { udpClient.Connect(_ipAddr, port); udpClient.Close(); Console.WriteLine("PASSED"); } catch (SocketException) { failedPorts.Add(port); Console.WriteLine("FAILED"); } }
Console.WriteLine();
return failedPorts; } }}
Creazione di un AD ConnectorPer connettere AD Connector alla propria directory esistente, procedere come segue. Prima di iniziare laprocedura, assicurati di soddisfare i prerequisiti illustrati in Prerequisiti di AD Connector (p. 176).
Per connettersi con AD Connector
1. Nel riquadro di navigazione di AWS Directory Service console, selezionare Directories (Directory),quindi scegliere Set up Directory (Configura la directory).
2. Nella pagina Select directory type (Seleziona il tipo di directory), scegliere AD Connector, quindiselezionare Next (Successivo).
Version 1.0186
AWS Directory Service Guida di amministrazioneCosa viene creato
3. Nella pagina Enter AD Connector information (Inserisci le informazioni su AD Connector), fornire leseguenti informazioni:
Dimensione della directory
Scegliere tra l'opzione di dimensione Small (Piccola) o Large (Grande). Per ulteriori informazionisulle dimensioni, consulta Active Directory Connector (p. 176).
Descrizione della directory
Descrizione opzionale della directory.4. Nella pagina Choose VPC and subnets (Scegli VPC e sottoreti) fornire le seguenti informazioni, quindi
selezionare Next (Successivo).
VPC
VPC per la directory.Sottoreti.
Scegli le sottoreti per i controller di dominio. Le due sottoreti devono trovarsi in diverse zone didisponibilità.
5. Nella pagina Connect to AD (Connettiti ad AD), fornire le seguenti informazioni:
Nome DNS directory
Il nome completo della directory esistente, ad esempio corp.example.com.Nome NetBIOS della directory
Il nome breve della directory esistente, ad esempio CORP.Indirizzi IP DNS
L'indirizzo IP di almeno un server DNS nella directory esistente. Questi server devono essereaccessibili da ciascuna sottorete specificata nella sezione successiva.
Nome utente dell'account del servizio
Il nome utente di un utente nella directory esistente. Per ulteriori informazioni su questo account,consultare Prerequisiti di AD Connector (p. 176).
Password dell'account del servizio
La password per l'account dell'utente esistente.Confirm password (Conferma password)
Immettere nuovamente la password per l'account dell'utente esistente.6. Nella pagina Review & create (Rivedi e crea), esaminare le informazioni relative alla directory ed
eseguire eventuali modifiche. Quando le informazioni sono corrette, scegli Create directory (Creadirectory). Per creare la directory sono necessari alcuni minuti. Una volta creato, il valore Statuscambia in Active (Attivo).
Cosa viene creatoQuando si crea un file AD Connector, AWS Directory Service creates and associates an elastic networkinterface (ENI) with each of your domain controllers. Each of these ENIs are essential for connectivitybetween your VPC and AWS Directory Service domain controllers and should never be deleted. Youcan identify all network interfaces reserved for use with AWS Directory Service by the description: "AWScreated network interface for directory directory-id". For more information, see Elastic Network Interfaces inthe Guida per l'utente di Amazon EC2 per le istanze Windows. automaticamenteVersion 1.0
187
AWS Directory Service Guida di amministrazioneProcedura
Come amministrare AD ConnectorIn questa sezione sono elencate tutte le procedure per gestire e mantenere un ambiente AD Connector.
Argomenti• Protezione della directory AD Connector (p. 188)• Monitoraggio della directory AD Connector (p. 194)• Collega un'istanza EC2 alla tua directory AD Connector (p. 197)• Gestione della directory AD Connector (p. 204)• Aggiornamento dell'indirizzo DNS per AD Connector (p. 205)
Protezione della directory AD ConnectorIn questa sezione vengono riportate alcune considerazioni relative alla protezione dell'ambiente ADConnector.
Argomenti• Aggiornamento delle credenziali dell'account del servizioAD Connector in AWS Directory
Service (p. 188)• Abilitare l'autenticazione a più fattori per AD Connector (p. 189)• Abilita LDAPS lato client utilizzando AD Connector (p. 190)
Aggiornamento delle credenziali dell'account del servizioADConnector in AWS Directory ServiceLe credenziali AD Connector fornite in AWS Directory Service rappresentano l'account del servizioutilizzato per accedere alla directory locale esistente. Puoi modificare le credenziali dell'account del servizioin AWS Directory Service eseguendo la procedura di seguito riportata.
Note
Se Single Sign-On è abilitato per la directory, AWS Directory Service deve trasferire il nomeprincipale del servizio (SPN) dall'account del servizio corrente al nuovo account del servizio.Se l'account del servizio non dispone dell'autorizzazione per eliminare l'SPN, oppure il nuovoaccount del servizio non dispone dell'autorizzazione per aggiungere un SPN, ti verranno richiestele credenziali di un account di directory che dispone dell'autorizzazione per eseguire entrambele operazioni. Queste credenziali vengono utilizzate solo per trasferire l'SPN e non vengonoarchiviate dal servizio.
Per aggiornare le credenziali dell'account del servizio AD Connector in AWS Directory Service
1. Nel riquadro di navigazione di AWS Directory Service console, selezionare Directories (Directory).2. Seleziona il collegamento dell'ID per la tua directory.3. Nella pagina Directory details (Dettagli della directory) selezionare la scheda Networking & security
(Reti e sicurezza).4. Nella sezione Credenziali account del servizio scegliere Aggiorna.5. Nella finestra di dialogo Aggiornamento delle credenziali dell'account del servizio, digita il nuovo nome
utente e la password, quindi scegli Aggiorna directory.
Version 1.0188
AWS Directory Service Guida di amministrazioneProtezione della directory
Abilitare l'autenticazione a più fattori per AD ConnectorÈ possibile abilitare l'autenticazione a più fattori per AD Connector quando si dispone di Active Directory inesecuzione in locale o in istanze di EC2. Per ulteriori informazioni sull'uso dell'autenticazione a più fattoricon AWS Directory Service, consulta Prerequisiti di AD Connector (p. 176).
Note
L'autenticazione a più fattori non è disponibile per Simple AD. Tuttavia, MFA può essere abilitatoper la directory AWS Managed Microsoft AD. Per ulteriori informazioni, consulta Abilitarel'autenticazione a più fattori per AWS Managed Microsoft AD (p. 32).
Per abilitare l'autenticazione a più fattori per AD Connector
1. Nel riquadro di navigazione di AWS Directory Service console, selezionare Directories (Directory).2. Seleziona il link dell'ID directory per la tua directory AD Connector.3. Nella pagina Directory details (Dettagli della directory), seleziona la scheda Networking & security (Reti
e sicurezza).4. Nella sezione Multi-factor authentication (Autenticazione a più fattori) selezionare Actions (Operazioni),
quindi Enable (Abilita).5. Fornire i seguenti valori nella pagina Enable multi-factor authentication (MFA) (Abilita l'autenticazione a
più fattori (MFA)):
Display label (Visualizza etichetta)
Indicare un nome per l'etichetta.RADIUS server DNS name or IP addresses (Indirizzi IP o nome DNS del server RADIUS)
Gli indirizzi IP degli endpoint del server RADIUS o l'indirizzo IP del sistema di bilanciamento delcarico del server RADIUS. Puoi inserire più indirizzi IP separandoli con una virgola, ad esempio192.0.0.0,192.0.0.12.
Note
MFA RADIUS è applicabile solo per autenticare l'accesso alla Console di gestione AWSo ad applicazioni e servizi Amazon Enterprise come Amazon WorkSpaces, AmazonQuickSight o Amazon Chime. Non fornisce MFA per carichi di lavoro Windows inesecuzione su istanze EC2 o per l’accesso a un’istanza EC2. AWS Directory Service nonsupporta l’autenticazione Challenge/Response RADIUS.Quando inseriscono nome utente e password, gli utenti devono disporre del propriocodice MFA. In alternativa, è necessario utilizzare una soluzione che esegual'autenticazione MFA fuori banda, ad esempio la verifica tramite testo SMS per l'utente.Nelle soluzioni MFA fuori banda, accertarsi di impostare il valore di timeout RADIUS inmaniera appropriata per la soluzione. Durante l’utilizzo di una soluzione MFA fuori banda,la pagina di accesso richiederà all’utente un codice MFA. In questo caso, la best practiceper gli utenti è inserire la loro password nel campo password e nel campo MFA.
Porta (Porta)
La porta utilizzata dal server RADIUS per le comunicazioni. La rete locale deve consentire iltraffico in entrata tramite la porta predefinita del server RADIUS (UDP:1812) da parte dei server diAWS Directory Service.
Shared secret code (Codice segreto condiviso)
Il codice segreto condiviso specificato quando sono stati creati gli endpoint RADIUS.Confirm shared secret code (Conferma codice segreto condiviso)
Conferma il codice segreto condiviso per gli endpoint RADIUS.
Version 1.0189
AWS Directory Service Guida di amministrazioneProtezione della directory
Protocollo
Seleziona il protocollo specificato quando sono stati creati gli endpoint RADIUS.Server timeout (in seconds) (Timeout del server (in secondi))
Il periodo di tempo, in secondi, per cui il server RADIUS attende una risposta. Il valore deveessere compreso tra 1 e 50.
Max RADIUS request retries (Numero massimo di tentativi di richieste RADIUS)
Il numero di volte per cui viene tentata la comunicazione con il server RADIUS. Il valore deveessere compreso tra 0 e 10.
L'autenticazione a più fattori è disponibile se RADIUS Status (Stato RADIUS) viene modificato inEnabled (Abilitato).
6. Scegli Enable (Abilita).
Abilita LDAPS lato client utilizzando AD ConnectorIl supporto LDAPS lato client in AD Connector crittografa le comunicazioni tra Microsoft Active Directory(AD) e le applicazioni AWS. Esempi di tali applicazioni includono Amazon WorkSpaces, AWS SSO,Amazon QuickSight e Amazon Chime. Questa crittografia consente di proteggere meglio i dati di identitàdell'organizzazione e soddisfare i requisiti di sicurezza.
Prerequisites
Prima di abilitare LDAPS lato client, è necessario soddisfare i seguenti requisiti.
Argomenti• Distribuire certificati server in Active Directory (p. 190)• Requisiti del certificato CA (p. 190)• Requisiti di rete (p. 191)
Distribuire certificati server in Active Directory
Per abilitare LDAPS lato client, è necessario ottenere e installare i certificati server per ogni controllerdi dominio in Active Directory. Questi certificati verranno utilizzati dal servizio LDAP per ascoltare eaccettare automaticamente connessioni SSL dai client LDAP. È possibile utilizzare certificati SSL emessida una distribuzione interna di Active Directory Certificate Services (ADCS) o acquistati da un’emittentecommerciale. Per ulteriori informazioni sui requisiti dei certificati server Active Directory, vedere il certificatoLDAP su SSL (LDAPS) sul sito Web Microsoft.
Requisiti del certificato CA
Un certificato di autorità di certificazione (CA), che rappresenta l'emittente dei certificati server, ènecessario per l'operazione LDAPS lato client. I certificati CA sono abbinati ai certificati server presentatidai controller di dominio Active Directory per crittografare le comunicazioni LDAP. Tenere presenti iseguenti requisiti del certificato CA:
• Per registrare un certificato, sono necessari più di 90 giorni dalla scadenza.• I certificati devono essere in formato PEM (Privacy-Enhanced Mail). Se si esportano certificati CA da
Active Directory, scegliere il formato di file di esportazione con codifica Base64 X.509 (.CER).• È possibile archiviare un massimo di cinque (5) certificati CA per la directory AD Connector.• I certificati che utilizzano l'algoritmo di firma RSASSA-PSS non sono supportati.
Version 1.0190
AWS Directory Service Guida di amministrazioneProtezione della directory
Requisiti di rete
L’applicazione AWS del traffico LDAP verrà eseguita esclusivamente sulla porta TCP 636, senza alcunfallback alla porta LDAP 389. Tuttavia, le comunicazioni LDAP di Windows che supportano replica, trust ealtro ancora continueranno a utilizzare la porta LDAP 389 con protezione nativa di Windows. Configurarei gruppi di AWS sicurezza e i firewall di rete per consentire le comunicazioni TCP sulla porta 636 in ADConnector (in uscita) e Active Directory autogestita (in ingresso).
Abilita LDAPS lato client
Per abilitare LDAPS lato client, è possibile importare il certificato di autorità di certificazione (CA) e quindiabilitare LDAPS nella directory. AD Connector. All'attivazione, tutto il traffico LDAP tra applicazioni AWS el'AD gestita dal cliente verranno trasmessi con crittografia del canale Secure Sockets Layer (SSL).
Sono disponibili due metodi diversi per abilitare LDAPS lato client per la directory. È possibile utilizzare ilmetodo Console di gestione AWS o il metodo CLI AWS.
Argomenti• Fase 1 Registra certificato in AWS Directory Service (p. 191)• Fase 2. Controlla stato registrazione (p. 191)• Fase 3 Abilita LDAPS lato client (p. 192)• Fase 4. Controlla stato LDAPS (p. 192)
Fase 1 Registra certificato in AWS Directory Service
Utilizza uno dei seguenti metodi per registrare un certificato in AWS Directory Service.
Metodo 1: Per registrare il certificato in AWS Directory Service (Console di gestione AWS)
1. Nel riquadro di navigazione di AWS Directory Service console, selezionare Directories (Directory).2. Seleziona il collegamento dell'ID per la tua directory.3. Nella pagina Directory details (Dettagli della directory) selezionare la scheda Networking & security
(Reti e sicurezza).4. Nella sezione Client-side LDAPS (LDAPS lato client) selezionare il menu Actions (Operazioni) e quindi
selezionare Register certificate (Registra certificato).5. Nella finestra di dialogo Register a CA certificate (Registra un certificato CA) selezionare Browse
(Sfoglia), quindi selezionare il certificato e scegliere Open (Apri).6. Scegliere Register certificate (Registra certificato).
Metodo 2: Per registrare il certificato in AWS Directory Service (AWS CLI)
• Eseguire il comando riportato qui di seguito: Per i dati del certificato, scegliere il percorso del file delcertificato CA. Nella risposta verrà fornito un ID certificato.
aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
Fase 2. Controlla stato registrazione
Per visualizzare lo stato di una registrazione di certificati o di un elenco di certificati registrati, utilizzare unodei seguenti metodi.
Version 1.0191
AWS Directory Service Guida di amministrazioneProtezione della directory
Metodo 1: Per controllare lo stato di registrazione del certificato in AWS Directory Service (Consoledi gestione AWS)
1. Andare alla sezione Client-side LDAPS (LDAPS lato client) nella pagina dei Directory details (Dettaglidella directory).
2. Esaminare lo stato di registrazione del certificato corrente visualizzato nella colonna Registration status(Stato registrazione). Quando il valore dello stato di registrazione cambia in Registered (Registrato), ilcertificato è stato registrato.
Metodo 2: Per controllare lo stato di registrazione del certificato in AWS Directory Service (AWSCLI)
• Eseguire il comando riportato qui di seguito: Se il valore dello stato restituisce Registered, ilcertificato è stato registrato.
aws ds list-certificates --directory-id your_directory_id
Fase 3 Abilita LDAPS lato client
Utilizza uno dei seguenti metodi per abilitare LDAPS lato client in AWS Directory Service.Note
Devi aver registrato almeno un certificato prima di poter abilitare LDAPS lato client.
Metodo 1: Per abilitare LDAPS lato client in AWS Directory Service (Console di gestione AWS)
1. Andare alla sezione Client-side LDAPS (LDAPS lato client) nella pagina dei Directory details (Dettaglidella directory).
2. Scegli Enable (Abilita). Se questa opzione non è disponibile, verificare che un certificato valido siastato registrato e riprovare.
3. Nella finestra di dialogo Enable client-side LDAPS (Abilita LDAPS lato client) scegliere Enable (Abilita).
Metodo 2: Per abilitare LDAPS lato client in AWS Directory Service (AWS CLI)
• Eseguire il comando riportato qui di seguito:
aws ds enable-ldaps --directory-id your_directory_id --type Client
Fase 4. Controlla stato LDAPS
Utilizza uno dei seguenti metodi per verificare lo stato LDAPS in AWS Directory Service.
Metodo 1: Per controllare lo stato LDAPS in AWS Directory Service (Console di gestione AWS)
1. Andare alla sezione Client-side LDAPS (LDAPS lato client) nella pagina dei Directory details (Dettaglidella directory).
2. Se il valore dello stato visualizzato è Enabled (Abilitato), LDAPS è stato configurato.
Metodo 2: Per controllare lo stato LDAPS in AWS Directory Service (AWS CLI)
• Eseguire il comando riportato qui di seguito: Se il valore di stato restituisce Enabled, LDAPS è statoconfigurato.
Version 1.0192
AWS Directory Service Guida di amministrazioneProtezione della directory
aws ds describe-ldaps-settings –directory-id your_directory_id
Gestire LDAPS lato client
Utilizzare questi comandi per gestire la configurazione LDAPS.
Sono disponibili due metodi diversi per gestire le impostazioni LDAPS lato client. È possibile utilizzare ilmetodo Console di gestione AWS o il metodo CLI AWS.
Visualizzare i dettagli del certificato
Utilizza uno dei seguenti metodi per vedere quando scade un certificato.
Metodo 1: Per visualizzare i dettagli del certificato in AWS Directory Service (Console di gestioneAWS)
1. Nel riquadro di navigazione di AWS Directory Service console, selezionare Directories (Directory).2. Seleziona il collegamento dell'ID per la tua directory.3. Nella pagina Directory details (Dettagli della directory) selezionare la scheda Networking & security
(Reti e sicurezza).4. Nella sezione Client-side LDAPS (LDAPS lato client), le informazioni sul certificato verranno
visualizzate in CA certificates (Certificati CA).
Metodo 2: Per visualizzare i dettagli del certificato in AWS Directory Service (AWS CLI)
• Eseguire il comando riportato qui di seguito: Per l'ID del certificato, utilizzare l'identificatore restituito daregister-certificate o list-certificates.
aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
Annullare la registrazione di un certificato
Utilizza uno dei seguenti metodi per annullare la registrazione di un certificato.
Note
Se è registrato un solo certificato, è necessario disabilitare LDAPS prima di poter annullare laregistrazione del certificato.
Metodo 1: Per annullare la registrazione di un certificato in AWS Directory Service (Console digestione AWS)
1. Nel riquadro di navigazione di AWS Directory Service console, selezionare Directories (Directory).2. Seleziona il collegamento dell'ID per la tua directory.3. Nella pagina Directory details (Dettagli della directory) selezionare la scheda Networking & security
(Reti e sicurezza).4. Nella sezione Client-side LDAPS (LDAPS lato client) selezionare il menu Actions (Operazioni) e quindi
selezionare Deregister certificate (Annulla registrazione certificato).5. Nella finestra di dialogo Deregister a CA certificate (Annulla la registrazione di un certificato CA)
scegliere Deregister (Annulla registrazione).
Version 1.0193
AWS Directory Service Guida di amministrazioneMonitoraggio della directory
Metodo 2: Per annullare la registrazione di un certificato in AWS Directory Service (AWS CLI)
• Eseguire il comando riportato qui di seguito: Per l'ID del certificato, utilizzare l'identificatore restituito daregister-certificate o list-certificates.
aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
Disabilitare LDAPS lato client
Utilizza uno dei seguenti metodi per disabilitare LDAPS lato client.
Metodo 1: Per disabilitare LDAPS lato client in AWS Directory Service (Console di gestione AWS)
1. Nel riquadro di navigazione di AWS Directory Service console, selezionare Directories (Directory).2. Seleziona il collegamento dell'ID per la tua directory.3. Nella pagina Directory details (Dettagli della directory) selezionare la scheda Networking & security
(Reti e sicurezza).4. Nella sezione Client-side LDAPS (LDAPS lato client) scegliere Disable (Disabilita).5. Nella finestra di dialogo Disable client-side LDAPS (Disabilita LDAPS lato client) scegliere Disable
(Disabilita).
Metodo 2: Per disabilitare LDAPS lato client in AWS Directory Service (AWS CLI)
• Eseguire il comando riportato qui di seguito:
aws ds disable-ldaps --directory-id your_directory_id --type Client
Monitoraggio della directory AD ConnectorPuoi monitorare la directory AD Connector nei seguenti modi:
Argomenti• Comprendere lo stato della directory (p. 194)• Configurazione di notifiche dello stato di directory (p. 195)
Comprendere lo stato della directoryThe following are the various statuses for a directory.
Active
The directory is operating normally. No issues have been detected by the AWS Directory Service foryour directory.
Creating
The directory is currently being created. Directory creation typically takes between 20 to 45 minutes butmay vary depending on the system load.
Deleted
The directory has been deleted. All resources for the directory have been released. Once a directoryenters this state, it cannot be recovered.
Version 1.0194
AWS Directory Service Guida di amministrazioneMonitoraggio della directory
Deleting
The directory is currently being deleted. The directory will remain in this state until it has beencompletely deleted. Once a directory enters this state, the delete operation cannot be cancelled, andthe directory cannot be recovered.
Failed
The directory could not be created. Please delete this directory. If this problem persists, please contactthe AWS Support Center.
Impaired
The directory is running in a degraded state. One or more issues have been detected, and notall directory operations may be working at full operational capacity. There are many potentialreasons for the directory being in this state. These include normal operational maintenance activitysuch as patching or EC2 instance rotation, temporary hot spotting by an application on one ofyour domain controllers, or changes you made to your network that inadvertently disrupt directorycommunications. For more information, see either Risoluzione dei problemi del AWS ManagedMicrosoft AD (p. 167), Risoluzione dei problemi del AD Connector (p. 209), Risoluzione dei problemidel Simple AD (p. 264). For normal maintenance related issues, AWS resolves these issues within 40minutes. If after reviewing the troubleshooting topic, your directory is in an Impaired state longer than40 minutes, we recommend that you contact the AWS Support Center.
Important
Do not restore a snapshot while a directory is in an Impaired state. It is rare that snapshotrestore is necessary to resolve impairments. For more information, see Snapshot o ripristinodella directory (p. 118).
Inoperable
The directory is not functional. All directory endpoints have reported issues.Requested
A request to create your directory is currently pending.RestoreFailed
Restoring the directory from a snapshot failed. Please retry the restore operation. If this continues, try adifferent snapshot, or contact the AWS Support Center.
Restoring
The directory is currently being restored from an automatic or manual snapshot. Restoring from asnapshot typically takes several minutes, depending on the size of the directory data in the snapshot.
For more information, see Motivi dello stato della directory Simple AD (p. 265).
Configurazione di notifiche dello stato di directoryTramite Amazon Simple Notification Service (Amazon SNS), puoi ricevere messaggi e-mail o di testo(SMS) quando lo stato della directory cambia. Ricevi una notifica se la directory passa da uno stato Active(Attivo) a uno stato Impaired (Danneggiato) o Inoperable (Inutilizzabile). Puoi anche ricevere una notificaquando la directory torna a uno stato Active (Attivo).
Come funziona
Amazon SNS usa "argomenti" per raccogliere e distribuire i messaggi. Ogni argomento ha uno o piùsottoscrittori che ricevono i messaggi che sono stati pubblicati su quell'argomento. Con la proceduraseguente puoi aggiungere AWS Directory Service come publisher per un argomento Amazon SNS. Quando
Version 1.0195
AWS Directory Service Guida di amministrazioneMonitoraggio della directory
AWS Directory Service rileva un cambiamento nello stato della directory, pubblica un messaggio perquell'argomento, che viene poi inviato ai sottoscrittori dell'argomento.
Puoi associare più directory come editori a un singolo argomento. Puoi anche aggiungere messaggi di statodella directory agli argomenti che in precedenza hai creato in Amazon SNS. Hai un controllo dettagliato suchi può pubblicare ed effettuare la sottoscrizione a un argomento. Per informazioni complete su AmazonSNS, consulta Che cos'è Amazon Simple Notification Service?.
Per abilitare la messaggistica SNS per la directory
1. Accedere alla Console di gestione AWS e aprire la console AWS Directory Service all'indirizzo https://console.aws.amazon.com/directoryservicev2/.
2. Nella pagina Directories (Directory), scegli l'ID della directory.3. Selezionare la scheda Maintenance (Manutenzione).4. Nella sezione Directory monitoring (Monitoraggio della directory) selezionare Actions (Operazioni),
quindi Create notification (Crea notifica).5. Nella pagina Create notification (Crea notifica) selezionare Choose a notification type (Seleziona
un tipo di notifica), quindi Create a new notification (Crea nuova notifica). In alternativa, se disponigià di un argomento SNS, puoi scegliere Associate existing SNS topic (Associa ad argomento SNSesistente) per l'invio di messaggi di stato da questa directory a tale argomento.
Note
Se scegli Create a new notification (Crea nuova notifica), ma utilizzi lo stesso nomedi argomento di un argomento SNS già esistente, Amazon SNS non creerà un nuovoargomento, ma aggiungerà semplicemente le nuove informazioni sulla sottoscrizioneall'argomento esistente.Se scegli Associa ad argomento SNS esistente, potrai solo scegliere un argomento SNSpresente nella stessa regione della directory.
6. Scegli Recipient type (Tipo di destinatario) e inserisci le informazioni di contatto di Recipient(Destinatario). Se inserisci un numero di telefono per SMS, utilizza solo numeri. Non includere trattini,spazi o parentesi.
7. (Opzionale) Indicare un nome per l'argomento e il nome visualizzato SNS. Il nome visualizzato è unnome breve di massimo 10 caratteri incluso in tutti i messaggi SMS di questo argomento. Quandoutilizzi l'opzione SMS, il nome visualizzato è obbligatorio.
Note
Se hai effettuato l'accesso utilizzando un utente o un ruolo IAM con la sola policy gestitaDirectoryServiceFullAccess, il nome dell'argomento deve iniziare con "DirectoryMonitoring".Se desideri personalizzare ulteriormente il nome dell'argomento, avrai bisogno di ulterioriprivilegi per SNS.
8. Scegliere Create (Crea).
Se desideri designare ulteriori sottoscrittori SNS, come un indirizzo e-mail aggiuntivo, code Amazon SQS oAWS Lambda, puoi farlo dalla console Amazon SNS a https://console.aws.amazon.com/sns/v3/home.
Per rimuovere i messaggi di stato della directory da un argomento
1. Accedere alla Console di gestione AWS e aprire la console AWS Directory Service all'indirizzo https://console.aws.amazon.com/directoryservicev2/.
2. Nella pagina Directories (Directory), scegli l'ID della directory.3. Selezionare la scheda Maintenance (Manutenzione).4. Nella sezione Directory monitoring (Monitoraggio della directory) selezionare un nome argomento SNS
nell'elenco, scegliere Actions (Operazioni), quindi selezionare Remove (Rimuovi).5. Scegliere Remove (Rimuovi).
Version 1.0196
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
Questa operazione rimuove la directory come editore per l'argomento SNS selezionato. Se desiderieliminare l'intero argomento, puoi farlo dalla console Amazon SNS su https://console.aws.amazon.com/sns/v3/home.
Note
Prima di eliminare un argomento Amazon SNS tramite la console di SNS, devi accertarti che unadirectory non stia inviando messaggi di stato a tale argomento.Se elimini un argomento Amazon SNS tramite la console SNS, questa modifica non si rifletteràimmediatamente nella console Directory Services. Riceverai una notifica solo la prossima voltache una directory pubblica una notifica all'argomento eliminato, nel qual caso visualizzerai unostato aggiornato nella scheda Monitoring (Monitoraggio) della directory che indica che l'argomentonon è stato trovato.Pertanto, per evitare di perdere importanti messaggi di stato della directory, prima di eliminarequalsiasi argomento che riceve messaggi da AWS Directory Service, associa la directory a undiverso argomento Amazon SNS.
Collega un'istanza EC2 alla tua directory ADConnectorPuoi collegare in tutta facilità un'istanza EC2 al dominio della directory quando l'istanza viene avviatautilizzando AWS Systems Manager. Per ulteriori informazioni, consulta la pagina sull'aggiunta di un'istanzadi Windows a un dominio AWS Directory Service nella guida Guida per l'utente di Amazon EC2 per leistanze Windows.
Se devi aggiungere manualmente un'istanza EC2 al tuo dominio, devi avviare l'istanza nella regione e nelgruppo di sicurezza o nella sottorete corretti e collegare l'istanza al dominio.
Per essere in grado di connettersi in remoto a queste istanze, devi disporre di connettività IP per le istanzedalla rete da cui ti connetti. Nella maggior parte dei casi, questo richiede che un gateway Internet siaassociato al VPC e che l'istanza disponga di un indirizzo IP pubblico.
Argomenti• Aggiunta di un'istanza EC2 Windows (p. 197)• Unisci in modo trasparente un'istanza EC2 Linux al tuo AD Connector Rubrica (p. 199)
Aggiunta di un'istanza EC2 WindowsQuesta procedura collega perfettamente un'istanza EC2 Windows alla directory AD Connector.
Per collegare perfettamente un'istanza EC2 Windows
1. Accedi alla Console di gestione AWS e apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.
2. Nella barra di navigazione dello strumento di selezione della regione, scegli la stessa regione delladirectory esistente.
3. Scegliere Launch Instance (Avvia istanza).4. Nella pagina Step 1 (Fase 1), scegli Select (Seleziona) per l'AMI appropriata.5. Nella pagina Step 2 (Fase 2), seleziona il tipo di istanza giusto e scegli Next: Configure Instance
Details (Successivo: configura dettagli istanza).6. Nella pagina Step 3 (Fase 3), eseguire le operazioni seguenti e scegliere Next: Add Storage
(Successivo: Aggiungi storage):
1. Per Network (Rete), scegli il VPC in cui la tua directory è stata creata.
Version 1.0197
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
2. Per Subnet (Sottorete), seleziona una delle sottoreti pubbliche nel tuo VPC. La sottorete cheselezioni deve avere tutto il traffico esterno instradato a un gateway Internet. In caso contrario, nonpotrai connetterti in remoto all'istanza.
3. Per Auto-assign Public IP (Assegna automaticamente IP pubblico), scegliere Enable (Abilita).
Per ulteriori informazioni sulle impostazioni degli indirizzi IP pubblici e privati, consultareAssegnazione degli indirizzi IP delle istanze EC2 Amazon nella Guida per l'utente di Amazon EC2per le istanze Windows.
4. Per la Domain join directory (Directory aggiunta dominio), selezionare il dominio dall'elenco.
Note
Questa opzione è disponibile solo per le istanze di Windows. Le istanze Linux devonoessere collegate manualmente alla directory come illustrato in Collegamento manuale diun'istanza Linux (p. 74).
5. In IAM role (Ruolo IAM), eseguire una delle seguenti operazioni:
Selezionare un ruolo IAM che ha le policy gestite AWS AmazonSSMManagedInstanceCore eAmazonSSMDirectoryServiceAccess collegate.
-oppure-
Se non si è creato un ruolo IAM che ha le policy gestite AmazonSSMManagedInstanceCore eAmazonSSMDirectoryServiceAccess collegate, scegliere il collegamento Create new IAM role (Creanuovo ruolo IAM) ed eseguire quanto segue:a. Seleziona Create role (Crea ruolo).b. In Select type of trusted entity (Seleziona tipo di entità attendibile), scegliere AWS service
(Servizio AWS).c. In Scegli il servizio che questo ruolo utilizzerà, nell'elenco completo di servizi, scegliere EC2.d. In Select your use case (Seleziona il caso d'uso), selezionare EC2 e quindi Next: Permissions
(Successivo: autorizzazioni).e. Nell’elenco di policy, selezionare le policy AmazonSSMManagedInstanceCore e
AmazonSSMDirectoryServiceAccess. (Per filtrare l’elenco, digitare SSM nella casella di ricerca.)
Note
AmazonSSMDirectoryServiceAccess fornisce le autorizzazioni per collegarele istanze a una Active Directory gestita da AWS Directory Service.AmazonSSMManagedInstanceCore fornisce le autorizzazioni minime necessarie perutilizzare il servizio Systems Manager. Per ulteriori informazioni sulla creazione di unruolo con queste autorizzazioni e per informazioni su altre autorizzazioni e policy che èpossibile assegnare al ruolo IAM, consultare Crea un profilo di istanza IAM per SystemsManager nella Guida per l'utente di AWS Systems Manager.
f. Scegliere Next: Tags (Successivo: Tag).g. (Facoltativo) Aggiungere una o più coppie chiave-valore di tag da organizzare, monitorare o
controllare l'accesso per questo ruolo, quindi scegliere Next: Review (Successivo: Rivedi).h. Per Role nome (Nome ruolo), immettere un nome per il nuovo ruolo, ad esempio
EC2DomainJoin o un altro nome che si preferisce.i. (Facoltativo) Per Role Description (Descrizione ruolo), immettere una descrizione.j. Seleziona Create role (Crea ruolo).k. Tornare alla pagina Step 3 (Fase 3). Per IAM role (Ruolo IAM), seleziona l'icona di
aggiornamento accanto a IAM role (Ruolo IAM). Il tuo nuovo ruolo deve essere visibile nel menua discesa. Selezionarlo e lasciare il resto delle impostazioni su questa pagina con i propri valoripredefiniti, quindi selezionare Next: Add Storage (Successivo: aggiungi storage).Version 1.0
198
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
7. Nelle pagine Step 4 (Fase 4) e Step 5 (Fase 5), mantenere le impostazioni predefinite o apportare lemodifiche desiderate, quindi scegliere i pulsanti Next (Avanti).
8. Nella pagina Step 6 (Fase 6), selezionare un gruppo di sicurezza per l'istanza configurata perconsentire l'accesso remoto all'istanza dalla rete, quindi scegliere Review and Launch (Analizza eavvia).
9. Nella pagina Step 7 (Fase 7), scegliere Launch (Avvia), selezionare una coppia di chiavi e scegliereLaunch Instance (Avvia istanza).
Unisci in modo trasparente un'istanza EC2 Linux al tuo ADConnector RubricaQuesta procedura consente di unire un'istanza EC2 Linux a AD Connector directory.
Sono supportate le seguenti distribuzioni e versioni di istanze Linux:
• AMI Amazon Linux 2018.03.0• Amazon Linux 2 (64-bit x86)• Red Hat Enterprise Linux 8 (HVM) (64-bit x86)• Ubuntu Server 18.04 LTS e Ubuntu Server 16.04 LTS• CentOS 7 x86-64• SUSE Linux Enterprise Server 15 SP1
Note
Le distribuzioni precedenti a Ubuntu 14 e Red Hat Enterprise Linux 7 non supportano lafunzionalità di join del dominio senza soluzione di continuità.
Prerequisites
Prima di poter configurare un'unione di dominio senza interruzioni a un'istanza EC2 Linux, è necessariocompletare le procedure in questa sezione.
Seleziona il tuo account del servizio di partecipazione al dominio senza interruzioni
È possibile unire senza problemi i computer Linux al dominio Active Directory locale tramite AD Connector.A tale scopo, è necessario creare un account utente con le autorizzazioni di creazione dell'accountcomputer per collegare i computer al dominio. Puoi usare il tuo AD Connector account di servizio sepreferisci. In alternativa, è possibile utilizzare qualsiasi altro account che dispone di privilegi sufficienti peraggiungere computer al dominio. Anche se i membri del Amministratori di dominio o altri gruppi potrebberodisporre di privilegi sufficienti per unire i computer al dominio, non consigliamo questi. Come best practice,ti consigliamo di utilizzare un account di servizio che dispone dei privilegi minimi necessari per aggiungere icomputer al dominio.
Per delegare un account con i privilegi minimi necessari per unire i computer al dominio, puoi eseguire iseguenti comandi PowerShell. È necessario eseguire questi comandi da un computer Windows aggiuntoal dominio con Installazione degli strumenti di amministrazione di Active Directory (p. 89) ha installato.Inoltre, è necessario utilizzare un account che dispone dell'autorizzazione per modificare le autorizzazionisull'unità organizzativa dei computer o sul container. Il comando PowerShell imposta le autorizzazioni checonsentono all'account del servizio di creare oggetti computer nel container dei computer predefiniti deldominio. Se si preferisce utilizzare un'interfaccia grafica utente (GUI), è possibile utilizzare la proceduramanuale descritta in Delegare privilegi all'account del servizio (p. 179).
$AccountName = 'awsSeamlessDomain'
Version 1.0199
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
# DO NOT modify anything below this comment.# Getting Active Directory information.Import-Module 'ActiveDirectory'$Domain = Get-ADDomain -ErrorAction Stop$BaseDn = $Domain.DistinguishedName$ComputersContainer = $Domain.ComputersContainer$SchemaNamingContext = Get-ADRootDSE | Select-Object -ExpandProperty 'schemaNamingContext'[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $SchemaNamingContext -Filter { lDAPDisplayName -eq 'Computer' } -Properties 'schemaIDGUID').schemaIDGUID# Getting Service account Information.$AccountProperties = Get-ADUser -Identity $AccountName$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value# Getting ACL settings for the Computers container.$ObjectAcl = Get-ACL -Path "AD:\$ComputersContainer" # Setting ACL allowing the service account the ability to create child computer objects in the Computers container.$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'CreateChild', 'Allow', $ServicePrincipalNameGUID, 'All'$ObjectAcl.AddAccessRule($AddAccessRule)Set-ACL -AclObject $ObjectAcl -Path "AD:\$ComputersContainer"
Se si preferisce utilizzare un'interfaccia grafica utente (GUI), è possibile utilizzare la procedura manualedescritta in Delegare privilegi all'account del servizio (p. 179).
Creare i segreti per archiviare l'account del servizio di dominio
È possibile utilizzare AWS Secrets Manager per archiviare l'account del servizio di dominio.
Per creare segreti e archiviare le informazioni sull'account del servizio di dominio
1. Accedere alla Console di gestione AWS, quindi aprire la console AWS Secrets Manager all'indirizzohttps://console.aws.amazon.com/secretsmanager/.
2. Scegli Store a new secret (Archivia un nuovo segreto).3. Nella pagina Archivia un nuovo segreto procedi come segue:
a. In Select secret type (Seleziona tipo di segreto), scegliere Other type of secrets (Altro tipo disegreti).
b. In Specificare le coppie chiave/valore da memorizzare nel segreto, effettuare le seguentioperazioni:
i. Nella prima casella digita awsSeamlessDomainUsername. Nella stessa riga, nellacasella successiva, immettere il nome utente per l'account di servizio. Ad esempio, se ilcomando PowerShell è stato utilizzato in precedenza, il nome dell'account del servizio saràawsSeamlessDomain.
Note
È necessario inserire awsSeamlessDomainUsername esattamente così com'è.Assicurarsi che non vi siano spazi iniziali o finali. In caso contrario, l'aggiunta aldominio non riuscirà
ii. Scegliere Aggiungi riga.iii. Nella nuova riga, nella prima casella, immettere awsSeamlessDomainPassword. Nella
stessa riga, nella casella successiva, inserire la password per il tuo account di servizio.
Note
È necessario inserire awsSeamlessDomainPassword esattamente così com'è.Assicurarsi che non vi siano spazi iniziali o finali. In caso contrario, l'aggiunta aldominio non riuscirà
Version 1.0200
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
iv. In Selezionare la chiave di crittografia, scegliere DefaultEncryptionKey dal menu. SecretsManager crittografa sempre il segreto quando si sceglie questa opzione e lo forniscegratuitamente all’utente. È anche possibile scegliere una chiave che hai creato.
v. Selezionare Successivo.4. In Nome segreto, immettere un nome segreto che includa l'ID della directory utilizzando il formato
seguente aws/directory-services/d-xxxxxxxxx/seamless-domain-join. Questo verràutilizzato per recuperare i segreti nell'applicazione.
Note
Devi inserire aws/directory-services/d-xxxxxxxxx/seamless-domain-joinesattamente com'è, ma sostituire d-xxxxxxxxxx con il tuo ID di directory. Assicurarsi chenon vi siano spazi iniziali o finali. In caso contrario, l'aggiunta al dominio non riuscirà
5. Lasciare tutto il resto impostato su valori predefiniti, quindi scegliere Avanti.6. In Configura rotazione automatica, scegliere Disattiva rotazione automatica, quindi scegliere Avanti.7. Esaminare le impostazioni, quindi scegliere Archivia per salvare le modifiche. La console Secrets
Manager restituisce l'elenco dei segreti nel tuo account con il nuovo segreto ora incluso nell'elenco.8. Scegliere il nome segreto appena creato dall'elenco e prendere nota del valore ARN segreto . Questo
valore servirà nella fase successiva.
Creazione della policy e del ruolo IAM richiesti.
Utilizzare i passaggi dei prerequisiti riportati di seguito per creare un criterio personalizzato che consental'accesso in sola lettura al segreto di join del dominio Secrets Manager senza interruzioni (creato inprecedenza) e per creare un nuovo ruolo LinuxEC2DomainJoin IAM.
Creare il criterio di lettura Secrets Manager IAM
È possibile utilizzare la console IAM per creare un criterio che conceda l'accesso in sola lettura al segretoSecrets Manager.
Per creare il criterio di lettura Secrets Manager IAM
1. Accedere a Console di gestione AWS come utente che dispone dell'autorizzazione per creare criteriIAM. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
2. Nel riquadro di navigazione scegli Policies (Policy).3. Seleziona Create Policy (Crea policy).4. Selezionare la scheda JSON e copiare il testo dal documento della seguente policy JSON. Quindi
incollarlo nella casella di testo JSON.
Note
Assicurarsi di sostituire l'ARN Resource con l'effettivo ARN del segreto che hai creato inprecedenza.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Resource": [ "arn:aws:secretsmanager:us-east-1:############:secret:aws/directory-service/d-xxxxxxxxxx/seamless-domain-join-example"
Version 1.0201
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
] } ]}
5. Al termine, selezionare Review policy (Rivedi policy). In Validatore di policy vengono segnalatieventuali errori di sintassi.
6. Nella pagina Criterio revisione immettere un nome di criterio, ad esempio SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read. Esaminare la sezione Riepilogo per visualizzare le autorizzazioni concesse dalcriterio. Selezionare Crea policy per salvare il proprio lavoro. La nuova policy appare nell'elenco dellepolicy gestite ed è pronta a collegarsi a un’identità.
Note
Si consiglia di creare un criterio per segreto. In questo modo, le istanze hanno accesso solo alsegreto appropriato e si riduce al minimo l'impatto se un'istanza viene compromessa.
Creare il ruolo LinuxEC2DomainJoin
È possibile utilizzare la console IAM per creare il ruolo che verrà utilizzato e aggiungere il dominioall'istanza Linux EC2.
Per creare il ruolo LinuxEC2DomainJoin
1. Accedere a Console di gestione AWS come utente che dispone dell'autorizzazione per creare criteriIAM. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
2. Nel riquadro di navigazione, scegliere Roles (Ruoli).3. Nel riquadro del contenuto selezionare Crea ruolo.4. In Select type of trusted entity (Seleziona tipo di entità attendibile), scegli AWS service (Servizio AWS).5. In Scegliere un caso d'uso, selezionare EC2, quindi scegliere Next: Permissions (Successivo:
autorizzazioni).6. Per Criteri filtro, eseguire le operazioni seguenti:
a. Specificare AmazonSSMManagedInstanceCore (sì). Selezionare quindi la casella di controllorelativa a tale elemento nell'elenco.
b. Specificare AmazonSSMDirectoryServiceAccess (sì). Selezionare quindi la casella dicontrollo relativa a tale elemento nell'elenco.
c. Immettere SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read (o il nome del criterio creato nellaprocedura precedente). Selezionare quindi la casella di controllo relativa a tale elementonell'elenco.
Note
AmazonSSMDirectoryServiceAccess fornisce le autorizzazioni per collegare le istanze auna Active Directory gestita da AWS Directory Service. AmazonSSMManagedInstanceCorefornisce le autorizzazioni minime necessarie per utilizzare il servizio AWS Systems Manager.Per ulteriori informazioni sulla creazione di un ruolo con queste autorizzazioni e perinformazioni su altre autorizzazioni e policy che è possibile assegnare al ruolo IAM, consultareCrea un profilo di istanza IAM per Systems Manager in Guida per l'utente di AWS SystemsManager.
7. Scegliere Next: Tags (Successivo: Tag).8. (Facoltativo) Aggiungere una o più coppie chiave-valore di tag per organizzare, monitorare o
controllare l'accesso per questo ruolo. Scegli quindi Next: Review (Avanti: Verifica).
Version 1.0202
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
9. In Nome ruolo, immettere un nome per il nuovo ruolo, ad esempio LinuxEC2DomainJoin o un altronome che si preferisce.
10. (Facoltativo) Per Role Description (Descrizione ruolo), immettere una descrizione.11. Seleziona Create role (Crea ruolo).
Unisciti perfettamente all'istanza EC2 Linux
Ora che sono state configurate tutte le attività dei prerequisiti, è possibile utilizzare la procedura seguenteper unirsi perfettamente all'istanza Linux EC2.
Per unire senza problemi l'istanza Linux EC2
1. Accedere a Console di gestione AWS e aprire la console Amazon EC2 all’indirizzo https://console.aws.amazon.com/ec2/.
2. Nella barra di navigazione dello strumento di selezione della regione, scegli la stessa regione delladirectory esistente.
3. Scegliere Launch Instance (Avvia istanza).4. Nella pagina Fase 1 scegliere Seleziona per l'immagine Amazon Machine (AMI) appropriata.
Note
L'AMI utilizzata deve avere AWS Systems Manager (agente SSM) versione 2.3.1644.0 osuccessiva. Per verificare la versione dell'agente SSM installata nell'AMI avviando un'istanzada tale AMI, vedere Ottenere la versione dell'agente SSM attualmente installata. Se ènecessario aggiornare l'agente SSM, vedere Installazione e configurazione dell'agente SSMsu istanze EC2 per Linux.
5. Nella pagina Step 2 (Fase 2), seleziona il tipo di istanza giusto e scegli Next: Configure InstanceDetails (Successivo: configura dettagli istanza).
6. Nella pagina Step 3 (Fase 3), eseguire le operazioni seguenti e scegliere Next: Add Storage(Successivo: Aggiungi storage):
a. Per Network (Rete), scegli il VPC in cui la tua directory è stata creata.b. Per Subnet (Sottorete), seleziona una delle sottoreti pubbliche nel tuo VPC. La sottorete che
selezioni deve avere tutto il traffico esterno instradato a un gateway Internet. In caso contrario,non potrai connetterti in remoto all'istanza.
c. Per Auto-assign Public IP (Assegna automaticamente IP pubblico), scegliere Enable (Abilita).Per ulteriori informazioni sulle impostazioni degli indirizzi IP pubblici e privati, consulta la sezioneImpostazione degli indirizzi IP dell'istanza EC2 Amazon nella Guida per l'utente Amazon EC2 perle istanze Windows.
d. Per la Domain join directory (Directory aggiunta dominio), selezionare il dominio dall'elenco.e. Per il ruolo IAM, scegliere il ruolo IAM creato in precedenza nella sezione prerequisiti Passaggio 2:
Creare il ruolo LinuxEC2DomainJoin.7. Nelle pagine Fase 4 e Fase 5, mantenere le impostazioni predefinite o apportare le modifiche
desiderate. Quindi scegliere Avanti su ciascuna pagina.8. Nella pagina Passaggio 6 selezionare un gruppo di protezione configurato per consentire l'accesso
remoto all'istanza dalla rete. Scegliere Analizza e avvia.9. Nella pagina Fase 7, scegliere Avvia, selezionare una coppia di chiavi e scegliere Avvia istanza.
Note
Se si sta eseguendo un join di dominio senza soluzione di continuità con SUSE Linux, ènecessario un riavvio prima che le autenticazioni funzionino. Per riavviare SUSE dal terminaleLinux, digitare sudo reboot.
Version 1.0203
AWS Directory Service Guida di amministrazioneGestione della directory
Gestione della directory AD ConnectorIn questa sezione viene descritto come gestire le attività di amministrazione più comuni per l'ambiente ADConnector.
Argomenti• Eliminazione della tua directory (p. 204)• Visualizza le informazioni sulla directory (p. 205)
Eliminazione della tua directoryWhen a Simple AD or AWS Directory Service for Microsoft Active Directory directory is deleted, all ofthe directory data and snapshots are deleted and cannot be recovered. After the directory is deleted, allinstances that are joined to the directory remain intact. You cannot, however, use your directory credentialsto log in to these instances. You need to log in to these instances with a user account that is local to theinstance.
When an AD Connector directory is deleted, your on-premises directory remains intact. All instances thatare joined to the directory also remain intact and remain joined to your on-premises directory. You can stilluse your directory credentials to log in to these instances.
To delete a directory
1. In the AWS Directory Service console navigation pane, select Directories.2. Ensure that no AWS applications are enabled for the directory.
a. On the Directories page, choose your directory ID.b. On the Directory details page, select the Application management tab. In the AWS apps &
services section, you see which AWS applications are enabled for your directory.
• To disable Amazon WorkSpaces, you must deregister the service from the directory in theAmazon WorkSpaces console. For more information, see Deregistering From a Directory in theAmazon WorkSpaces Administration Guide.
• To disable Amazon WorkSpaces Application Manager, you must remove all applicationassignments in the Amazon WAM console. For more information, see Removing All ApplicationAssignments in the Amazon WAM Administration Guide.
• To disable Amazon WorkDocs, you must delete the Amazon WorkDocs site in the AmazonWorkDocs console. For more information, see Delete a Site in the Guida per l'amministratore diAmazon WorkDocs.
• To disable Amazon WorkMail, you must remove the Amazon WorkMail organization in theAmazon WorkMail console. For more information, see Remove an Organization in the AmazonWorkMail Administrator Guide.
• Disable Console di gestione AWS access.• To disable Amazon Relational Database Service, you must remove the Amazon RDS instance
from the domain. For more information, see Managing a DB Instance in a Domain in the Guidaper l'utente di Amazon RDS.
• To disable Amazon QuickSight, you must unsubscribe from Amazon QuickSight. For moreinformation, see Closing Your Amazon QuickSight Account in the Amazon QuickSight UserGuide.
• To disable Amazon Connect, you must delete the Amazon Connect Instance. For moreinformation, see Deleting an Amazon Connect Instance in the Amazon Connect AdministrationGuide.
Version 1.0204
AWS Directory Service Guida di amministrazioneAggiornamento del DNS per AD Connector
• To disable Amazon FSx for Windows File Server, you must remove the Amazon FSx file systemfrom the domain. For more information, see Working with Active Directory in Amazon FSx forWindows File Server in the Guida per l'utente di Amazon FSx for Windows File Server.
Note
If you are using AWS Single Sign-On and have previously connected it to the AWSManaged Microsoft AD directory you plan to delete, you must first disconnect thedirectory from AWS SSO before you can delete it. For more information, see Disconnecta Directory in the AWS SSO User Guide.
3. In the navigation pane, choose Directories.4. Select only the directory to be deleted and click Delete. It takes several minutes for the directory to be
deleted. When the directory has been deleted, it is removed from your directory list.
Visualizza le informazioni sulla directoryYou can view detailed information about a directory.
To view detailed directory information
1. In the AWS Directory Service console navigation pane, select Directories.2. Click the directory ID link for your directory. Information about the directory is displayed in the Directory
details page.
For more information about the Status field, see Comprendere lo stato della directory (p. 51).
Aggiornamento dell'indirizzo DNS per AD ConnectorUtilizzare i passaggi seguenti per aggiornare gli indirizzi DNS ai quali punta AD Connector.
Note
Se è in corso un aggiornamento, è necessario attenderne il completamento prima di avviare unaltro aggiornamento.Note
Se si utilizza Amazon WorkSpaces con il tuo AD Connector, assicurati che anche gli indirizzi DNSWorkSpace siano aggiornati. Per ulteriori informazioni, consulta Aggiornamento dei server DNSper WorkSpaces.
Per aggiornare le impostazioni DNS per AD Connector
1. Nel riquadro di navigazione di AWS Directory Service console, seleziona Directory.2. Seleziona il collegamento dell'ID per la tua directory.3. Nella pagina Dettagli della rubrica , scegliere Rete e sicurezza.4. Nella sezione Impostazioni DNS esistentiscegliere Aggiorna.5. Nella finestra di dialogo Aggiornamento di indirizzi DNS esistenti, digita gli indirizzi IP DNS aggiornati,
quindi scegli Aggiorna.
Best practice per AD ConnectorDi seguito alcuni suggerimenti e linee guida da tenere in considerazione per evitare problemi e sfruttare almassimo AD Connector.
Version 1.0205
AWS Directory Service Guida di amministrazioneConfigurazione Prerequisiti:
Configurazione Prerequisiti:Tieni presenti queste linee guida prima di creare la directory.
Verify You Have the Right Directory TypeAWS Directory Service provides multiple ways to use Microsoft Active Directory with other AWS services.You can choose the directory service with the features you need at a cost that fits your budget:
• AWS Directory Service for Microsoft Active Directory is a feature-rich managed Microsoft Active Directoryhosted on the AWS cloud. AWS Managed Microsoft AD is your best choice if you have more than 5,000users and need a trust relationship set up between an AWS hosted directory and your on-premisesdirectories.
• AD Connector simply connects your existing on-premises Active Directory to AWS. AD Connector is yourbest choice when you want to use your existing on-premises directory with AWS services.
• Simple AD is an inexpensive Active Directory–compatible service with the common directory features.In most cases, Simple AD is the least expensive option and your best choice if you have 5,000 or fewerusers and don’t need the more advanced Microsoft Active Directory features.
For a more detailed comparison of AWS Directory Service options, see Quale scegliere (p. 1).
Ensure Your VPCs and Instances are Configured CorrectlyIn order to connect to, manage, and use your directories, you must properly configure the VPCs that thedirectories are associated with. See either Prerequisiti di AWS Managed Microsoft AD (p. 9), Prerequisiti diAD Connector (p. 176), or Prerequisiti di Simple AD (p. 214) for information about the VPC security andnetworking requirements.
If you are adding an instance to your domain, ensure that you have connectivity and remote access to yourinstance as described in Collega un'istanza EC2 alla tua directory AWS Managed Microsoft AD (p. 66).
Be Aware of Your LimitsLearn about the various limits for your specific directory type. The available storage and the aggregate sizeof your objects are the only limitations on the number of objects you may store in your directory. See eitherLimiti per AWS Managed Microsoft AD (p. 142), Limiti per AD Connector (p. 208), or Limiti per SimpleAD (p. 262) for details about your chosen directory.
Scopri la configurazione e l'utilizzo del gruppo di sicurezza AWSdella directoryAWS crea un gruppo di sicurezza e lo collega alle interfacce di rete elastiche della directory che sonoaccessibili dai VPC in peering o ridimensionati. AWS consente di configurare il gruppo di sicurezza perbloccare il traffico non necessario verso la directory e consentire il traffico necessario.
Modifica del gruppo di sicurezza della directory
Se desideri modificare la sicurezza dei gruppi di sicurezza delle directory, puoi farlo. Apporta tali modifichesolo se hai compreso a pieno come funziona il filtraggio del gruppo di sicurezza. Per ulteriori informazioni,consulta ai Gruppi di sicurezza Amazon EC2 per istanze Linux nella Guida per l'utente di Amazon EC2.Modifiche improprie possono portare a una mancata comunicazione con i computer e le istanze desiderati.AWS consiglia di non tentare di aprire porte aggiuntive alla directory, in quanto ciò potrebbe ridurre lasicurezza della directory. Esamina attentamente il modello di responsabilità condivisa di AWS.
Version 1.0206
AWS Directory Service Guida di amministrazioneProgrammazione delle applicazioni
Warning
Tecnicamente, hai la possibilità di associare il gruppo di sicurezza della directory ad altre istanzeEC2 da te create. Tuttavia, AWS sconsiglia questa pratica. AWS potrebbe decidere di modificare ilgruppo di sicurezza senza preavviso, al fine di soddisfare esigenze funzionali o di sicurezza delladirectory gestita. Tali modifiche influiscono sulle eventuali istanze con cui viene associato il gruppodi sicurezza della directory e possono interrompere il funzionamento delle istanze associate.Inoltre, associare il gruppo di sicurezza della directory alle istanze EC2 può creare un potenzialerischio per la sicurezza per le istanze EC2.
Configura i siti e le sottoreti locali correttamente quando utilizziAD ConnectorSe la tua rete locale ha siti di Active Directory definiti, è necessario accertarsi che le sottoreti nel VPC in cuiAD Connector risiede siano definite in un sito Active Directory e che non vi siano conflitti tra le sottoreti delVPC e le sottoreti di altri siti.
Per individuare i controller di dominio AD Connector utilizza il sito Active Directory i cui intervalli di indirizziIP della sottorete sono vicini a quelli del VPC contenente AD Connector. Se disponi di un sito le cui sottoretiabbiano gli stessi intervalli di indirizzi IP di quelli nel VPC, AD Connector individuerà i controller di dominiodi tale sito, che potrebbero non essere fisicamente vicini alla tua regione.
Informazioni sulle limitazioni per il nome utente delle applicazioniAWSAWS Directory Service fornisce supporto per la maggior parte dei formati di carattere che possono essereutilizzati per la costruzione dei nomi utente. Tuttavia, esistono delle limitazioni sui caratteri applicate ai nomiutente che verranno utilizzati per l'accesso alle applicazioni AWS, come Amazon WorkSpaces, AmazonWorkDocs, Amazon WorkMail o Amazon QuickSight. Queste limitazioni richiedono che non venganoutilizzati i seguenti caratteri:
• Spazi• !"#$%&'()*+,/:;<=>?@[\]^`{|}~
Note
Il simbolo @ è consentito purché preceda un suffisso UPN.
Programmazione delle applicazioniPrima di programmare le applicazioni, valuta quanto segue:
Esecuzione di test di caricamento prima della produzioneAssicurati di effettuare test di laboratorio con le applicazioni e le richieste più importanti del tuo carico dilavoro di produzione per confermare che la directory si adatti al carico dell'applicazione. Se necessiti diulteriore capacità, distribuisci i carichi su più directory AD Connector.
Utilizzo della directoryDi seguito sono elencati alcuni suggerimenti da tenere a mente quando utilizzi la directory.
Version 1.0207
AWS Directory Service Guida di amministrazioneLimiti
Modifica periodica delle credenziali dell'amministratoreModifica periodicamente la password dell'amministratore dell'account di servizio AD Connector e assicuratiche sia coerente con le policy esistenti delle password di Active Directory. Per istruzioni su come modificarela password dell'account di servizio, consulta Aggiornamento delle credenziali dell'account del servizioADConnector in AWS Directory Service (p. 188).
Utilizza AD Connector univoci per ciascun dominioAD Connector e i domini AD locali hanno una relazione uno-a-uno. Ovvero per ciascun dominio locale,compresi i domini figlio in una foresta AD dove si desidera autenticarsi, devi creare un AD Connectorunivoco. Ogni AD Connector creato deve utilizzare un diverso account del servizio, anche se è connessoalla stessa directory.
Controlla la compatibilitàQuando si utilizza AD Connector, è necessario accertarsi che la propria directory locale sia e rimangacompatibile con AWS Directory Service. Per ulteriori informazioni sulle proprie responsabilità, consultare ilnostro modello sulla responsabilità condivisa.
Limiti per AD ConnectorDi seguito sono elencati i limiti predefiniti per AD Connector. Salvo dove diversamente specificato, ognilimite è per regione.
Limiti degli AD Connector
Resource Limite predefinito
Directory AD Connector -10
Numero massimo di certificati emessi da una CAregistrati per directory
5%
Aumenta il tuo limiteEsegui la procedura seguente per aumentare il tuo limite per una regione.
Per richiedere un aumento del limite per una regione
1. Vai alla pagina AWS Support Center, effettua l'accesso se necessario e fai clic su Open a new case(Apri nuovo caso).
2. In Regarding (Motivo) selezionare Service Limit Increase (Aumento delle restrizioni del servizio).3. Sotto Limit Type (Tipo di limite), seleziona AWS Directory Service.4. Compila tutti i campi necessari nel modulo e fai clic sul pulsante relativo al metodo di contatto
desiderato nella parte inferiore della pagina.
Version 1.0208
AWS Directory Service Guida di amministrazioneCompatibilità delle applicazioni
Policy di compatibilità delle applicazioni per ADConnector
In alternativa a AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD (p. 8)),AD Connector è un proxy Active Directory riservato alle applicazioni e ai servizi creati con AWS. Puoiconfigurare il proxy per l'uso di un dominio Active Directory specificato. Quando l'applicazione devecercare un utente o un gruppo in Active Directory, AD Connector trasmette la richiesta alla directory.Analogamente, quando un utente accede all'applicazione, AD Connector trasmette la richiesta diautenticazione alla directory. Non esistono applicazioni di terze parti che funzionano con AD Connector.
Di seguito è riportato un elenco di applicazioni e servizi AWS compatibili:
• Amazon Chime - Per istruzioni dettagliate, consulta Connessione ad Active Directory.• Amazon Connect - Per ulteriori informazioni, consulta Funzionamento di Amazon Connect.• Amazon EC2 per Windows o Linux: è possibile utilizzare la funzionalità di aggiunta di dominio senza
soluzione di continuità di Amazon EC2 Windows o Linux per unire l'istanza all'Active Directory autogestita(in locale). Una volta completata l'unione, l'istanza comunica direttamente con l'Active Directory eignora AD Connector. Per ulteriori informazioni, consulta Collega un'istanza EC2 alla tua directory ADConnector (p. 197).
• Console di gestione AWS - Puoi utilizzare AD Connector per autenticare gli utenti di Console digestione AWS con le credenziali Active Directory senza configurare l'infrastruttura SAML. Perulteriori informazioni, consulta Attivazione dell'accesso a Console di gestione AWS con le credenzialiAD (p. 133).
• Amazon QuickSight - Per ulteriori informazioni, consulta Gestione degli account utente in AmazonQuickSight Enterprise Edition.
• AWS Single Sign-On - Per istruzioni dettagliate, consulta Connessione di AWS SSO a un ActiveDirectory locale.
• Amazon WorkDocs - Per istruzioni dettagliate, consulta Connessione alla directory locale con ADConnector.
• Amazon WorkMail - Per istruzioni dettagliate, consulta Integrazione di Amazon WorkMail con unadirectory esistente (configurazione standard).
• Amazon WorkSpaces - Per istruzioni dettagliate, consulta Avvio di WorkSpace con AD Connector.
Note
Amazon RDS è compatibile solo con AWS Managed Microsoft AD e non è compatibile con ADConnector. Per ulteriori informazioni, consulta la sezione relativa a AWS Microsoft AD nella paginadelle Domande frequenti su AWS Directory Service.
Risoluzione dei problemi del AD ConnectorQuanto segue può aiutarti a risolvere alcuni problemi comuni che potrebbero verificarsi durante lacreazione o l'utilizzo della tua directory.
Di seguito sono elencati alcuni problemi comuni con AD Connector.
Version 1.0209
AWS Directory Service Guida di amministrazioneInterruzione funzionamento dell'aggiunta
dominio uniforme per istanze EC2
Interruzione funzionamento dell'aggiunta dominiouniforme per istanze EC2Se l'aggiunta dominio uniforme per istanze EC2 funzionava e quindi si arresta mentre AD Connector eraattiva, le credenziali per l'account del servizio di AD Connector potrebbero essere scadute. Le credenzialiscadute possono impedire a AD Connector di creare oggetti computer in Active Directory.
Per risolvere questo problema, aggiorna le password dell'account del servizio nell'ordine seguente, in modoche corrispondano:
1. Aggiorna la password per l'account del servizio in Active Directory2. Aggiorna la password per l'account del servizio in AD Connector in AWS Directory Service
Aggiornando la password solo in AWS Directory Service NON propaga la modifica password nella ActiveDirectory locale, pertanto è necessario seguire l'ordine mostrato.
Ho ricevuto un errore "Impossibile autenticare" durantel'uso di applicazioni AWS per eseguire la ricerca diutenti o gruppiSi possono verificare errori durante la ricerca di utenti con applicazioni AWS, ad esempio AmazonWorkSpaces o Amazon QuickSight, anche quando lo stato AD Connector è attivo. Le credenziali scadutepossono impedire a AD Connector di completare le query su oggetti in Active Directory. Aggiorna lapassword per l'account del servizio utilizzando le fasi ordinate fornite in precedenza.
Ricevo un messaggio di errore "DNSunavailable" (DNS non disponibile) quando cerco diconnettermi alla mia directory in localeRicevi un messaggio di errore simile al seguente quando ti connetti alla tua directory in locale:
DNS unavailable (TCP port 53) for IP: <DNS IP address>
AD Connector deve essere in grado di comunicare con i server DNS della tua directory in locale tramiteTCP e UDP attraverso la porta 53. Verifica che i gruppi di sicurezza e i firewall in locale permettanola comunicazione TCP e UDP su questa porta. Per ulteriori informazioni, consulta Prerequisiti di ADConnector (p. 176).
Ricevo un messaggio di errore "Connectivity issuesdetected" (Problemi di connettività rilevati) quandocerco di connettermi alla mia directory in localeRicevi un messaggio di errore simile al seguente quando ti connetti alla tua directory in locale:
Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address>
Version 1.0210
AWS Directory Service Guida di amministrazioneRicevo un messaggio di errore "SRV record" (record SRV)
quando cerco di connettermi alla mia directory in locale
Kerberos/authentication unavailable (TCP port 88) for IP: <IP address>Please ensure that the listed ports are available and retry the operation.
AD Connector deve essere in grado di comunicare con i controller dei domini in locale tramite TCPe UDP attraverso le seguenti porte. Verifica che i gruppi di sicurezza e i firewall in locale permettanola comunicazione TCP e UDP su queste porte. Per ulteriori informazioni, consulta Prerequisiti di ADConnector (p. 176).
• 88 (Kerberos)• 389 (LDAP)
Ricevo un messaggio di errore "SRV record" (recordSRV) quando cerco di connettermi alla mia directory inlocaleRicevi un messaggio di errore simile a uno o più dei seguenti quando ti connetti alla tua directory in locale:
SRV record for LDAP does not exist for IP: <DNS IP address>
SRV record for Kerberos does not exist for IP: <DNS IP address>
AD Connector deve ottenere i record SRV _ldap._tcp.<DnsDomainName> e_kerberos._tcp.<DnsDomainName> quando si connette alla tua directory. Riceverai questo messaggiodi errore se il servizio non è in grado di ottenere questi record dai server DNS che hai specificato almomento della connessione alla tua directory. Per ulteriori informazioni su questi record SRV, consultaSRV record requirements (p. 178).
La mia directory è bloccata nello stato"Requested" (Richiesta)Se disponi di una directory che è stata nello stato "Richiesta" per più di cinque minuti, prova a eliminare ladirectory e a ricrearla. Se il problema persiste, contatta AWS Support Center.
Visualizzo un messaggi odi errore "AZConstrained" (AZ vincolata) quando creo una directoryAlcuni account AWS creati prima del 2012 potrebbero avere accesso alle zone di disponibilità nella regioneUS East (N. Virginia), Stati Uniti occidentali (California settentrionale) o Asia Pacifico (Tokyo) che nonsupportano le directory AWS Directory Service. Se ricevi un messaggio di errore di questo tipo quando creiuna directory, seleziona una sottorete in un'altra zona di disponibilità e prova a creare di nuovo la directory.
Alcuni dei miei utenti non possono eseguirel'autenticazione con la mia directoryI tuoi account utente devono avere la preautenticazione Kerberos abilitata. Questa è l'impostazionepredefinita per i nuovi account utente e non deve essere modificata. Per ulteriori informazioni su questaimpostazione, consulta la sezione preautenticazione su Microsoft TechNet.
Version 1.0211
AWS Directory Service Guida di amministrazioneRicevo un messaggio errore "Invalid
Credentials" (Credenziali non valide) quandol'account del servizio utilizzato da AD
Connector cerca di eseguire l'autenticazioneRicevo un messaggio errore "InvalidCredentials" (Credenziali non valide) quando l'accountdel servizio utilizzato da AD Connector cerca dieseguire l'autenticazioneQuesto può verificarsi se il disco rigido sul tuo controller dei domini esaurisce lo spazio. Verifica che i dischirigidi del tuo controller dei domini non siano pieni.
Version 1.0212
AWS Directory Service Guida di amministrazione
Simple Active DirectorySimple AD è una directory indipendente gestita supportata da un server compatibile con Active Directory diSamba 4. È disponibile in due dimensioni.
• Piccola: supporta fino a 500 utenti (circa 2.000 oggetti, inclusi utenti, gruppi e computer).• Grande: supporta fino a 5.000 utenti (circa 20.000 oggetti, inclusi utenti, gruppi e computer).
Simple AD fornisce un sottoinsieme delle caratteristiche offerte da AWS Managed Microsoft AD, tra cui lapossibilità di gestire gli account utente e l'appartenenza a un gruppo, di creare e applicare policy di gruppo,di connettersi in maniera sicura alle istanze di Amazon EC2 e di fornire Single Sign On (SSO) basato suKerberos. Tuttavia, si noti che Simple AD non supporta caratteristiche quali l'autenticazione a più fattori(MFA), relazioni di trust con altri domini, Active Directory Administrative Center, supporto PowerShell,cestino Active Directory, account di servizio gestiti di gruppo ed estensioni di schema per le applicazioniPOSIX e Microsoft.
Simple AD offre diversi vantaggi:
• Simple AD rende più semplice la gestione delle istanze Amazon EC2 che eseguono Linux e Windows ela distribuzione di applicazioni Windows nel cloud AWS.
• Molte delle applicazioni e degli strumenti che utilizzi oggi e che richiedono il supporto Microsoft ActiveDirectory possono essere utilizzati con Simple AD.
• Gli account utente di Simple AD consentono l'accesso alle applicazioni AWS, come AmazonWorkSpaces, Amazon WorkDocs o Amazon WorkMail.
• Puoi gestire le risorse AWS tramite l'accesso basato sul ruolo IAM alla .• Gli snapshot automatizzati giornalieri abilitano il ripristino point-in-time.
Simple AD non supporta:
• Amazon AppStream 2.0• Amazon Chime• Amazon RDS per SQL Server• AWS Single Sign-On• Relazioni di trust con altri domini• Centro di amministrazione di Active Directory• , PowerShell• Cestino di Active Directory• Account del servizio gestito del gruppo• Estensioni dello schema per applicazioni Microsoft e POSIX
Continua a leggere gli argomenti di questa sezione per sapere come creare il tuo Simple AD.
Argomenti• Nozioni di base su Simple AD (p. 214)• Come amministrare Simple AD (p. 217)• Tutorial Creazione di una directory Simple AD (p. 257)
Version 1.0213
AWS Directory Service Guida di amministrazioneNozioni di base
• Best practice per Simple AD (p. 260)• Limiti per Simple AD (p. 262)• Policy di compatibilità delle applicazioni per Simple AD (p. 263)• Risoluzione dei problemi del Simple AD (p. 264)
Nozioni di base su Simple ADSimple AD crea una directory basata su Samba completamente gestita nel cloud AWS. Quando si crea unadirectory con Simple AD, AWS Directory Service crea due controller di dominio e i server DNS. I controllerdi dominio vengono creati in diverse sottoreti all'interno di un VPC e questa ridondanza contribuisce agarantire che la directory rimanga accessibile anche se si verifica un errore.
Argomenti• Prerequisiti di Simple AD (p. 214)• Creazione di una directory Simple AD (p. 215)• Cosa viene creato (p. 216)• Configurazione di DNS (p. 216)
Prerequisiti di Simple ADPer creare una directory Simple AD, è necessario avere un VPC con i seguenti requisiti:
• Almeno due sottoreti. Per installare correttamente Simple AD, è necessario installare i due controllerdi dominio in sottoreti separate che devono trovarsi in un'altra zona di disponibilità. Inoltre, le sottoretidevono trovarsi nello stesso intervallo CIDR (Classless Inter-Domain Routing). Se si desidera estendereo ridimensionare il VPC per la directory, assicurarsi di selezionare entrambe le sottoreti dei controller didominio per l'intervallo CIDR VPC esteso.
• Il VPC deve disporre di una tenancy hardware predefinita.• Il VPC non deve essere configurato con i seguenti endpoint VPC:
• Endpoint VPC CloudWatch• Se si richiede il supporto LDAPS con Simple AD, consigliamo di configurarlo utilizzando un proxy Elastic
Load Balancer e HA in esecuzione sulle istanze EC2. Questo modello consente di utilizzare un certificatosicuro per la connessione LDAPS, di semplificare l'accesso ad LDAPS attraverso un solo indirizzo IPELB e di avere il failover automatico nel proxy HA. Per ulteriori informazioni su come configurare LDAPScon Simple AD, consulta Come configurare un endpoint LDAPS in Simple AD nel Blog di AWS sullasicurezza.
• I seguenti tipi di crittografia devono essere abilitati nella directory:• RC4_HMAC_MD5• AES128_HMAC_SHA1• AES256_HMAC_SHA1• Tipi di crittografia futuri
Note
La disabilitazione di questi tipi di crittografia può causare problemi di comunicazione tra RSAT(Remote Server Administration Tools) e può influire sulla disponibilità della directory.
AWS Directory Service uses a two VPC structure. The EC2 instances which make up your directory runoutside of your AWS account, and are managed by AWS. They have two network adapters, ETH0 and
Version 1.0214
AWS Directory Service Guida di amministrazioneCreazione di una directory Simple AD
ETH1. ETH0 is the management adapter, and exists outside of your account. ETH1 is created within youraccount.
The management IP range of your directory's ETH0 network is chosen programmatically to ensure it doesnot conflict with the VPC where your directory is deployed. This IP range can be in either of the followingpairs (as Directories run in two subnets):
• 10.0.1.0/24 & 10.0.2.0/24• 192.168.1.0/24 & 192.168.2.0/24
We avoid conflicts by checking the first octet of the ETH1 CIDR. If it starts with a 10, then we choose a192.168.0.0/16 VPC with 192.168.1.0/24 and 192.168.2.0/24 subnets. If the first octet is anything else otherthan a 10 we choose a 10.0.0.0/16 VPC with 10.0.1.0/24 and 10.0.2.0/24 subnets.
The selection algorithm does not include routes on your VPC. It is therefore possible to have an IP routingconflict result from this scenario.
Creazione di una directory Simple ADTo create a new directory, perform the following steps. Before starting this procedure, make sure you havecompleted the prerequisites identified in Prerequisiti di Simple AD (p. 214).
To create a Simple AD directory
1. In the AWS Directory Service console navigation pane, choose Directories and then choose Set updirectory.
2. On the Select directory type page, choose Simple AD, and then choose Next.3. On the Enter directory information page, provide the following information:
Directory size
Choose from either the Small or Large size option. For more information about sizes, see SimpleActive Directory (p. 213).
Organization name
A unique organization name for your directory that will be used to register client devices.
This field is only available if you are creating your directory as part of launching AmazonWorkSpaces.
Directory DNS name
The fully qualified name for the directory, such as corp.example.com.Directory NetBIOS name
The short name for the directory, such as CORP.Administrator password
The password for the directory administrator. The directory creation process creates anadministrator account with the user name Administrator and this password.
The directory administrator password is case-sensitive and must be between 8 and 64 charactersin length, inclusive. It must also contain at least one character from three of the following fourcategories:• Lowercase letters (a-z)• Uppercase letters (A-Z)• Numbers (0-9)
Version 1.0215
AWS Directory Service Guida di amministrazioneCosa viene creato
• Non-alphanumeric characters (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)Confirm password
Retype the administrator password.Directory description
An optional description for the directory.4. On the Choose VPC and subnets page, provide the following information, and then choose Next.
VPC
The VPC for the directory.Subnets
Choose the subnets for the domain controllers. The two subnets must be in different AvailabilityZones.
5. On the Review & create page, review the directory information and make any necessary changes.When the information is correct, choose Create directory. It takes several minutes for the directory tobe created. Once created, the Status value changes to Active.
Cosa viene creatoQuando crei una directory con Simple AD, AWS Directory Service esegue le seguenti operazioni:
• Configura una directory basata su Samba all'interno del VPC.• Crea un account amministratore della directory con il nome utente Administrator e la password
specificata. Puoi utilizzare questo account per gestire le directory.
Important
Assicurati di salvare la password. AWS Directory Service non memorizza questa password, chequindi non può essere recuperata. Tuttavia, puoi reimpostare una password dalla console AWSDirectory Service o mediante l'API ResetUserPassword .
• Crea un gruppo di sicurezza per i controller della directory.• Crea l'account AWSAdminD-xxxxxxxx con privilegi di amministratore del dominio. Questo account
viene utilizzato da AWS Directory Service per eseguire operazioni automatizzate di manutenzione delladirectory, ad esempio eseguendo snapshot della directory e trasferendo il ruolo FSMO. Le credenziali diquesto account vengono archiviate in modo sicuro da AWS Directory Service.
• creates and associates an elastic network interface (ENI) with each of your domain controllers. Eachof these ENIs are essential for connectivity between your VPC and AWS Directory Service domaincontrollers and should never be deleted. You can identify all network interfaces reserved for use withAWS Directory Service by the description: "AWS created network interface for directory directory-id". Formore information, see Elastic Network Interfaces in the Guida per l'utente di Amazon EC2 per le istanzeWindows. automaticamente
Configurazione di DNSSimple AD inoltra le richieste DNS all'indirizzo IP dei server DNS forniti da Amazon per il VPC. Questiserver DNS risolveranno i nomi configurati nelle zone ospitate private Route 53. Puntando i computer localia Simple AD, è ora possibile risolvere le richieste DNS nella zona ospitata privata.
Per abilitare Simple AD alla risposta a query DNS esterne, è necessario configurare la lista di controlloaccessi (ACL) di rete per il VPC contenente Simple AD per consentire il traffico dall'esterno del VPC.
Version 1.0216
AWS Directory Service Guida di amministrazioneProcedura
Se non si utilizzano le zone ospitate private Route 53, le richieste DNS verranno inoltrate a server DNSpubblici.
Se si utilizzano server DNS personalizzati che sono al di fuori del VPC e si desidera utilizzare un DNSprivato, sarà necessario riconfigurarli per l'utilizzo di server DNS personalizzati su istanze EC2 all'internodel VPC. Per ulteriori informazioni, consulta Utilizzo delle zone ospitate private.
Se si desidera che Simple AD risolva i nomi utilizzando i server DNS all'interno del VPC e i server DNSprivati al di fuori del VPC, è possibile utilizzare un set di opzioni DHCP. Per un esempio dettagliato,consulta questo articolo.
Note
Gli aggiornamenti dinamici del DNS non sono supportati nei domini Simple AD. È invece possibileapportare direttamente le modifiche collegandosi alla directory utilizzando DNS Manager suun'istanza che è stata aggiunta al dominio.
Per ulteriori informazioni su Route 53, consulta Che cosa è Route 53.
Come amministrare Simple ADIn questa sezione sono elencate tutte le procedure per gestire e mantenere un ambiente Simple AD.
Argomenti• Gestione di utenti e gruppi in Simple AD (p. 217)• Monitoraggio della directory Simple AD (p. 221)• Collega un'istanza EC2 alla tua directory Simple AD (p. 224)• Gestione della directory Simple AD (p. 243)• Abilitazione dell'accesso alle applicazioni e ai servizi AWS (p. 246)• Attivazione dell'accesso a Console di gestione AWS con le credenziali AD (p. 255)
Gestione di utenti e gruppi in Simple ADUsers represent individual people or entities that have access to your directory. Groups are very usefulfor giving or denying privileges to groups of users, rather than having to apply those privileges to eachindividual user. If a user moves to a different organization, you move that user to a different group and theyautomatically receive the privileges needed for the new organization.
To create users and groups in an AWS Directory Service directory, you must use any instance (from eitheron-premises or EC2) that has been joined to your AWS Directory Service directory, and be logged in asa user that has privileges to create users and groups. You will also need to install the Active DirectoryTools on your EC2 instance so you can add your users and groups with the Active Directory Users andComputers snap-in. For more information about how to set up an EC2 instance and install the necessarytools, see Fase 3 Distribuzione di un'istanza EC2 da gestire AWS Managed Microsoft AD (p. 155).
Note
Your user accounts must have Kerberos preauthentication enabled. This is the default setting fornew user accounts, but it should not be modified. For more information about this setting, go toPreauthentication on Microsoft TechNet.
The following topics include instructions on how to create and manage users and groups.
Argomenti• Installazione degli strumenti di amministrazione di Active Directory (p. 218)
Version 1.0217
AWS Directory Service Guida di amministrazioneGestione di utenti e gruppi
• Creazione di un utente (p. 218)• Reimpostare la password utente (p. 219)• Creare un Gruppo (p. 220)• Aggiunta di un utente a un gruppo (p. 220)
Installazione degli strumenti di amministrazione di ActiveDirectoryTo manage your directory from an EC2 Windows instance, you need to install the Active Directory DomainServices and Active Directory Lightweight Directory Services Tools on the instance. Use the followingprocedure to install these tools on either Windows Server 2012, Windows Server 2016, or Windows Server2019.
You can optionally choose to install the Active Directory administration tools using Windows PowerShell.For example, you can install the Active Directory remote administration tools from a PowerShell promptusing Install-WindowsFeature RSAT-ADDS. For more information, see Install-WindowsFeature on theMicrosoft Website.
Install the Active Directory Administration Tools on Windows Server 2012 throughWindows Server 2019
To install the Active Directory administration tools on Windows Server 2012 through WindowsServer 2019
1. Open Server Manager from the Start screen by choosing Server Manager.2. In the Server Manager Dashboard, choose Add roles and features,3. In the Add Roles and Features Wizard choose Installation Type, select Role-based or feature-based
installation, and choose Next.4. Under Server Selection, make sure the local server is selected, and choose Features in the left
navigation pane.5. In the Features tree, open Remote Server Administration Tools, Role Administration Tools, select AD
DS and AD LDS Tools, scroll down and select DNS Server Tools, and then choose Next.6. Review the information and choose Install. When the feature installation is finished, the Active
Directory Domain Services and Active Directory Lightweight Directory Services Tools are available onthe Start screen in the Administrative Tools folder.
Creazione di un utenteNote
Quando si utilizza Simple AD, se crei un account utente su un'istanza Linux con l'opzione "Forzautente a modificare la password al primo accesso", tale utente non sarà in grado di modificareinizialmente la password utilizzando kpasswd. Per modificare la password la prima volta, unamministratore di dominio deve aggiornare la password utente utilizzando gli strumenti di gestionedi Active Directory.
Utilizzare la procedura seguente per creare un utente con un'istanza EC2 aggiunta alla directory SimpleAD.
To create a user
1. Open the Active Directory Users and Computers tool. There is a shortcut to this tool in theAdministrative Tools folder.
Version 1.0218
AWS Directory Service Guida di amministrazioneGestione di utenti e gruppi
Tip
You can run the following from a command prompt on the instance to open the ActiveDirectory Users and Computers tool box directly.
%SystemRoot%\system32\dsa.msc
2. In the directory tree, select an OU under your directory's NetBIOS name OU where you want to storeyour user (for example, Corp\Users). For more information about the OU structure used by directoriesin AWS, see Cosa viene creato (p. 12).
3. On the Action menu, click New, and then click User to open the new user wizard.4. On the first page of the wizard, enter the values for the following fields, and then click Next.
• First name• Last name• User logon name
5. On the second page of the wizard, type a temporary password in Password and Confirm Password.Make sure the User must change password at next logon option is selected. None of the other optionsshould be selected. Click Next.
6. On the third page of the wizard, verify that the new user information is correct and click Finish. The newuser will appear in the Users folder.
Reimpostare la password utenteGli utenti devono rispettare le policy per le password, definite nella directory. A volte, queste policy sonotalmente complesse da far dimenticare le password agli utenti, incluso l'amministratore della directory. Seaccade, puoi reimpostare rapidamente la password dell'utente con AWS Directory Service, se l'utente sitrova in una directory Simple AD o AWS Managed Microsoft AD.
Puoi reimpostare la password di qualsiasi utente della directory, con le seguenti eccezioni:
• In Simple AD, non puoi reimpostare la password per gli utenti membri del gruppo Domain Admins(Amministratori dominio) o Enterprise Admins (Amministratori azienda), ad eccezione dell'utenteAmministratore.
• In AWS Managed Microsoft AD, non puoi reimpostare la password per gli utenti di unità organizzativediverse dall'unità organizzativa basata sul nome NetBIOS digitato quando la directory è stata creata. Adesempio, non puoi reimpostare la password per un utente nell'unità organizzativa AWS Reserved (AWS- Riservato). Per ulteriori informazioni sulla struttura delle unità organizzative utilizzata da una directoryAWS Managed Microsoft AD, consulta Cosa viene creato (p. 12).
Per reimpostare la password di un utente, puoi utilizzare i metodi indicati di seguito.
Metodo 1: per reimpostare la password di un utente (Console di gestione AWS)
1. Nel riquadro di navigazione della console di AWS Directory Service, in Active Directory, scegliereDirectories (Directory), quindi selezionare la directory nell'elenco in cui si desidera reimpostare lapassword di un utente.
2. Nella pagina Dettagli directory scegliere Reimposta password utente.3. Nella finestra di dialogo Reimposta password utente, in Nome utente, digitare il nome dell'utente di cui
si vuole cambiare la password.4. Digitare una password in Nuova password e Conferma nuova password, quindi scegliere Reimposta
password.
Version 1.0219
AWS Directory Service Guida di amministrazioneGestione di utenti e gruppi
Metodo 2: per reimpostare la password di un utente (Windows PowerShell)
1. Aprire Windows PowerShell.2. Digitare il comando seguente e sostituire il nome utente "joebob" e la password "P@ssw0rd" con le
credenziali desiderate. Per ulteriori informazioni, consulta Reimposta il cmdlet DSUserPassword.
Reset-DSUserPassword -UserName joebob -DirectoryId d-1234567890 -NewPasswordP@ssw0rd
Metodo 3: per reimpostare la password di un utente (AWS CLI)
1. Aprire la AWS CLI.2. Digitare il comando seguente e sostituire il nome utente "joebob" e la password "P@ssw0rd" con
le credenziali desiderate. Per ulteriori informazioni, consulta reset-user-password in Riferimento aicomandi AWS CLI.
aws ds reset-user-password --directory-id d-1234567890 --user-name joebob --new-password P@ssw0rd
Creare un GruppoUtilizzare la procedura seguente per creare un gruppo di sicurezza con un'istanza EC2 aggiunta alladirectory Simple AD.
To create a group
1. Open the Active Directory Users and Computers tool. There is a shortcut to this tool in theAdministrative Tools folder.
Tip
You can run the following from a command prompt on the instance to open the ActiveDirectory Users and Computers tool box directly.
%SystemRoot%\system32\dsa.msc
2. In the directory tree, select an OU under your directory's NetBIOS name OU where you want to storeyour group (for example, Corp\Users). For more information about the OU structure used by directoriesin AWS, see Cosa viene creato (p. 12).
3. On the Action menu, click New, and then click Group to open the new group wizard.4. Type a name for the group in Group name, select a Group scope, and select Security for the Group
type.5. Click OK. The new security group will appear in the Users folder.
Aggiunta di un utente a un gruppoUtilizzare la procedura seguente per aggiungere un utente a un gruppo di sicurezza con un'istanza EC2aggiunta alla directory Simple AD.
Aggiunta di un utente a un gruppo
1. Apri lo strumento Users and Computers (Utenti e computer) di Active Directory. Nella cartellaAdministrative Tools (Strumenti amministrativi) è disponibile un collegamento a questo strumento.
Version 1.0220
AWS Directory Service Guida di amministrazioneMonitoraggio della directory
Tip
Puoi eseguire quanto segue da un prompt dei comandi sull'istanza per aprire direttamente lacasella dello strumento Users and Computers (Utenti e computer) di Active Directory.
%SystemRoot%\system32\dsa.msc
2. Nella struttura di directory, selezionare l'unità organizzativa nell'unità organizzativa con il nomeNetBIOS della directory in cui è salvato il proprio gruppo, quindi selezionare il gruppo a cui aggiungerel'utente come membro.
3. Nel menu Action (Operazione), fare clic su Properties (Proprietà) per aprire la finestra di dialogo delleproprietà del gruppo.
4. Selezionare la scheda Members (Membri) e fare clic su Add (Aggiungi).5. In Inserisci il nome degli oggetti da selezionare, inserire il nome utente da aggiungere e fare clic
su OK. Il nome verrà visualizzato nell'elenco Members (Membri). Fare nuovamente clic su OK peraggiornare l'appartenenza al gruppo.
6. Verificare che l'utente sia ora membro del gruppo selezionandolo nella cartella Users (Utenti) efacendo clic su Properties (Proprietà) nel menu Action (Operazione) per aprire la finestra di dialogodella proprietà. Selezionare la scheda Member Of (Membro di). Il nome del gruppo dovrebbe esserevisualizzato nell'elenco dei gruppi a cui l'utente appartiene.
Monitoraggio della directory Simple ADPuoi monitorare la directory Simple AD nei seguenti modi:
Argomenti• Comprendere lo stato della directory (p. 221)• Configurazione di notifiche dello stato di directory (p. 222)
Comprendere lo stato della directoryThe following are the various statuses for a directory.
Active
The directory is operating normally. No issues have been detected by the AWS Directory Service foryour directory.
Creating
The directory is currently being created. Directory creation typically takes between 20 to 45 minutes butmay vary depending on the system load.
Deleted
The directory has been deleted. All resources for the directory have been released. Once a directoryenters this state, it cannot be recovered.
Deleting
The directory is currently being deleted. The directory will remain in this state until it has beencompletely deleted. Once a directory enters this state, the delete operation cannot be cancelled, andthe directory cannot be recovered.
Failed
The directory could not be created. Please delete this directory. If this problem persists, please contactthe AWS Support Center.
Version 1.0221
AWS Directory Service Guida di amministrazioneMonitoraggio della directory
Impaired
The directory is running in a degraded state. One or more issues have been detected, and notall directory operations may be working at full operational capacity. There are many potentialreasons for the directory being in this state. These include normal operational maintenance activitysuch as patching or EC2 instance rotation, temporary hot spotting by an application on one ofyour domain controllers, or changes you made to your network that inadvertently disrupt directorycommunications. For more information, see either Risoluzione dei problemi del AWS ManagedMicrosoft AD (p. 167), Risoluzione dei problemi del AD Connector (p. 209), Risoluzione dei problemidel Simple AD (p. 264). For normal maintenance related issues, AWS resolves these issues within 40minutes. If after reviewing the troubleshooting topic, your directory is in an Impaired state longer than40 minutes, we recommend that you contact the AWS Support Center.
Important
Do not restore a snapshot while a directory is in an Impaired state. It is rare that snapshotrestore is necessary to resolve impairments. For more information, see Snapshot o ripristinodella directory (p. 118).
Inoperable
The directory is not functional. All directory endpoints have reported issues.Requested
A request to create your directory is currently pending.RestoreFailed
Restoring the directory from a snapshot failed. Please retry the restore operation. If this continues, try adifferent snapshot, or contact the AWS Support Center.
Restoring
The directory is currently being restored from an automatic or manual snapshot. Restoring from asnapshot typically takes several minutes, depending on the size of the directory data in the snapshot.
For more information, see Motivi dello stato della directory Simple AD (p. 265).
Configurazione di notifiche dello stato di directoryTramite Amazon Simple Notification Service (Amazon SNS), puoi ricevere messaggi e-mail o di testo(SMS) quando lo stato della directory cambia. Ricevi una notifica se la directory passa da uno stato Active(Attivo) a uno stato Impaired (Danneggiato) o Inoperable (Inutilizzabile). Puoi anche ricevere una notificaquando la directory torna a uno stato Active (Attivo).
Come funzionaAmazon SNS usa "argomenti" per raccogliere e distribuire i messaggi. Ogni argomento ha uno o piùsottoscrittori che ricevono i messaggi che sono stati pubblicati su quell'argomento. Con la proceduraseguente puoi aggiungere AWS Directory Service come publisher per un argomento Amazon SNS. QuandoAWS Directory Service rileva un cambiamento nello stato della directory, pubblica un messaggio perquell'argomento, che viene poi inviato ai sottoscrittori dell'argomento.
Puoi associare più directory come editori a un singolo argomento. Puoi anche aggiungere messaggi di statodella directory agli argomenti che in precedenza hai creato in Amazon SNS. Hai un controllo dettagliato suchi può pubblicare ed effettuare la sottoscrizione a un argomento. Per informazioni complete su AmazonSNS, consulta Che cos'è Amazon Simple Notification Service?.
Per abilitare la messaggistica SNS per la directory
1. Accedere alla Console di gestione AWS e aprire la console AWS Directory Service all'indirizzo https://console.aws.amazon.com/directoryservicev2/.
Version 1.0222
AWS Directory Service Guida di amministrazioneMonitoraggio della directory
2. Nella pagina Directories (Directory), scegli l'ID della directory.3. Selezionare la scheda Maintenance (Manutenzione).4. Nella sezione Directory monitoring (Monitoraggio della directory) selezionare Actions (Operazioni),
quindi Create notification (Crea notifica).5. Nella pagina Create notification (Crea notifica) selezionare Choose a notification type (Seleziona
un tipo di notifica), quindi Create a new notification (Crea nuova notifica). In alternativa, se disponigià di un argomento SNS, puoi scegliere Associate existing SNS topic (Associa ad argomento SNSesistente) per l'invio di messaggi di stato da questa directory a tale argomento.
Note
Se scegli Create a new notification (Crea nuova notifica), ma utilizzi lo stesso nomedi argomento di un argomento SNS già esistente, Amazon SNS non creerà un nuovoargomento, ma aggiungerà semplicemente le nuove informazioni sulla sottoscrizioneall'argomento esistente.Se scegli Associa ad argomento SNS esistente, potrai solo scegliere un argomento SNSpresente nella stessa regione della directory.
6. Scegli Recipient type (Tipo di destinatario) e inserisci le informazioni di contatto di Recipient(Destinatario). Se inserisci un numero di telefono per SMS, utilizza solo numeri. Non includere trattini,spazi o parentesi.
7. (Opzionale) Indicare un nome per l'argomento e il nome visualizzato SNS. Il nome visualizzato è unnome breve di massimo 10 caratteri incluso in tutti i messaggi SMS di questo argomento. Quandoutilizzi l'opzione SMS, il nome visualizzato è obbligatorio.
Note
Se hai effettuato l'accesso utilizzando un utente o un ruolo IAM con la sola policy gestitaDirectoryServiceFullAccess, il nome dell'argomento deve iniziare con "DirectoryMonitoring".Se desideri personalizzare ulteriormente il nome dell'argomento, avrai bisogno di ulterioriprivilegi per SNS.
8. Scegliere Create (Crea).
Se desideri designare ulteriori sottoscrittori SNS, come un indirizzo e-mail aggiuntivo, code Amazon SQS oAWS Lambda, puoi farlo dalla console Amazon SNS a https://console.aws.amazon.com/sns/v3/home.
Per rimuovere i messaggi di stato della directory da un argomento
1. Accedere alla Console di gestione AWS e aprire la console AWS Directory Service all'indirizzo https://console.aws.amazon.com/directoryservicev2/.
2. Nella pagina Directories (Directory), scegli l'ID della directory.3. Selezionare la scheda Maintenance (Manutenzione).4. Nella sezione Directory monitoring (Monitoraggio della directory) selezionare un nome argomento SNS
nell'elenco, scegliere Actions (Operazioni), quindi selezionare Remove (Rimuovi).5. Scegliere Remove (Rimuovi).
Questa operazione rimuove la directory come editore per l'argomento SNS selezionato. Se desiderieliminare l'intero argomento, puoi farlo dalla console Amazon SNS su https://console.aws.amazon.com/sns/v3/home.
Note
Prima di eliminare un argomento Amazon SNS tramite la console di SNS, devi accertarti che unadirectory non stia inviando messaggi di stato a tale argomento.Se elimini un argomento Amazon SNS tramite la console SNS, questa modifica non si rifletteràimmediatamente nella console Directory Services. Riceverai una notifica solo la prossima volta
Version 1.0223
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
che una directory pubblica una notifica all'argomento eliminato, nel qual caso visualizzerai unostato aggiornato nella scheda Monitoring (Monitoraggio) della directory che indica che l'argomentonon è stato trovato.Pertanto, per evitare di perdere importanti messaggi di stato della directory, prima di eliminarequalsiasi argomento che riceve messaggi da AWS Directory Service, associa la directory a undiverso argomento Amazon SNS.
Collega un'istanza EC2 alla tua directory Simple ADPuoi collegare in tutta facilità un'istanza EC2 al dominio della directory quando l'istanza viene avviatautilizzando AWS Systems Manager. Per ulteriori informazioni, consulta la pagina sull'aggiunta di un'istanzadi Windows a un dominio AWS Directory Service nella guida Guida per l'utente di Amazon EC2 per leistanze Windows.
Se devi aggiungere manualmente un'istanza EC2 al tuo dominio, devi avviare l'istanza nella regione e nelgruppo di sicurezza o nella sottorete corretti e collegare l'istanza al dominio.
Per essere in grado di connettersi in remoto a queste istanze, devi disporre di connettività IP per le istanzedalla rete da cui ti connetti. Nella maggior parte dei casi, questo richiede che un gateway Internet siaassociato al VPC e che l'istanza disponga di un indirizzo IP pubblico.
Argomenti• Aggiunta di un'istanza EC2 Windows (p. 224)• Collegamento manuale di un'istanza Windows (p. 226)• Unisci un'istanza EC2 Linux a senza interruzioni Simple AD Rubrica (p. 227)• Collegamento manuale di un'istanza Linux (p. 231)• Delegare i privilegi di aggiunta per Simple AD (p. 240)• Crea un set di opzioni DHCP (p. 241)
Aggiunta di un'istanza EC2 WindowsQuesta procedura collega perfettamente un'istanza EC2 Windows alla directory Simple AD.
Per collegare perfettamente un'istanza EC2 Windows
1. Accedi alla Console di gestione AWS e apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.
2. Nella barra di navigazione dello strumento di selezione della regione, scegli la stessa regione delladirectory esistente.
3. Scegliere Launch Instance (Avvia istanza).4. Nella pagina Step 1 (Fase 1), scegli Select (Seleziona) per l'AMI appropriata.5. Nella pagina Step 2 (Fase 2), seleziona il tipo di istanza giusto e scegli Next: Configure Instance
Details (Successivo: configura dettagli istanza).6. Nella pagina Step 3 (Fase 3), eseguire le operazioni seguenti e scegliere Next: Add Storage
(Successivo: Aggiungi storage):
1. Per Network (Rete), scegli il VPC in cui la tua directory è stata creata.2. Per Subnet (Sottorete), seleziona una delle sottoreti pubbliche nel tuo VPC. La sottorete che
selezioni deve avere tutto il traffico esterno instradato a un gateway Internet. In caso contrario, nonpotrai connetterti in remoto all'istanza.
3. Per Auto-assign Public IP (Assegna automaticamente IP pubblico), scegliere Enable (Abilita).
Version 1.0224
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
Per ulteriori informazioni sulle impostazioni degli indirizzi IP pubblici e privati, consultareAssegnazione degli indirizzi IP delle istanze EC2 Amazon nella Guida per l'utente di Amazon EC2per le istanze Windows.
4. Per la Domain join directory (Directory aggiunta dominio), selezionare il dominio dall'elenco.
Note
Questa opzione è disponibile solo per le istanze di Windows. Le istanze Linux devonoessere collegate manualmente alla directory come illustrato in Collegamento manuale diun'istanza Linux (p. 74).
5. In IAM role (Ruolo IAM), eseguire una delle seguenti operazioni:
Selezionare un ruolo IAM che ha le policy gestite AWS AmazonSSMManagedInstanceCore eAmazonSSMDirectoryServiceAccess collegate.
-oppure-
Se non si è creato un ruolo IAM che ha le policy gestite AmazonSSMManagedInstanceCore eAmazonSSMDirectoryServiceAccess collegate, scegliere il collegamento Create new IAM role (Creanuovo ruolo IAM) ed eseguire quanto segue:a. Seleziona Create role (Crea ruolo).b. In Select type of trusted entity (Seleziona tipo di entità attendibile), scegliere AWS service
(Servizio AWS).c. In Scegli il servizio che questo ruolo utilizzerà, nell'elenco completo di servizi, scegliere EC2.d. In Select your use case (Seleziona il caso d'uso), selezionare EC2 e quindi Next: Permissions
(Successivo: autorizzazioni).e. Nell’elenco di policy, selezionare le policy AmazonSSMManagedInstanceCore e
AmazonSSMDirectoryServiceAccess. (Per filtrare l’elenco, digitare SSM nella casella di ricerca.)
Note
AmazonSSMDirectoryServiceAccess fornisce le autorizzazioni per collegarele istanze a una Active Directory gestita da AWS Directory Service.AmazonSSMManagedInstanceCore fornisce le autorizzazioni minime necessarie perutilizzare il servizio Systems Manager. Per ulteriori informazioni sulla creazione di unruolo con queste autorizzazioni e per informazioni su altre autorizzazioni e policy che èpossibile assegnare al ruolo IAM, consultare Crea un profilo di istanza IAM per SystemsManager nella Guida per l'utente di AWS Systems Manager.
f. Scegliere Next: Tags (Successivo: Tag).g. (Facoltativo) Aggiungere una o più coppie chiave-valore di tag da organizzare, monitorare o
controllare l'accesso per questo ruolo, quindi scegliere Next: Review (Successivo: Rivedi).h. Per Role nome (Nome ruolo), immettere un nome per il nuovo ruolo, ad esempio
EC2DomainJoin o un altro nome che si preferisce.i. (Facoltativo) Per Role Description (Descrizione ruolo), immettere una descrizione.j. Seleziona Create role (Crea ruolo).k. Tornare alla pagina Step 3 (Fase 3). Per IAM role (Ruolo IAM), seleziona l'icona di
aggiornamento accanto a IAM role (Ruolo IAM). Il tuo nuovo ruolo deve essere visibile nel menua discesa. Selezionarlo e lasciare il resto delle impostazioni su questa pagina con i propri valoripredefiniti, quindi selezionare Next: Add Storage (Successivo: aggiungi storage).
7. Nelle pagine Step 4 (Fase 4) e Step 5 (Fase 5), mantenere le impostazioni predefinite o apportare lemodifiche desiderate, quindi scegliere i pulsanti Next (Avanti).
8. Nella pagina Step 6 (Fase 6), selezionare un gruppo di sicurezza per l'istanza configurata perconsentire l'accesso remoto all'istanza dalla rete, quindi scegliere Review and Launch (Analizza eavvia).
Version 1.0225
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
9. Nella pagina Step 7 (Fase 7), scegliere Launch (Avvia), selezionare una coppia di chiavi e scegliereLaunch Instance (Avvia istanza).
Collegamento manuale di un'istanza WindowsPer collegare manualmente un'istanza di Windows Amazon EC2 esistente a una directory Simple AD oAWS Directory Service for Microsoft Active Directory, l'istanza deve essere avviata come specificato inAggiunta di un'istanza EC2 Windows (p. 66).
Collegamento di un'istanza di Windows a una directory Simple AD o AWS Managed Microsoft AD
1. Connettiti all'istanza utilizzando qualsiasi client Remote Desktop Protocol.2. Apri la finestra di dialogo delle proprietà TCP/IPv4 sull'istanza.
a. Apri Network Connections (Connessioni di rete).
Tip
Puoi aprire le Network Connections (Connessioni di rete) direttamente eseguendo quantosegue da un prompt del comando sull'istanza.
%SystemRoot%\system32\control.exe ncpa.cpl
b. Apri il menu contestuale (fai clic con il pulsante destro del mouse) per qualsiasi connessione direte abilitata e scegli Properties (Proprietà).
c. Nella finestra di dialogo delle proprietà di connessione, apri (doppio clic) Internet Protocol Version4 (Protocollo Internet versione 4).
3. Seleziona Use the following DNS server addresses (Utilizza i seguenti indirizzi server DNS), modifica ilPreferred DNS server (server DNS preferito) e gli indirizzi Alternate DNS server (server DNS alternati)con gli indirizzi IP dei server DNS forniti da AWS Directory Service e scegli OK.
Version 1.0226
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
4. Apri la finestra di dialogo System Properties (Proprietà del sistema) per l'istanza, seleziona la schedaComputer Name (Nome computer) e scegli Change (Modifica).
Tip
Puoi aprire la finestra di dialogo System Properties (Proprietà di sistema) direttamenteeseguendo quanto segue da un prompt del comando sull'istanza.
%SystemRoot%\system32\control.exe sysdm.cpl
5. Nel campo Membro di seleziona Dominio, immetti il nome completo della tua directory AWS DirectoryService e scegli OK.
6. Quando viene richiesto di specificare il nome e la password per l'amministratore del dominio, immettiil nome utente e la password di un account che dispone di privilegi di aggiunta di dominio. Per ulterioriinformazioni sulla delega di questi privilegi, consulta Delegare i privilegi di aggiunta per AWS ManagedMicrosoft AD (p. 85).
Note
Puoi inserire il nome completo del dominio o il nome NetBios, seguiti da una barra rovesciata(\) e dal nome utente.Se si utilizza AWS Managed Microsoft AD, il nome utente diventerebbe Admin. Ad esempio,corp.example.com\admin o corp\admin.Se si utilizza Simple AD, il nome utente sarebbe Amministratore. Ad esempio,corp.example.com\administrator o corp\administrator.
7. Dopo aver ricevuto il messaggio che ti invita al dominio, riavvia l'istanza perché le modifiche diventinoeffettive.
Ora che la tua istanza è stata aggiunta al dominio, puoi accedere all'istanza in remoto e installare utilità pergestire la directory, ad esempio l'aggiunta di utenti e gruppi.
Unisci un'istanza EC2 Linux a senza interruzioni Simple ADRubricaQuesta procedura consente di unire un'istanza EC2 Linux a Simple AD directory.
Sono supportate le seguenti distribuzioni e versioni di istanze Linux:
• AMI Amazon Linux 2018.03.0• Amazon Linux 2 (64-bit x86)• Red Hat Enterprise Linux 8 (HVM) (64-bit x86)• Ubuntu Server 18.04 LTS e Ubuntu Server 16.04 LTS• CentOS 7 x86-64• SUSE Linux Enterprise Server 15 SP1
Note
Le distribuzioni precedenti a Ubuntu 14 e Red Hat Enterprise Linux 7 non supportano lafunzionalità di join del dominio senza soluzione di continuità.
Prerequisites
Prima di poter configurare un'unione di dominio senza interruzioni a un'istanza EC2 Linux, è necessariocompletare le procedure in questa sezione.
Version 1.0227
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
Seleziona il tuo account del servizio di partecipazione al dominio senza interruzioni
È possibile unire senza problemi i computer Linux al proprio Simple AD dominio. A tale scopo, è necessariocreare un account utente con le autorizzazioni di creazione dell'account computer per collegare i computeral dominio. Anche se i membri del Amministratori di dominio o altri gruppi potrebbero disporre di privilegisufficienti per unire i computer al dominio, non consigliamo questo. Come best practice, ti consigliamo diutilizzare un account di servizio che dispone dei privilegi minimi necessari per unire i computer al dominio.
Per informazioni su come elaborare e delegare le autorizzazioni al tuo account di servizio per la creazionedi account di computer, consulta Delegare privilegi all'account del servizio (p. 179).
Creare i segreti per archiviare l'account del servizio di dominio
È possibile utilizzare AWS Secrets Manager per archiviare l'account del servizio di dominio.
Per creare segreti e archiviare le informazioni sull'account del servizio di dominio
1. Accedere alla Console di gestione AWS, quindi aprire la console AWS Secrets Manager all'indirizzohttps://console.aws.amazon.com/secretsmanager/.
2. Scegli Store a new secret (Archivia un nuovo segreto).3. Nella pagina Archivia un nuovo segreto procedi come segue:
a. In Select secret type (Seleziona tipo di segreto), scegliere Other type of secrets (Altro tipo disegreti).
b. In Specificare le coppie chiave/valore da memorizzare nel segreto, effettuare le seguentioperazioni:
i. Nella prima casella digita awsSeamlessDomainUsername. Nella stessa riga, nellacasella successiva, immettere il nome utente per l'account di servizio. Ad esempio, se ilcomando PowerShell è stato utilizzato in precedenza, il nome dell'account del servizio saràawsSeamlessDomain.
Note
È necessario inserire awsSeamlessDomainUsername esattamente così com'è.Assicurarsi che non vi siano spazi iniziali o finali. In caso contrario, l'aggiunta aldominio non riuscirà
ii. Scegliere Aggiungi riga.iii. Nella nuova riga, nella prima casella, immettere awsSeamlessDomainPassword. Nella
stessa riga, nella casella successiva, inserire la password per il tuo account di servizio.Note
È necessario inserire awsSeamlessDomainPassword esattamente così com'è.Assicurarsi che non vi siano spazi iniziali o finali. In caso contrario, l'aggiunta aldominio non riuscirà
iv. In Selezionare la chiave di crittografia, scegliere DefaultEncryptionKey dal menu. SecretsManager crittografa sempre il segreto quando si sceglie questa opzione e lo forniscegratuitamente all’utente. È anche possibile scegliere una chiave che hai creato.
v. Selezionare Successivo.4. In Nome segreto, immettere un nome segreto che includa l'ID della directory utilizzando il formato
seguente aws/directory-services/d-xxxxxxxxx/seamless-domain-join. Questo verràutilizzato per recuperare i segreti nell'applicazione.
Note
Devi inserire aws/directory-services/d-xxxxxxxxx/seamless-domain-joinesattamente com'è, ma sostituire d-xxxxxxxxxx con il tuo ID di directory. Assicurarsi chenon vi siano spazi iniziali o finali. In caso contrario, l'aggiunta al dominio non riuscirà
Version 1.0228
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
5. Lasciare tutto il resto impostato su valori predefiniti, quindi scegliere Avanti.6. In Configura rotazione automatica, scegliere Disattiva rotazione automatica, quindi scegliere Avanti.7. Esaminare le impostazioni, quindi scegliere Archivia per salvare le modifiche. La console Secrets
Manager restituisce l'elenco dei segreti nel tuo account con il nuovo segreto ora incluso nell'elenco.8. Scegliere il nome segreto appena creato dall'elenco e prendere nota del valore ARN segreto . Questo
valore servirà nella fase successiva.
Creazione della policy e del ruolo IAM richiesti.
Utilizzare i passaggi dei prerequisiti riportati di seguito per creare un criterio personalizzato che consental'accesso in sola lettura al segreto di join del dominio Secrets Manager senza interruzioni (creato inprecedenza) e per creare un nuovo ruolo LinuxEC2DomainJoin IAM.
Creare il criterio di lettura Secrets Manager IAM
È possibile utilizzare la console IAM per creare un criterio che conceda l'accesso in sola lettura al segretoSecrets Manager.
Per creare il criterio di lettura Secrets Manager IAM
1. Accedere a Console di gestione AWS come utente che dispone dell'autorizzazione per creare criteriIAM. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
2. Nel riquadro di navigazione scegli Policies (Policy).3. Seleziona Create Policy (Crea policy).4. Selezionare la scheda JSON e copiare il testo dal documento della seguente policy JSON. Quindi
incollarlo nella casella di testo JSON.
Note
Assicurarsi di sostituire l'ARN Resource con l'effettivo ARN del segreto che hai creato inprecedenza.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Resource": [ "arn:aws:secretsmanager:us-east-1:############:secret:aws/directory-service/d-xxxxxxxxxx/seamless-domain-join-example" ] } ]}
5. Al termine, selezionare Review policy (Rivedi policy). In Validatore di policy vengono segnalatieventuali errori di sintassi.
6. Nella pagina Criterio revisione immettere un nome di criterio, ad esempio SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read. Esaminare la sezione Riepilogo per visualizzare le autorizzazioni concesse dalcriterio. Selezionare Crea policy per salvare il proprio lavoro. La nuova policy appare nell'elenco dellepolicy gestite ed è pronta a collegarsi a un’identità.
Version 1.0229
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
Note
Si consiglia di creare un criterio per segreto. In questo modo, le istanze hanno accesso solo alsegreto appropriato e si riduce al minimo l'impatto se un'istanza viene compromessa.
Creare il ruolo LinuxEC2DomainJoin
È possibile utilizzare la console IAM per creare il ruolo che verrà utilizzato e aggiungere il dominioall'istanza Linux EC2.
Per creare il ruolo LinuxEC2DomainJoin
1. Accedere a Console di gestione AWS come utente che dispone dell'autorizzazione per creare criteriIAM. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
2. Nel riquadro di navigazione, scegliere Roles (Ruoli).3. Nel riquadro del contenuto selezionare Crea ruolo.4. In Select type of trusted entity (Seleziona tipo di entità attendibile), scegli AWS service (Servizio AWS).5. In Scegliere un caso d'uso, selezionare EC2, quindi scegliere Next: Permissions (Successivo:
autorizzazioni).6. Per Criteri filtro, eseguire le operazioni seguenti:
a. Specificare AmazonSSMManagedInstanceCore (sì). Selezionare quindi la casella di controllorelativa a tale elemento nell'elenco.
b. Specificare AmazonSSMDirectoryServiceAccess (sì). Selezionare quindi la casella dicontrollo relativa a tale elemento nell'elenco.
c. Immettere SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read (o il nome del criterio creato nellaprocedura precedente). Selezionare quindi la casella di controllo relativa a tale elementonell'elenco.
Note
AmazonSSMDirectoryServiceAccess fornisce le autorizzazioni per collegare le istanze auna Active Directory gestita da AWS Directory Service. AmazonSSMManagedInstanceCorefornisce le autorizzazioni minime necessarie per utilizzare il servizio AWS Systems Manager.Per ulteriori informazioni sulla creazione di un ruolo con queste autorizzazioni e perinformazioni su altre autorizzazioni e policy che è possibile assegnare al ruolo IAM, consultareCrea un profilo di istanza IAM per Systems Manager in Guida per l'utente di AWS SystemsManager.
7. Scegliere Next: Tags (Successivo: Tag).8. (Facoltativo) Aggiungere una o più coppie chiave-valore di tag per organizzare, monitorare o
controllare l'accesso per questo ruolo. Scegli quindi Next: Review (Avanti: Verifica).9. In Nome ruolo, immettere un nome per il nuovo ruolo, ad esempio LinuxEC2DomainJoin o un altro
nome che si preferisce.10. (Facoltativo) Per Role Description (Descrizione ruolo), immettere una descrizione.11. Seleziona Create role (Crea ruolo).
Unisciti perfettamente all'istanza EC2 Linux
Ora che sono state configurate tutte le attività dei prerequisiti, è possibile utilizzare la procedura seguenteper unirsi perfettamente all'istanza Linux EC2.
Version 1.0230
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
Per unire senza problemi l'istanza Linux EC2
1. Accedere a Console di gestione AWS e aprire la console Amazon EC2 all’indirizzo https://console.aws.amazon.com/ec2/.
2. Nella barra di navigazione dello strumento di selezione della regione, scegli la stessa regione delladirectory esistente.
3. Scegliere Launch Instance (Avvia istanza).4. Nella pagina Fase 1 scegliere Seleziona per l'immagine Amazon Machine (AMI) appropriata.
Note
L'AMI utilizzata deve avere AWS Systems Manager (agente SSM) versione 2.3.1644.0 osuccessiva. Per verificare la versione dell'agente SSM installata nell'AMI avviando un'istanzada tale AMI, vedere Ottenere la versione dell'agente SSM attualmente installata. Se ènecessario aggiornare l'agente SSM, vedere Installazione e configurazione dell'agente SSMsu istanze EC2 per Linux.
5. Nella pagina Step 2 (Fase 2), seleziona il tipo di istanza giusto e scegli Next: Configure InstanceDetails (Successivo: configura dettagli istanza).
6. Nella pagina Step 3 (Fase 3), eseguire le operazioni seguenti e scegliere Next: Add Storage(Successivo: Aggiungi storage):
a. Per Network (Rete), scegli il VPC in cui la tua directory è stata creata.b. Per Subnet (Sottorete), seleziona una delle sottoreti pubbliche nel tuo VPC. La sottorete che
selezioni deve avere tutto il traffico esterno instradato a un gateway Internet. In caso contrario,non potrai connetterti in remoto all'istanza.
c. Per Auto-assign Public IP (Assegna automaticamente IP pubblico), scegliere Enable (Abilita).Per ulteriori informazioni sulle impostazioni degli indirizzi IP pubblici e privati, consulta la sezioneImpostazione degli indirizzi IP dell'istanza EC2 Amazon nella Guida per l'utente Amazon EC2 perle istanze Windows.
d. Per la Domain join directory (Directory aggiunta dominio), selezionare il dominio dall'elenco.e. Per il ruolo IAM, scegliere il ruolo IAM creato in precedenza nella sezione prerequisiti Passaggio 2:
Creare il ruolo LinuxEC2DomainJoin.7. Nelle pagine Fase 4 e Fase 5, mantenere le impostazioni predefinite o apportare le modifiche
desiderate. Quindi scegliere Avanti su ciascuna pagina.8. Nella pagina Passaggio 6 selezionare un gruppo di protezione configurato per consentire l'accesso
remoto all'istanza dalla rete. Scegliere Analizza e avvia.9. Nella pagina Fase 7, scegliere Avvia, selezionare una coppia di chiavi e scegliere Avvia istanza.
Note
Se si sta eseguendo un join di dominio senza soluzione di continuità con SUSE Linux, ènecessario un riavvio prima che le autenticazioni funzionino. Per riavviare SUSE dal terminaleLinux, digitare sudo reboot.
Collegamento manuale di un'istanza LinuxOltre alle istanze Windows Amazon EC2, è possibile aggiungere determinate istanze Linux Amazon EC2alla tua directory Simple AD. Sono supportate le seguenti distribuzioni e versioni di istanze Linux:
• Amazon Linux AMI 2018.03.0• Amazon Linux 2 (64-bit x86)• Red Hat Enterprise Linux 8 (HVM) (64-bit x86)• Ubuntu Server 18.04 LTS & Ubuntu Server 16.04 LTS
Version 1.0231
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
• CentOS 7 x86-64• SUSE Linux Enterprise Server 15 SP1
Note
Other Linux distributions and versions may work but have not been tested.
Collega un'istanza alla tua directory
Before you can join either an Amazon Linux, CentOS, Red Hat, or Ubuntu instance to your directory, theinstance must first be launched as specified in Aggiunta di un'istanza EC2 Windows (p. 66).
Important
Some of the following procedures, if not performed correctly, can render your instanceunreachable or unusable. Therefore, we strongly suggest you make a backup or take a snapshotof your instance before performing these procedures.
Per aggiungere un'istanza Linux alla tua directory
Segui i passaggi descritti per l'istanza Linux specifica utilizzando una delle seguenti schede:
Amazon Linux
1. Connettiti all'istanza tramite qualsiasi client SSH.2. Configura l'istanza Linux per utilizzare gli indirizzi IP del server DNS forniti da AWS Directory
Service. A tale scopo, puoi configurare l'istanza nel set di opzioni DHCP collegato al VPC oeffettuare la configurazione manualmente sull'istanza. Se intendi configurarla manualmente,consulta la pagina relativa a come assegnare un server DNS statico a un'istanza Amazon EC2privata di AWS Knowledge Center per istruzioni sull'impostazione del server DNS persistente per latua particolare distribuzione e versione di Linux.
3. Assicurati che l'istanza Amazon Linux - 64bit sia aggiornata.
sudo yum -y update
4. Installa i pacchetti Amazon Linux necessari nell'istanza Linux.
Note
Alcuni di questi pacchetti potrebbero essere già installati.Quando installi i pacchetti, potrebbero essere visualizzate diverse schermate popup diconfigurazione. In generale, puoi lasciare vuoti i campi di queste schermate.
Amazon Linux 1
sudo yum -y install sssd realmd krb5-workstation
Amazon Linux 2
sudo yum -y install sssd realmd krb5-workstation samba-common-tools
Note
Per stabilire la versione di Amazon Linux che stai utilizzando, consulta Identificazione delleimmagini Amazon Linux nella Guida per l'utente per le istanze Linux di Amazon EC2.
5. Collega l'istanza alla directory tramite il comando seguente.
Version 1.0232
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
sudo realm join -U [email protected] example.com --verbose
Un account nel dominio example.com che dispone di privilegi di aggiunta al dominio. Inseriscila password dell'account quando richiesta. Per ulteriori informazioni sulla delega di questiprivilegi, consulta Delegare i privilegi di aggiunta per AWS Managed Microsoft AD (p. 85).
example.com
Il nome DNS completo della directory.
... * Successfully enrolled machine in realm
6. Imposta il servizio SSH per permettere l'autenticazione della password.a. Apri il file /etc/ssh/sshd_config in un editor di testo.
sudo vi /etc/ssh/sshd_config
b. Imposta PasswordAuthentication su yes.
PasswordAuthentication yes
c. Riavvia il servizio SSH.
sudo systemctl restart sshd.service
In alternativa:
sudo service sshd restart
7. After the instance has restarted, connect to it with any SSH client and add the domain admins groupto the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
## Add the "Domain Admins" group from the example.com domain.%Domain\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
CentOS
1. Connettiti all'istanza tramite qualsiasi client SSH.2. Configura l'istanza Linux per utilizzare gli indirizzi IP del server DNS forniti da AWS Directory
Service. A tale scopo, puoi configurare l'istanza nel set di opzioni DHCP collegato al VPC oeffettuare la configurazione manualmente sull'istanza. Se intendi configurarla manualmente,consulta la pagina relativa a come assegnare un server DNS statico a un'istanza Amazon EC2Version 1.0
233
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
privata di AWS Knowledge Center per istruzioni sull'impostazione del server DNS persistente per latua particolare distribuzione e versione di Linux.
3. Assicurati che l'istanza CentOS 7 sia aggiornata.
sudo yum -y update
4. Installa i pacchetti CentOS 7 necessari nell'istanza Linux.
Note
Alcuni di questi pacchetti potrebbero essere già installati.Quando installi i pacchetti, potrebbero essere visualizzate diverse schermate popup diconfigurazione. In generale, puoi lasciare vuoti i campi di queste schermate.
sudo yum -y install sssd realmd krb5-workstation samba-common-tools
5. Collega l'istanza alla directory tramite il comando seguente.
sudo realm join -U [email protected] example.com --verbose
Un account nel dominio example.com che dispone di privilegi di aggiunta al dominio. Inseriscila password dell'account quando richiesta. Per ulteriori informazioni sulla delega di questiprivilegi, consulta Delegare i privilegi di aggiunta per AWS Managed Microsoft AD (p. 85).
example.com
Il nome DNS completo della directory.
... * Successfully enrolled machine in realm
6. Imposta il servizio SSH per permettere l'autenticazione della password.a. Apri il file /etc/ssh/sshd_config in un editor di testo.
sudo vi /etc/ssh/sshd_config
b. Imposta PasswordAuthentication su yes.
PasswordAuthentication yes
c. Riavvia il servizio SSH.
sudo systemctl restart sshd.service
In alternativa:
sudo service sshd restart
7. After the instance has restarted, connect to it with any SSH client and add the domain admins groupto the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
Version 1.0234
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
## Add the "Domain Admins" group from the example.com domain.%Domain\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
Red Hat
1. Connettiti all'istanza tramite qualsiasi client SSH.2. Configura l'istanza Linux per utilizzare gli indirizzi IP del server DNS forniti da AWS Directory
Service. A tale scopo, puoi configurare l'istanza nel set di opzioni DHCP collegato al VPC oeffettuare la configurazione manualmente sull'istanza. Se intendi configurarla manualmente,consulta la pagina relativa a come assegnare un server DNS statico a un'istanza Amazon EC2privata di AWS Knowledge Center per istruzioni sull'impostazione del server DNS persistente per latua particolare distribuzione e versione di Linux.
3. Assicurati che l'istanza Red Hat - 64bit sia aggiornata.
sudo yum -y update
4. Installa i pacchetti Red Hat necessari nell'istanza Linux.
Note
Alcuni di questi pacchetti potrebbero essere già installati.Quando installi i pacchetti, potrebbero essere visualizzate diverse schermate popup diconfigurazione. In generale, puoi lasciare vuoti i campi di queste schermate.
sudo yum -y install sssd realmd krb5-workstation samba-common-tools
5. Collega l'istanza alla directory tramite il comando seguente.
sudo realm join -v -U join_account example.com --install=/
join_account
SAMAccountName per un account nel dominio example.com con privilegi di join al dominio.Inserisci la password dell'account quando richiesta. Per ulteriori informazioni sulla delega diquesti privilegi, consulta Delegare i privilegi di aggiunta per AWS Managed Microsoft AD (p. 85).
example.com
Il nome DNS completo della directory.
... * Successfully enrolled machine in realm
6. Imposta il servizio SSH per permettere l'autenticazione della password.a. Apri il file /etc/ssh/sshd_config in un editor di testo.
sudo vi /etc/ssh/sshd_config
b. Imposta PasswordAuthentication su yes.
PasswordAuthentication yes
Version 1.0235
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
c. Riavvia il servizio SSH.
sudo systemctl restart sshd.service
In alternativa:
sudo service sshd restart
7. After the instance has restarted, connect to it with any SSH client and add the domain admins groupto the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
## Add the "Domain Admins" group from the example.com domain.%Domain\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
Ubuntu
1. Connettiti all'istanza tramite qualsiasi client SSH.2. Configura l'istanza Linux per utilizzare gli indirizzi IP del server DNS forniti da AWS Directory
Service. A tale scopo, puoi configurare l'istanza nel set di opzioni DHCP collegato al VPC oeffettuare la configurazione manualmente sull'istanza. Se intendi configurarla manualmente,consulta la pagina relativa a come assegnare un server DNS statico a un'istanza Amazon EC2privata di AWS Knowledge Center per istruzioni sull'impostazione del server DNS persistente per latua particolare distribuzione e versione di Linux.
3. Assicurati che l'istanza Ubuntu - 64bit sia aggiornata.
sudo apt-get updatesudo apt-get -y upgrade
4. Installa i pacchetti Ubuntu necessari nell'istanza Linux.
Note
Alcuni di questi pacchetti potrebbero essere già installati.Quando installi i pacchetti, potrebbero essere visualizzate diverse schermate popup diconfigurazione. In generale, puoi lasciare vuoti i campi di queste schermate.
sudo apt-get -y install sssd realmd krb5-user samba-common packagekit adcli
5. Disattivare la risoluzione DNS inversa e impostare l'area di autenticazione predefinita sul nomedi dominio completo del dominio. Perché un realm possa funzionare, le istanze Ubuntu devonoessere risolvibili in modo inverso nel DNS. In caso contrario, dovrai disabilitare il DNS inverso in /etc/krb5.conf come segue:
sudo vi /etc/krb5.conf
Version 1.0236
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
[libdefaults] default_realm = EXAMPLE.COM rdns = false
6. Collega l'istanza alla directory tramite il comando seguente.
sudo realm join -U join_account example.com --verbose
SAMAccountName per un account nel dominio example.com con privilegi di join al dominio.Inserisci la password dell'account quando richiesta. Per ulteriori informazioni sulla delega diquesti privilegi, consulta Delegare i privilegi di aggiunta per AWS Managed Microsoft AD (p. 85).
example.com
Il nome DNS completo della directory.
... * Successfully enrolled machine in realm
7. Imposta il servizio SSH per permettere l'autenticazione della password.a. Apri il file /etc/ssh/sshd_config in un editor di testo.
sudo vi /etc/ssh/sshd_config
b. Imposta PasswordAuthentication su yes.
PasswordAuthentication yes
c. Riavvia il servizio SSH.
sudo systemctl restart sshd.service
In alternativa:
sudo service sshd restart
8. After the instance has restarted, connect to it with any SSH client and add the domain admins groupto the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
## Add the "Domain Admins" group from the example.com domain.%Domain\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
Version 1.0237
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
Note
Quando si utilizza Simple AD, se crei un account utente su un'istanza Linux con l'opzione "Forzautente a modificare la password al primo accesso", tale utente non sarà in grado di modificareinizialmente la password utilizzando kpasswd. Per modificare la password la prima volta, unamministratore di dominio deve aggiornare la password utente utilizzando gli strumenti di gestionedi Active Directory.
Gestione di account da un'istanza LinuxPer gestire gli account in Simple AD da un'istanza Linux, è necessario aggiornare file di configurazionespecifici dell'istanza Linux come segue:
1. Impostare krb5_use_kdcinfo su False (Falso) nel file /etc/sssd/sssd.conf. Ad esempio: .
[domain/example.com] krb5_use_kdcinfo = False
2. Perché la configurazione diventi effettiva, devi riavviare il servizio sssd:
$ sudo systemctl restart sssd.service
In alternativa, puoi usare:
$ sudo service sssd start
3. Se si gestiscono utenti da un'istanza Linux CentOS, è anche necessario modificare il file /etc/smb.confper includere:
[global] workgroup = EXAMPLE.COM realm = EXAMPLE.COM netbios name = EXAMPLE security = ads
Limitazioni di accesso all'accountPoiché tutti gli account vengono definiti in Active Directory, per impostazione predefinita tutti gli utenti nelladirectory possono accedere all'istanza. Puoi permettere solo a utenti specifici di accedere all'istanza conad_access_filter in sssd.conf. Ad esempio:
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
memberOf
Indica che agli utenti è consentito solo l'accesso all'istanza se membri di un determinato gruppo.cn
Il nome canonico del gruppo a cui è consentito l'accesso. In questo esempio, il nome del gruppo èadmins.
ou
È l'unità organizzativa in cui si trova il gruppo di cui sopra. In questo esempio, OU è Testou.dc
È il componente di dominio del tuo dominio. In questo esempio, example (esempio).
Version 1.0238
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
dc
È un componente di dominio aggiuntivo. In questo esempio, com.
È necessario aggiungere manualmente ad_access_filter a /etc/sssd/sssd.conf.
Apri il file /etc/sssd/sssd.conf in un editor di testo.
sudo vi /etc/sssd/sssd.conf
A questo punto, il tuo sssd.conf potrebbe avere questo aspetto:
[sssd]domains = example.comconfig_file_version = 2 services = nss, pam
[domain/example.com] ad_domain = example.com krb5_realm = EXAMPLE.COM realmd_tags = manages-system joined-with-samba cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True use_fully_qualified_names = True fallback_homedir = /home/%u@%d access_provider = ad ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
Perché la configurazione diventi effettiva, devi riavviare il servizio sssd:
sudo systemctl restart sssd.service
In alternativa, puoi usare:
sudo service sssd start
Collegamento all'istanza
Quando un utente effettua la connessione all'istanza tramite un client SSH, gli verrà richiesto di inserireil proprio nome utente. L'utente può immettere il nome utente nei formati [email protected] oEXAMPLE\username . La risposta apparirà simile alla seguente, a seconda della distribuzione linux chestai usando:
Amazon Linux, Red Hat Enterprise Linux e CentOS Linux
login as: [email protected]@example.com's password:Last login: Thu Jun 25 16:26:28 2015 from XX.XX.XX.XX
SUSE Linux
SUSE Linux Enterprise Server 15 SP1 x86_64 (64-bit)
Version 1.0239
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
As "root" (sudo or sudo -i) use the: - zypper command for package management - yast command for configuration management Management and Config: https://www.suse.com/suse-in-the-cloud-basicsDocumentation: https://www.suse.com/documentation/sles-15/Forum: https://forums.suse.com/forumdisplay.php?93-SUSE-Public-Cloud Have a lot of fun...
Ubuntu Linux
login as: [email protected]@[email protected]'s password:Welcome to Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-1057-aws x86_64) * Documentation: https://help.ubuntu.com* Management: https://landscape.canonical.com* Support: https://ubuntu.com/advantage System information as of Sat Apr 18 22:03:35 UTC 2020 System load: 0.01 Processes: 102 Usage of /: 18.6% of 7.69GB Users logged in: 2 Memory usage: 16% IP address for eth0: 10.24.34.1 Swap usage: 0%
Delegare i privilegi di aggiunta per Simple ADPer unire un computer alla directory, devi disporre di un account con privilegi per aggiungere computer alladirectory.
Con Simple AD, i membri del gruppo Domain Admins (Amministratori dominio) dispongono di privilegisufficienti per aggiungere computer alla directory.
Tuttavia, come best practice, dovresti utilizzare un account che disponga solo dei privilegi minimi necessari.La seguente procedura mostra come creare un nuovo gruppo denominato Joiners e delegare i privileginecessari a questo gruppo per aggiungere i computer alla directory.
È necessario eseguire questa procedura su un computer collegato alla directory e dotato di Utenti ecomputer di Active Directory Snap-in MMC installato. Inoltre, è necessario aver eseguito l'accesso comeamministratore del dominio.
Per delegare i privilegi di aggiunta per Simple AD
1. Apri Active Directory User and Computers (Utenti e computer di Active Directory) e seleziona la radicedel dominio nell'albero di spostamento.
2. Nella struttura di navigazione a sinistra, fare clic con il pulsante destro del mouse per aprire il menu discelta rapida Users (Utenti), scegliere New (Nuovo), quindi Group (Gruppo).
3. Nella finestra New Object - Group (Nuovo oggetto - Gruppo), digita quanto segue e scegli OK.
• Per Group name (Nome gruppo), digita Joiners.• In Group scope (Ambito del gruppo), scegli Global (Globale).• Per Group type (Tipo gruppo), scegli Security (Sicurezza).
4. Nella struttura di navigazione, selezionare la radice del dominio. Nel menu Action (Operazione), scegliDelegate Control (Delega controllo).
5. Nella pagina Delegation of Control Wizard (Delega guidata del controllo), scegli Next (Avanti), quindiscegli Add (Aggiungi).
Version 1.0240
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
6. Nella finestra Select Users, Computers, or Groups (Seleziona utenti, computer o gruppi), digitaJoiners e scegli OK. Se viene trovato più di un oggetto, selezionare il gruppo Joiners creato sopra.Seleziona Next (Successivo).
7. Nella pagina Operazioni da delegare, selezionare Crea un'operazione personalizzata per eseguire ladelega, quindi scegliere Avanti.
8. Seleziona Only the following objects in the folder (Solo i seguenti oggetti contenuti nella cartella),quindi Computer objects (Oggetti computer).
9. Selezionare Crea gli oggetti selezionati in questa cartella e Elimina gli oggetti selezionati in questacartella. Quindi, seleziona Next (Successivo).
10. Seleziona Read (Lettura) e Write (Scrittura), quindi scegli Next (Avanti).
11. Verificare le informazioni nella pagina Completing the Delegation of Control Wizard (Completamentodella delega guidata del controllo) e scegli Finish (Termina).
12. Crea un utente con una password complessa e aggiungilo al gruppo Joiners. L'utente disporrà quindidi privilegi sufficienti per connettere AWS Directory Service alla directory.
Crea un set di opzioni DHCPAWS consiglia di creare un set di opzioni DHCP per la directory AWS Directory Service e di assegnarlo alVOPC in cui si trova la directory. Questo permette alle istanze in tale VPC di puntare al dominio e ai serverDNS specificati per risolvere i propri nomi di dominio.
Version 1.0241
AWS Directory Service Guida di amministrazioneCollega un'istanza EC2 alla tua directory
Per ulteriori informazioni sui set opzioni DHCP, consulta Set opzioni DHCP nella Guida per l'utente diAmazon VPC.
Creazione di un set opzioni DHCP per la tua directory
1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.2. Nel riquadro di navigazione, scegliere DHCP Options Sets (Set di opzioni DHCP), quindi selezionare
Create DHCP options set (Crea set di opzioni DHCP).3. Nella pagina Create DHCP options set (Crea set opzioni DHCP), fornire i seguenti valori per la
directory:
Nome
Un tag opzionale per il set di opzioni.Nome dominio
Il nome completo della tua directory, ad esempio corp.example.com.Domain name servers (Server dei nomi di dominio (DNS))
Gli indirizzi IP dei server DNS della directory fornita da AWS.
Note
È possibile trovare questi indirizzi accedendo al riquadro di navigazione AWS DirectoryService console, selezionando Directories (Directory) e scegliendo l’ID di directorycorretto.
NTP servers (Server NTP)
Lascia questo campo vuoto.NetBIOS name servers (Server dei nomi NetBIOS)
Lascia questo campo vuoto.NetBIOS node type (Tipo di nodo NetBIOS
Lascia questo campo vuoto.4. Selezionare Create DHCP options set (Crea set di opzioni DHCP). Il nuovo set di opzioni DHCP viene
visualizzato nell'elenco delle opzioni DHCP.5. Annotare l'ID del nuovo set di opzioni DHCP (dopt-xxxxxxxx). Si utilizza per associare il nuovo set di
opzioni al VPC.
Modifica del set opzioni DHCP associato a un VPC
Dopo aver creato un set di opzioni DHCP, non puoi modificarle. Se desideri che il tuo VPC utilizzi un altroset di opzioni DHCP, devi creare un nuovo set e associarlo al tuo VPC. Puoi anche impostare il tuo VPCsenza utilizzare alcuna opzione DHCP.
1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.2. Nel riquadro di navigazione, scegliere Your VPCs (I tuoi VPC).3. Selezionare il VPC e quindi selezionare Actions (Operazioni), Edit DHCP Options Set (Modifica set
opzioni DHCP).4. Per DHCP Options Set (Set di opzioni DHCP), selezionare o scegliere No DHCP Options Set (Nessun
set di opzioni DHCP) e Save (Salva).
Version 1.0242
AWS Directory Service Guida di amministrazioneGestione della directory
Gestione della directory Simple ADIn questa sezione viene descritto come gestire le attività di amministrazione più comuni per l'ambienteSimple AD.
Argomenti• Eliminazione della tua directory (p. 243)• Snapshot o ripristino della directory (p. 244)• Visualizza le informazioni sulla directory (p. 245)
Eliminazione della tua directoryWhen a Simple AD or AWS Directory Service for Microsoft Active Directory directory is deleted, all ofthe directory data and snapshots are deleted and cannot be recovered. After the directory is deleted, allinstances that are joined to the directory remain intact. You cannot, however, use your directory credentialsto log in to these instances. You need to log in to these instances with a user account that is local to theinstance.
When an AD Connector directory is deleted, your on-premises directory remains intact. All instances thatare joined to the directory also remain intact and remain joined to your on-premises directory. You can stilluse your directory credentials to log in to these instances.
To delete a directory
1. In the AWS Directory Service console navigation pane, select Directories.2. Ensure that no AWS applications are enabled for the directory.
a. On the Directories page, choose your directory ID.b. On the Directory details page, select the Application management tab. In the AWS apps &
services section, you see which AWS applications are enabled for your directory.
• To disable Amazon WorkSpaces, you must deregister the service from the directory in theAmazon WorkSpaces console. For more information, see Deregistering From a Directory in theAmazon WorkSpaces Administration Guide.
• To disable Amazon WorkSpaces Application Manager, you must remove all applicationassignments in the Amazon WAM console. For more information, see Removing All ApplicationAssignments in the Amazon WAM Administration Guide.
• To disable Amazon WorkDocs, you must delete the Amazon WorkDocs site in the AmazonWorkDocs console. For more information, see Delete a Site in the Guida per l'amministratore diAmazon WorkDocs.
• To disable Amazon WorkMail, you must remove the Amazon WorkMail organization in theAmazon WorkMail console. For more information, see Remove an Organization in the AmazonWorkMail Administrator Guide.
• Disable Console di gestione AWS access.• To disable Amazon Relational Database Service, you must remove the Amazon RDS instance
from the domain. For more information, see Managing a DB Instance in a Domain in the Guidaper l'utente di Amazon RDS.
• To disable Amazon QuickSight, you must unsubscribe from Amazon QuickSight. For moreinformation, see Closing Your Amazon QuickSight Account in the Amazon QuickSight UserGuide.
• To disable Amazon Connect, you must delete the Amazon Connect Instance. For moreinformation, see Deleting an Amazon Connect Instance in the Amazon Connect AdministrationGuide.
Version 1.0243
AWS Directory Service Guida di amministrazioneGestione della directory
• To disable Amazon FSx for Windows File Server, you must remove the Amazon FSx file systemfrom the domain. For more information, see Working with Active Directory in Amazon FSx forWindows File Server in the Guida per l'utente di Amazon FSx for Windows File Server.
Note
If you are using AWS Single Sign-On and have previously connected it to the AWSManaged Microsoft AD directory you plan to delete, you must first disconnect thedirectory from AWS SSO before you can delete it. For more information, see Disconnecta Directory in the AWS SSO User Guide.
3. In the navigation pane, choose Directories.4. Select only the directory to be deleted and click Delete. It takes several minutes for the directory to be
deleted. When the directory has been deleted, it is removed from your directory list.
Snapshot o ripristino della directoryAWS Directory Service provides the ability to take manual snapshots of data for a Simple AD or AWSDirectory Service for Microsoft Active Directory directory. These snapshots can be used to perform a point-in-time restore for your directory.
Note
You cannot take snapshots of AD Connector directories.
Argomenti• Creating a Snapshot of Your Directory (p. 118)• Restoring Your Directory from a Snapshot (p. 119)• Deleting a Snapshot (p. 119)
Creating a Snapshot of Your Directory
A snapshot can be used to restore your directory to what it was at the point in time that the snapshot wastaken. To create a manual snapshot of your directory, perform the following steps.
Note
You are limited to 5 manual snapshots for each directory. If you have already reached this limit,you must delete one of your existing manual snapshots before you can create another.
To create a manual snapshot
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Maintenance tab.4. In the Snapshots section, choose Actions, and then select Create snapshot.5. In the Create directory snapshot dialog box, provide a name for the snapshot, if desired. When ready,
choose Create.
Depending on the size of your directory, it may take several minutes to create the snapshot. When thesnapshot is ready, the Status value changes to Completed.
Version 1.0244
AWS Directory Service Guida di amministrazioneGestione della directory
Restoring Your Directory from a Snapshot
Restoring a directory from a snapshot is equivalent to moving the directory back in time. Directorysnapshots are unique to the directory they were created from. A snapshot can only be restored to thedirectory from which it was created. In addition, the maximum supported age of a manual snapshot is180 days. For more information, see Useful shelf life of a system-state backup of Active Directory on theMicrosoft website.
Warning
We recommend that you contact the AWS Support Center before any snapshot restore; we maybe able to help you avoid the need to do a snapshot restore. Any restore from snapshot can resultin data loss as they are a point in time. It is important you understand that all of the DCs and DNSservers associated with the directory will be offline until the restore operation has been completed.
To restore your directory from a snapshot, perform the following steps.
To restore a directory from a snapshot
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Maintenance tab.4. In the Snapshots section, select a snapshot in the list, choose Actions, and then select Restore
snapshot.5. Review the information in the Restore directory snapshot dialog box, and choose Restore.
For a Simple AD directory, it may take several minutes for the directory to be restored. For a AWSManaged Microsoft AD directory, it can take from two to three hours. When it has been successfullyrestored, the Status value of the directory changes to Active. Any changes made to the directory after thesnapshot date are overwritten.
Deleting a Snapshot
To delete a snapshot
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Maintenance tab.4. In the Snapshots section, choose Actions, and then select Delete snapshot.5. Verify that you want to delete the snapshot, and then choose Delete.
Visualizza le informazioni sulla directoryYou can view detailed information about a directory.
To view detailed directory information
1. In the AWS Directory Service console navigation pane, select Directories.2. Click the directory ID link for your directory. Information about the directory is displayed in the Directory
details page.
For more information about the Status field, see Comprendere lo stato della directory (p. 51).
Version 1.0245
AWS Directory Service Guida di amministrazioneAbilitazione dell'accesso alle applicazioni e ai servizi AWS
Abilitazione dell'accesso alle applicazioni e ai serviziAWSAWS Directory Service can give other AWS applications and services, such as Amazon WorkSpaces,access to your directory users. The following AWS applications and services can be enabled or disabled towork with AWS Directory Service.
AWS application / service More information...
Amazon Chime For more information, see the Amazon ChimeAdministration Guide.
Amazon Connect For more information, see the Amazon ConnectAdministration Guide.
Amazon FSx for Windows File Server For more information, see Using Amazon FSxwith AWS Directory Service for Microsoft ActiveDirectory in the Amazon FSx for Windows FileServer User Guide.
Amazon QuickSight For more information, see the Amazon QuickSightUser Guide.
Amazon Relational Database Service For more information, see the Guida per l'utente diAmazon RDS.
Amazon WorkDocs For more information, see the Guida perl'amministratore di Amazon WorkDocs.
Amazon WorkMail For more information, see the Amazon WorkMailAdministrator Guide.
Amazon WorkSpaces You can create a Simple AD, AWS ManagedMicrosoft AD, or AD Connector directly fromAmazon WorkSpaces. Simply launch AdvancedSetup when creating your Workspace.
For more information, see the AmazonWorkSpaces Administration Guide.
Amazon WorkSpaces Application Manager For more information, see the Amazon WAMAdministration Guide.
Console di gestione AWS For more information, see Attivazione dell'accessoa Console di gestione AWS con le credenzialiAD (p. 133).
Once enabled, you manage access to your directories in the console of the application or service that youwant to give access to your directory. To find the AWS applications and services links described above inthe AWS Directory Service console, perform the following steps.
To display the applications and services for a directory
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.
Version 1.0246
AWS Directory Service Guida di amministrazioneAbilitazione dell'accesso alle applicazioni e ai servizi AWS
4. Review the list under the AWS apps & services section.
Argomenti• Creazione di un URL di accesso (p. 247)• Single Sign-On (p. 247)
Creazione di un URL di accessoAn access URL is used with AWS applications and services, such as Amazon WorkSpaces, to reach alogin page that is associated with your directory. The URL must be unique globally. You can create anaccess URL for your directory by performing the following steps.
Warning
Once you create an application access URL for this directory, it cannot be changed. After anaccess URL is created, it cannot be used by others. If you delete your directory, the access URL isalso deleted and can then be used by any other account.
To create an access URL
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. In the Application access URL section, if an access URL has not been assigned to the directory, the
Create button is displayed. Enter a directory alias and choose Create. If an Entity Already Exists erroris returned, the specified directory alias has already been allocated. Choose another alias and repeatthis procedure.
Your access URL is displayed in the format <alias>.awsapps.com.
Single Sign-OnAWS Directory Service offre la possibilità di consentire agli utenti di accedere a Amazon WorkDocs da uncomputer collegato alla directory senza immettere le proprie credenziali separatamente.
Prima di abilitare l'accesso single sign-on, è necessario eseguire operazioni aggiuntive per abilitare ilbrowser Web dei tuoi utenti a supportare l'accesso single sign-on. Gli utenti potrebbero dover modificare leproprie impostazioni del browser Web per abilitare l'accesso single sign-on.
Note
L'accesso single sign-on funziona solo quando viene utilizzato su un computer collegato alladirectory AWS Directory Service e non può essere utilizzato sui computer che non sono collegatialla directory.
Se la directory è una directory del connettore AD e l'account del servizio Connettore AD non disponedell'autorizzazione per aggiungere o rimuovere l'attributo nome dell'entità servizio, per i passaggi 5 e 6seguenti sono disponibili due opzioni:
1. È possibile procedere e verrà richiesto il nome utente e la password per un utente di directory chedispone di questa autorizzazione per aggiungere o rimuovere l'attributo nome dell'entità servizionell'account del servizio Connettore AD. Queste credenziali vengono utilizzate solo per abilitarel'accesso single sign-on e non vengono archiviate dal servizio. Le autorizzazioni dell'account del servizioConnettore AD non vengono modificate.
Version 1.0247
AWS Directory Service Guida di amministrazioneAbilitazione dell'accesso alle applicazioni e ai servizi AWS
2. È possibile delegare le autorizzazioni per consentire all'account del servizio Connettore AD diaggiungere o rimuovere l'attributo nome dell'entità servizio su se stesso, è possibile eseguire i comandiPowerShell riportati di seguito da un computer associato a un dominio utilizzando un account chedispone delle autorizzazioni per modificare le autorizzazioni per l'account del servizio Connettore AD. Ilcomando seguente darà all'account del servizio Connettore AD la possibilità di aggiungere e rimuovereun attributo nome dell'entità servizio solo per se stesso.
$AccountName = 'ConnectorAccountName'# DO NOT modify anything below this comment.# Getting Active Directory information.Import-Module 'ActiveDirectory'$RootDse = Get-ADRootDSE [System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID# Getting AD Connector service account Information.$AccountProperties = Get-ADUser -Identity $AccountName$AclPath = $AccountProperties.DistinguishedName$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value# Getting ACL settings for AD Connector service account.$ObjectAcl = Get-ACL -Path "AD:\$AclPath" # Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None'$ObjectAcl.AddAccessRule($AddAccessRule)Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
Attivazione o disattivazione dell'accesso single sign-on con Amazon WorkDocs
1. Nel riquadro di navigazione di AWS Directory Service console, selezionare Directories (Directory).2. Nella pagina Directories (Directory), scegli l'ID della directory.3. Nella pagina Directory details (Dettagli della directory), seleziona la scheda Application management
(Gestione dell'applicazione).4. Nella sezione Application access URL (URL di accesso all'applicazione) scegliere Enable (Abilita) per
abilitare l'accesso Single Sign-On per Amazon WorkDocs.
Se non visualizzi il pulsante Enable (Abilita), potresti dover creare un URL di accesso prima che questaopzione venga visualizzata. Per ulteriori informazioni su come creare un URL di accesso, consultaCreazione di un URL di accesso (p. 125).
5. Nella finestra di dialogo Enable Single Sign-On for this directory (Abilita accesso single sign-on perquesta directory) scegli Enable (Abilita). L'accesso single sign-on è abilitato per la directory.
6. Se successivamente desideri disabilitare l'accesso single sign-on con Amazon WorkDocs, selezionaDisable (Disabilita) e nella finestra di dialogo Disable Single Sign-On for this directory (Disabilitaaccesso single sign-on per questa directory) seleziona di nuovo Disable (Disabilita).
Argomenti• Accesso single sign-on per IE e Chrome (p. 126)• Accesso single sign-on per Firefox (p. 132)
Accesso single sign-on per IE e Chrome
Per permettere ai browser Internet Explorer (IE) e Google Chrome di Microsoft di supportare l'accessosingle sign-on, è necessario eseguire le attività seguenti sul computer client:
Version 1.0248
AWS Directory Service Guida di amministrazioneAbilitazione dell'accesso alle applicazioni e ai servizi AWS
• Aggiungi il tuo URL di accesso (ad esempio, https://<alias>.awsapps.com) all'elenco dei siti approvatiper l'accesso single sign-on.
• Abilita lo scripting attivo (JavaScript).• Permetti l'accesso automatico.• Abilita l'autenticazione integrata.
Tu o i tuoi utenti potete eseguire queste attività manualmente oppure potete modificare queste impostazioniusando le impostazioni delle policy di gruppo.
Argomenti• Aggiornamento manuale per l'accesso single sign-on su Windows (p. 127)• Aggiornamento manuale per l'accesso single sign-on su OS X (p. 129)• Impostazioni delle policy di gruppo per l'accesso single sign-on (p. 129)
Aggiornamento manuale per l'accesso single sign-on su Windows
Per abilitare manualmente l'accesso single sign-on su un computer Windows, esegui la proceduraseguente sul computer client. Alcune di queste impostazioni possono essere già impostate correttamente.
Abilitazione manuale dell'accesso single sign-on per Internet Explorer e Chrome su Windows
1. Per aprire la finestra di dialogo Internet Properties (Proprietà Internet), seleziona il menu Start, digitaInternet Options nella casella di ricerca e seleziona Internet Options (Opzioni Internet).
2. Aggiungi il tuo URL di accesso all'elenco dei siti approvati per l'accesso single sign-on eseguendo lefasi seguenti:
a. Nella finestra di dialogo Internet Properties (Proprietà Internet), seleziona la scheda Security(Sicurezza).
b. Seleziona Local Intranet (Intranet locale) e scegli Sites (Siti).c. Nella finestra di dialogo Local intranet (Intranet locale) scegli Advanced (Opzioni avanzate).d. Aggiungi il tuo URL di accesso all'elenco di siti Web e scegli Close (Chiudi).e. Nella finestra di dialogo Local intranet (Intranet locale) scegli OK.
3. Per abilitare lo scripting attivo, segui la procedura seguente:
a. Nella scheda Security (Sicurezza) della finestra di dialogo Internet Properties (Proprietà Internet),scegli Custom level (Livello personalizzato).
b. Nella finestra di dialogo Security Settings - Local Intranet Zone (Impostazioni di sicurezza - AreaIntranet locale), scorri verso il basso a Scripting e seleziona Enable (Abilita) sotto Active scripting(Scripting attivo).
Version 1.0249
AWS Directory Service Guida di amministrazioneAbilitazione dell'accesso alle applicazioni e ai servizi AWS
c. Nella finestra di dialogo Security Settings - Local Intranet Zone (Impostazioni di sicurezza - AreaIntranet locale) scegli OK.
4. Per abilitare l'accesso automatico, segui la procedura seguente:
a. Nella scheda Security (Sicurezza) della finestra di dialogo Internet Properties (Proprietà Internet),scegli Custom level (Livello personalizzato).
b. Nella finestra di dialogo Security Settings - Local Intranet Zone (Impostazioni di sicurezza - AreaIntranet locale), scorri verso il basso a User Authentication (Autenticazione utenti) e selezionaAutomatic logon only in Intranet zone (Accesso automatico solo in area intranet) sotto Logon(Accesso).
c. Nella finestra di dialogo Security Settings - Local Intranet Zone (Impostazioni di sicurezza - AreaIntranet locale) scegli OK.
d. Nella finestra di dialogo Security Settings - Local Intranet Zone (Impostazioni di sicurezza - AreaIntranet locale) scegli OK.
5. Per abilitare l'autenticazione integrata, segui la procedura seguente:
Version 1.0250
AWS Directory Service Guida di amministrazioneAbilitazione dell'accesso alle applicazioni e ai servizi AWS
a. Nella finestra di dialogo Internet Properties (Proprietà Internet), seleziona la scheda Advanced(Opzioni avanzate).
b. Scorri verso il basso a Security (Sicurezza) e seleziona Enable Integrated Windows Authentication(Abilita autenticazione di Windows integrata).
c. Nella finestra di dialogo Internet Properties (Proprietà Internet) scegli OK.6. Chiudi e riapri il browser perché queste modifiche diventino effettive.
Aggiornamento manuale per l'accesso single sign-on su OS X
Per abilitare manualmente l'accesso single sign-on a Chrome su OS X, esegui la procedura seguentesul computer client. Dovrai disporre di diritti di amministratore sul tuo computer per completare questaprocedura.
Abilitazione manuale dell'accesso single sign-on a Chrome su OS X
1. Aggiungi il tuo URL di accesso alla policy AuthServerWhitelist eseguendo il seguente comando:
defaults write com.google.Chrome AuthServerWhitelist "https://<alias>.awsapps.com"
2. Apri System Preferences (Preferenze di sistema), vai al pannello Profiles (Profili) ed elimina il profiloChrome Kerberos Configuration.
3. Riavvia Chrome e apri chrome://policy in Chrome per confermare che le nuove impostazioni sianoeffettive.
Impostazioni delle policy di gruppo per l'accesso single sign-on
L'amministratore di dominio può implementare le impostazioni delle policy di gruppo per effettuare lemodifiche dell'accesso single sign-on su computer client collegati al dominio.
Note
Se gestisci il browser Web Chrome sui computer nel tuo dominio con le policy di Chrome, ènecessario aggiungere l'URL di accesso alla policy AuthServerWhitelist. Per ulteriori informazioni
Version 1.0251
AWS Directory Service Guida di amministrazioneAbilitazione dell'accesso alle applicazioni e ai servizi AWS
su come impostare le policy di Chrome, vai all'argomento relativo alle Impostazioni delle policy inChrome.
Abilitazione manuale dell'accesso single sign-on per Internet Explorer e Chrome utilizzando leimpostazioni delle policy di gruppo
1. Crea un nuovo oggetto Group Policy seguendo questa procedura:
a. Apri lo strumento di gestione di Group Policy, vai al tuo dominio e seleziona Group Policy Objects(Oggetti Group Policy).
b. Dal menu principale, seleziona Action (Operazione) e quindi New (Nuovo).c. Nella finestra di dialogo New GPO (Nuovo GPO) digita un nome descrittivo per l'oggetto Group
Policy, ad esempio SSO Policy e lascia Source Starter GPO (GPO Starter di origine) impostatosu (none) (nessuno). Fare clic su OK.
2. Aggiungi l'URL di accesso all'elenco dei siti approvati per l'accesso single sign-on eseguendo laprocedura seguente:
a. Nello strumento di gestione di Group Policy, vai al tuo dominio, seleziona Group Policy Objects(Oggetti Group Policy), apri il menu contestuale (pulsante destro del mouse) per la tua policy SSOe scegli Edit (Modifica).
b. Nella struttura della policy, seleziona User Configuration (Configurazione utente) > Preferences(Preferenze) > Windows Settings (Impostazioni di Windows).
c. Nell'elenco Windows Settings (Impostazioni di Windows), apri il menu contestuale (pulsante destrodel mouse) per Registry (Registro di sistema) e seleziona New registry item (Nuovo elemento diregistro di sistema).
d. Nella finestra di dialogo New Registry Properties (Nuove proprietà di registro di sistema), inseriscile impostazioni seguenti e scegli OK:
Action (Operazione)
Update
Hive
HKEY_CURRENT_USER
Path (Percorso)
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>
Il valore di <alias> deriva dall'URL di accesso. Se il tuo URL di accesso è https://examplecorp.awsapps.com, l'alias è examplecorp e la chiave di registro sarà Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp.
Value name (Nome valore)
https
Value type (Tipo di valore)
REG_DWORD
Value data (Dati valore)
1
3. Per abilitare lo scripting attivo, segui la procedura seguente:
Version 1.0252
AWS Directory Service Guida di amministrazioneAbilitazione dell'accesso alle applicazioni e ai servizi AWS
a. Nello strumento di gestione di Group Policy, vai al tuo dominio, seleziona Group Policy Objects(Oggetti Group Policy), apri il menu contestuale (pulsante destro del mouse) per la tua policy SSOe scegli Edit (Modifica).
b. Nella struttura della policy, passa a Computer Configuration (Configurazione computer) > Policies(Policy) > Administrative Templates (Modelli amministrativi) > Windows Components (Componentidi Windows) > Internet Explorer > Internet Control Panel (Pannello di controllo Internet) > SecurityPage (Pagina protezione) > Intranet Zone (Area Intranet).
c. Nell'elenco Intranet Zone (Area Intranet), apri il menu contestuale (pulsante destro del mouse) perAllow active scripting (Consenti scripting attivo) e scegli Modifica (Edit).
d. Nella finestra di dialogo Allow active scripting (Consenti scripting attivo), inserisci le impostazioniseguenti e scegli OK:
• Seleziona il pulsante di opzione Enabled (Abilitato).• In Options (Opzioni) imposta Allow active scripting (Consenti scripting attivo) su Enable (Abilita).
4. Per abilitare l'accesso automatico, segui la procedura seguente:
a. Nello strumento di gestione di Group Policy, passa al tuo dominio, seleziona Group Policy Objects(Oggetti Group Policy), apri il menu contestuale (pulsante destro del mouse) della policy SSO escegli Edit (Modifica).
b. Nella struttura della policy, passa a Computer Configuration (Configurazione computer) > Policies(Policy) > Administrative Templates (Modelli amministrativi) > Windows Components (Componentidi Windows) > Internet Explorer > Internet Control Panel (Pannello di controllo Internet) > SecurityPage (Pagina protezione) > Intranet Zone (Area Intranet).
c. Nell'elenco Intranet Zone (Area Intranet), apri il menu contestuale (pulsante destro del mouse) perLogon options (Opzioni di accesso) e scegli Modifica (Edit).
d. Nella finestra di dialogo Logon options (Opzioni di accesso), inserisci le impostazioni seguenti escegli OK:
• Seleziona il pulsante di opzione Enabled (Abilitato).• In Options (Opzioni) imposta Logon options (Opzioni di accesso) su Automatic logon only in
Intranet zone (Accesso automatico solo nell'area Intranet).5. Per abilitare l'autenticazione integrata, segui la procedura seguente:
a. Nello strumento di gestione di Group Policy, vai al tuo dominio, seleziona Group Policy Objects(Oggetti Group Policy), apri il menu contestuale (pulsante destro del mouse) per la tua policy SSOe scegli Edit (Modifica).
b. Nella struttura della policy, seleziona User Configuration (Configurazione utente) > Preferences(Preferenze) > Windows Settings (Impostazioni di Windows).
c. Nell'elenco Windows Settings (Impostazioni di Windows), apri il menu contestuale (pulsante destrodel mouse) per Registry (Registro di sistema) e seleziona New registry item (Nuovo elemento diregistro di sistema).
d. Nella finestra di dialogo New Registry Properties (Nuove proprietà di registro di sistema), inseriscile impostazioni seguenti e scegli OK:
Action (Operazione)
Update
Hive
HKEY_CURRENT_USER
Path (Percorso)
Software\Microsoft\Windows\CurrentVersion\Internet Settings
Version 1.0253
AWS Directory Service Guida di amministrazioneAbilitazione dell'accesso alle applicazioni e ai servizi AWS
Value name (Nome valore)
EnableNegotiate
Value type (Tipo di valore)
REG_DWORD
Value data (Dati valore)
1
6. Chiudi la finestra Group Policy Management Editor (Editor gestione di Group Policy) se è ancoraaperta.
7. Assegna la nuova policy al tuo dominio seguendo questa procedura:
a. Nella struttura di gestione di Group Policy, apri il menu contestuale (pulsante destro del mouse)del tuo dominio e scegli Link an Existing GPO (Collega un GPO esistente).
b. Nell'elenco Group Policy Objects (Oggetti Group Policy), seleziona la policy SSO e scegli OK.
Queste modifiche diventeranno effettive dopo l'aggiornamento successivo della policy di gruppo sul client,oppure all'accesso successivo da parte dell'utente.
Accesso single sign-on per Firefox
Per permettere al browser Firefox di Mozilla di supportare l'accesso single sign-on, aggiungi l'URL diaccesso (ad esempio, https://<alias>.awsapps.com) all'elenco dei siti approvati per l'accesso single sign-on. Puoi eseguire questa operazione manualmente oppure in maniera automatizzata con uno script.
Argomenti• Aggiornamento manuale dell'accesso single sign-on (p. 132)• Aggiornamento automatico dell'accesso single sign-on (p. 133)
Aggiornamento manuale dell'accesso single sign-on
Per aggiungere manualmente l'URL di accesso all'elenco dei siti approvati in Firefox, esegui la seguenteprocedura sul computer client.
Aggiunta manuale dell'URL di accesso all'elenco dei siti approvati in Firefox
1. Apri Firefox e apri la pagina about:config.2. Apri la preferenza network.negotiate-auth.trusted-uris e aggiungi il tuo URL di accesso
all'elenco dei siti. Utilizza una virgola (,) per separare più voci.
Version 1.0254
AWS Directory Service Guida di amministrazioneAbilitazione dell'accesso a Console di gestione AWS
Aggiornamento automatico dell'accesso single sign-on
In qualità di amministratore di dominio, puoi utilizzare uno script per aggiungere l'URL di accesso allapreferenza utente network.negotiate-auth.trusted-uris di Firefox su tutti i computer della rete.Per ulteriori informazioni, vai a https://support.mozilla.org/en-US/questions/939037.
Attivazione dell'accesso a Console di gestione AWScon le credenziali ADAWS Directory Service allows you to grant members of your directory access to the Console di gestioneAWS. By default, your directory members do not have access to any AWS resources. You assign IAM rolesto your directory members to give them access to the various AWS services and resources. The IAM roledefines the services, resources, and level of access that your directory members have.
Before you can grant console access to your directory members, your directory must have an accessURL. For more information about how to view directory details and get your access URL, see Visualizzale informazioni sulla directory (p. 119). For more information about how to create an access URL, seeCreazione di un URL di accesso (p. 125).
For more information about how to create and assign IAM roles to your directory members, seeConcessione dell'accesso alle risorse AWS a utenti e gruppi (p. 120).
Argomenti• Enable Console di gestione AWS Access (p. 134)• Disable Console di gestione AWS Access (p. 134)
Version 1.0255
AWS Directory Service Guida di amministrazioneAbilitazione dell'accesso a Console di gestione AWS
• Set Login Session Length (p. 134)
Related AWS Security Blog Article
• How to Access the Console di gestione AWS Using AWS Managed Microsoft AD and Your On-PremisesCredentials
Enable Console di gestione AWS AccessBy default, console access is not enabled for any directory. To enable console access for your directoryusers and groups, perform the following steps:
To enable console access
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. Under the Console di gestione AWS section, choose Enable. Console access is now enabled for your
directory.
Before users can sign-in to the console with your access URL, you must first add your users to the role.For general information about assigning users to IAM roles, see Assegnazione di utenti o gruppi a unruolo esistente (p. 122). After the IAM roles have been assigned, users can then access the consoleusing your access URL. For example, if your directory access URL is example-corp.awsapps.com, theURL to access the console is https://example-corp.awsapps.com/console/.
Disable Console di gestione AWS AccessTo disable console access for your directory users and groups, perform the following steps:
To disable console access
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. Under the Console di gestione AWS section, choose Disable. Console access is now disabled for your
directory.5. If any IAM roles have been assigned to users or groups in the directory, the Disable button may
be unavailable. In this case, you must remove all IAM role assignments for the directory beforeproceeding, including assignments for users or groups in your directory that have been deleted, whichwill show as Deleted User or Deleted Group.
After all IAM role assignments have been removed, repeat the steps above.
Set Login Session LengthBy default, users have 1 hour to use their session after successfully signing in to the console before theyare logged out. After that, users must sign in again to start the next 1 hour session before being logged offagain. You can use the following procedure to change the length of time to up to 12 hours per session.
To set login session length
1. In the AWS Directory Service console navigation pane, choose Directories.
Version 1.0256
AWS Directory Service Guida di amministrazioneTutorial Creazione di una directory Simple AD
2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. Under the AWS apps & services section, choose AWS Management Console.5. In the Manage Access to AWS Resource dialog box, choose Continue.6. In the Assign users and groups to IAM roles page, under Set login session length, edit the numbered
value, and then choose Save.
Tutorial Creazione di una directory Simple ADIl seguente tutorial ti guida attraverso la procedura necessaria per configurare una directory AWS DirectoryService Simple AD. È concepito per aiutarti a iniziare a utilizzare AWS Directory Service in maniera facile eveloce, ma non è destinato a essere utilizzato in un ambiente di produzione su larga scala.
Argomenti• Prerequisites (p. 257)• Fase 1 Creazione e configurazione del VPC (p. 257)• Fase 2. Crea il tuo Simple AD Rubrica (p. 259)
PrerequisitesQuesto tutorial presuppone quanto segue:
• Devi avere a disposizione un account AWS attivo.• L'account non deve avere raggiunto il limite di VPC per la regione in cui desideri utilizzare AWS Directory
Service. Per ulteriori informazioni su Amazon VPC, consulta Che cos'è Amazon VPC? e Sottoreti nelVPC nella Guida per l'utente di Amazon VPC.
• Non devi disporre di un VPC esistente nella regione con un CIDR di 10.0.0.0/16.
Fase 1 Creazione e configurazione del VPCNelle sezioni seguenti viene mostrato come creare e configurare un VPC da utilizzare con AWS DirectoryService.
Argomenti• Creazione di un nuovo VPC (p. 257)• Aggiunta di una seconda sottorete (p. 258)
Creazione di un nuovo VPCIn questo tutorial viene utilizzata una delle procedure guidate di creazione del VPC per creare quantosegue:
• Il VPC• Una delle sottoreti• Un Internet gateway,
Per creare il VPC tramite la procedura guidata del VPC
1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.
Version 1.0257
AWS Directory Service Guida di amministrazioneFase 1 Creazione e configurazione del VPC
2. Nel riquadro di navigazione, fare clic su VPC Dashboard (Pannello di controllo VPC). Se non sidispone ancora di risorse VPC, individuare l'area Your Virtual Private Cloud (Cloud privato virtuale) delpannello di controllo e fare clic su Get started creating a VPC (Nozioni di base per la creazione di unVPC). Altrimenti, fare clic su Start VPC Wizard (Avvia procedura guidata VPC).
3. Selezionare la seconda opzione, VPC with a Single Public Subnet (VPC con sottorete singolapubblica), quindi fare clic su Select (Seleziona).
4. Immettere le seguenti informazioni nella procedura guidata e fare clic su Create VPC (Crea VPC).
IP CIDR block (Blocco CIDR IP)
10.0.0.0/16
VPC name (Nome VPC)
ADS VPC
Public subnet (Sottorete pubblica)
10.0.0.0/24
Zona di disponibilità
No Preference (Nessuna preferenza)Subnet name (Nome sottorete)
ADS Subnet 1
Enable DNS hostnames (Abilita hostname DNS)
Mantenere le selezioni predefiniteHardware tenancy (Tenancy hardware)
Default:5. La creazione del VPC richiede diversi minuti. Al termine della creazione del VPC, proseguire con la
sezione successiva per aggiungere una seconda sottorete.
Aggiunta di una seconda sottoreteAWS Directory Service richiede due sottoreti nel VPC e ciascuna di esse deve trovarsi in una zona didisponibilità differente. La procedura guidata VPC crea solo una sottorete e pertanto è necessario crearemanualmente la seconda sottorete e specificare una zona di disponibilità diversa da quella della primasottorete. Creare la seconda sottorete attenendosi alle istruzioni delle seguenti fasi.
Per creare una sottorete
1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.2. Nel riquadro di navigazione, selezionare Subnets (Sottoreti), selezionare la sottorete ADS Subnet
1, quindi selezionare la scheda Summary (Riepilogo) in fondo alla pagina. Annotare la zona didisponibilità di questa sottorete.
3. Fare clic su Create Subnet (Crea sottorete), immettere le seguenti informazioni nella finestra di dialogoCreate Subnet (Crea sottorete) e fare clic su Yes, Create (Sì, crea).
Name tag (Tag nome)
ADS Subnet 2
VPC
Selezionare il VPC. Si tratta del VPC ADS VPC.Version 1.0258
AWS Directory Service Guida di amministrazioneFase 2. Crea il tuo Simple AD Rubrica
Zona di disponibilità
Selezionare una zona di disponibilità diversa da quella annotata nella fase 2. Le due sottoretiutilizzate da AWS Directory Service devono trovarsi in zone di disponibilità diverse.
CIDR Block (Blocco CIDR)
10.0.1.0/24
Fase 2. Crea il tuo Simple AD RubricaTo create a new directory, perform the following steps. Before starting this procedure, make sure you havecompleted the prerequisites identified in Prerequisiti di Simple AD (p. 214).
To create a Simple AD directory
1. In the AWS Directory Service console navigation pane, choose Directories and then choose Set updirectory.
2. On the Select directory type page, choose Simple AD, and then choose Next.3. On the Enter directory information page, provide the following information:
Directory size
Choose from either the Small or Large size option. For more information about sizes, see SimpleActive Directory (p. 213).
Organization name
A unique organization name for your directory that will be used to register client devices.
This field is only available if you are creating your directory as part of launching AmazonWorkSpaces.
Directory DNS name
The fully qualified name for the directory, such as corp.example.com.Directory NetBIOS name
The short name for the directory, such as CORP.Administrator password
The password for the directory administrator. The directory creation process creates anadministrator account with the user name Administrator and this password.
The directory administrator password is case-sensitive and must be between 8 and 64 charactersin length, inclusive. It must also contain at least one character from three of the following fourcategories:• Lowercase letters (a-z)• Uppercase letters (A-Z)• Numbers (0-9)• Non-alphanumeric characters (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
Confirm password
Retype the administrator password.Directory description
An optional description for the directory.Version 1.0
259
AWS Directory Service Guida di amministrazioneBuone prassi
4. On the Choose VPC and subnets page, provide the following information, and then choose Next.
VPC
The VPC for the directory.Subnets
Choose the subnets for the domain controllers. The two subnets must be in different AvailabilityZones.
5. On the Review & create page, review the directory information and make any necessary changes.When the information is correct, choose Create directory. It takes several minutes for the directory tobe created. Once created, the Status value changes to Active.
Best practice per Simple ADDi seguito alcuni suggerimenti e linee guida da tenere in considerazione per evitare problemi e sfruttare almassimo AWS Managed Microsoft AD.
Configurazione Prerequisiti:Tieni presenti queste linee guida prima di creare la directory.
Verify You Have the Right Directory TypeAWS Directory Service provides multiple ways to use Microsoft Active Directory with other AWS services.You can choose the directory service with the features you need at a cost that fits your budget:
• AWS Directory Service for Microsoft Active Directory is a feature-rich managed Microsoft Active Directoryhosted on the AWS cloud. AWS Managed Microsoft AD is your best choice if you have more than 5,000users and need a trust relationship set up between an AWS hosted directory and your on-premisesdirectories.
• AD Connector simply connects your existing on-premises Active Directory to AWS. AD Connector is yourbest choice when you want to use your existing on-premises directory with AWS services.
• Simple AD is an inexpensive Active Directory–compatible service with the common directory features.In most cases, Simple AD is the least expensive option and your best choice if you have 5,000 or fewerusers and don’t need the more advanced Microsoft Active Directory features.
For a more detailed comparison of AWS Directory Service options, see Quale scegliere (p. 1).
Ensure Your VPCs and Instances are Configured CorrectlyIn order to connect to, manage, and use your directories, you must properly configure the VPCs that thedirectories are associated with. See either Prerequisiti di AWS Managed Microsoft AD (p. 9), Prerequisiti diAD Connector (p. 176), or Prerequisiti di Simple AD (p. 214) for information about the VPC security andnetworking requirements.
If you are adding an instance to your domain, ensure that you have connectivity and remote access to yourinstance as described in Collega un'istanza EC2 alla tua directory AWS Managed Microsoft AD (p. 66).
Be Aware of Your LimitsLearn about the various limits for your specific directory type. The available storage and the aggregatesize of your objects are the only limitations on the number of objects you may store in your directory. See
Version 1.0260
AWS Directory Service Guida di amministrazioneConfigurazione Creazione della directory
either Limiti per AWS Managed Microsoft AD (p. 142), Limiti per AD Connector (p. 208), or Limiti per SimpleAD (p. 262) for details about your chosen directory.
Scopri la configurazione e l'utilizzo del gruppo di sicurezza AWSdella directoryAWS crea un gruppo di sicurezza e lo collega all'interfaccia di rete elastica del controller di dominio delladirectory. AWS consente di configurare il gruppo di sicurezza per bloccare il traffico non necessario verso ladirectory e consentire il traffico necessario.
Modifica del gruppo di sicurezza della directory
Se desideri modificare la sicurezza dei gruppi di sicurezza delle directory, puoi farlo. Apporta tali modifichesolo se hai compreso a pieno come funziona il filtraggio del gruppo di sicurezza. Per ulteriori informazioni,consulta ai Gruppi di sicurezza Amazon EC2 per istanze Linux nella Guida per l'utente di Amazon EC2.Modifiche improprie possono portare a una mancata comunicazione con i computer e le istanze desiderati.AWS consiglia di non tentare di aprire porte aggiuntive alla directory, in quanto ciò potrebbe ridurre lasicurezza della directory. Esamina attentamente il modello di responsabilità condivisa di AWS.
Warning
Tecnicamente, hai la possibilità di associare il gruppo di sicurezza della directory ad altre istanzeEC2 da te create. Tuttavia, AWS sconsiglia questa pratica. AWS potrebbe decidere di modificare ilgruppo di sicurezza senza preavviso, al fine di soddisfare esigenze funzionali o di sicurezza delladirectory gestita. Tali modifiche influiscono sulle eventuali istanze con cui viene associato il gruppodi sicurezza della directory e possono interrompere il funzionamento delle istanze associate.Inoltre, associare il gruppo di sicurezza della directory alle istanze EC2 può creare un potenzialerischio per la sicurezza per le istanze EC2.
Utilizza AWS Managed Microsoft AD se sono richiesti i trustSimple AD non supporta relazioni di trust. Se hai bisogno di stabilire un trust tra la tua directory AWSDirectory Service e un'altra directory, è consigliabile utilizzare AWS Directory Service for Microsoft ActiveDirectory.
Configurazione Creazione della directoryDi seguito sono elencati alcuni suggerimenti da considerare durante la creazione della directory.
Ricorda l'ID amministratore e la passwordQuando configuri la directory, fornisci una password per l'account amministratore. Questo ID account èAdministrator (Amministratore) per Simple AD. Ricorda la password creata per questo account; altrimentinon potrai aggiungere gli oggetti alla directory.
Informazioni sulle limitazioni per il nome utente delle applicazioniAWSAWS Directory Service fornisce supporto per la maggior parte dei formati di carattere che possono essereutilizzati per la costruzione dei nomi utente. Tuttavia, esistono delle limitazioni sui caratteri applicate ai nomiutente che verranno utilizzati per l'accesso alle applicazioni AWS, come Amazon WorkSpaces, AmazonWorkDocs, Amazon WorkMail o Amazon QuickSight. Queste limitazioni richiedono che non venganoutilizzati i seguenti caratteri:
• Spazi
Version 1.0261
AWS Directory Service Guida di amministrazioneProgrammazione delle applicazioni
• !"#$%&'()*+,/:;<=>?@[\]^`{|}~
Note
Il simbolo @ è consentito purché preceda un suffisso UPN.
Programmazione delle applicazioniPrima di programmare le applicazioni, valuta quanto segue:
Utilizza il servizio di localizzazione DC di WindowsQuando sviluppi le applicazioni, utilizza il servizio di localizzazione Windows DC oppure il servizio DNSdinamico (DDNS) di AWS Managed Microsoft AD per individuare i controller dei domini (DC). Noneffettuare l'hard coding delle applicazioni con l'indirizzo di un DC. Il servizio di localizzazione DC garantisceche il carico della directory venga distribuito e ti consente di sfruttare i vantaggi della scalabilità orizzontaleaggiungendo i controller dei domini alla distribuzione. Se associ l'applicazione a un DC fisso e si deveapplicare una patch o eseguire una procedura di ripristino, l'applicazione perde l'accesso al DC e nonutilizza uno dei DC restanti. Inoltre, l'hard coding di un DC può provocare la creazione di "hot spot" su unsolo DC. In casi gravi, gli hot spot possono provocare un blocco del DC. Possono anche essere la causadi una segnalazione automatica di compromissione della directory AWS e far partire così le procedure diripristino per la sostituzione di un DC che non risponde.
Esecuzione di test di caricamento prima della produzioneAssicurati di effettuare test di laboratorio con gli oggetti e le richieste più importanti del tuo carico di lavorodi produzione per confermare che la directory si adatti al carico dell'applicazione. Se necessiti di ulteriorecapacità, utilizza AWS Directory Service per Microsoft Active Directory, che ti consente di aggiungerecontroller del dominio per elevate prestazioni. Per ulteriori informazioni, consulta Distribuzione di controllerdi dominio aggiuntivi (p. 135).
Utilizzo delle query LDAPQuery LDAP estese su un controller di dominio e migliaia di oggetti possono consumare cicli di CPUsignificativi in un singolo DC e generare così hot spot. L'operazione potrebbe incidere sulle applicazioni checondividono lo stesso DC durante la query.
Limiti per Simple ADIn generale, è opportuno non aggiungere più di 500 utenti a una directory Simple AD piccola e nonpiù di 5.000 utenti a una directory Simple AD grande. Per opzioni di dimensionamento più flessibili ecaratteristiche Active Directory aggiuntive, è possibile utilizzare AWS Directory Service for Microsoft ActiveDirectory (Standard Edition o Enterprise Edition).
Di seguito sono elencati i limiti predefiniti per Simple AD. Salvo dove diversamente specificato, ogni limite èper regione.
Limiti degli Simple AD
Resource Limite predefinito
Directory Simple AD -10
Version 1.0262
AWS Directory Service Guida di amministrazioneAumenta il tuo limite
Resource Limite predefinito
Snapshot manuali * 5 per Simple AD
* Il limite di snapshot manuali non può essere modificato.Note
Non è possibile collegare un indirizzo IP pubblico all'interfaccia di rete elastica AWS (ENI).
Aumenta il tuo limiteEsegui la procedura seguente per aumentare il tuo limite per una regione.
Per richiedere un aumento del limite per una regione
1. Vai alla pagina AWS Support Center, effettua l'accesso se necessario e fai clic su Open a new case(Apri nuovo caso).
2. In Regarding (Motivo) selezionare Service Limit Increase (Aumento delle restrizioni del servizio).3. Sotto Limit Type (Tipo di limite), seleziona AWS Directory Service.4. Compila tutti i campi necessari nel modulo e fai clic sul pulsante relativo al metodo di contatto
desiderato nella parte inferiore della pagina.
Policy di compatibilità delle applicazioni per SimpleAD
Simple AD è un'implementazione di Samba che offre molte delle funzionalità di base di Active Directory.A causa del gran numero di applicazioni personalizzate e commerciali predefinite che utilizzano ActiveDirectory, AWS non esegue e non può eseguire la verifica formale o generale della compatibilità delleapplicazioni di terze parti con Simple AD. Sebbene AWS collabori con i clienti nel tentativo di superarei potenziali problemi di installazione delle applicazioni, non siamo in grado di garantire la compatibilitàcorrente o futura di una determinata applicazione con Simple AD.
Le seguenti applicazioni di terze parti sono compatibili con Simple AD:
• Microsoft Internet Information Services (IIS) sulle seguenti piattaforme:• Windows Server 2003 R2• Windows Server 2008 R1• Windows Server 2008 R2• Windows Server 2012• Windows Server 2012 R2
• Microsoft SQL Server• SQL Server 2005 R2 (edizioni Express, Web e Standard)• SQL Server 2008 R2 (edizioni Express, Web e Standard)• SQL Server 2012 (edizioni Express, Web e Standard)• SQL Server 2014 (edizioni Express, Web e Standard)
• Microsoft SharePoint:• SharePoint Foundation 2010• SharePoint 2010 Enterprise• SharePoint 2013 Enterprise
Version 1.0263
AWS Directory Service Guida di amministrazioneRisoluzione dei problemi di :
I clienti possono scegliere di utilizzare AWS Directory Service for Microsoft Active Directory (AWS ManagedMicrosoft AD (p. 8)) per un livello più elevato di compatibilità basato su Active Directory.
Risoluzione dei problemi del Simple ADQuanto segue può aiutarti a risolvere alcuni problemi comuni che potrebbero verificarsi durante lacreazione o l'utilizzo della tua directory.
Argomenti• Recupero della password (p. 264)• Ricevo un messaggio di errore "KDC can't fulfill requested option" (KDC non è in grado di soddisfare
l'opzione richiesta) durante l'aggiunta di un utente a Simple AD (p. 264)• Non sono in grado di aggiornare il nome DNS o l'indirizzo IP di un'istanza collegata al mio dominio
(aggiornamento dinamico DNS) (p. 264)• Non posso accedere a SQL Server utilizzando un account SQL Server (p. 265)• La mia directory è bloccata nello stato "Requested" (Richiesta) (p. 265)• Visualizzo un messaggi odi errore "AZ Constrained" (AZ vincolata) quando creo una directory (p. 265)• Alcuni dei miei utenti non possono eseguire l'autenticazione con la mia directory (p. 265)• Motivi dello stato della directory Simple AD (p. 265)
Recupero della passwordSe un utente dimentica la password o ha problemi di accesso alla directory Simple AD o AWS ManagedMicrosoft AD, è possibile reimpostare la password utilizzando la Console di gestione AWS, WindowsPowerShell o la CLI AWS.
Per ulteriori informazioni, consulta Reimpostare la password utente (p. 219).
Ricevo un messaggio di errore "KDC can't fulfillrequested option" (KDC non è in grado di soddisfarel'opzione richiesta) durante l'aggiunta di un utente aSimple ADQuesto si può verificare quando il client Samba CLI non invia correttamente i comandi "net" a tutti icontroller di dominio. Se viene visualizzato questo messaggio di errore quando si usa il comando "net ads"per aggiungere un utente alla directory Simple AD, utilizzare l'argomento -S e specificare l'indirizzo IP diuno dei controller di dominio. Se l'errore persiste, provare l'altro controller di dominio. È anche possibileutilizzare gli strumenti di amministrazione di Active Directory per aggiungere utenti alla directory. Perulteriori informazioni, consulta Installazione degli strumenti di amministrazione di Active Directory (p. 218).
Non sono in grado di aggiornare il nome DNS ol'indirizzo IP di un'istanza collegata al mio dominio(aggiornamento dinamico DNS)Gli aggiornamenti dinamici del DNS non sono supportati nei domini Simple AD. È invece possibileapportare direttamente le modifiche collegandosi alla directory utilizzando DNS Manager su un'istanza cheè stata aggiunta al dominio.
Version 1.0264
AWS Directory Service Guida di amministrazioneNon posso accedere a SQL Serverutilizzando un account SQL Server
Non posso accedere a SQL Server utilizzando unaccount SQL ServerPotresti ricevere un messaggio di errore se tenti di utilizzare SQL Server Management Studio (SSMS) conun account SQL Server per accedere a SQL Server in esecuzione su un'istanza EC2 Windows 2012 R2o in Amazon RDS. Il problema si verifica quando SSMS viene eseguito come utente del dominio e puòcausare l'errore "Login failed for user" (Accesso non riuscito per l'utente), anche quando vengono fornitecredenziali valide. Si tratta di un problema noto e AWS sta lavorando attivamente per risolverlo.
Per ovviare al problema, accedere a SQL Server con l'autenticazione di Windows anziché quella SQL. Inalternativa, puoi avviare SSMS come utente locale anziché come utente di dominio Simple AD.
La mia directory è bloccata nello stato"Requested" (Richiesta)Se disponi di una directory che è stata nello stato "Richiesta" per più di cinque minuti, prova a eliminare ladirectory e a ricrearla. Se il problema persiste, contatta AWS Support Center.
Visualizzo un messaggi odi errore "AZConstrained" (AZ vincolata) quando creo una directoryAlcuni account AWS creati prima del 2012 potrebbero avere accesso alle zone di disponibilità nella regioneUS East (N. Virginia), Stati Uniti occidentali (California settentrionale) o Asia Pacifico (Tokyo) che nonsupportano le directory AWS Directory Service. Se ricevi un messaggio di errore di questo tipo quando creiuna directory, seleziona una sottorete in un'altra zona di disponibilità e prova a creare di nuovo la directory.
Alcuni dei miei utenti non possono eseguirel'autenticazione con la mia directoryI tuoi account utente devono avere la preautenticazione Kerberos abilitata. Questa è l'impostazionepredefinita per i nuovi account utente e non dovrebbe essere modificata. Per ulteriori informazioni suquesta impostazione, consulta la sezione preautenticazione su Microsoft TechNet.
Argomenti• Motivi dello stato della directory Simple AD (p. 265)
Motivi dello stato della directory Simple ADQuando una directory è danneggiata o inutilizzabile, il messaggio di stato della directory contiene ulterioriinformazioni. Il messaggio di stato viene visualizzato nella console AWS Directory Service o restituito nelmembro DirectoryDescription.StageReason tramite l'API DescribeDirectories. Per ulterioriinformazioni sugli stati della directory, consulta Comprendere lo stato della directory (p. 51).
Di seguito sono riportati i messaggi di stato di una directory Simple AD:
Argomenti• The directory service's elastic network interface is not attached (p. 266)• Issue(s) detected by instance (p. 266)• L'utente riservato AWS Directory Service principale non è presente nella directory (p. 266)
Version 1.0265
AWS Directory Service Guida di amministrazioneMotivi dello stato della directory
• L'utente riservato AWS Directory Service principale deve appartenere al gruppo Domain AdminsAD (p. 267)
• L'utente riservato AWS Directory Service principale è disabilitato (p. 267)• Il controller di dominio principale non dispone di tutti i ruoli FSMO (p. 267)• Errori di replica del controller di dominio (p. 267)
The directory service's elastic network interface is not attachedDescription
The critical elastic network interface (ENI) that was created on your behalf during directory creationto establish network connectivity with your VPC is not attached to the directory instance. AWSapplications backed by this directory will not be functional. Your directory cannot connect to your on-premises network.
Troubleshooting
If the ENI is detached but still exists, contact AWS Support. If the ENI is deleted, there is no way toresolve the issue and your directory is permanently unusable. You must delete the directory and createa new one.
Issue(s) detected by instanceDescription
An internal error was detected by the instance. This usually signifies that the monitoring service isactively attempting to recover the impaired instances.
Troubleshooting
In most cases, this is a transient issue, and the directory eventually returns to the Active state. If theproblem persists, contact AWS Support for more assistance.
L'utente riservato AWS Directory Service principale non èpresente nella directoryDescrizione:
Quando un Simple AD è stato creato, AWS Directory Service crea un account di servizio nella directorycon il nome AWSAdminD-xxxxxxxxx. Questo errore viene ricevuto quando questo account di servizionon è stato trovato. Senza questo account, AWS Directory Service non è in grado di eseguire funzioniamministrative sulla directory, rendendola inutilizzabile.
Risoluzione dei problemi di :
Per risolvere il problema, ripristinare la directory su una snapshot precedente, creata primadell'eliminazione dell'account del servizio. Una volta al giorno vengono acquisite snapshot automatichedella directory Simple AD. Se sono passati più di cinque giorni dall'eliminazione dell'account, potrebbenon essere più possibile ripristinare lo stesso stato che la directory aveva nell'account. Se non èpossibile ripristinare la directory da una snapshot in cui si trova questo account, la directory potrebbediventare inutilizzabile definitivamente. In questo caso, è necessario eliminare la directory e crearneuna nuova.
Version 1.0266
AWS Directory Service Guida di amministrazioneMotivi dello stato della directory
L'utente riservato AWS Directory Service principale deveappartenere al gruppo Domain Admins ADDescrizione:
Quando un Simple AD è stato creato, AWS Directory Service crea un account di servizio nella directorycon il nome AWSAdminD-xxxxxxxxx. Questo errore viene ricevuto quando questo account di servizionon è un membro di Domain Admins gruppo. L'appartenenza a questo gruppo è necessaria perfornire a AWS Directory Service i privilegi necessari per eseguire le operazioni di manutenzione e diripristino, come il trasferimento di ruoli FSMO, l'aggiunta al dominio di nuovi controller della directory eil ripristino da snapshot.
Risoluzione dei problemi di :
Utilizzare lo strumento Users and Computers (Utenti e computer) di Active Directory per aggiungerenuovamente l'account del servizio al gruppo Domain Admins.
L'utente riservato AWS Directory Service principale è disabilitatoDescrizione:
Quando un Simple AD è stato creato, AWS Directory Service crea un account di servizio nella directorycon il nome AWSAdminD-xxxxxxxxx. Questo errore viene ricevuto quando questo account di servizioè disabilitato. Questo account deve essere abilitato in modo che AWS Directory Service sia in grado dieseguire le operazioni di manutenzione e di ripristino sulla directory.
Risoluzione dei problemi di :
Utilizzare lo strumento Users and Computers (Utenti e computer) di Active Directory per abilitarenuovamente l'account del servizio.
Il controller di dominio principale non dispone di tutti i ruoli FSMODescrizione:
Tutti i ruoli FSMO non sono di proprietà del controller della directory Simple AD. AWS Directory Servicenon è in grado di garantire determinati comportamenti e funzionalità se i ruoli FSMO non appartengonoal controller della directory Simple AD corretto.
Risoluzione dei problemi di :
Utilizzare gli strumenti di Active Directory per spostare nuovamente i ruoli FSMO nel controller delladirectory di lavoro originale. Per ulteriori informazioni sul trasferimento dei ruoli FSMO, consulta https://support.microsoft.com/en-us/kb/324801. Se il problema persiste, contatta AWS Support per ulterioreassistenza.
Errori di replica del controller di dominioDescrizione:
I controller della directory Simple AD producono errori nel replicarsi tra loro. Questo può essere dovutoa uno o più dei problemi seguenti:• I gruppi di sicurezza dei controller della directory non hanno le porte corrette aperte.• Le liste di controllo degli accessi di rete sono troppo restrittive.• La tabella di routing VPC non instrada il traffico di rete in modo corretto tra i controller della directory.
Version 1.0267
AWS Directory Service Guida di amministrazioneMotivi dello stato della directory
• Un'altra istanza è stata promossa a controller di dominio nella directory.Risoluzione dei problemi di :
Per ulteriori informazioni sui requisiti di rete VPC, consulta AWS Managed Microsoft AD Prerequisiti diAWS Managed Microsoft AD (p. 9), AD Connector Prerequisiti di AD Connector (p. 176) o Simple ADPrerequisiti di Simple AD (p. 214). Se è presente un controller di dominio sconosciuto nella directory,è necessario abbassarlo di livello. Se la configurazione della rete VPC è corretta ma l'errore persiste,contatta AWS Support per ulteriore assistenza.
Version 1.0268
AWS Directory Service Guida di amministrazione
Sicurezza in AWS Directory ServicePer AWS, la sicurezza della cloud ha la massima priorità. In quanto cliente AWS, puoi trarre vantaggio daun'architettura di data center e di rete progettata per soddisfare i requisiti delle aziende più esigenti a livellodi sicurezza.
La sicurezza è una responsabilità condivisa tra AWS e l'utente. Il modello di responsabilità condivisadescrive questo come sicurezza del cloud e sicurezza nel cloud:
• Sicurezza del cloud: AWS è responsabile della protezione dell'infrastruttura che esegue i servizi AWSnel cloud AWS. AWS fornisce inoltre i servizi che è possibile utilizzare in modo sicuro. I revisori di terzeparti testano e verificano regolarmente l'efficacia della sicurezza come parte dei programmi di conformitàAWS. Per ulteriori informazioni sui programmi di conformità che si applicano a AWS Directory Service,consulta Servizi coperti dal programma di conformità AWS.
• Sicurezza nel cloud – La tua responsabilità è determinata dal servizio AWS che utilizzi. L'utente è ancheresponsabile per altri fattori, tra cui la riservatezza dei dati, i requisiti dell'azienda e le leggi e le normativeapplicabili.
Questa documentazione aiuta a comprendere come applicare il modello di responsabilità condivisa quandosi utilizza AWS Directory Service. Gli argomenti seguenti illustrano come configurare AWS DirectoryService per soddisfare gli obiettivi di sicurezza e compliance. Scoprirai anche come utilizzare altri servizi diAWS per monitorare e proteggere le risorse AWS Directory Service.
Argomenti relativi alla sicurezza
In questa sezione sono disponibili i seguenti argomenti relativi alla sicurezza:
• Gestione delle identità e degli accessi per AWS Directory Service (p. 270)• Registrazione e monitoraggio in AWS Directory Service (p. 281)• Convalida della conformità per AWS Directory Service (p. 282)• Resilienza in AWS Directory Service (p. 282)• Sicurezza dell'infrastruttura in AWS Directory Service (p. 283)
Ulteriori argomenti relativi alla sicurezza
In questa guida sono disponibili i seguenti argomenti aggiuntivi relativi alla sicurezza:
Account, trust e accesso alle risorse AWS
• Account Admin (p. 17)• Account del servizio gestito del gruppo (p. 20)• Quando creare una relazione di trust (p. 92)• Delega vincolata Kerberos (p. 20)• Concessione dell'accesso alle risorse AWS a utenti e gruppi (p. 120)• Abilitazione dell'accesso alle applicazioni e ai servizi AWS (p. 124)
Protezione della directory
• Protezione della directory AWS Managed Microsoft AD (p. 28)• Protezione della directory AD Connector (p. 188)
Logging e monitoraggio
Version 1.0269
AWS Directory Service Guida di amministrazioneGestione delle identità e degli accessi
• Monitorare i AWS Managed Microsoft AD (p. 51)• Monitoraggio della directory AD Connector (p. 194)
Flessibilità
• Applicazione di patch e manutenzione per AWS Managed Microsoft AD (p. 19)
Gestione delle identità e degli accessi per AWSDirectory Service
L'accesso a AWS Directory Service richiede credenziali che possono essere utilizzate da AWS perautenticare le richieste. Tali credenziali devono disporre delle autorizzazioni per accedere alle risorse AWS,ad esempio una directory AWS Directory Service. Nelle sezioni seguenti vengono fornite informazioni sucome utilizzare AWS Identity and Access Management (IAM) e AWS Directory Service per proteggere lerisorse tramite il controllo degli accessi:
• Autenticazione (p. 270)• Controllo degli accessi (p. 271)
AutenticazioneÈ possibile accedere ad AWS utilizzando uno dei seguenti tipi di identità:
• Utente root dell'account AWS – Quando crei un account AWS per la prima volta, inizi con una singolaidentità di accesso che ha accesso completo a tutti i servizi e le risorse AWS nell'account. Tale identitàè chiamata account dell'account AWS utente root e puoi accedervi con l'indirizzo e-mail e la passwordutilizzati per creare l'account. È vivamente consigliato di non utilizzare utente root per le attivitàquotidiane, anche quelle amministrative. Attieniti alla best practice per utilizzare la utente root soltantoper creare il tuo primo utente IAM. Quindi conserva al sicuro le credenziali utente root e utilizzale pereseguire solo alcune attività di gestione dell'account e del servizio.
• Utente IAM: un utente IAM è un'identità nel tuo account AWS che dispone di autorizzazionipersonalizzate specifiche (ad esempio, autorizzazioni per creare a directory in AWS Directory Service).Puoi utilizzare nome utente e password IAM per accedere a pagine Web AWS sicure, come Console digestione AWS, i forum di discussione AWS o il AWS Support Center.
Oltre a un nome utente e una password, puoi anche generare chiavi di accesso per ciascun utente. chepuoi utilizzare per accedere ai servizi AWS in modo programmatico, tramite uno dei vari SDK o l'AWSCommand Line Interface (CLI). L'SDK e gli strumenti dell'interfaccia a riga di comando utilizzano lechiavi di accesso per firmare crittograficamente la tua richiesta. Se non utilizzi gli strumenti di AWS, devifirmare la richiesta personalmente. AWS Directory Service supportsSignature Version 4, un protocolloper l'autenticazione di richieste API in entrata. Per ulteriori informazioni sulle richieste di autenticazione,consulta la pagina relativa al processo di firma Signature Version 4 nella AWS General Reference.
• Ruolo IAM:Un ruolo IAMè un'identità IAM che puoi creare nell'account che dispone di autorizzazioni
specifiche. Un ruolo IAM è simile a un utente IAM in quanto è un'identità AWS con policy di autorizzazioniche determinano ciò che l'identità può fare e non può fare in AWS. Tuttavia, invece di essere associatoin modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque. Inoltre, un ruolonon ha credenziali a lungo termine standard associate (password o chiavi di accesso). Tuttavia, quando
Version 1.0270
AWS Directory Service Guida di amministrazioneControllo degli accessi
assumi un ruolo, vengono fornite le credenziali di sicurezza provvisorie per la sessione del ruolo. i ruoliIAM con credenziali temporanee sono utili nelle seguenti situazioni:
• Accesso utente federato: Invece di creare un utente IAM, puoi utilizzare identità esistenti da AWS
Directory Service, dalla tua directory di utente aziendale o da un provider di identità Web. Sono noticome utenti federati. AWS assegna un ruolo a un utente federato quando è richiesto l'accesso tramiteun provider di identità. Per ulteriori informazioni sugli utenti federati, consulta la pagina relativa a utentifederati e ruoli nella Guida per l'utente di IAM.
• Accesso al servizio AWS: Un ruolo di servizio è un ruolo IAM che un servizio assume per eseguire
operazioni nel tuo account a tuo nome. Quando configuri gli ambienti di servizio AWS, devi definireun ruolo che il servizio deve assumere. Questo ruolo di servizio deve includere tutte le autorizzazioninecessarie per accedere alle risorse AWS di cui ha bisogno. I ruoli del servizio variano da servizioa servizio, ma molti permettono di selezionare le autorizzazioni, a condizione di soddisfare i requisitidocumentati per quel servizio. I ruoli del servizio forniscono l'accesso all'interno del tuo account e nonpossono essere utilizzati per concedere l'accesso ai servizi in altri account. Puoi creare, modificare edeliminare un ruolo del servizio dall'interno di IAM. Ad esempio, puoi creare un ruolo che consente aAmazon Redshift di accedere a un bucket Amazon S3 per tuo conto e quindi caricare i dati dal bucketin un cluster Amazon Redshift. Per ulteriori informazioni, consulta Creazione di un ruolo per delegare leautorizzazioni a un servizio AWS nella Guida per l'utente di IAM.
• Applicazioni in esecuzione su Amazon EC2: Puoi utilizzare un ruolo IAM per gestire credenziali
temporanee per le applicazioni in esecuzione su un'istanza EC2 e inviare richieste AWS CLI o APIAWS. Ciò è preferibile all'archiviazione delle chiavi di accesso nell'istanza EC2. Per assegnare unruolo AWS a un'istanza EC2, affinché sia disponibile per tutte le relative applicazioni, puoi creare unprofilo di istanza collegato all'istanza. Un profilo di istanza contiene il ruolo e consente ai programmi inesecuzione sull'istanza EC2 di ottenere le credenziali temporanee. Per ulteriori informazioni, consultaUtilizzo di un ruolo IAM per concedere autorizzazioni ad applicazioni in esecuzione su istanze AmazonEC2 nella Guida per l'utente di IAM.
Controllo degli accessiPer autenticare le richieste, devi disporre di credenziali valide ma, a meno che tu non disponga delleautorizzazioni, non puoi creare risorse di AWS Directory Service o accedervi. Ad esempio, è necessariodisporre di autorizzazioni per creare una directory AWS Directory Service oppure per creare una snapshotdi directory.
Nelle sezioni seguenti viene descritto come gestire le autorizzazioni per AWS Directory Service.Consigliamo di leggere prima la panoramica.
• Panoramica della gestione delle autorizzazioni di accesso alle tue risorse AWS DirectoryService (p. 271)
• Uso di policy basate su identità (policy IAM) per AWS Directory Service (p. 275)• AWS Directory ServiceAutorizzazioni API Riferimento a operazioni, risorse e condizioni (p. 281)
Panoramica della gestione delle autorizzazioni diaccesso alle tue risorse AWS Directory ServiceOgni risorsa AWS è di proprietà di un account AWS e le autorizzazioni necessarie per creare o accederealle risorse sono regolate dalle policy di autorizzazione. Un amministratore account può collegare le policy
Version 1.0271
AWS Directory Service Guida di amministrazionePanoramica della gestione dell'accesso
di autorizzazione a identità IAM (utenti, gruppi e ruoli), mentre alcuni servizi (ad esempio AWS Lambda)supportano anche il collegamento delle policy di autorizzazione alle risorse.
Note
Un amministratore account (o un utente amministratore) è un utente con privilegi diamministratore. Per ulteriori informazioni, consulta Buone prassi IAM nella Guida per l'utente diIAM.
Quando si concedono le autorizzazioni, è necessario specificare gli utenti che le riceveranno e le risorseper cui si concedono, nonché le operazioni specifiche da consentire su tali risorse.
Argomenti• Risorse e operazioni AWS Directory Service (p. 272)• Informazioni sulla proprietà delle risorse (p. 272)• Gestione dell'accesso alle risorse (p. 273)• Specificazione degli elementi della policy: Operazioni, effetti, risorse e principali (p. 274)• Specifica delle condizioni in una policy (p. 274)
Risorse e operazioni AWS Directory ServiceIn AWS Directory Service, la risorsa principale è una directory. AWS Directory Service supporta anchele risorse della snapshot di directory. Tuttavia, puoi creare snapshot solo nel contesto di una directoryesistente. Pertanto, una snapshot è nota come subresource.
Alle risorse sono associati nomi Amazon Resource Name (ARN) univoci, come illustrato nella tabellaseguente.
Tipo di risorsa Formato ARN
Directory arn:aws:ds:region:account-id:directory/external-directory-id
Snapshot arn:aws:ds:region:account-id:snapshot/external-snapshot-id
AWS Directory Service fornisce un set di operazioni da utilizzare con le risorse appropriate. Per un elencodelle operazioni disponibili, consulta la sezione relativa alle operazioni del servizio di directory.
Informazioni sulla proprietà delle risorseUn proprietario di risorsa è l'account AWS che ha creato la risorsa, In altri termini, il proprietario dellarisorsa è l'account AWS dell'entità principale (l'account root, un utente IAM o un ruolo IAM) che autentica larichiesta che crea la risorsa. Negli esempi seguenti viene illustrato il funzionamento.
• Se utilizzi le credenziali dell'account root del tuo account AWS per creare una risorsa AWS DirectoryService, come una directory, l'account AWS è il proprietario della risorsa.
• Se crei un utente IAM nell'account AWS e concedi a tale utente le autorizzazioni per creare risorse AWSDirectory Service, l'utente può anche creare risorse AWS Directory Service. Tuttavia, l'account AWS acui appartiene l'utente è il proprietario delle risorse.
• Se crei un ruolo IAM nell'account AWS con le autorizzazioni necessarie per creare risorse AWS DirectoryService, chiunque possa assumere il ruolo può creare risorse AWS Directory Service. L'account AWS acui appartiene il ruolo è il proprietario delle risorse AWS Directory Service.
Version 1.0272
AWS Directory Service Guida di amministrazionePanoramica della gestione dell'accesso
Gestione dell'accesso alle risorseLa policy delle autorizzazioni descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte leopzioni disponibili per la creazione di policy relative alle autorizzazioni.
Note
Questa sezione parla dell'utilizzo di IAM nel contesto AWS Directory Service ma non vengonofornite informazioni dettagliate sul servizio IAM. Per la documentazione IAM completa, consultaChe cos'è IAM? nella Guida per l'utente di IAM. Per informazioni sulla sintassi e le descrizioni dellepolicy IAM, consulta la sezione relativa al Riferimento alle policy JSON di IAM nella Guida perl'utente di IAM.
Le policy collegate a un'identità IAM vengono definite policy basate su identità (policy IAM), mentre quellecollegate a una risorsa vengono definite policy basate su risorse. AWS Directory Service supporta solopolicy basate su identità (policy IAM).
Argomenti• Policy basate su identità (policy IAM) (p. 273)• Policy basate sulle risorse (p. 274)
Policy basate su identità (policy IAM)
Puoi collegare le policy alle identità IAM . Ad esempio, puoi eseguire le operazioni seguenti:
• Collegare una policy di autorizzazioni a un utente o a un gruppo nel tuo account – Un amministratoreaccount può utilizzare una policy di autorizzazione associata a un utente specifico per concedereautorizzazioni per tale utente, al fine di creare una risorsa AWS Directory Service, come una nuovadirectory.
• Collega una policy di autorizzazione a un ruolo (assegnazione di autorizzazioni tra account): perconcedere autorizzazioni tra account, puoi collegare una policy di autorizzazioni basata su identità a unruolo IAM. Ad esempio, l'amministratore dell'account A può creare un ruolo per concedere autorizzazionimulti-account a un altro account AWS (ad esempio l'account B) oppure a un servizio AWS nel modoseguente:1. L'amministratore dell'account A crea un ruolo IAM e collega una policy di autorizzazioni al ruolo che
concede le autorizzazioni per le risorse nell'account A.2. L'amministratore dell'account A attribuisce una policy di attendibilità al ruolo, identificando l'account B
come il principale per tale ruolo.3. L'amministratore dell'account B può quindi delegare le autorizzazioni per assumere tale ruolo a
qualsiasi utente dell'account B. In questo modo, gli utenti nell'account B possono creare o accederealle risorse nell'account A. Se si desidera concedere a un servizio AWS le autorizzazioni per assumereil ruolo, l'entità nella policy di attendibilità può essere anche un'entità servizio AWS.
Per ulteriori informazioni sull'uso di IAM per delegare le autorizzazioni, consulta Gestione degli accessinella Guida per l'utente di IAM.
La policy di autorizzazione seguente concede a un utente le autorizzazioni per eseguire tutte le operazioniche iniziano con Describe. Queste operazioni mostrano informazioni su un AWS Directory Service , adesempio una directory o uno snapshot. Il carattere jolly (*) nell'elemento Resource indica che le operazionisono consentite per tutte le risorse AWS Directory Service di proprietà dell'account.
{ "Version":"2012-10-17", "Statement":[ {
Version 1.0273
AWS Directory Service Guida di amministrazionePanoramica della gestione dell'accesso
"Effect":"Allow", "Action":"ds:Describe*", "Resource":"*" } ]}
Per ulteriori informazioni sull'utilizzo di policy basate su identità con AWS Directory Service, consulta Usodi policy basate su identità (policy IAM) per AWS Directory Service (p. 275). Per ulteriori informazioni suutenti, gruppi, ruoli e autorizzazioni, consulta la pagina relativa a identità (utenti, gruppi e ruoli) nella Guidaper l'utente di IAM.
Policy basate sulle risorseAnche altri servizi, come Amazon S3, supportano policy di autorizzazioni basate su risorse. Ad esempio,puoi collegare una policy a un bucket S3 per gestire le autorizzazioni di accesso al bucket. AWS DirectoryService non supporta policy basate su risorse.
Specificazione degli elementi della policy: Operazioni, effetti,risorse e principaliPer ogni risorsa AWS Directory Service, il servizio definisce un set di operazioni API. Per ulterioriinformazioni, consulta Risorse e operazioni AWS Directory Service (p. 272). Per un elenco delleoperazioni dell'API disponibili, consulta la sezione relativa alle operazioni del servizio di directory.
Per concedere le autorizzazioni per queste operazioni API, AWS Directory Service definisce un set dioperazioni che possono essere specificate in una policy. Si noti che l'esecuzione di un'operazione API puòrichiedere le autorizzazioni per più di un'azione.
Di seguito sono elencati gli elementi di base di una policy:
• Risorsa – In una policy si utilizza un Amazon Resource Name (ARN) per identificare la risorsa a cui siapplica la policy stessa. Per le risorse AWS Directory Service, si utilizza sempre il carattere jolly (*) nellepolicy IAM. Per ulteriori informazioni, consulta Risorse e operazioni AWS Directory Service (p. 272).
• Operazione – puoi utilizzare parole chiave delle operazioni per identificare le operazioni delle risorseche desideri permettere o negare. Ad esempio, l'autorizzazione ds:DescribeDirectories concedeall'utente le autorizzazioni per eseguire l'operazione AWS Directory Service DescribeDirectories.
• Effetto– Secifica l'effetto quando l'utente richiede l'operazione specifica. Può trattarsi di un'autorizzazioneo di un rifiuto. Se non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso vieneimplicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per garantire che unutente non possa accedervi, anche se l'accesso viene concesso da un'altra policy.
• Principal (Entità principale) – Nelle policy basate su identità (policy IAM), l'utente cui la policy è collegataè l'entità principale implicita. Per policy basate su risorse, specifichi l'utente, l'account, il servizio o un'altraentità che desideri riceva le autorizzazioni (si applica solo alle policy basate su risorse). AWS DirectoryService non supporta le policy basate su risorse.
Per ulteriori informazioni sulla sintassi delle policy IAM e le rispettive descrizioni, consulta le informazioni diriferimento sulle policy JSON IAM nella Guida per l'utente di IAM.
Per una tabella che elenca tutte le operazioni API AWS Directory Service e le risorse a cui si applicano,consulta AWS Directory ServiceAutorizzazioni API Riferimento a operazioni, risorse e condizioni (p. 281).
Specifica delle condizioni in una policyQuando concedi le autorizzazioni, puoi utilizzare la sintassi della policy di accesso per specificare lecondizioni in base a cui la policy deve essere applicata. Ad esempio, potresti decidere che una policy
Version 1.0274
AWS Directory Service Guida di amministrazioneUtilizzo di policy basate su identità (policy IAM)
venga applicata solo dopo una data specifica. Per ulteriori informazioni su come specificare le condizioni inun linguaggio di policy, consulta Condizione nella Guida per l'utente di IAM.
Per esprimere le condizioni, devi usare chiavi di condizione predefinite. Sebbene non esistano chiavi dicondizione specifiche per AWS Directory Service. sono tuttavia disponibili chiavi di condizione AWS chepuoi utilizzare secondo necessità. Per un elenco completo di chiavi AWS, consulta la pagina relativa alleChiavi di condizione globali disponibili nella Guida per l'utente di IAM.
Uso di policy basate su identità (policy IAM) per AWSDirectory ServiceIn questo argomento vengono forniti esempi di policy basate su identità in cui un amministratore accountpuò collegare policy di autorizzazioni a identità IAM (ovvero utenti, gruppi e ruoli).
Important
È consigliabile esaminare gli argomenti introduttivi che spiegano i concetti base e le opzionidisponibili per la gestione degli accessi alle risorse AWS Directory Service. Per ulterioriinformazioni, consulta Panoramica della gestione delle autorizzazioni di accesso alle tue risorseAWS Directory Service (p. 271).
In questa sezione vengono trattati gli argomenti seguenti:
• Autorizzazioni necessarie per usare la console AWS Directory Service (p. 276)• Policy (predefinite) gestite da AWS per AWS Directory Service (p. 276)• Esempi di policy gestite dal cliente (p. 277)• Utilizzo dei tag con policy IAM (p. 278)
Di seguito viene illustrato un esempio di policy di autorizzazione:
{ "Version" : "2012-10-17", "Statement" : [ { "Action" : [ "ds:CreateDirectory" ], "Effect" : "Allow", "Resource" : "*" }, { "Action" : [ "iam:PassRole", "iam:GetRole", "iam:CreateRole", "iam:PutRolePolicy" ], "Effect" : "Allow", "Resource" : "*" }, { "Action" : [ "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:CreateSecurityGroup", "ec2:DeleteSecurityGroup", "ec2:CreateNetworkInterface",
Version 1.0275
AWS Directory Service Guida di amministrazioneUtilizzo di policy basate su identità (policy IAM)
"ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress" ], "Effect" : "Allow", "Resource" : "*" } ]}
La policy include quanto segue.
• La prima istruzione concede l'autorizzazione per la creazione di una directory di AWS Directory Service.AWS Directory Service non supporta autorizzazioni per questa particolare operazione a livello di risorsa.e di conseguenza la policy specifica una carattere jolly (*) come valore di Resource.
• La seconda istruzione concede autorizzazioni a determinate operazioni IAM. L'accesso alle operazioniIAM è necessario in modo che AWS Directory Service possa leggere e creare ruoli IAM per contodell'utente. Il carattere jolly (*) alla fine del valore Resource significa che l'istruzione concedel'autorizzazione per operazioni IAM su qualsiasi ruolo IAM. Per limitare questa autorizzazione a undeterminato ruolo, sostituire il carattere jolly (*) nel nome ARN della risorsa con il nome del ruolospecifico. Per ulteriori informazioni, consulta la sezione relativa alle operazioni IAM.
• La terza istruzione concede autorizzazioni a uno specifico set di risorse Amazon EC2 necessarie perconsentire ad AWS Directory Service di creare, configurare e distruggere le proprie directory. Il caratterejolly (*) alla fine del valore Resource indica che l'istruzione concede l'autorizzazione alle operazioni EC2su qualsiasi risorsa EC2 o sottorisorsa. Per limitare questa autorizzazione a un ruolo specifico, sostituisciil carattere jolly (*) nell'ARN della risorsa con la risorsa o sottorisorsa specifica. Per ulteriori informazioni,consulta Operazioni Amazon EC2.
La policy non specifica l'elemento Principal poiché in una policy basata su identità l'entità principalche ottiene l'autorizzazione non viene specificata. Quando si collega una policy a un utente, quest'ultimoè l'entità implicita. Quando si collega una policy di autorizzazione a un ruolo IAM, l'entità principaleidentificata nella policy di attendibilità del ruolo ottiene le autorizzazioni.
Per una tabella che elenca tutte le operazioni API AWS Directory Service e le risorse a cui si applicano,consulta AWS Directory ServiceAutorizzazioni API Riferimento a operazioni, risorse e condizioni (p. 281).
Autorizzazioni necessarie per usare la console AWS DirectoryServicePerché un utente possa utilizzare la console AWS Directory Service, egli deve disporre delle autorizzazionielencate nella policy precedente o delle autorizzazioni concesse dal ruolo di accesso completo di DirectoryService o dal ruolo di sola lettura di Directory Service descritte in Policy (predefinite) gestite da AWS perAWS Directory Service (p. 276).
Se si crea una policy IAM più restrittiva delle autorizzazioni minime richieste, la console non funzionerà nelmodo previsto per gli utenti con tale policy IAM.
Policy (predefinite) gestite da AWS per AWS Directory ServiceAWS gestisce molti casi di utilizzo comuni fornendo policy IAM autonome create e amministrate da AWS.Le policy gestite concedono le autorizzazioni necessarie per i casi di utilizzo comune in modo da non dovercercare quali sono le autorizzazioni richieste. Per ulteriori dettagli, consulta Policy gestite AWS nella Guidaper l'utente di IAM.
Version 1.0276
AWS Directory Service Guida di amministrazioneUtilizzo di policy basate su identità (policy IAM)
Le seguenti policy gestite da AWS che puoi collegare agli utenti nell'account, sono specifiche di AWSDirectory Service.
• AWSDirectoryServiceReadOnlyAccess: concede a un utente o a un gruppo l'accesso in sola letturaa tutte le risorse AWS Directory Service, alle sottoreti EC2, alle interfacce di rete EC2, agli argomentiAmazon Simple Notification Service (Amazon SNS) e alle sottoscrizioni dell'account root AWS. Perulteriori informazioni, consulta Utilizzo delle policy gestite in AWS con AWS Directory Service (p. 123).
• AWSDirectoryServiceFullAccess – Concede a un utente o a un gruppo quanto segue:• Accesso completo a AWS Directory Service• Accesso ai servizi chiave Amazon EC2 necessari per l'utilizzo di AWS Directory Service• Possibilità di elencare argomenti Amazon SNS• Possibilità di creare, gestire ed eliminare argomenti Amazon SNS con un nome che inizia con
"DirectoryMonitoring"
Per ulteriori informazioni, consulta Utilizzo delle policy gestite in AWS con AWS DirectoryService (p. 123).
Inoltre, vi sono altre policy gestite da AWS che possono essere utilizzate con altri ruoli IAM. Queste policyvengono assegnate ai ruoli associati agli utenti nella directory AWS Directory Service. Queste policy sononecessarie per consentire agli utenti di accedere ad altre risorse AWS, ad esempio Amazon EC2. Perulteriori informazioni, consulta Concessione dell'accesso alle risorse AWS a utenti e gruppi (p. 120).
Puoi anche creare policy IAM personalizzate che consentono agli utenti di accedere alle operazioni erisorse API richieste. Puoi collegare queste policy personalizzate agli utenti o ai gruppi IAM che richiedonole autorizzazioni.
Esempi di policy gestite dal clienteQuesta sezione include esempi di policy utente che concedono autorizzazioni per diverse operazioni AWSDirectory Service.
Note
Tutti gli esempi utilizzano Stati Uniti occidentali (Oregon) (us-west-2) e contengono ID accountfittizi.
Esempi: , , .• Esempio 1 Consentire a un utente di eseguire qualsiasi azione Describe su qualsiasi AWS Directory
Service Risorsa (p. 277)• Esempio 2 Consentire a un utente di creare una directory (p. 278)
Esempio 1 Consentire a un utente di eseguire qualsiasi azione Describe suqualsiasi AWS Directory Service Risorsa
La policy di autorizzazione seguente concede a un utente le autorizzazioni per eseguire tutte le operazioniche iniziano con Describe. Queste operazioni mostrano informazioni su un AWS Directory Service , adesempio una directory o uno snapshot. Il carattere jolly (*) nell'elemento Resource indica che le operazionisono consentite per tutte le risorse AWS Directory Service di proprietà dell'account.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow",
Version 1.0277
AWS Directory Service Guida di amministrazioneUtilizzo di policy basate su identità (policy IAM)
"Action":"ds:Describe*", "Resource":"*" } ]}
Esempio 2 Consentire a un utente di creare una directory
La seguente policy di autorizzazione concede autorizzazioni per permettere all'utente di creare unadirectory e tutte le altre risorse correlate, quali snapshot e trust. Per farlo, sono necessarie anche leautorizzazioni per determinati servizi Amazon EC2.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": [ "ds:Create*", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateNetworkInterface", "ec2:CreateSecurityGroup", "ec2:DeleteNetworkInterface", "ec2:DeleteSecurityGroup", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress" ], "Resource":"*" ] } ]}
Utilizzo dei tag con policy IAMÈ possibile applicare autorizzazioni a livello di risorsa basate su tag nelle policy IAM utilizzate per lamaggior parte delle operazioni API AWS Directory Service. In questo modo è possibile controllaremeglio le risorse che un utente può creare, modificare o utilizzare. Puoi utilizzare l'elemento Condition(denominato anche blocco Condition) con i seguenti valori e chiavi di contesto di condizione in una policyIAM per controllare l'accesso dell'utente (autorizzazione) in base ai tag della risorsa:
• Uso aws:ResourceTag/tag-key: tag-value per consentire o negare le operazioni dell'utente sullerisorse con tag specifici.
• Uso aws:ResourceTag/tag-key: tag-value per richiedere che un tag specifico venga utilizzato (onon utilizzato) quando si effettua una richiesta API per creare o modificare una risorsa che consente itag.
• Uso aws:TagKeys: [tag-key,...] per richiedere che venga utilizzato (o non utilizzato) un set specifico dichiavi di tag quando si effettua una richiesta API per creare o modificare una risorsa che consente i tag.
Note
Le chiavi di contesto della condizione e i valori all'interno di una policy IAM si applicano solo alleoperazioni AWS Directory Service in cui un identificatore per una risorsa a cui è possibile applicaretag è un parametro obbligatorio.
Version 1.0278
AWS Directory Service Guida di amministrazioneUtilizzo di policy basate su identità (policy IAM)
L'argomento relativo al controllo dell'accesso mediante i tag nellaGuida per l'utente di IAM contiene ulterioriinformazioni sull'utilizzo dei tag. La sezione relativa al riferimento alle policy JSON IAM della guida contieneuna sintassi dettagliata, descrizioni ed esempi di elementi, variabili e logica di valutazione delle policyJSON in IAM.
Il seguente esempio di policy di tag consente tutte le chiamate ds purché contengano il tag coppia chiave-valore "fooKey"."fooValue".
{ "Version":"2012-10-17", "Statement":[ { "Sid":"VisualEditor0", "Effect":"Allow", "Action":[ "ds:*" ], "Resource":"*", "Condition":{ "StringEquals":{ "aws:ResourceTag/fooKey":"fooValue" } } }, { "Effect":"Allow", "Action":[ "ec2:*" ], "Resource":"*" } ]}
Il seguente esempio di policy della risorsa consente tutte le chiamate ds purché la risorsa contenga l'IDdirectory "d-1234567890".
{ "Version":"2012-10-17", "Statement":[ { "Sid":"VisualEditor0", "Effect":"Allow", "Action":[ "ds:*" ], "Resource":"arn:aws:ds:us-east-1:123456789012:directory/d-1234567890" }, { "Effect":"Allow", "Action":[ "ec2:*" ], "Resource":"*" } ]}
Per ulteriori informazioni sugli ARN, consulta Amazon Resource Name (ARN) e spazi dei nomi del servizioAWS.
Il seguente elenco di operazioni API AWS Directory Service supporta autorizzazioni a livello di risorsabasate su tag:
Version 1.0279
AWS Directory Service Guida di amministrazioneUtilizzo di policy basate su identità (policy IAM)
• AcceptSharedDirectory• AddIpRoutes• AddTagsToResource• CancelSchemaExtension• CreateAlias• CreateComputer• CreateConditionalForwarder• CreateSnapshot• CreateLogSubscription• CreateTrust• DeleteConditionalForwarder• DeleteDirectory• DeleteLogSubscription• DeleteSnapshot• DeleteTrust• DeregisterEventTopic• DescribeConditionalForwarders• DescribeDomainControllers• DescribeEventTopics• DescribeSharedDirectories• DescribeSnapshots• DescribeTrusts• DisableRadius• DisableSso• EnableRadius• EnableSso• GetSnapshotLimits• ListIpRoutes• ListSchemaExtensions• ListTagsForResource• RegisterEventTopic• RejectSharedDirectory• RemoveIpRoutes• RemoveTagsFromResource• ResetUserPassword• RestoreFromSnapshot• ShareDirectory• StartSchemaExtension• UnshareDirectory• UpdateConditionalForwarder• UpdateNumberOfDomainControllers• UpdateRadius
Version 1.0280
AWS Directory Service Guida di amministrazioneInformazioni di riferimento sulle autorizzazioni
delle API AWS Directory Service
• UpdateTrust• VerifyTrust
AWS Directory ServiceAutorizzazioni API Riferimentoa operazioni, risorse e condizioniQuando si configura Controllo degli accessi (p. 271) e si scrivono policy di autorizzazione che è possibilecollegare a un'identità IAM (policy basate su identità), è possibile utilizzare la tabella seguente comeriferimento. L'elenco delle include quanto segue:
• Ogni operazione API AWS Directory Service• Le operazioni corrispondenti per le quali è possibile concedere le autorizzazioni per eseguire l'operazione• La risorsa AWS per la quale è possibile concedere le autorizzazioni
Specifica le operazioni nel campo Action della policy e il valore della risorsa nel campo Resource dellapolicy.
Note
Alcune applicazioni AWS potrebbero richiedere nelle relative policy l'utilizzo di operazioni APIAWS Directory Service non pubbliche, come ds:AuthorizeApplication, ds:CheckAlias,ds:CreateIdentityPoolDirectory e ds:UnauthorizeApplication.
Per esprimere le condizioni, puoi utilizzare chiavi di condizione globali AWS nelle policy AWS DirectoryService. Per un elenco completo di chiavi AWS, consulta la pagina relativa alle Chiavi di condizione globalidisponibili nella Guida per l'utente di IAM.
Note
Per specificare un'operazione, utilizza il prefisso ds: seguito dal nome dell'operazione API (adesempio, ds:CreateDirectory).
Argomenti correlati• Controllo degli accessi (p. 271)
Registrazione e monitoraggio in AWS DirectoryService
Come best practice, dovresti monitorare la tua organizzazione per accertarti che le modifiche venganoregistrate. Questo aiuta a garantire che qualsiasi modifica imprevista possa essere controllata e che lemodifiche indesiderate possano essere sottoposte a rollback. AWS Directory Service attualmente supportai seguenti due servizi AWS che consentono di monitorare l'organizzazione e le attività che avvengono alsuo interno.
• Amazon CloudWatch Events - È possibile utilizzare CloudWatch Events con il tipo di directory AWSManaged Microsoft AD. Per ulteriori informazioni, consulta Abilita inoltro dei log (p. 55).
• AWS CloudTrail - È possibile utilizzare CloudTrail con tutti i tipi di directory AWS Directory Service. Perulteriori informazioni, consulta Registrazione di chiamate API AWS Directory Service con CloudTrail
Version 1.0281
AWS Directory Service Guida di amministrazioneConvalida della conformità
Convalida della conformità per AWS DirectoryService
Revisori di terza parte valutano la sicurezza e la conformità di AWS Directory Service come parte dipiù programmi di conformità di AWS. Con AWS Managed Microsoft AD, questi includono SOC, PCI,FedRAMP, HIPAA e altri. Per ulteriori informazioni, consulta Gestione della conformità per AWS ManagedMicrosoft AD (p. 41).
Per un elenco di servizi AWS che rientrano nell'ambito di programmi di conformità specifici, consultaServizi AWS coperti dal programma di compliance. Per informazioni generali, consulta Programmi per laconformità di AWS.
Puoi scaricare i report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consultal'argomento Download dei rapporti in AWS Artifact.
Quando utilizzi AWS Directory Service, la responsabilità di conformità è determinata dalla riservatezza deidati, dagli obiettivi di conformità dell'azienda e dalle normative vigenti. AWS fornisce le risorse seguenti persemplificare la conformità:
• Guide Quick Start Sicurezza e compliance– Queste guide alla distribuzione illustrano considerazionirelative all'architettura e forniscono procedure per la distribuzione di ambienti di base incentrati sullasicurezza e sulla conformità su AWS.
• Whitepaper Architecting for HIPAA Security and Compliance – Questo whitepaper descrive in che modole aziende possono utilizzare AWS per creare applicazioni conformi ai requisiti HIPAA.
• AWS Risorse per la conformità: –questa raccolta di cartelle di lavoro e guide potrebbe essere utile perl'industria e la posizione.
• AWS Config – Questo servizio AWS valuta il livello di conformità delle configurazioni delle risorse conpratiche interne, linee guida e regolamenti industriali.
• AWS Security Hub – questo servizio AWS fornisce una visione completa dello stato di sicurezzaall'interno di AWS che consente di verificare la conformità con standard industriali di sicurezza e bestpractice.
Resilienza in AWS Directory ServiceIl AWS infrastruttura globale è costruita intorno AWS Regioni e zone di disponibilità. AWS Le regioniforniscono più zone di disponibilità fisicamente separate e isolate, che sono connesse con reti a bassalatenza, a throughput elevato e altamente ridondanti. Con le zone di disponibilità, è possibile progettaree gestire le applicazioni e database che eseguono il failover automatico tra zone di disponibilità senzainterruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alleinfrastrutture a data center singolo o multiplo.
Per ulteriori informazioni sulle regioni e le zone di disponibilità AWS, consulta Infrastruttura globale di AWS.
Oltre all'infrastruttura globale AWS, AWS Directory Service offre la possibilità di acquisire snapshot didati manuali in qualsiasi momento per supportare le esigenze di resilienza dei dati e backup. Per ulterioriinformazioni, consulta Snapshot o ripristino della directory (p. 118).
Version 1.0282
AWS Directory Service Guida di amministrazioneSicurezza dell'infrastruttura
Sicurezza dell'infrastruttura in AWS DirectoryService
Come servizio gestito, AWS Directory Service è protetto dal AWS di sicurezza di rete globale che sonodescritte nella Amazon Web Services: : panoramica dei processi di sicurezza (whitepaper)
Utilizza le chiamate all'API pubblicate di AWS per accedere a AWS Directory Service tramite la rete.I client devono supportare Transport Layer Security (TLS) 1.0 o versioni successive. È consigliabileTLS 1.2 o versioni successive. I client devono, inoltre, supportare le suite di cifratura con PFS (PerfectForward Secrecy), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman(ECDHE). La maggior parte dei sistemi moderni come Java 7 e versioni successive, supporta tali modalità.
Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accessosegreta che è associata a un principal IAM. In alternativa, è possibile utilizzare AWS Security TokenService (AWS STS) per generare le credenziali di sicurezza temporanee per firmare le richieste.
Version 1.0283
AWS Directory Service Guida di amministrazione
Contratto sul livello di servizio (SLA)per AWS Directory Service
AWS Directory Service è un servizio altamente disponibile ed è sviluppato su un'infrastruttura gestita daAWS. È supportato da un contratto sul livello di servizio che definisce la nostra policy di disponibilità deiservizi.
Per ulteriori informazioni, consulta il contratto sul livello di servizio per AWS Directory Service.
Version 1.0284
AWS Directory Service Guida di amministrazione
Disponibilità nelle regioni per AWSDirectory Service
La tabella riportata di seguito fornisce un elenco degli endpoint specifici della regione supportati in base altipo di directory.
Nomedellaregione
Region(Regione)
Endpoint Protocol(Protocollo) .
AWSManagedMicrosoftAD
ADConnector
SimpleAD
StatiUnitiorientali(Ohio)
us-east-2
ds.us-east-2.amazonaws.com HTTPS X X N/D*
USEast (N.Virginia)
, us-east-1
ds.us-east-1.amazonaws.com HTTPS X X X
StatiUnitioccidentali(Californiasettentrionale)
us-west-1
ds.us-west-1.amazonaws.com HTTPS X X N/D*
StatiUnitioccidentali(Oregon)
, us-west-2
ds.us-west-2.amazonaws.com HTTPS X X X
Africa(CittàdelCapo) *
af-south-1
ds.af-south-1.amazonaws.com HTTPS X X N/D*
AsiaPacifico(HongKong) *
ap-east-1
ds.ap-east-1.amazonaws.com HTTPS X X N/D*
AsiaPacifico(Mumbai)
ap-south-1
ds.ap-south-1.amazonaws.com HTTPS X X N/D*
AsiaPacifico(Seoul)
ap-northeast-2
ds.ap-northeast-2.amazonaws.com HTTPS X X N/D*
AsiaPacifico(Singapore)
ap-southeast-1
ds.ap-southeast-1.amazonaws.com HTTPS X X X
Version 1.0285
AWS Directory Service Guida di amministrazione
Nomedellaregione
Region(Regione)
Endpoint Protocol(Protocollo) .
AWSManagedMicrosoftAD
ADConnector
SimpleAD
AsiaPacifico(Sydney)
, ap-southeast-2
ds.ap-southeast-2.amazonaws.com HTTPS X X X
AsiaPacifico(Tokyo)
ap-northeast-1
ds.ap-northeast-1.amazonaws.com HTTPS X X X
Canada(Centrale)
ca-central-1
ds.ca-central-1.amazonaws.com HTTPS X X N/D*
Cina(Pechino)
cn-north-1
ds.cn-north-1.amazonaws.com.cn HTTPS X X N/D*
Cina(Ningxia)
cn-northwest-1
ds.cn-northwest-1.amazonaws.com.cn HTTPS X X N/D*
RegioneEuropa(Francoforte)
, eu-central-1
ds.eu-central-1.amazonaws.com HTTPS X X N/D*
RegioneEuropa(Irlanda)
, eu-west-1
ds.eu-west-1.amazonaws.com HTTPS X X X
RegioneEuropa(Londra)
, eu-west-2
ds.eu-west-2.amazonaws.com HTTPS X X N/D*
Europa(Parigi)**
eu-west-3
ds.eu-west-3.amazonaws.com HTTPS X X N/D*
Europa(Stoccolma)
eu-north-1
ds.eu-north-1.amazonaws.com HTTPS X X N/D*
Europa(Milano)*
eu-south-1
ds.eu-south-1.amazonaws.com HTTPS X X N/D*
MedioOriente(Bahrein)*
me-south-1
ds.me-south-1.amazonaws.com HTTPS X X N/D*
SudAmerica(SanPaolo)
sa-east-1
ds.sa-east-1.amazonaws.com HTTPS X X N/D*
AWSGovCloud(US-West)
us-gov-west-1
ds.us-gov-west-1.amazonaws.com HTTPS X X N/D*
Version 1.0286
AWS Directory Service Guida di amministrazione
Nomedellaregione
Region(Regione)
Endpoint Protocol(Protocollo) .
AWSManagedMicrosoftAD
ADConnector
SimpleAD
AWSGovCloud(StatiUnitiorientali)
us-gov-east-1
ds.us-gov-east-1.amazonaws.com HTTPS X X N/D*
* Il seguente AWS Managed Microsoft AD non sono attualmente supportate in Asia Pacifico (Hong Kong),Medio Oriente (Bahrein), Africa (Città del Capo), e Europa (Milano) Regioni:
• URL di accesso per la directory• Mappatura degli utenti ai ruoli IAM per l'accesso alla Console di gestione AWS
** La caratteristica AWS Managed Microsoft AD descritta di seguito non è attualmente supportata nellaregione Europa (Parigi).
• Mappatura degli utenti ai ruoli IAM per l'accesso alla Console di gestione AWS
Per informazioni su come utilizzare AWS Directory Service nella regione AWS GovCloud (US-West),consulta Endpoint in AWS GovCloud (US-West).
Per informazioni su come utilizzare AWS Directory Service nella regione Cina (Pechino), consulta Endpointnella regione Cina (Pechino).
Version 1.0287
AWS Directory Service Guida di amministrazione
Compatibilità browserLe applicazioni e i servizi AWS, ad esempio Amazon WorkSpaces, Amazon WorkMail, Amazon Connect,Amazon Chime, Amazon WorkDocs e AWS Single Sign-On richiedono tutte le credenziali di accesso validedi un browser compatibile prima di poter accedere. La tabella seguente descrive solo i browser e le versionidei browser compatibili per gli accessi.
Browser Version () Compatibilità
Desktop IE 7 e versioni precedenti Non compatibile
Desktop IE versioni 8, 9 e 10 Compatibile solo quandosi esegue Windows 7 oversione successiva e TLS1.1 abilitato. Per ulterioriinformazioni, consulta Checos'è TLS? (p. 289).
Desktop IE 11 e versioni successive Compatible
Mobile IE 10 e versioni precedenti Non compatibile
Microsoft Internet Explorer
Mobile IE 11 e versioni successive Compatible
Microsoft Edge Tutte le versioni Compatible
Firefox 23 e versioni precedenti Non compatibile
Firefox da 24 a 26 Compatibile, ma non perimpostazione predefinita.
Mozilla Firefox
Firefox 27 e versioni successive Compatible
Google Chrome 21 e versioni precedenti Non compatibile
Google Chrome da 22 a 37 Compatibile, ma non perimpostazione predefinita.
Google Chrome
Google Chrome 38 e versioni successive Compatible
Desktop Safari 6 e versioni precedentiper OS X 10.8 (Mountain Lion) e versioniprecedenti
Non compatibile
Desktop Safari 7 e versioni successive perOS X 10.9 (Mavericks) e versioni successive
Compatible
Mobile Safari per iOS 4 e versioni precedenti Non compatibile
Apple Safari
Mobile Safari 5 e versioni successive periOS 5 e versioni successive
Compatible
Dopo aver verificato che stai utilizzando una versione supportata del tuo browser, ti consigliamo dirivedere anche la sezione seguente per verificare che il tuo browser sia stato configurato per utilizzarel'impostazione TLS (Transport Layer Security) richiesta da AWS.
Version 1.0288
AWS Directory Service Guida di amministrazioneChe cos'è TLS?
Che cos'è TLS?TLS è un protocollo utilizzato dai browser Web e da altre applicazioni per scambiare dati in modo sicuro suuna rete. TLS garantisce che una connessione a un endpoint remoto avvenga all'endpoint previsto tramitela crittografia e la verifica dell'identità dell'endpoint. Le versioni di TLS, aggiornate, sono TLS 1.0, 1.1, 1.2 e1.3.
Quali versioni TLS sono supportate da AWS SSOLe applicazioni e i servizi AWS supportano TLS 1.1, 1.2 e 1.3 per proteggere gli accessi. A partire dal 30ottobre 2019, TLS 1.0 non è più supportato, quindi è importante che tutti i browser siano configurati persupportare TLS 1.1 o versioni successive. Ciò significa che non sarà possibile accedere ad applicazionie servizi AWS se vi accedi quando TLS 1.0 è abilitato. Per assistenza per apportare questa modifica,contattare l'amministratore.
Come abilito le versioni TLS supportate nelbrowser?
Dipende dal tuo browser. Di solito puoi trovare questa impostazione nell'area delle impostazioni avanzatedel tuo browser. Ad esempio, in Internet Explorer sono disponibili varie opzioni per TLS in ProprietàInternet, la scheda Avanzate e quindi nella sezione Sicurezza. Controlla il sito Web della Guida delproduttore del browser per istruzioni specifiche.
Version 1.0289
AWS Directory Service Guida di amministrazione
Cronologia dei documentiLa tabella seguente descrive le importanti modifiche apportate rispetto all'ultima versione della Guida perl'amministratore di AWS Directory Service.
• Ultimo aggiornamento della documentazione 2 gennaio 2019
update-history-change update-history-description update-history-date
Reimpostazione della password Sono stati aggiunti contenuti sucome reimpostare le passworddelle utente tramite WindowsPowerShell di Console digestione AWS e la CLI AWS.
January 2, 2019
Condivisione directory Aggiunta documentazionerelativa all'utilizzo dellacondivisione directory con AWSManaged Microsoft AD.
September 25, 2018
Migrazione di contenuti allanuova Guida per sviluppatoriAmazon Cloud Directory
Il contenuto Amazon CloudDirectory in precedenza in questaguida è stato spostato alla nuovaGuida per sviluppatori AmazonCloud Directory.
June 21, 2018
Riorganizzazione completadel sommario della guida perl'amministratore
Riorganizzati i contenuti perrispondere in modo più direttoalle esigenze dei clienti e aggiuntinuovi contenuti dove necessario.
April 5, 2018
Gruppi delegati AWS Aggiunto elenco di gruppidelegati AWS che possonoessere assegnati agli utenti locali.
March 8, 2018
Policy delle password fine-grained
È stato aggiunto nuovo contenutorelativo alle policy dellepassword.
July 5, 2017
Controller di dominio aggiuntivi Sono state inserite informazionirelative all'aggiunta di piùcontroller di dominio a AWSManaged Microsoft AD.
June 30, 2017
Tutorials Sono stati aggiunti nuovi tutorialper la verifica di un ambiente labdi AWS Managed Microsoft AD.
June 21, 2017
MFA con AWS ManagedMicrosoft AD
È stata aggiunta ladocumentazione per l'utilizzodi MFA con AWS ManagedMicrosoft AD.
February 13, 2017
Amazon Cloud Directory È stato introdotto un nuovo tipo didirectory.
January 26, 2017
Version 1.0290
AWS Directory Service Guida di amministrazione
Estensioni dello schema Aggiunta documentazione perestensioni dello schema conAWS Directory Service forMicrosoft Active Directory.
November 14, 2016
Ampia riorganizzazione dellaguida per l'amministratore diDirectory Service
È stato riorganizzato il contenutoper mappare in modo più direttole esigenze dei clienti.
November 14, 2016
Notifiche SNS È stata aggiunta documentazioneper le notifiche SNS.
February 25, 2016
Autorizzazione e autenticazione È stata aggiunta ulterioredocumentazione relativaall'utilizzo di IAM con i servizi didirectory.
February 25, 2016
AWS Managed Microsoft AD È stata aggiunta documentazionerelativa a AWS ManagedMicrosoft AD, mentre le guidesono state combinate in un'unicaguida.
November 17, 2015
È stato concesso alle istanzeLinux di essere unite a unadirectory Simple AD
È stata aggiunta documentazionerelativa all'unione di un'istanzaLinux a una directory Simple AD.
July 23, 2015
Separazione delle guide La Guida per l'amministrazione diAWS Directory Service è divisa inguide separate, ovvero la Guidadi Simple AD e la Guida di ADConnector.
July 14, 2015
Supporto Single Sign-On È stata aggiunta documentazionerelativa a Single Sign-On.
March 31, 2015
Nuova guida: La prima versione della AWSDirectory Service AdministrationGuide.
October 21, 2014
Version 1.0291
AWS Directory Service Guida di amministrazione
Se forniamo una traduzione della versione in lingua inglese della guida, la versione in lingua inglese dellaguida prevarrà in caso di conflitto. La traduzione è fornita utilizzando la traduzione automatica.
Version 1.0ccxcii
![[AWS Black Belt Online Seminar] · • AWS Auto Scaling - AWS Auto Scaling —](https://static.documents.pub/doc/80x56/5e7cc4003fe1a42cb5070da9/aws-black-belt-online-seminar-a-aws-auto-scaling-aws-auto-scaling-a.jpg)
