Comment puis-je configurer les autorisations Amazon FSx Microsoft AD multi-AZ autogérées ?

Dernière mise à jour : 12/10/2020

Je souhaite créer un partage Amazon FSx for Windows File Server multi-AZ à l'aide d'un AWS Directory Service autogéré pour Microsoft Active Directory. Comment configurer les autorisations nécessaires ?

Résolution

FSx for Windows File Server propose des déploiements de systèmes de fichiers mono-AZ et multi-AZ. À l'aide d'un service Microsoft AD autogéré, vous pouvez créer des partages de fichiers mono-AZ 1 un nombre limité de fois sans configurer les autorisations. Vous devrez toutefois créer un compte de service et déléguer les autorisations requises pour créer des partages multi-AZ ou mono-AZ 2.

Conditions préalables

  • Les serveurs DNS destinés au service Microsoft AD autogéré doivent être accessibles dans le même cloud privé virtuel (Virtual Private Cloud, VPC) que celui utilisé pour le partage de fichiers.
  • Vous devez être en mesure de créer et d'accorder des autorisations à un compte de service au sein du service Microsoft AD autogéré.
  • Vous devez utiliser un nom de domaine entièrement qualifié (FQDN) pour le service Microsoft AD autogéré. Les noms de domaine en une seule partie ne sont pas pris en charge.

Création d'un utilisateur de service Microsoft AD autogéré

  1. Connectez-vous en tant que compte de domaine disposant des autorisations de création d'utilisateurs dans le service Microsoft AD autogéré.
  2. Ouvrez Active Directory Users and Computers (Utilisateurs et ordinateurs Active Directory).
  3. Ouvrez le menu contextuel (clic droit) de l'unité organisationnelle (UO) dans laquelle vous souhaitez créer le compte de service, puis choisissez Nouveau, Utilisateur.
    Remarque : vous pouvez utiliser n'importe quelle UO pour le compte de service. Si vous souhaitez utiliser une UO différente pour créer des objets Amazon FSx, l'utilisateur doit disposer d'un accès en lecture aux deux UO.
  4. Remplissez les champs du nom New Object – User (Nouvel objet — Nom d'utilisateur) et du nom de connexion de l'utilisateur, puis sélectionnez Suivant.
  5. Créez un mot de passe pour l'utilisateur, puis sélectionnez Suivant.
    Important : une bonne pratique consiste à ne pas sélectionner Password never expires (Le mot de passe n'expire jamais), car cela peut entraîner un risque de sécurité pour les comptes de service utilisant d'anciens mots de passe. Lorsque Password never expires (Le mot de passe n'expire jamais) n'est pas sélectionné, le compte est soumis à la stratégie de domaine par défaut. Veillez à mettre à jour les informations d'identification du compte de service après expiration du mot de passe.
  6. Sélectionnez Terminer pour créer l'utilisateur.

Délégation des autorisations au compte de service

  1. Ouvrez Active Directory Users and Computers (Utilisateurs et ordinateurs Active Directory).
  2. Sélectionnez l'UO dans laquelle vous souhaitez créer des objets ordinateur Amazon FSx. Si vous ne le spécifiez pas lors de la création, l'UO par défaut Domainname\Computers (Nom de domaine\Ordinateurs) est utilisée.
    Remarque : si vous n'utilisez pas l'UO, notez le distinguishedName pour une étape ultérieure. Dans Active Directory Users and Computers (Utilisateurs et ordinateurs Active Directory), sélectionnez Afficher, Fonctions avancées. Ouvrez le menu contextuel (clic droit) de l'UO que vous souhaitez utiliser, puis sélectionnez Propriétés. Le distinguishedName est disponible dans l'onglet Attribute Editor (Éditeur d'attributs).
  3. Ouvrez le menu contextuel (clic droit) de l'UO que vous utilisez pour Amazon FSx, puis sélectionnez Delegate Control (Déléguer le contrôle).
  4. Sélectionnez Suivant.
  5. Pour Utilisateurs et groupes sélectionnés, sélectionnez le compte de service que vous avez créé ci-dessus, puis sélectionnez Suivant.
  6. Sélectionnez Create a custom task to delegate (Créer une tâche personnalisée à déléguer), puis Suivant.
  7. Sélectionnez Only the following objects in the folder (Seulement les objets suivants dans le dossier), puis Computer objects (Objets ordinateur).
  8. Sélectionnez Create selected objects in this folder (Créer les objets sélectionnés dans ce dossier) et Delete selected objects in this folder (Supprimer les objets sélectionnés dans ce dossier).
  9. Sélectionnez Suivant.
  10. Pour Autorisations, sélectionnez :
    Réinitialisation du mot de passe
    Restrictions de compte en lecture et écriture
    Écriture validée vers le nom d'hôte DNS
    Écriture validée vers le nom principal du service
  11. Choisissez Suivant, puis Terminer.

Création du système de fichiers

  1. Ouvrez la console Amazon FSx, puis sélectionnez Créer un système de fichiers.
  2. Sélectionnez Amazon FSx for Windows File Server, puis sélectionnez Suivant.
  3. Pour les File system details (Détails du système de fichiers), sélectionnez le type de déploiement Multi-AZ, puis spécifiez la Capacité de stockage et la Capacité de débit dont vous avez besoin.
  4. Pour Réseau et sécurité, sélectionnez le VPC pour votre service Microsoft AD autogéré. Sélectionnez ensuite deux sous-réseaux privilégiés.
  5. Pour Windows authentication (Authentification Windows), choisissez Self-managed Microsoft Active Directory (service Microsoft Active Directory autogéré), puis saisissez les détails du compte de service que vous avez créé ci-dessus.
    Si vous n'utilisez pas l'UO Ordinateurs par défaut, saisissez le distinguishedName de l'UO que vous avez noté lors de la délégation des autorisations au compte de service.
    Pour le Delegated file system administrators group (groupe d'administrateurs du système de fichiers délégué), saisissez le nom du groupe si vous n'utilisez pas le groupe Administrateurs du domaine par défaut.
  6. Pour Chiffrement, utilisez les paramètres par défaut ou sélectionnez différentes options de chiffrement selon vos besoins.
  7. Pour Backup and maintenance (Sauvegarde et maintenance), choisissez vos préférences. Les paramètres par défaut entraînent zéro temps d'arrêt pendant la fenêtre de maintenance normale, car Amazon FSx bascule sur le second serveur.
  8. Sélectionnez Suivant.
  9. Passez en revue le Récapitulatif.
    Important : le récapitulatif indique si un attribut peut être modifié après la création du système de fichiers. C'est la dernière occasion de modifier les attributs qui ne pourront pas être modifiés après la création.
  10. Sélectionnez Créer un système de fichiers.
  11. La création du système de fichiers est maintenant lancée. Le processus peut prendre quelques heures, en fonction de la taille du partage. Une fois terminé, une bannière verte apparaît en haut de la console Amazon FSx pour indiquer que le partage de fichiers est désormais disponible.

Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?