Comment puis-je configurer les autorisations Amazon FSx Microsoft AD multi-AZ autogérées ?

Lecture de 5 minute(s)

Je souhaite créer un partage Amazon FSx for Windows File Server multi-AZ à l'aide d'un AWS Directory Service autogéré pour Microsoft Active Directory. Comment configurer les autorisations nécessaires ?

Résolution

FSx for Windows File Server propose des déploiements de systèmes de fichiers mono-AZ et multi-AZ. À l'aide d'un service Microsoft AD autogéré, vous pouvez créer des partages de fichiers mono-AZ 1 un nombre limité de fois sans configurer les autorisations. Vous devrez toutefois créer un compte de service et déléguer les autorisations requises pour créer des partages multi-AZ ou mono-AZ 2.

Conditions préalables

Les serveurs DNS destinés au service Microsoft AD autogéré doivent être accessibles dans le même cloud privé virtuel (Virtual Private Cloud, VPC) que celui utilisé pour le partage de fichiers.
Vous devez être en mesure de créer et d'accorder des autorisations à un compte de service au sein du service Microsoft AD autogéré.
Vous devez utiliser un nom de domaine entièrement qualifié (FQDN) pour le service Microsoft AD autogéré. Les noms de domaine en une seule partie ne sont pas pris en charge.

Création d'un utilisateur de service Microsoft AD autogéré

Connectez-vous en tant que compte de domaine disposant des autorisations de création d'utilisateurs dans le service Microsoft AD autogéré.
Ouvrez Active Directory Users and Computers (Utilisateurs et ordinateurs Active Directory).
Ouvrez le menu contextuel (clic droit) de l'unité organisationnelle (UO) dans laquelle vous souhaitez créer le compte de service, puis choisissez Nouveau, Utilisateur.
Remarque : vous pouvez utiliser n'importe quelle UO pour le compte de service. Si vous souhaitez utiliser une UO différente pour créer des objets Amazon FSx, l'utilisateur doit disposer d'un accès en lecture aux deux UO.
Remplissez les champs du nom New Object – User (Nouvel objet — Nom d'utilisateur) et du nom de connexion de l'utilisateur, puis sélectionnez Suivant.
Créez un mot de passe pour l'utilisateur, puis sélectionnez Suivant.
Important : une bonne pratique consiste à ne pas sélectionner Password never expires (Le mot de passe n'expire jamais), car cela peut entraîner un risque de sécurité pour les comptes de service utilisant d'anciens mots de passe. Lorsque Password never expires (Le mot de passe n'expire jamais) n'est pas sélectionné, le compte est soumis à la stratégie de domaine par défaut. Veillez à mettre à jour les informations d'identification du compte de service après expiration du mot de passe.
Sélectionnez Terminer pour créer l'utilisateur.

Délégation des autorisations au compte de service

Ouvrez Active Directory Users and Computers (Utilisateurs et ordinateurs Active Directory).
Sélectionnez l'UO dans laquelle vous souhaitez créer des objets ordinateur Amazon FSx. Si vous ne le spécifiez pas lors de la création, l'UO par défaut Domainname\Computers (Nom de domaine\Ordinateurs) est utilisée.
Remarque : si vous n'utilisez pas l'UO, notez le distinguishedName pour une étape ultérieure. Dans Active Directory Users and Computers (Utilisateurs et ordinateurs Active Directory), sélectionnez Afficher, Fonctions avancées. Ouvrez le menu contextuel (clic droit) de l'UO que vous souhaitez utiliser, puis sélectionnez Propriétés. Le distinguishedName est disponible dans l'onglet Attribute Editor (Éditeur d'attributs).
Ouvrez le menu contextuel (clic droit) de l'UO que vous utilisez pour Amazon FSx, puis sélectionnez Delegate Control (Déléguer le contrôle).
Sélectionnez Suivant.
Pour Utilisateurs et groupes sélectionnés, sélectionnez le compte de service que vous avez créé ci-dessus, puis sélectionnez Suivant.
Sélectionnez Create a custom task to delegate (Créer une tâche personnalisée à déléguer), puis Suivant.
Sélectionnez Only the following objects in the folder (Seulement les objets suivants dans le dossier), puis Computer objects (Objets ordinateur).
Sélectionnez Create selected objects in this folder (Créer les objets sélectionnés dans ce dossier) et Delete selected objects in this folder (Supprimer les objets sélectionnés dans ce dossier).
Sélectionnez Suivant.
Pour Autorisations, sélectionnez :
Réinitialisation du mot de passe
Restrictions de compte en lecture et écriture
Écriture validée vers le nom d'hôte DNS
Écriture validée vers le nom principal du service
Choisissez Suivant, puis Terminer.

Création du système de fichiers

Ouvrez la console Amazon FSx, puis sélectionnez Créer un système de fichiers.
Sélectionnez Amazon FSx for Windows File Server, puis sélectionnez Suivant.
Pour les File system details (Détails du système de fichiers), sélectionnez le type de déploiement Multi-AZ, puis spécifiez la Capacité de stockage et la Capacité de débit dont vous avez besoin.
Pour Réseau et sécurité, sélectionnez le VPC pour votre service Microsoft AD autogéré. Sélectionnez ensuite deux sous-réseaux privilégiés.
Pour Windows authentication (Authentification Windows), choisissez Self-managed Microsoft Active Directory (service Microsoft Active Directory autogéré), puis saisissez les détails du compte de service que vous avez créé ci-dessus.
Si vous n'utilisez pas l'UO Ordinateurs par défaut, saisissez le distinguishedName de l'UO que vous avez noté lors de la délégation des autorisations au compte de service.
Pour le Delegated file system administrators group (groupe d'administrateurs du système de fichiers délégué), saisissez le nom du groupe si vous n'utilisez pas le groupe Administrateurs du domaine par défaut.
Pour Chiffrement, utilisez les paramètres par défaut ou sélectionnez différentes options de chiffrement selon vos besoins.
Pour Backup and maintenance (Sauvegarde et maintenance), choisissez vos préférences. Les paramètres par défaut entraînent zéro temps d'arrêt pendant la fenêtre de maintenance normale, car Amazon FSx bascule sur le second serveur.
Sélectionnez Suivant.
Passez en revue le Récapitulatif.
Important : le récapitulatif indique si un attribut peut être modifié après la création du système de fichiers. C'est la dernière occasion de modifier les attributs qui ne pourront pas être modifiés après la création.
Sélectionnez Créer un système de fichiers.
La création du système de fichiers est maintenant lancée. Le processus peut prendre quelques heures, en fonction de la taille du partage. Une fois terminé, une bannière verte apparaît en haut de la console Amazon FSx pour indiquer que le partage de fichiers est désormais disponible.

Informations connexes

Disponibilité et durabilité : systèmes de fichiers mono-AZ et multi-AZ

Sujets

Stockage

Balises

Amazon FSx for Windows File Server

Langue

Français

Vidéos associées

Regardez la vidéo de James pour en savoir plus. (5:26)

AWS OFFICIELA mis à jour il y a 4 ans

Aucun commentaire

Contenus pertinents

Problème de facturation inattendue avec Amazon Web Services
rePost-User-1581363
demandé il y a 10 mois
problème de placement de sous titres lors de la création de fichier dans MEDIACONVERT
rePost-User-0874367
demandé il y a un an
Impossible de stop mon instance SageMaker
rePost-User-9472894
demandé il y a un an
[workmail] Le système n'a pas pu livrer votre courrier.
romain
demandé il y a 3 mois
Memory limit for Lambda
plesaint
demandé il y a 6 mois
Comment résoudre les problèmes d'authentification Windows pour RDS for SQL Server avec AWS Managed Microsoft AD ?
AWS OFFICIELA mis à jour il y a un an
Comment procéder si je ne parviens pas à lancer une session PowerShell distante avec FSx for Windows File Server via une approbation externe ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment configurer la SVM avec AWS Managed Microsoft AD pour les partages CIFS sur FSx pour ONTAP ?
AWS OFFICIELA mis à jour il y a un an
Comment lancer Microsoft SQL Server sur une instance Windows EC2 ?
AWS OFFICIELA mis à jour il y a 7 mois