Embed Size (px)
Citation preview
AWS Directory ServiceGuide d'administration
Version 1.0
AWS Directory Service Guide d'administration
AWS Directory Service: Guide d'administrationCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.
AWS Directory Service Guide d'administration
Table of ContentsPrésentation d’AWS Directory Service ................................................................................................... 1
Que choisir ? ............................................................................................................................. 1Options AWS Directory Service .................................................................................................... 1Utilisation des Amazon EC2 ......................................................................................................... 4
Configuration de la fonctionnalité AWS Directory Service .......................................................................... 6Inscription à un compte AWS ....................................................................................................... 6Création d'un utilisateur IAM ........................................................................................................ 6
AWS Managed Microsoft AD ................................................................................................................ 9Démarrer ................................................................................................................................. 10
Conditions préalables requises ............................................................................................ 10Création de votre annuaire ................................................................................................. 12Ce qui est créé ? .............................................................................................................. 13Compte administrateur ....................................................................................................... 18
Concepts clés .......................................................................................................................... 20Schéma Active Directory .................................................................................................... 20Application de correctifs et maintenance ............................................................................... 21Comptes de service administrés de groupe ........................................................................... 21Délégation Kerberos contrainte ........................................................................................... 22
Cas d'utilisation ........................................................................................................................ 22Cas d’utilisation 1 : Connectez-vous à AWS Applications et services avec informationsd’identification AD ............................................................................................................. 24Cas d’utilisation 2 : Gérer les instances Amazon EC2 ............................................................. 27Cas d’utilisation 3 : Fournir des services d’annuaire à vos charges de travail AD-Aware ................ 27Cas d’utilisation 4 : de SSO à Office 365 et autres applications cloud ........................................ 28Cas d’utilisation 5 : Étendez votre AD sur site au AWS sur le Cloud .......................................... 29Cas d’utilisation 6 : Partagez votre annuaire pour vous joindre en toute transparence AmazonEC2 Instances à un domaine sur AWS Comptes ................................................................... 29
Procédures... ............................................................................................................................ 29Sécurisation de votre annuaire ............................................................................................ 30Surveillance de votre annuaire ............................................................................................ 54Partagez votre annuaire ..................................................................................................... 60Jonction d'une instance EC2 à votre annuaire ....................................................................... 69Gérer des utilisateurs et des groupes .................................................................................. 91Connexion à votre infrastructure AD existante ....................................................................... 95Extension de votre schéma .............................................................................................. 115Maintenance de votre annuaire ......................................................................................... 120Accorder l'accès aux ressources AWS ............................................................................... 124Activation de l'accès aux applications et services AWS ......................................................... 128Activation de l'accès à la AWS Management Console ........................................................... 137Déploiement de contrôleurs de domaine supplémentaires ...................................................... 139Migration des utilisateurs d'AD vers AWS Managed Microsoft AD ........................................... 141
Bonnes pratiques .................................................................................................................... 141Configuration : Conditions préalables requises ..................................................................... 141Configuration : Création de votre annuaire .......................................................................... 143Utilisation de votre annuaire ............................................................................................. 144Gestion de votre annuaire ................................................................................................ 144Programmation de vos applications .................................................................................... 146
Limits .................................................................................................................................... 147Augmenter votre limite ..................................................................................................... 147
Compatibilité des applications ................................................................................................... 148Directives de compatibilité ................................................................................................ 149Applications incompatibles connues ................................................................................... 150
Didacticiels d'atelier de test AWS Managed Microsoft AD .............................................................. 150Tutoriel : Configurez votre base AWS Managed Microsoft AD Laboratoire de test ....................... 150
Version 1.0iii
AWS Directory Service Guide d'administration
Tutoriel : Créer une approbation à partir de AWS Managed Microsoft AD vers une installation ADautogérée sur EC2 .......................................................................................................... 163
Dépannage ............................................................................................................................. 171Récupération d'un mot de passe ....................................................................................... 171Dépannage de DNS ........................................................................................................ 172Erreurs de jonction du domaine Linux ................................................................................ 172Espace de stockage disponible bientôt saturé ...................................................................... 174Erreurs d'extension de schéma ......................................................................................... 177Raisons liées aux statuts de création d'une relation d'approbation ........................................... 178
Connecteur Active Directory .............................................................................................................. 180Démarrer ............................................................................................................................... 180
Conditions préalables requises AD Connector ..................................................................... 180Créer un AD Connector ................................................................................................... 191Ce qui est créé ? ............................................................................................................ 192
Procédures... .......................................................................................................................... 192Sécurisation de votre annuaire .......................................................................................... 192Surveillance de votre annuaire .......................................................................................... 198Jonction d'une instance EC2 à votre annuaire ..................................................................... 201Maintenance de votre annuaire ......................................................................................... 208Mise à jour de l'adresse DNS pour votre AD Connector ........................................................ 209
Bonnes pratiques .................................................................................................................... 210Configuration : Conditions préalables requises ..................................................................... 210Programmation de vos applications .................................................................................... 212Utilisation de votre annuaire ............................................................................................. 212
Limits .................................................................................................................................... 212Augmenter votre limite ..................................................................................................... 147
Compatibilité des applications ................................................................................................... 213Dépannage ............................................................................................................................. 214
La liaison de domaines transparente d'instances EC2 ne fonctionne plus ................................. 214J'ai reçu une erreur « Impossible d'authentifier » lors de l'utilisation d'applications AWS pourrechercher des utilisateurs ou des groupes ......................................................................... 214L'erreur « DNS unavailable » s'affiche lorsque j'essaie de me connecter à mon annuaire sur site ... 215L'erreur « Connectivity issues detected » s'affiche lorsque je tente de me connecter à monannuaire sur site ............................................................................................................. 215L'erreur « SRV record » s'affiche lorsque je tente de me connecter à mon annuaire sur site ......... 215Mon annuaire est bloqué à l'état « Demandé » .................................................................... 215L'erreur « AZ Constrained » s'affiche lorsque je crée un annuaire ............................................ 216Certains de mes utilisateurs ne peuvent pas s'authentifier avec mon annuaire ........................... 216L'erreur « Invalid Credentials » s'affiche lorsque le compte de service utilisé par AD Connectortente une authentification .................................................................................................. 216
Simple Active Directory .................................................................................................................... 217Démarrer ............................................................................................................................... 218
Conditions préalables requises Simple AD .......................................................................... 218Création d'un annuaire Simple AD ..................................................................................... 219Ce qui est créé ? ............................................................................................................ 220Configurer DNS .............................................................................................................. 220
Procédures... .......................................................................................................................... 221Gérer des utilisateurs et des groupes ................................................................................. 221Surveillance de votre annuaire .......................................................................................... 225Jonction d'une instance EC2 à votre annuaire ..................................................................... 228Maintenance de votre annuaire ......................................................................................... 247Activation de l'accès aux applications et services AWS ......................................................... 250Activation de l'accès à la AWS Management Console ........................................................... 259
Tutoriel : Création d'un annuaire Simple AD ................................................................................ 261Prerequisites .................................................................................................................. 261Étape 1 : Création et configuration de votre VPC ................................................................. 261Étape 2 : Créez votre Simple AD Répertoire ........................................................................ 263
Version 1.0iv
AWS Directory Service Guide d'administration
Bonnes pratiques .................................................................................................................... 264Configuration : Conditions préalables requises ..................................................................... 264Configuration : Création de votre annuaire .......................................................................... 265Programmation de vos applications .................................................................................... 266
Limits .................................................................................................................................... 267Augmenter votre limite ..................................................................................................... 147
Compatibilité des applications ................................................................................................... 267Dépannage ............................................................................................................................. 268
Récupération d'un mot de passe ....................................................................................... 268Je reçois une erreur « KDC ne peut pas traiter l'option demandée » lors de l'ajout d'un utilisateurSimple AD ...................................................................................................................... 268Je ne parviens pas à mettre à jour le nom DNS ou l'adresse IP d'une instance jointe à mondomaine (mise à jour dynamique DNS) .............................................................................. 269Je ne peux pas me connecter à SQL Server à l'aide d'un compte SQL Server ........................... 269Mon annuaire est bloqué à l'état « Demandé » .................................................................... 269L'erreur « AZ Constrained » s'affiche lorsque je crée un annuaire ............................................ 269Certains de mes utilisateurs ne peuvent pas s'authentifier avec mon annuaire ........................... 269Motifs de statut d'annuaire ................................................................................................ 270
Sécurité ......................................................................................................................................... 273Identity and Access Management .............................................................................................. 274
Authentification ............................................................................................................... 274Contrôle d'accès ............................................................................................................. 275Présentation de la gestion des autorisations d'accès ............................................................. 276Utilisation des stratégies basées sur une identité (stratégies IAM) ........................................... 279Référence des autorisations d'API AWS Directory Service ..................................................... 285
Consignation et surveillance ..................................................................................................... 286Validation de la conformité ....................................................................................................... 286Résilience .............................................................................................................................. 287Sécurité de l'infrastructure ........................................................................................................ 287
Contrat de niveau de service ............................................................................................................ 288Disponibilité dans les régions ............................................................................................................ 289Compatibilité des navigateurs ............................................................................................................ 292
Qu'est-ce que TLS ? ................................................................................................................ 293Versions TLS prises en charge par AWS SSO ............................................................................ 293Comment puis-je activer les versions de TLS prises en charge dans mon navigateur .......................... 293
Historique du document ................................................................................................................... 294................................................................................................................................................. ccxcvi
Version 1.0v
AWS Directory Service Guide d'administrationQue choisir ?
Présentation d'AWS DirectoryService ?
AWS Directory Service offre plusieurs façons d'utiliser Microsoft Active Directory avec d'autres servicesAWS. Les annuaires permettent de stocker des informations sur les utilisateurs, groupes et périphériques.Les administrateurs les utilisent pour gérer l'accès à des informations et ressources. AWS Directory Servicepropose plusieurs options d'annuaire pour les clients qui souhaitent utiliser des applications Microsoft ADou LDAP (Lightweight Directory Access Protocol) existantes dans le cloud. Il offre également ces mêmespossibilités pour les développeurs qui ont besoin d'un annuaire pour gérer des utilisateurs, des groupes,des appareils et des accès.
Que choisir ?Vous pouvez choisir des services d'annuaire qui offrent les fonctionnalités et la scalabilité correspondantle mieux à vos besoins. Utilisez le tableau suivant pour vous aider à identifier l'option d'annuaire AWSDirectory Service la mieux adaptée à votre organisation.
Que devez-vous faire ? Options AWS Directory Service recommandées
J'ai besoin d'Active Directory ou deLDAP pour mes applications dans lecloud
Sélectionnez AWS Directory Service for Microsoft ActiveDirectory (Standard Edition or Enterprise Edition) si vousavez besoin d'une instance Microsoft Active Directory dansle cloud AWS capable de prendre en charge les charges detravail compatibles avec Active Directory ou les applicationset services AWS, comme Amazon WorkSpaces et AmazonQuickSight, ou encore si vous avez besoin d'une prise encharge LDAP pour des applications Linux.
Utilisez AD Connector si vous souhaitez simplement autoriservos utilisateurs locaux à se connecter à des applications etservices AWS à l'aide de leurs informations d'identificationActive Directory. Vous pouvez également utiliser AD Connectorpour joindre des instances Amazon EC2 à votre domaineActive Directory existant.
Utilisez Simple AD si vous recherchez un annuaire debase à moindres coûts, qui offrant une compatibilité debase avec Active Directory et qui prenne en charge lesapplications compatibles Samba 4, ou si vous avez besoind'une compatibilité LDAP pour vos applications LDAP.
Je me développe SaaS applications Utilisation Amazon Cognito si vous développez une activitéSaaS et ont besoin d’un annuaire évolutif pour gérer etauthentifier vos abonnés et qui fonctionne avec les identitésdes réseaux sociaux.
Options AWS Directory ServiceAWS Directory Service comprend plusieurs types d'annuaire. Pour plus d'informations, sélectionnez l'undes onglets suivants :
Version 1.01
AWS Directory Service Guide d'administrationOptions AWS Directory Service
AWS Directory Service for Microsoft Active Directory
Également appelé AWS Managed Microsoft AD, AWS Directory Service for Microsoft Active Directoryest optimisé par une instance Microsoft Windows Server Active Directory (AD) réelle, gérée par AWSdans le cloud AWS. Il vous permet de migrer un large éventail d’Active Directory–des applicationsconnues à la AWS sur le Cloud. AWS Managed Microsoft AD fonctionne avec Microsoft SharePoint,groupes de disponibilité AlwaysOn de Microsoft SQL Server et de nombreuses applications.NET. Ilprend également en charge AWS des applications et services gérés, y compris Amazon WorkSpaces,Amazon WorkDocs, Amazon QuickSight, Amazon Chime, Amazon Connect, et Amazon RelationalDatabase Service pour Microsoft SQL Server (Amazon RDS pour SQL Server, Amazon RDS pourOracle, et Amazon RDS pour PostgreSQL).
AWS Managed Microsoft AD est certifié pour les applications dans le cloud AWS qui sont soumisesà la législation américaine HIPAA (Health Insurance Portability and Accountability Act) ou à la normePCI DSS (Payment Card Industry Data Security Standard) quand vous activez la conformité pour votreannuaire.
Toutes les applications compatibles fonctionnent avec les informations d'identification utilisateur quevous stockez dans AWS Managed Microsoft AD, ou vous pouvez vous connecter à votre infrastructureAD existante avec une relation d'approbation et utiliser les informations d'identification d'ActiveDirectory s'exécutant sur site ou sur EC2 Windows. Si vous joignez des instances EC2 à votreannuaire AWS Managed Microsoft AD, vos utilisateurs peuvent accéder à des charges de travailWindows dans le cloud AWS avec la même expérience d'authentification unique (SSO) que lorsqu'ilsaccèdent à des charges de travail dans votre réseau sur site.
AWS Managed Microsoft AD prend également en charge des cas d'utilisation fédérés à l'aided'informations d'identification Active Directory. Seul, AWS Managed Microsoft AD vous permet de vousconnecter à AWS Management Console. Avec Authentification unique AWS, vous pouvez égalementobtenir des informations d'identification à court terme pour une utilisation avec le kit SDK AWS etl'interface de ligne de commande (CLI), et utiliser des intégrations SAML préconfigurées pour seconnecter à de nombreuses applications cloud. En ajoutant Azure AD Connect, et éventuellementActive Directory Federation Service (AD FS), vous pouvez vous connecter à Microsoft Office 365 età d'autres applications cloud avec des informations d'identification stockées dans AWS ManagedMicrosoft AD.
Le service inclut les fonctions clés qui vous permettent d'étendre votre schéma, de gérer des stratégiesde mot de passe et d'activer des communications LDAP sécurisées via le protocole SSL (SecureSocket Layer) ou TLS (Transport Layer Security). Vous pouvez également activer l'authentificationmulti-facteurs (MFA) pour AWS Managed Microsoft AD afin de fournir une couche de sécuritésupplémentaire lorsque des utilisateurs accèdent à des applications AWS à partir d'Internet. ActiveDirectory est un annuaire LDAP, autrement dit vous pouvez également utiliser AWS ManagedMicrosoft AD pour l'authentification Secure Shell (SSH) Linux ainsi que pour d'autres applicationscompatibles LDAP.
AWS fournit des fonctions de surveillance, d'instantanés quotidiens et de récupération dans le cadredu service. Vous ajoutez des utilisateurs et des groupes à AWS Managed Microsoft AD, et administrezune stratégie de groupe à l'aide d'outils Active Directory familiers s'exécutant sur un ordinateurWindows joint au domaine AWS Managed Microsoft AD. Vous pouvez également mettre à l'échellel'annuaire en déployant des contrôleurs de domaine supplémentaires et contribuer à améliorer lesperformances des applications en répartissant les demandes sur un plus grand nombre de contrôleursde domaine.
AWS Managed Microsoft AD est disponible en deux éditions : Standard et Entreprise.
• Édition standard : AWS Managed Microsoft AD (Standard Edition) est optimisé pour être unrépertoire principal pour les petites et moyennes entreprises comptant jusqu’à 5 000 employés.Il offre suffisamment de capacité de stockage pour prendre en charge jusqu'à 30 000* objetsd'annuaire (par exemple, des utilisateurs, des groupes et des ordinateurs).
Version 1.02
AWS Directory Service Guide d'administrationOptions AWS Directory Service
• Édition Entreprise : AWS Managed Microsoft AD (Enterprise Edition) est conçu pour prendre encharge les entreprises comptant jusqu’à 500 000* objets d’annuaire.
* Les plafonds indiqués sont fournis à titre indicatif. Votre annuaire peut prendre en charge plusou moins d'objets d'annuaire, selon la taille de vos objets et le comportement et les besoins deperformances de vos applications.
Quand l'utiliser
AWS Managed Microsoft AD sera votre meilleur allié si vous avez réellement besoin de fonctionnalitésActive Directory pour prendre en charge des applications AWS ou des charges de travail Windows,y compris Amazon Relational Database Service pour Microsoft SQL Server. Il est également idéalsi vous recherchez une instance AD autonome dans le cloud AWS capable de prendre en chargeOffice 365 ou si vous avez besoin d'un annuaire LDAP pour prendre en charge vos applications Linux.Pour plus d'informations, consultez la section AWS Managed Microsoft AD (p. 9).
AD Connector
AD Connector est un service proxy qui offre un moyen simple de connecter des applications AWScompatibles, comme Amazon WorkSpaces, Amazon QuickSight et Amazon EC2 pour les instancesWindows Server, à votre instance Microsoft Active Directory locale existante. Avec AD Connector,il vous suffit d'ajouter un compte de service à votre Active Directory. AD Connector vous éviteaussi d'avoir à synchroniser vos annuaires et vous épargne le coût et la complexité associés àl'hébergement d'une infrastructure de fédération.
Lorsque vous ajoutez des utilisateurs à des applications AWS applications comme AmazonQuickSight, AD Connector lit votre annuaire Active Directory existant pour créer des listes d'utilisateurset de groupes que vous pouvez ensuite sélectionner. Lorsque les utilisateurs se connectent auxapplications AWS, AD Connector transfère les demandes de connexion à vos contrôleurs de domaineActive Directory en local pour les authentifier. AD Connector est compatible avec de nombreuxservices et applications AWS, notamment Amazon WorkSpaces, Amazon WorkDocs, AmazonQuickSight, Amazon Chime, Amazon Connect et Amazon WorkMail. Vous pouvez égalementjoindre vos instances EC2 Windows à votre domaine Active Directory en local via AD Connector,en bénéficiant d'une fonctionnalité de jonction de domaines totalement transparente. AD Connectorpermet également à vos utilisateurs d'accéder à AWS Management Console et de gérer les ressourcesAWS en se connectant à l'aide de leurs informations d'identification Active Directory existantes. ADConnector n'est pas compatible avec RDS SQL Server.
Vous pouvez également utiliser AD Connector pour activer l'authentification multi-facteurs (MFA)pour les utilisateurs de vos applications AWS en le connectant à votre infrastructure MFA RADIUSexistante. Les utilisateurs bénéficient ainsi d'une couche de sécurité supplémentaire quand ilsaccèdent aux applications AWS.
AD Connector vous permet de continuer à gérer votre annuaire Active Directory comme vous le faitesactuellement. Par exemple, vous pouvez ajouter des utilisateurs et des groupes, et mettre à jour lesmots de passe en utilisant les outils d'administration Active Directory standard dans votre instanceActive Directory. Vous pouvez ainsi appliquer de manière cohérente vos stratégies de sécurité, tellesque l'expiration des mots de passe, l'historique des mots de passe et les verrouillages de compte, quevos utilisateurs accèdent aux ressources sur votre infrastructure en local ou dans le cloud AWS.
Quand l'utiliser
AD Connector est votre meilleur allié si vous souhaitez utiliser votre annuaire local existant avecles services AWS compatibles. Pour plus d'informations, consultez la section Connecteur ActiveDirectory (p. 180).
Simple AD
Version 1.03
AWS Directory Service Guide d'administrationUtilisation des Amazon EC2
Simple AD est un annuaire compatible avecMicrosoft Active Directory de AWS Directory Serviceoptimisé par Samba 4. Simple AD prend en charge les fonctionnalités Active Directory de base, tellesque les comptes d'utilisateur, l'appartenance aux groupes, la jonction à un domaine Linux ou à desinstances EC2 sous Windows, l'authentification unique basée sur Kerberos et les stratégies de groupe.AWS assure des services de surveillance, de création quotidienne d'instantanés et de récupération.
Simple AD est un annuaire autonome hébergé dans le cloud, qui vous permet non seulement de créeret gérer des identités d'utilisateurs, mais également de gérer l'accès aux applications. Vous pouvezutiliser de nombreux outils et applications compatibles avec Active Directory familiers qui nécessitentdes fonctions Active Directory de base. Simple AD est compatible avec les applications AWS suivants :Amazon WorkSpaces, Amazon WorkDocs, Amazon QuickSight et Amazon WorkMail. Vous pouvezégalement vous connecter à AWS Management Console avec des comptes utilisateur Simple AD pourgérer vos ressources AWS.
Simple AD ne prend pas en charge l’authentification multi-facteurs (MFA), les relations d’approbation,la mise à jour dynamique DNS, les extensions de schéma, la communication via LDAPS, PowerShellAux applets de commande AD ou transfert de rôle FSMO. Simple AD n’est pas compatible avec RDSSQL Server. Il est recommandé aux clients qui ont besoin des fonctionnalités d'une instance MicrosoftActive Directory réelle ou qui envisagent d'utiliser leur annuaire avec RDS SQL Server d'utiliser depréférence AWS Managed Microsoft AD. Veuillez vous assurer que vos applications requises sontentièrement compatibles avec Samba 4 avant d'utiliser Simple AD. Pour plus d'informations, consultezhttps://www.samba.org.
Quand l'utiliser
Vous pouvez utiliser Simple AD comme annuaire autonome dans le cloud pour supporter voscharges de travail Windows qui ont besoin des fonctionnalités AD de base ou pour prendre en chargeles applications AWS ou les charges de travail Linux qui ont besoin du service LDAP. Pour plusd'informations, consultez la section Simple Active Directory (p. 217).
Amazon Cognito
Amazon Cognito est un annuaire d'utilisateurs qui ajoute l'inscription et la connexion à votre applicationweb ou mobile à l'aide de groupes d'utilisateurs Amazon Cognito.
Quand l'utiliser
Vous pouvez également utiliser Amazon Cognito pour créer des champs d'inscription personnalisés etstocker ces métadonnées dans l'annuaire d'utilisateurs. Ce service entièrement géré peut évoluer pourprendre en charge des centaines de millions d'utilisateurs. Pour plus d'informations, consultez Créationet gestion de groupes d'utilisateurs.
Consultez Disponibilité dans la région pour AWS Directory Service (p. 289) pour obtenir la liste des typesd'annuaires pris en charge par région.
Utilisation des Amazon EC2Une compréhension de base de Amazon EC2 est essentielle à l'utilisation d'AWS Directory Service. Nousvous recommandons de commencer par lire les rubriques suivantes :
• Qu'est-ce qu'Amazon EC2 ? dans le Amazon EC2 Guide de l'utilisateur pour les instances Windows.• Lancement d'instances EC2 dans le Amazon EC2 Guide de l'utilisateur pour les instances Windows.• Groupes de sécurité dans le Amazon EC2 Guide de l'utilisateur pour les instances Windows.• Qu'est-ce qu'Amazon VPC ? dans le Amazon VPC Guide de l'utilisateur.
Version 1.04
AWS Directory Service Guide d'administrationUtilisation des Amazon EC2
• Ajout d'une passerelle réseau privé virtuel matérielle à votre VPC dans le Amazon VPC Guide del'utilisateur.
Version 1.05
AWS Directory Service Guide d'administrationInscription à un compte AWS
Configuration de la fonctionnalitéAWS Directory Service
Pour utiliser AWS Directory Service, vous devez remplir les conditions préalables pour AWS DirectoryService for Microsoft Active Directory, AD Connector ou Simple AD. Pour plus d'informations, consultezConditions préalables requises AWS Managed Microsoft AD (p. 10), Conditions préalables requises ADConnector (p. 180) ou Conditions préalables requises Simple AD (p. 218).
Si ce n'est pas déjà fait, vous devez également créer un compte AWS et utiliser le service AWS Identityand Access Management pour contrôler les accès.
Rubriques• Inscription à un compte AWS (p. 6)• Création d'un utilisateur IAM (p. 6)
Inscription à un compte AWSVotre compte AWS vous donne accès à tous les services, mais seules les ressources que vous utilisezvous sont facturées.
Si vous n'avez pas de compte AWS, suivez la procédure suivante pour en créer un.
Pour s'inscrire sur AWS
1. Ouvrez https://aws.amazon.com/, puis choisissez Create an AWS Account.2. Suivez les instructions en ligne.
Vos informations d’identification de compte racine vous identifient aux services dans AWS et vous accordezune utilisation illimitée de vos ressources AWS, telles que votre WorkSpaces. Pour permettre à d’autresutilisateurs de gérer AWS Directory Service ressources sans partager vos informations d’identification desécurité, utilisez AWS Identity and Access Management (IAM). Nous recommandons que tout le mondetravaille en tant qu'utilisateur IAM, même le propriétaire du compte. Vous devez créer un utilisateur IAMpour vous-même, accorder à cet utilisateur IAM des privilèges d'administrateur et l'utiliser pour tout votretravail.
Création d'un utilisateur IAMLa AWS Management Console nécessite votre nom d'utilisateur et votre mot de passe afin que leservice puisse déterminer si vous avez l'autorisation d'accéder à ses ressources. Cependant, nous vousrecommandons d'éviter d'accéder à AWS en utilisant les informations d'identification de votre compte AWSracine. Nous vous conseillons plutôt d'utiliser AWS Identity and Access Management (IAM) pour créer unutilisateur IAM et d'ajouter l'utilisateur IAM à un groupe IAM avec les autorisations administratives requises.Cette opération accorde à l'utilisateur IAM les autorisations administratives. Vous pouvez ensuite accéder àl'AWS Management Console avec les informations d'identification de l'utilisateur IAM.
Si vous êtes inscrit à AWS, mais que vous n'avez pas créé d'utilisateur IAM pour vous-même, vous pouvezle faire avec la console IAM.
Version 1.06
AWS Directory Service Guide d'administrationCréation d'un utilisateur IAM
Pour créer un administrateur pour vous-même et ajouter l'utilisateur à un groupe d'administrateurs(console)
1. Connectez-vous à la console IAM en tant que propriétaire du compte en choisissant utilisateur racineet en saisissant l'adresse e-mail de votre compte AWS. Sur la page suivante, saisissez votre mot depasse.
Note
Nous vous recommandons vivement de respecter la bonne pratique qui consiste àavoir recours à l'utilisateur Administrator IAM ci-dessous et à mettre en sécurité lesinformations d'identification de l'utilisateur racine. Connectez-vous en tant qu'utilisateur racinepour effectuer certaines tâches de gestion des comptes et des services.
2. Dans le panneau de navigation, choisissez Utilisateurs, puis Add user (Ajouter un utilisateur).3. Dans User name (Nom d'utilisateur), entrez Administrator.4. Cochez la case en regard de AWS Management Console access. Puis, sélectionnez Custom
password (Mot de passe personnalisé, et entrez votre nouveau mot de passe dans la zone de texte.5. Par défaut, AWS oblige le nouvel utilisateur à créer un nouveau mot de passe lors de sa première
connexion. Décochez la case en regard de User must create a new password at next sign-in(L'utilisateur doit créer un nouveau mot de passe à sa prochaine connexion) pour autoriser le nouvelutilisateur à réinitialiser son mot de passe une fois qu'il s'est connecté.
6. Choisissez Next: Permissions (Suivant : Autorisations).7. Sous Set permissions (Accorder des autorisations), choisissez Add user to group (Ajouter un utilisateur
au groupe).8. Choisissez Create group.9. Dans la boîte de dialogue Create group (Créer un groupe), pour Group name (Nom du groupe), tapez
Administrators.10. Choisissez Filter policies (Filtrer les stratégies), puis sélectionnez AWS managed -job function
(Fonction -job gérée par) pour filtrer le contenu de la table.11. Dans la liste des stratégies, cochez la case AdministratorAccess. Choisissez ensuite Create group.
Note
Vous devez activer l'accès des rôles et utilisateurs IAM à la facturation avant de pouvoirutiliser les autorisations AdministratorAccess pour accéder à la console AWS Billing andCost Management. Pour ce faire, suivez les instructions de l'étape 1 du didacticiel portant surcomment déléguer l'accès à la console de facturation.
12. De retour dans la liste des groupes, activez la case à cocher du nouveau groupe. Choisissez Refreshsi nécessaire pour afficher le groupe dans la liste.
13. Choisissez Next: Tags (Suivant : Balises).14. (Facultatif) Ajoutez des métadonnées à l'utilisateur en associant les balises sous forme de paires clé-
valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, consultez Balisage des entitésIAM dans le IAM Guide de l'utilisateur.
15. Choisissez Next: Review pour afficher la liste des membres du groupe à ajouter au nouvel utilisateur.Une fois que vous êtes prêt à continuer, choisissez Create user.
Vous pouvez utiliser ce même processus pour créer d'autres groupes et utilisateurs et pour accorder à vosutilisateurs l'accès aux ressources de votre compte AWS. Pour en savoir plus sur l'utilisation des stratégiesafin de limiter les autorisations d'accès des utilisateurs à certaines ressources AWS, consultez Gestion desaccès et Exemples de stratégies.
Pour vous connecter en tant que nouvel utilisateur IAM, déconnectez-vous de la console AWSManagement Console, puis utilisez l'AWS suivante, où votre_id_compte_aws désigne votre numéro de
Version 1.07
AWS Directory Service Guide d'administrationCréation d'un utilisateur IAM
compte AWS sans les traits d'union (par exemple, si votre numéro de compte AWS est 1234-5678-9012,votre ID de compte AWS est 123456789012) :
https://your_aws_account_id.signin.aws.amazon.com/console/
Saisissez le nom utilisateur et le mot de passe IAM que vous venez de créer. Lorsque vous êtes connecté,la barre de navigation affiche « votre_nom_utilisateur @ votre_id_de_compte_aws ».
Si vous ne voulez pas que l'URL de votre page de connexion contienne votre ID de compte AWS, vouspouvez créer un alias de compte. Sur le tableau de bord IAM, cliquez sur Customize (Personnaliser) etentrez un alias, par exemple le nom de votre société. Pour vous connecter après avoir créé un alias decompte, utilisez l'URL suivante :
https://your_account_alias.signin.aws.amazon.com/console/
Pour plus d'informations sur l'utilisation des stratégies IAM pour contrôler l'accès à vos ressources AWSDirectory Service, consultez Utilisation des stratégies basées sur une identité (stratégies IAM) pour AWSDirectory Service (p. 279).
Version 1.08
AWS Directory Service Guide d'administration
AWS Managed Microsoft ADAWS Directory Service vous permet d'exécuter Microsoft Active Directory (AD) en tant que service géré.AWS Directory Service for Microsoft Active Directory, également appelé AWS Managed Microsoft AD,est alimenté par Windows Server 2012 R2. Lorsque vous sélectionnez et lancez ce type d'annuaire, il estcréé comme une paire hautement disponible des contrôleurs de domaine connectée à votre Virtual PrivateCloud (VPC). Les contrôleurs de domaine s'exécutent dans différentes zones de disponibilité dans la régionde votre choix. La supervision et la restauration de l'hôte, la réplication des données, les instantanés ainsique les mises à jour logicielles sont automatiquement configurés et gérés pour vous.
avec AWS Managed Microsoft AD, vous pouvez exécuter des charges de travail compatibles avec lesrépertoires dans le AWS sur le Cloud, y compris Microsoft SharePoint et les applications personnaliséesbasées sur.NET et SQL Server. Vous pouvez également configurer une relation d'approbation entre AWSManaged Microsoft AD dans le cloud cloud AWS et votre annuaire Microsoft Active Directory sur siteexistant, en fournissant aux utilisateurs et aux groupes l'accès aux ressources de chaque domaine, à l'aidede l'authentification unique (SSO).
AWS Directory Service facilite la configuration et l'exécution des annuaires dans le cloud AWS ou laconnexion de vos ressources AWS à un annuaire Microsoft Active Directory sur site existant. Lorsque votreannuaire est créé, vous pouvez l'utiliser pour plusieurs tâches :
• Gérer des utilisateurs et des groupes• Fournir une authentification unique aux applications et services• Créer et appliquer une stratégie de groupe• Se connecter en toute sécurité aux instances Linux et Windows Amazon EC2• Simplifier le déploiement et la gestion des charges de travail Linux et Microsoft Windows basées sur le
cloud• Vous pouvez utiliser AWS Managed Microsoft AD pour activer Multi-Factor Authentication en l'intégrant
à votre infrastructure MFA RADIUS existante afin de fournir une couche de sécurité supplémentairelorsque des utilisateurs accèdent à des applications AWS.
Lisez les rubriques de cette section pour démarrer la création d'un annuaire AWS Managed Microsoft AD,la création d'une relation d'approbation entre AWS Managed Microsoft AD et vos annuaires sur site, etl'extension de votre schéma AWS Managed Microsoft AD.
Rubriques• Prise en main d'AWS Managed Microsoft AD (p. 10)• Concepts clés pour AWS Managed Microsoft AD (p. 20)• Cas d'utilisation d'AWS Managed Microsoft AD (p. 22)• Comment administrer AWS Managed Microsoft AD (p. 29)• Bonnes pratiques pour AWS Managed Microsoft AD (p. 141)• Limites pour AWS Managed Microsoft AD (p. 147)• Stratégie de compatibilité des applications pour AWS Managed Microsoft AD (p. 148)• Didacticiels d'atelier de test AWS Managed Microsoft AD (p. 150)• Dépannage de AWS Managed Microsoft AD (p. 171)
Articles de blogs Sécurité AWS connexes
• Comment déléguer l’administration de votre AWS Managed Microsoft AD aux utilisateurs Active Directorysur site
Version 1.09
AWS Directory Service Guide d'administrationDémarrer
• Comment configurer des stratégies de mot de passe encore plus strictes pour répondre à vos normes desécurité en utilisant AWS Directory Service pour AWS Managed Microsoft AD
• Comment augmenter la redondance et les performances de votre service d’annuaire AWS pour AWSManaged Microsoft AD en ajoutant des contrôleurs de domaine
• Comment activer l’utilisation des postes de travail distants en déployant Microsoft Remote DesktopLicensing Manager sur AWS Managed Microsoft AD
• Comment accéder au AWS Management Console Utilisation de AWS Managed Microsoft AD et vosinformations d’identification sur site
• Comment activer l’authentification multifacteur pour AWS Services par en utilisant AWS ManagedMicrosoft AD et informations d’identification sur site
• Comment se connecter facilement à AWS Services en utilisant votre Active Directory sur site
Prise en main d'AWS Managed Microsoft ADAWS Managed Microsoft AD crée un annuaire Microsoft Active Directory entièrement géré dans le cloudAWS, est alimenté par Windows Server 2012 R2 et opère aux niveaux fonctionnels Forêt et Domaine2012 R2. Lorsque vous créez un annuaire avec AWS Managed Microsoft AD, AWS Directory Service créedeux contrôleurs de domaine et ajoute le service DNS en votre nom. Les contrôleurs de domaine sontcréés dans différents sous-réseaux d'un VPC ; cette redondance permet de garantir l'accessibilité de votreannuaire même en cas de défaillance. Si vous avez besoin de contrôleurs de domaine supplémentaires,vous pouvez les ajouter ultérieurement. Pour plus d'informations, consultez la section Déploiement decontrôleurs de domaine supplémentaires (p. 139).
Rubriques• Conditions préalables requises AWS Managed Microsoft AD (p. 10)• Créez votre annuaire AWS Managed Microsoft AD. (p. 12)• Ce qui est créé ? (p. 13)• Compte administrateur (p. 18)
Conditions préalables requises AWS ManagedMicrosoft ADPour créer un annuaire AWS Managed Microsoft AD, un VPC avec les éléments suivants est nécessaire :
• Au moins deux sous-réseaux. Chaque sous-réseau doit disposer d'une zone de disponibilité différente.• Le VPC doit avoir la location matérielle par défaut.• Aucun AWS Managed Microsoft AD ne peut être créé dans un VPC à l'aide d'adresses de l'espace
d'adressage 198.18.0.0/15.• AWS Directory Service ne prend pas en charge la traduction d'adresses réseau (NAT) avec Active
Directory. L'utilisation de la traduction d'adresses réseau peut entraîner des erreurs de réplication.
Si vous devez intégrer votre domaine AWS Managed Microsoft AD avec un domaine Active Directory sursite existant, vous devez disposer des niveaux fonctionnels Forêt et Domaine pour votre domaine sur sitedoit être défini sur Windows Server 2003 ou une version ultérieure.
AWS Directory Service uses a two VPC structure. The EC2 instances which make up your directory runoutside of your AWS account, and are managed by AWS. They have two network adapters, ETH0 andETH1. ETH0 is the management adapter, and exists outside of your account. ETH1 is created within youraccount.
Version 1.010
AWS Directory Service Guide d'administrationConditions préalables requises
La plage IP de gestion du réseau ETH0 de votre annuaire est 198.18.0.0/15.
Conditions préalables requises Authentification unique AWSSi vous envisagez d'utiliser Authentification unique AWS (AWS SSO) avec AWS Managed Microsoft AD,vous devez vous assurer que ce qui suit est vrai :
• Votre AWS Managed Microsoft AD est configuré dans votre répertoire AWS organisation compte degestion.
• Votre instance de AWS SSO se trouve dans la même région que celle où votre annuaire AWS ManagedMicrosoft AD est configuré.
Pour de plus amples informations, veuillez consulter Conditions préalables pour AWS SSO dans le Guidede l'utilisateur Authentification unique AWS.
Prérequis pour l’authentification multi-facteursPour prendre en charge Multi-Factor Authentication avec votre annuaire AWS Managed Microsoft AD, vousdevez configurer votre serveur Remote Authentication Dial-In User Service (RADIUS) sur site ou sur lecloud afin qu'il puisse accepter des demandes provenant de votre annuaire AWS Managed Microsoft ADdans AWS.
1. Sur votre serveur RADIUS, créez deux clients RADIUS pour représenter les deux contrôleurs dedomaine AWS Managed Microsoft AD dans AWS. Vous devez configurer les deux clients à l'aide desparamètres communs suivants (votre serveur RADIUS peut être différent) :• Adresse (DNS ou IP): Il s’agit de l’adresse DNS de l’un des AWS Managed Microsoft AD DCs. Les
deux adresses DNS se trouvent dans le AWS Console du service d’annuaire sur le Détails de la pageAWS Managed Microsoft AD dans lequel vous prévoyez d’utiliser MFA. Les adresses DNS affichéesreprésentent les adresses IP des deux AWS Managed Microsoft AD DCs qui sont utilisés par AWS.
Note
Si votre serveur RADIUS prend en charge les adresses DNS, vous ne devez créer qu'uneseule configuration du client RADIUS. Sinon, vous devrez créer une configuration du clientRADIUS par contrôleur de domaine AWS Managed Microsoft AD.
• Numéro de port: Configurez le numéro de port pour lequel votre serveur RADIUS accepte lesconnexions client RADIUS. Le port RADIUS standard est 1812.
• Secret partagé: Saisissez ou générez un secret partagé que le serveur RADIUS utilisera pour seconnecter aux clients RADIUS.
• Protocole: Vous devrez peut-être configurer le protocole d’authentification entre le AWS ManagedMicrosoft AD DCs et le serveur RADIUS. Les protocoles pris en charge sont PAP, CHAP MS-CHAPv1et MS-CHAPv2. Le protocole MS-CHAPv2 est recommandé, car il offre le meilleur niveau de sécuritédes trois différentes options.
• Nom de l’application: Ceci peut être facultatif sur certains serveurs RADIUS et identifie généralementl’application dans les messages ou les rapports.
2. Configurez votre réseau existant pour autoriser le trafic entrant à partir des clients RADIUS (AWSManaged Microsoft AD DCs Adresses DNS, voir étape 1) vers votre port de serveur RADIUS.
3. Ajoutez une règle au groupe de sécurité Amazon EC2 dans votre domaine AWS Managed MicrosoftAD qui autorise le trafic entrant à partir de l'adresse DNS du serveur RADIUS et du numéro de portpréalablement défini. Pour plus d'informations, consultez Ajout de règles à un groupe de sécurité dans leGuide de l'Utilisateur EC2.
Pour plus d'informations sur l'utilisation de AWS Managed Microsoft AD avec MFA, consultez Activerl'authentification multi-facteurs pour AWS Managed Microsoft AD (p. 33).
Version 1.011
AWS Directory Service Guide d'administrationCréation de votre annuaire
Créez votre annuaire AWS Managed Microsoft AD.Pour créer un nouvel annuaire, exécutez les étapes suivantes. Avant de commencer cette procédure,assurez-vous que vous avez terminé les prérequis identifiés dans Conditions préalables requises AWSManaged Microsoft AD (p. 10).
Pour créer un annuaire AWS Managed Microsoft AD
1. Dans le volet de navigation AWS Directory Service console, choisissez Directories (Annuaires), puisSet up directory (Configurer l'annuaire).
2. Sur la page Select directory type (Sélectionner un type d'annuaire), choisissez AWS ManagedMicrosoft AD, puis choisissez Next (Suivant).
3. Sur la page Enter directory information (Saisir les détails de l'annuaire), renseignez les informationssuivantes :
Edition
Choisissez l'édition Standard ou Enterprise de AWS Managed Microsoft AD. Pour plusd'informations sur les éditions, consultez AWS Directory Service for Microsoft Active Directory.
Nom de DNS de l'annuaire
Nom complet de l'annuaire, par exemple corp.example.com.Répertoire NetBIOS nom
Nom court de l'annuaire, par exemple CORP.Description de l'annuaire
Description facultative de l'annuaire.Mot de passe administrateur
Mot de passe de l'administrateur de l'annuaire. Le processus de création d'un annuaire crée uncompte d'administrateur avec le nom utilisateur Admin et ce mot de passe.
Ce mot de passe ne peut pas contenir le terme « admin ».
Le mot de passe de l'administrateur de l'annuaire est sensible à la casse et doit comporter entre8 et 64 caractères (inclus). Il doit également contenir au moins un caractère de trois des quatrecatégories suivantes :• Lettres minuscules (a-z)• Lettres majuscules (A-Z)• Chiffres (0-9)• Caractères non alphanumériques (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
Confirmer le mot de passe
Saisissez à nouveau le mot de passe de l'administrateur.4. Sur la page Choose VPC and subnets (Choisir un VPC et des sous-réseaux), indiquez les informations
suivantes, puis choisissez Next (Suivant).
VPC
VPC de l'annuaire.Sous-réseaux
Choisissez les sous-réseaux pour les contrôleurs de domaine. Les deux sous-réseaux doivent êtredans des zones de disponibilité différentes.Version 1.0
12
AWS Directory Service Guide d'administrationCe qui est créé ?
5. Sur la page Review & create (Vérifier et créer), vérifiez les informations concernant l'annuaire eteffectuez les modifications nécessaires. Lorsque les informations sont correctes, choisissez Createdirectory (Créer l'annuaire). La création de l'annuaire prend entre 20 et 40 minutes. Une fois l'annuairecréé, le champ Statut prend la valeur Actif.
Ce qui est créé ?Lorsque vous créez un annuaire AWS Managed Microsoft AD, AWS Directory Service effectue les tâchessuivantes en votre nom :
• Automatiquement creates and associates an elastic network interface (ENI) with each of your domaincontrollers. Each of these ENIs are essential for connectivity between your VPC and AWS DirectoryService domain controllers and should never be deleted. You can identify all network interfaces reservedfor use with AWS Directory Service by the description: "AWS created network interface for directorydirectory-id". For more information, see Elastic Network Interfaces in the Amazon EC2 Guide del'utilisateur pour les instances Windows.
• Met en service Active Directory dans votre VPC à l'aide de deux contrôleurs de domaine pour latolérance aux pannes et la haute disponibilité. Des contrôleurs de domaine supplémentaires peuvent êtremis en service pour une résilience et des performances supérieures une fois que l’annuaire a été crééavec succès et qu'il est actif. Pour plus d'informations, consultez la section Déploiement de contrôleursde domaine supplémentaires (p. 139).
• Crée un groupe de sécurité AWS qui établit des règles réseau pour le trafic entrant et sortantde vos contrôleurs de domaine. La règle sortante par défaut autorise tout le trafic ENIs ou desinstances attachées à la AWS Groupe de sécurité. La règle entrante par défaut n'autorise que letrafic via les ports qui sont exigés par Active Directory quelle que soit la source (0.0.0.0/0). Les règles0.0.0.0/0 n’introduisent pas de vulnérabilités de sécurité, car le trafic vers les contrôleurs de domaine estlimité au trafic de votre VPC, à partir d’autres VPCs, ou à partir des réseaux que vous avez connectés àl’aide de AWS Direct Connect, AWS Passerelle de transit ou réseau privé virtuel. Pour plus de sécurité,le ENIs qui sont créés n’ont pas d’élasticité IPs y sont attachés et vous n’êtes pas autorisé à attacherune adresse IP Elastic à ces ENIs. Par conséquent, le seul trafic entrant qui peut communiquer avecvotre AWS Managed Microsoft AD est un VPC local et un trafic acheminé par VPC. Soyez extrêmementattentif si vous tentez de modifier ces règles, car vous risquez de ne plus pouvoir communiquer avec voscontrôleurs de domaine. Les règles de groupe de sécurité AWS suivantes sont créées par défaut :
Règles entrantes
Protocol Plage de ports Source Type de trafic Utilisationd’Active Directory
ICMP S/O 0.0.0.0/0 Ping None (Aucun)
TCP et UDP 53 0.0.0.0/0 DNS Authentificationd'utilisateur etd'ordinateur,résolutionde noms,approbations
TCP et UDP 88 0.0.0.0/0 Kerberos Authentificationd’utilisateur etd’ordinateur,approbations auniveau de la forêt
TCP et UDP 389 0.0.0.0/0 LDAP Directory,réplication,
Version 1.013
AWS Directory Service Guide d'administrationCe qui est créé ?
Protocol Plage de ports Source Type de trafic Utilisationd’Active Directorystratégiede grouped’authentificationd’utilisateur etd’ordinateur,approbations
TCP et UDP 445 0.0.0.0/0 SMB / CIFS Réplication,authentificationd’utilisateur etd’ordinateur,stratégiede groupe,approbations
TCP et UDP 464 0.0.0.0/0 Mot de passeKerberos(modification/définition)
Réplication,authentificationd'utilisateur etd'ordinateur,approbations
TCP 135 0.0.0.0/0 Réplication RPC, EPM
TCP 636 0.0.0.0/0 LDAP SSL Directory,réplication,stratégied’authentificationd’utilisateur etd’ordinateur,approbations
TCP 1024-65535 0.0.0.0/0 RPC Réplication,authentificationd’utilisateur etd’ordinateur,stratégiede groupe,approbations
TCP 3268 ‑ 3269 0.0.0.0/0 LDAP GC et LDAPGC SSL
Directory,réplication,stratégied’authentificationd’utilisateur etd’ordinateur,approbations
UDP 123 0.0.0.0/0 Heure Windows Heure Windows,approbations
UDP 138 0.0.0.0/0 DFSN etNetLogon
DFS, stratégie degroupe
Toutes Toutes sg-##################
Tout le trafic
Version 1.014
AWS Directory Service Guide d'administrationCe qui est créé ?
Règles sortantes
Protocol Plage de ports Source Type de trafic Utilisationd’Active Directory
Toutes Toutes sg-##################
Tout le trafic
• Création d'un compte d'administrateur d'annuaire avec le nom d'utilisateur Admin et le mot de passespécifié. Ce compte est situé sous l'unité d'organisation Users (Utilisateurs) (par exemple, Corp > Users).Utilisez ce compte pour gérer votre annuaire dans le Cloud AWS. Pour plus d'informations, consultez lasection Compte administrateur (p. 18).
Important
Veillez à enregistrer ce mot de passe. AWS Directory Service ne stocke pas ce mot de passe etil ne peut pas être récupéré. Cependant, vous pouvez réinitialiser un mot de passe à partir duAWS Directory Service console ou à l’aide de l’ ResetUserPassword de l’API.
• Crée les trois unités d'organisation sous le domaine racine :
Nom de l'unité d'organisation Description
Groupes délégués AWS Stocke tous les groupes que vous pouvez utiliserpour déléguer des autorisations spécifiques AWSà vos utilisateurs.
Réservé AWS Stocke tous les comptes de gestion AWSspécifiques.
<votrenomdedomaine> Le nom de cette unité d’organisation est basé surle NetBIOS nom que vous avez saisi lors de lacréation de votre annuaire. Si vous n’avez passpécifié de NetBIOS nom, il sera par défaut lapremière partie de votre nom DNS d’annuaire(par exemple, dans le cas de corp.example.com,le nom NetBIOS nom serait société). Cette unitéd'organisation appartient à AWS et contient tousles objets d'annuaire AWS sur lesquels vousdisposez d'un contrôle total. Deux enfants OUsexiste sous cette unité d’organisation par défaut ;Ordinateurs et utilisateurs. Exemple :• Corp
• Computers (Ordinateurs)• Users
• Crée les groupes suivants dans l'unité d'organisation déléguée AWS :
Nom du groupe Description
Opérateurs de compte délégués AWS Les membres de ce groupe de sécurité ont peude capacités de gestion de compte comme lesréinitialisations et les déverrouillages de mots depasse
Version 1.015
AWS Directory Service Guide d'administrationCe qui est créé ?
Nom du groupe Description
Administrateurs d'activation Active Directorydélégués AWS
Les membres de ce groupe de sécurité peuventcréer des objets d'activation de licences envolume Active Directory, ce qui permet auxentreprises d'activer des ordinateurs via uneconnexion à leur domaine.
Utilisateurs délégués d'ajout de stations de travailà des domaines AWS
Les membres de ce groupe de sécurité peuventjoindre 10 ordinateurs à un domaine.
Administrateurs délégués AWS Les membres de ce groupe de sécurité peuventgérer AWS Managed Microsoft AD, disposentd'un contrôle total sur tous les objets de votreunité d'organisation et peuvent gérer les groupescontenus dans l'unité d'organisation des groupesdélégués AWS.
Administrateurs de cycle de vie d'objet supprimédélégués AWS
Les membres de ce groupe de sécurité peuventmodifier le msDSobjet -DeletedObjectLifetime,qui définit la durée de récupération d’un objetsupprimé à partir de la corbeille AD.
Administrateurs délégués de systèmes de fichiersdistribués AWS
Les membres de ce groupe de sécurité peuventajouter et supprimer des espaces de noms FRS,DFS-R et DFS.
Administrateurs délégués de systèmes de nomsde domaine AWS
Les membres de ce groupe de sécurité peuventgérer les DNS intégré à Active Directory.
Administrateurs délégués de protocoles deconfiguration hôte dynamique AWS
Les membres de ce groupe de sécurité peuventautoriser des serveurs DHCP Windows dansl'entreprise.
Administrateurs délégués d'autorité de certificationd'entreprise AWS
Les membres de ce groupe de sécurité peuventdéployer et gérer une autorité de certificationd'entreprise Microsoft.
Administrateurs délégués de stratégies de mot depasse granulaires AWS
Les membres de ce groupe de sécurité peuventmodifier les stratégies de gestion de mots depasse granulaires prédéfinies.
Administrateurs délégués de stratégies de groupeAWS
Les membres de ce groupe de sécurité peuventeffectuer des tâches de gestion de stratégies degroupe (créer, modifier, supprimer un lien).
Administrateurs délégués de délégation KerberosAWS
Les membres de ce groupe de sécurité peuventactiver une délégation sur les ordinateurs et lescomptes utilisateur.
Administrateurs délégués de comptes de servicesgérés AWS
Les membres de ce groupe de sécurité peuventcréer et supprimer des comptes de servicesgérés.
Administrateurs délégués de services d'accèsdistant AWS
Les membres de ce groupe de sécurité peuventajouter et supprimer des serveurs RAS du groupede serveurs RAS et IAS.
Version 1.016
AWS Directory Service Guide d'administrationCe qui est créé ?
Nom du groupe Description
Administrateurs délégués des réplications desmodifications d'annuaires AWS
Les membres de ce groupe de sécurité peuventsynchroniser les informations de profil dans ActiveDirectory avec SharePoint Serveur.
Administrateurs délégués des serveurs AWS Les membres de ce groupe de sécurité sont inclusdans le groupe d'administrateurs locaux sur tousles ordinateurs liés au domaine.
Administrateurs délégués des sites et servicesAWS
Les membres de ce groupe de sécurité peuventrenommer l'objet « Default-First-Site-Name » dansles sites et services Active Directory.
Administrateurs de gestion de système déléguésAWS
Les membres de ce groupe de sécurité peuventcréer et gérer des objets dans le conteneurSystem Management.
Administrateurs délégués des licences TerminalServer AWS
Les membres de ce groupe de sécurité peuventajouter et supprimer des serveurs de licencesTerminal Server dans le groupe de serveurs delicences Terminal Server.
Administrateurs délégués des licences TerminalServer AWS
Les membres de ce groupe de sécurité peuventajouter et supprimer des suffixes de nomsprincipaux d'utilisateurs.
AWS Délégué FSx Administrateurs Les membres de ce groupe de sécurité ont lapossibilité de gérer les ressources Amazon FSx.
Délégation AWS autorisée à authentifier desobjets
Les membres de ce groupe de sécurité ont lapossibilité de s'authentifier auprès des ressourcesinformatiques dans l'unité d'organisation réservéeAWS (uniquement nécessaire pour les objetssur site avec les approbations activées pourl'authentification sélective).
Délégation AWS autorisée à s'authentifier auprèsdes contrôleurs de domaine
Les membres de ce groupe de sécurité ont lapossibilité de s'authentifier auprès des ressourcesinformatiques dans l'unité d'organisation descontrôleurs de domaine (uniquement nécessairepour les objets sur site avec les approbationsactivées pour l'authentification sélective).
• Crée et applique les objets de stratégie de groupe suivants :
Note
Vous ne disposez pas des autorisations nécessaires pour supprimer, modifier ou dissocier cesGPOs. Il s’agit d’une conception, car ils sont réservés à l’utilisation d’AWS. Vous pouvez les lierà OUs que vous contrôlez si nécessaire.
Nom de la stratégie de groupe S'applique à Description
Stratégie de domaine par défaut Domaine Inclut les stratégies de mot depasse de domaine et Kerberos.
Version 1.017
AWS Directory Service Guide d'administrationCompte administrateur
Nom de la stratégie de groupe S'applique à Description
ServerAdmins Tous les comptes d'ordinateursautres que contrôleurs dedomaine
Ajoute les administrateurs deserveur délégué AWS en tantque membre du groupe BUILTIN\Administrators.
Stratégie réservée AWS :Utilisateur
Comptes d'utilisateur réservéAWS
Définit les paramètres desécurité recommandés sur tousles comptes utilisateur de l'unitéd'organisation réservée AWS.
Stratégie AWS Managed ActiveDirectory
Tous les contrôleurs de domaine Définit les paramètres desécurité recommandés sur tousles contrôleurs de domaine.
TimePolicyNT5DS Tous non PDCe contrôleurs dedomaine
Définit tous les éléments nonPDCe de temps des contrôleursde domaine pour utiliserWindows Time (NT5DS).
TimePolicyPDC Le PDCe contrôleur de domaine Définit le PDCe de la politiquede temps du contrôleur dedomaine pour utiliser leprotocole NTP (Network TimeProtocol).
Stratégie des contrôleurs dedomaine par défaut
Non utilisé Mise en service lors de lacréation du domaine, la stratégieAWS Managed Active Directoryest utilisée à sa place.
Si vous souhaitez voir les paramètres de chaque GPO, vous pouvez les afficher à partir d'une instanceWindows jointe au domaine avec la console de gestion des stratégies de groupe (GPMC) activée.
Compte administrateurLorsque vous créez un annuaire AWS Directory Service for Microsoft Active Directory, AWS crée une unitéd'organisation (UO) pour stocker tous les groupes et comptes AWS associés. Pour plus d'informations surcette unité d'organisation, consultez Ce qui est créé ? (p. 13). Cela inclut le compte Admin. Le compteAdmin dispose des autorisations pour effectuer les activités administratives courantes suivantes pour votreunité d'organisation :
• Ajouter, mettre à jour ou supprimer des utilisateurs, des groupes et des ordinateurs. Pour plusd'informations, consultez la section Gérer des utilisateurs et des groupes dans AWS Managed MicrosoftAD (p. 91).
• Ajouter des ressources à votre domaine, comme des serveurs de fichiers ou d'impression, puis attribuerdes autorisations pour ces ressources aux utilisateurs et groupes dans votre unité d'organisation.
• Créer des OUs et conteneurs.• Déléguer l’autorité de OUs et conteneurs. Pour plus d'informations, consultez la section Délégation des
privilèges de jonction d'annuaire pour AWS Managed Microsoft AD (p. 89).• Créer et associer des stratégies de groupes.• Restaurer des objets supprimés de la corbeille Active Directory.• Exécuter Active Directory et les fenêtres DNS PowerShell sur le service Web Active Directory.
Version 1.018
AWS Directory Service Guide d'administrationCompte administrateur
• Créer et configurer des comptes de services gérés de groupe. Pour plus d'informations, consultez lasection Comptes de service administrés de groupe (p. 21).
• Configurer la délégation Kerberos contrainte. Pour plus d'informations, consultez la section DélégationKerberos contrainte (p. 22).
Le compte Admin dispose également de droits pour exécuter les activités suivantes au niveau du domaine :
• Gérer les configurations DNS (ajouter, supprimer ou mettre à jour des enregistrements, des zones et desredirecteurs)
• Afficher les journaux d'événements DNS• Afficher les journaux d'événements de sécurité
Seuls les actions répertoriées ici sont autorisées pour le compte Admin. De même, le compte Admin nedétient pas les autorisations liées à toutes les actions sur l'annuaire en dehors de votre unité d'organisationspécifique, comme sur l'unité d'organisation parent.
Important
Les administrateurs de domaine AWS ont un accès administratif complet à tous les domaineshébergés sur AWS. Consultez votre contrat AWS, ainsi que la Foire aux Questions relativesà AWS pour plus d'informations sur la manière dont AWS gère le contenu, notamment lesinformations d'annuaire que vous stockez sur les systèmes AWS.
Note
Nous vous recommandons de ne pas supprimer ou renommer ce compte. Si vous ne souhaitezplus utiliser le compte, nous vous recommandons de définir un mot de passe long (128 caractèresaléatoires ou plus), puis de désactiver le compte.
Comptes disposant de droits d'administrateur d'entreprise et dedomainePour procéder à une gestion opérationnelle de votre annuaire, AWS dispose du contrôle exclusif descomptes disposant de droits d'administrateur d'entreprise et de domaine. Cela inclut le contrôle exclusifdu compte d'administrateur AD. AWS protège ce compte en automatisant la gestion des mots depasse via l'utilisation d'un coffre de mots de passe. Pendant la rotation automatique du mot de passed'administrateur, AWS crée un compte utilisateur temporaire et lui accorde les privilèges d'administrateurde domaine. Ce compte temporaire est utilisé en tant que sauvegarde en cas de défaillance de la rotationdu mot de passe du compte administrateur. Une fois qu'AWS effectue une rotation du mot de passeadministrateur avec succès, AWS supprime le compte administrateur temporaire.
Normalement, AWS gère l'annuaire entièrement grâce à l'automatisation. Si un processus d'automatisationn'est pas en mesure de résoudre un problème opérationnel, un ingénieur du support peut devoir seconnecter à votre contrôleur de domaine pour procéder à un diagnostic. Ces cas sont rares, maisimpliquent qu'AWS implémente un système de demande/notification pour accorder l'accès. Dans ceprocessus, AWS crée un compte utilisateur ayant une durée limitée dans votre annuaire qui disposed'autorisations d'administrateur de domaine. AWS associe le compte utilisateur à l'ingénieur chargé detravailler sur votre annuaire. AWS enregistre cette association dans notre système de journalisation etfournit à l'ingénieur les informations d'identification nécessaires. Toutes les actions réalisées par l'ingénieursont consignées dans les journaux d'événements Windows. Au terme du temps alloué, l'automatisationsupprime le compte utilisateur.
Vous pouvez surveiller les actions du compte administrateur à l'aide de la fonction de transfert de journauxde votre annuaire. Cette fonction vous permet de transmettre les événements AD Security à votreCloudWatch où vous pouvez mettre en œuvre des solutions de surveillance. Pour plus d'informations,consultez la section Activer le transfert de journaux (p. 58).
Version 1.019
AWS Directory Service Guide d'administrationConcepts clés
Concepts clés pour AWS Managed Microsoft ADVous tirerez le meilleur parti d'AWS Managed Microsoft AD en vous familiarisant avec les concepts cléssuivants.
Rubriques• Schéma Active Directory (p. 20)• Application de correctifs et maintenance pour AWS Managed Microsoft AD (p. 21)• Comptes de service administrés de groupe (p. 21)• Délégation Kerberos contrainte (p. 22)
Schéma Active DirectoryUn schéma est la définition des attributs et classes qui font partie d'un annuaire distribué et sontsimilaires aux champs et tables d'une base de données. Les schémas incluent un ensemble de règlesqui déterminent le type et le format des données qui peuvent être ajoutées ou incluses dans la basede données. La classe Utilisateur est l'exemple d'une classe qui est stockée dans la base de données.Quelques exemples d'attributs de classe Utilisateur peuvent inclure le prénom, le nom, le numéro detéléphone de l'utilisateur, etc.
Eléments du schémaLes attributs, les classes et les objets sont les éléments de base qui sont utilisés pour créer des définitionsd'objets dans le schéma. Voici les détails sur les éléments du schéma que vous devez connaître avantd'entamer le processus d'extension de votre schéma AWS Managed Microsoft AD.
Attributs
Chaque attribut de schéma, qui est similaire au champ d'une base de données, possède plusieurspropriétés qui définissent les caractéristiques de l'attribut. Par exemple, la propriété utilisée par lesclients LDAP pour lire et écrire l’attribut est LDAPDisplayName. Le LDAPDisplayName doit êtreunique pour tous les attributs et toutes les classes. Pour obtenir une liste complète des caractéristiquesde l'attribut, consultez Characteristics of Attributes sur le site web MSDN. Pour plus d'informations surla création d'un nouvel attribut, consultez Defining a New Attribute sur le site web MSDN.
Classes
Les classes sont analogues aux tables dans une base de données et disposent également deplusieurs propriétés à définir. Par exemple, le code objectClassCategory définit la catégorie de laclasse. Pour obtenir une liste complète des caractéristiques de la classe, consultez Characteristics ofObject Classes sur le site web MSDN. Pour plus d'informations sur la création d'une nouvelle classe,consultez Defining a New Class sur le site web MSDN.
Identificateur d'objet (OID)
Chaque classe et attribut doit posséder un OID unique pour tous vos objets. Les fournisseurs delogiciel doivent obtenir leurs propres OID pour garantir l'unicité. L'unicité permet d'éviter les conflitslorsque le même attribut est utilisé par plus d'une application à différentes fins. Pour garantir l'unicité,vous pouvez obtenir un OID racine auprès d'une autorité d'enregistrement de nom ISO. Sinon, vouspouvez obtenir un OID de base auprès de Microsoft. Pour plus d’informations sur OIDs et comment lesobtenir, voir Identificateurs d’objet sur le site Internet MSDN.
Attributs liés à un schéma
Certains attributs sont liés entre deux classes par des liens suivants et précédents. Le meilleurexemple est les groupes. Lorsque vous observez un groupe, il vous montre les membres qui le
Version 1.020
AWS Directory Service Guide d'administrationApplication de correctifs et maintenance
composent ; si vous observez un utilisateur, vous pouvez voir les groupes auxquels il appartient.Lorsque vous ajoutez un utilisateur à un groupe, Active Directory crée un lien suivant vers le groupe.Ensuite, Active Directory ajoute un lien précédent à partir du groupe de l'utilisateur. Un ID de lienunique doit être généré lors de la création d'un attribut qui sera lié. Pour plus d'informations, consultezLinked Attributes sur le site web MSDN.
Rubriques connexes
• Quand étendre votre schéma AWS Managed Microsoft AD (p. 115)• Tutoriel : Extension de votre AWS Managed Microsoft AD Schéma (p. 115)
Application de correctifs et maintenance pour AWSManaged Microsoft ADAWS Directory Service for Microsoft Active Directory, également appelé AWS DS pour AWS ManagedMicrosoft AD, correspond en fait aux services de domaine Active Directory (AD DS) Microsoft fournisen tant que service géré. Le système utilise Microsoft Windows Server 2012 R2 pour les contrôleurs dedomaine (DC), et AWS ajoute un logiciel au DCs à des fins de gestion des services. AWS mises à jour(patches) DCs pour ajouter de nouvelles fonctionnalités et conserver le logiciel Microsoft Windows Server àjour. Pendant le processus d'application des correctifs, votre annuaire reste disponible pour utilisation.
Garantie de la disponibilitéPar défaut, chaque répertoire se compose de deux DCs, chaque installé dans une zone de disponibilitédifférente. À votre discrétion, vous pouvez ajouter DCs pour augmenter davantage la disponibilité. AWSde vos DCs de manière séquentielle, au cours de laquelle le DC que AWS est un correctif actif n’est pasdisponible. Dans le cas où un ou plusieurs de vos DCs est temporairement hors service, AWS reportel’application des correctifs jusqu’à ce que votre répertoire ait au moins deux DCs. Cela vous permetd’utiliser l’autre DCs pendant le processus de correction, qui prend généralement 30 à 45 minutes parCC, bien que ce temps puisse varier. Pour vous assurer que vos applications peuvent atteindre un DCopérationnel dans le cas où un ou plusieurs DCs n’est pas disponible pour une raison quelconque, ycompris l’application de correctifs, vos applications doivent utiliser le service de localisateur DC Windows etne pas utiliser d’adresses DC statiques.
Présentation de la planification de l'application des correctifsPour maintenir le logiciel Microsoft Windows Server à jour sur votre DCs, AWS utilise les mises à jourMicrosoft. Étant donné que Microsoft met à disposition des correctifs cumulatifs mensuels pour WindowsServer, AWS fait de son mieux pour tester et appliquer le cumul à tous les clients DCs dans les troissemaines calendaires. En outre, AWS examine les mises à jour que Microsoft publie en dehors du cumulmensuel en fonction de leur applicabilité à DCs et l’urgence. Pour les correctifs de sécurité que Microsoftconsidère comme Critique ou Important, et qui sont pertinents pour DCs, AWS fait tout son possible pourtester et déployer le correctif dans les cinq jours.
Comptes de service administrés de groupeAvec Windows Server 2012, Microsoft a introduit une nouvelle méthode que les administrateurs peuventutiliser pour gérer les comptes de service : les comptes de service administrés de groupe (appelésgMSA). Utilisation de gMSAs, les administrateurs de service n’ont plus besoin de gérer manuellement lasynchronisation des mots de passe entre les instances de service. Un administrateur peut simplementcréer un gMSA dans Active Directory, puis configurer plusieurs instances de service pour utiliser ce comptegMSA spécifique.
Version 1.021
AWS Directory Service Guide d'administrationDélégation Kerberos contrainte
Pour accorder les autorisations nécessaires pour que des utilisateurs dans AWS Managed Microsoft ADpuissent créer un gMSA, vous devez ajouter leurs comptes en tant que membre du groupe de sécuritéAWS Delegated Managed Service Account Administrators (Administrateurs délégués des comptesde services gérés AWS). Par défaut, le compte administrateur est membre de ce groupe. Pour plusd’informations sur gMSAs, voir Aperçu des comptes de services gérés de groupe sur Microsoft TechNetsite Web.
Lié AWS Article du blog sur la sécurité
• Comment AWS Managed Microsoft AD simplifie le déploiement et améliore la sécurité desapplications.NET intégrées à Active Directory
Délégation Kerberos contrainteLa délégation Kerberos contrainte est une fonctionnalité de Windows Server. Cette fonctionnalité permetaux administrateurs de services de spécifier et d'appliquer des limites d'approbation d'applications enlimitant l'étendue d'intervention des services applicatifs qui agissent au nom d'un utilisateur. Cela peut êtreutile lorsque vous avez besoin de spécifier les comptes de service frontaux qui sont autorisés à déléguerdes tâches à leurs services dorsaux. La délégation Kerberos contrainte empêche également votre gMSAde se connecter à n'importe quel service pour le compte de vos utilisateurs Active Directory, ce qui évite lerisque d'abus par un développeur malveillant.
Par exemple, supposons que l'utilisateur jdupont se connecte à une application RH. Vous voulez quevotre instance SQL Server applique les autorisations de base de données de jdupont. Cependant, pardéfaut, SQL Server ouvre la connexion à la base de données à l'aide des informations d'identificationdu compte de service qui appliquent les autorisations du service applicatif RH, et non les autorisationsconfigurées pour jdupont. Vous devez permettre à l'application de paie RH d'accéder à la base de donnéesSQL Server à l'aide des informations d'identification de jdupont. Pour ce faire, vous activez la délégationKerberos contrainte pour le compte de service hr-app-service sur votre annuaire AWS Managed MicrosoftAD dans AWS. Lorsque jdupont se connecte, Active Directory émet un ticket Kerberos que Windows utiliseautomatiquement lorsque jdupont tente d'accéder à d'autres services sur le réseau. La délégation Kerberospermet au compte de service de l'application RH de réutiliser le ticket Kerberos de jdupont lors de l'accès àla base de données, ce qui permet d'appliquer les autorisations spécifiques à jdupont lors de l'ouverture dela connexion à la base de données.
Pour accorder les autorisations nécessaires pour que des utilisateurs dans AWS Managed Microsoft ADpuissent configurer une délégation Kerberos contrainte, vous devez ajouter leurs comptes en tant quemembre du groupe de sécurité AWS Delegated Kerberos Delegation Administrators (Administrateursdélégués de délégation AWS). Par défaut, le compte administrateur est membre de ce groupe. Pour plusd’informations sur la délégation contrainte Kerberos, voir Présentation de la délégation contrainte Kerberossur Microsoft TechNet site Web.
La délégation contrainte basée sur les ressources a été introduite avec Windows Server 2012. Elle fournit àl'administrateur de service principal la possibilité de configurer la délégation contrainte pour le service.
Cas d'utilisation d'AWS Managed Microsoft ADAvec AWS Managed Microsoft AD, vous pouvez partager un seul annuaire pour plusieurs cas d'utilisation.Par exemple, vous pouvez partager un annuaire pour authentifier et autoriser l’accès aux applications.NET,Amazon RDS pour SQL Server avec Authentification Windows activé, et Carillon d’Amazonie pour lamessagerie et la visioconférence.
Le schéma suivant montre quelques cas d'utilisation de votre annuaire AWS Managed Microsoft AD. Ceux-ci incluent la possibilité d'octroyer à vos utilisateurs l'accès aux applications cloud externes et d'autoriservos utilisateurs AD sur site à gérer et accéder aux ressources dans le cloud AWS.
Version 1.022
AWS Directory Service Guide d'administrationCas d'utilisation
Utilisez AWS Managed Microsoft AD pour l'un des cas d'utilisation commerciaux.
Rubriques• Cas d’utilisation 1 : Connectez-vous à AWS Applications et services avec informations d’identification
AD (p. 24)• Cas d’utilisation 2 : Gérer les instances Amazon EC2 (p. 27)• Cas d’utilisation 3 : Fournir des services d’annuaire à vos charges de travail AD-Aware (p. 27)• Cas d’utilisation 4 : de SSO à Office 365 et autres applications cloud (p. 28)• Cas d’utilisation 5 : Étendez votre AD sur site au AWS sur le Cloud (p. 29)
Version 1.023
AWS Directory Service Guide d'administrationCas d’utilisation 1 : Connectez-vous à AWS Applications
et services avec informations d’identification AD
• Cas d’utilisation 6 : Partagez votre annuaire pour vous joindre en toute transparence Amazon EC2Instances à un domaine sur AWS Comptes (p. 29)
Cas d’utilisation 1 : Connectez-vous à AWSApplications et services avec informationsd’identification ADVous pouvez activer plusieurs AWS des applications et des services tels que AWS Client VPN, AWSManagement Console, Authentification unique AWS, Amazon Chime, Amazon Connect, Amazon FSx,Amazon QuickSight, Amazon RDS pour SQL Server, Amazon WorkDocs, Amazon WorkMail, et AmazonWorkSpaces pour utiliser votre AWS Managed Microsoft AD répertoire. Lorsque vous activez uneapplication ou un service AWS dans votre annuaire, vos utilisateurs peuvent accéder à l'application ou auservice avec leurs informations d'identification AD.
Par exemple, vous pouvez autoriser vos utilisateurs à se connecter à AWS Management Consoleavec leurs informations d'identification AD. Pour ce faire, activez AWS Management Console en tantqu'application dans votre annuaire, puis attribuez vos utilisateurs et groupes AD à vos rôles IAM. Lorsquevos utilisateurs se connectent à la AWS Management Console, ils endossent un rôle IAM pour gérerles ressources AWS. Cela vous permet d'accorder plus facilement à vos utilisateurs un accès à AWSManagement Console sans qu'il soit nécessaire de configurer et de gérer une infrastructure SAMLdistincte.
Pour améliorer davantage l’expérience de l’utilisateur final, vous pouvez activer Authentification unique(SSO) pour Amazon WorkDocs, qui permet à vos utilisateurs d’accéder Amazon WorkDocs à partir d’unordinateur joint à l’annuaire sans avoir à saisir ses informations d’identification séparément.
Vous pouvez accorder l’accès aux comptes utilisateur de votre annuaire ou de votre AD sur site, afinqu’ils puissent se connecter à AWS Management Console ou via l’interface de ligne de commande AWSà l’aide de leurs informations d’identification et autorisations existantes pour gérer les ressources AWS enattribuant des rôles IAM directement aux comptes d’utilisateur existants.
Intégration Amazon FSx for Windows File Server à AWSManaged Microsoft ADIntégration Amazon FSx for Windows File Server avec AWS Managed Microsoft AD fournit un systèmede fichiers natif de protocole SMB (Server Message Block) Microsoft Windows entièrement géré qui vouspermet de déplacer facilement vos applications et clients Windows (qui utilisent le stockage de fichierspartagé) vers AWS. Bien que Amazon FSx for Windows File Server peut être intégré à un annuaireMicrosoft Active Directory autogéré, nous ne discutons pas de ce scénario ici.
Fréquent Amazon FSx des cas d’utilisation et des ressources
Cette section fournit une référence aux ressources sur les Amazon FSx for Windows File Server avec AWSManaged Microsoft AD des cas d’utilisation. Chacun des cas d’utilisation de cette section commence par unélément de base AWS Managed Microsoft AD et Amazon FSx for Windows File Server configuration. Pourplus d’informations sur la création de ces configurations, consultez :
• Prise en main d'AWS Managed Microsoft AD (p. 10)• Mise en route avec Amazon FSx
Version 1.024
AWS Directory Service Guide d'administrationCas d’utilisation 1 : Connectez-vous à AWS Applications
et services avec informations d’identification AD
Amazon FSx for Windows File Server en tant que stockage permanent sur les conteneursWindows
Amazon Elastic Container Service (ECS) prend en charge les conteneurs Windows sur les instances deconteneur qui sont lancées avec l’ Amazon ECSAMI Windows optimisée pour. Les instances de conteneurWindows utilisent leur propre version de l'agent de conteneur Amazon ECS. Sur la page Amazon ECSdel’AMI Windows optimisée pour , le Amazon ECS L’agent de conteneur s’exécute en tant que service surl’hôte.
Amazon ECS prend en charge l’authentification Active Directory pour les conteneurs Windows via untype spécial de compte de service appelé groupe Managed Service Account (gMSA). Étant donné queles conteneurs Windows ne peuvent pas être joints à un domaine, vous devez configurer un conteneurWindows pour qu'il s'exécute avec un compte gMSA.
Éléments associés
• Utilisation de Amazon FSx for Windows File Server en tant que stockage permanent sur les conteneursWindows
• Comment configurer l’utilisation du compte de service géré de groupe avec AWS Managed Microsoft AD
Amazon AppStream 2.0 Assistance technique
Amazon AppStream à 2 est un service de streaming d’applications entièrement géré. Il fournit une gammede solutions permettant aux utilisateurs d’enregistrer et d’accéder aux données via leurs applications.Amazon FSx avec AppStream 2.0 fournit un disque de stockage personnel persistant utilisant Amazon FSxet peut être configuré pour fournir un dossier partagé pour accéder aux fichiers communs.
Éléments associés
• Procédure 4 : Utilisation de Amazon FSx avec Amazon AppStream à 2• Utilisation de Amazon FSx avec Amazon AppStream à 2• Utilisation d’Active Directory avec AppStream 2.0
Prise en charge de Microsoft SQL Server
Amazon FSx for Windows File Server peut être utilisé comme option de stockage pour Microsoft SQLServer 2012 (à partir de la version 11.x de 2012) et les bases de données système plus récentes (ycompris Master, Model, MSDB, et TempDB), et pour les bases de données utilisateur du moteur de basede données.
Éléments associés
• Installer SQL Server avec stockage de partage de fichiers SMB• Simplifiez vos déploiements haute disponibilité Microsoft SQL Server à l’aide de Amazon FSx for
Windows File Server• Comment configurer l’utilisation du compte de service géré de groupe avec AWS Managed Microsoft AD
Dossiers de base et prise en charge du profil utilisateur itinérant
Amazon FSx for Windows File Server peut être utilisé pour stocker les données des dossiers de basedes utilisateurs Active Directory et Mes documents dans un emplacement central. Amazon FSx forWindows File Server peut également être utilisé pour stocker les données des profils utilisateur itinérants.
Éléments associés
Version 1.025
AWS Directory Service Guide d'administrationCas d’utilisation 1 : Connectez-vous à AWS Applications
et services avec informations d’identification AD
• Comment affecter un dossier de base à un utilisateur• Les répertoires Windows de la maison simplifiés avec Amazon FSx• Déploiement des profils d’utilisateurs itinérants• Utilisation de Amazon FSx for Windows File Server avec Amazon WorkSpaces
Prise en charge du partage de fichiers en réseau
Partages de fichiers en réseau sur un Amazon FSx for Windows File Server offre une solution de partagede fichiers gérée et évolutive. Un cas d’utilisation est un lecteur mappé pour les clients qui peut être créémanuellement ou via la stratégie de groupe.
Éléments associés
• Procédure pas à pas 6 : Augmentation des performances avec des partitions• Mappage du variateur• Utilisation de Amazon FSx for Windows File Server avec Amazon WorkSpaces
Support pour l’installation du logiciel de stratégie de groupe
Comme la taille et les performances du dossier SYSVOL sont limitées, il est recommandé d’éviter destocker des données telles que les fichiers d’installation du logiciel dans ce dossier. En tant que solutionpossible, Amazon FSx for Windows File Server peut être configuré pour stocker tous les fichiers logicielsinstallés à l’aide de la stratégie de groupe.
Éléments associés
• Comment utiliser la stratégie de groupe pour installer à distance le logiciel dans Windows Server 2008 etWindows Server 2003
Prise en charge de la cible de sauvegarde Windows Server
Amazon FSx for Windows File Server peut être configuré en tant que lecteur cible dans Windows ServerBackup à l’aide du partage de fichiers UNC. Dans ce cas, vous devez spécifier le chemin UNC vers votreAmazon FSx for Windows File Server au lieu du volume EBS attaché.
Éléments associés
• Effectuez une récupération de l’état du système de votre serveur
Amazon FSx prend également en charge AWS Managed Microsoft AD Partage d’annuaires. Pour plusd'informations, veuillez consulter:
• Partagez votre annuaire (p. 60)• Utilisation de Amazon FSx avec AWS Managed Microsoft AD dans un autre VPC ou compte
Intégration Amazon RDS à AWS Managed Microsoft ADAmazon RDS prend en charge l’authentification externe des utilisateurs de base de données à l’aide deKerberos avec Microsoft Active Directory. Kerberos est un protocole d’authentification réseau qui utilise destickets et une cryptographie à clé symétrique pour éliminer le besoin de transmettre des mots de passe surle réseau. Amazon RDS pour Kerberos et Active Directory offre les avantages de l’authentification uniqueet de l’authentification centralisée des utilisateurs de base de données afin que vous puissiez conservervos informations d’identification d’utilisateur dans Active Directory.
Version 1.026
AWS Directory Service Guide d'administrationCas d’utilisation 2 : Gérer les instances Amazon EC2
Pour démarrer avec ce cas d’utilisation, vous devez d’abord configurer un AWS Managed Microsoft AD etAmazon RDS configuration.
• Prise en main d'AWS Managed Microsoft AD (p. 10)• Mise en route avec Amazon RDS
Tous les cas d’utilisation référencés ci-dessous commenceront par une base AWS Managed Microsoft ADet Amazon RDS et comment intégrer Amazon RDS avec AWS Managed Microsoft AD.
• Utilisation de l'authentification Windows avec une instance de base de données Amazon RDS pour SQLServer
• Utilisation de l’authentification Kerberos pour MySQL• Utilisation de l'authentificationKerberos avec Amazon RDS for Oracle• Utilisation de l’authentification Kerberos avec Amazon RDS pour PostgreSQL
Amazon RDS prend également en charge AWS Managed Microsoft AD Partage d’annuaires. Pour plusd'informations, veuillez consulter:
• Partagez votre annuaire (p. 60)• Rejoindre votre Amazon RDS Instances de base de données entre les comptes vers un seul domaine
partagé
de l’application.NET à l’aide de Amazon RDS pour SQL Server avec un groupeComptes de services gérés
Vous pouvez intégrer Amazon RDS pour SQL Server avec une application.NET de base et un groupe decomptes de services gérés (gMSA). Pour plus d’informations, consultez Comment AWS Managed MicrosoftAD Permet de simplifier le déploiement et d’améliorer la sécurité des applications.NET intégrées à ActiveDirectory
Cas d’utilisation 2 : Gérer les instances Amazon EC2En utilisant les outils d'administration AD familiers, vous pouvez appliquer des objets de stratégie degroupe (GPO) pour gérer de façon centralisée vos Amazon EC2 pour Windows or Linux en joignant vosinstances à votre domaine AWS Managed Microsoft AD.
En outre, vos utilisateurs peuvent se connecter à vos instances à l'aide de leurs informations d'identificationAD. Ainsi, vous n'avez plus besoin d'utiliser d'informations d'identification d'instance individuelle oudistribuer de fichiers de clé privée (PEM). Ainsi, il est plus simple pour vous d'accorder ou de révoquerinstantanément l'accès aux utilisateurs à l'aide des outils l'administration des utilisateurs AD que vousutilisez déjà.
Cas d’utilisation 3 : Fournir des services d’annuaire àvos charges de travail AD-AwareAWS Managed Microsoft AD est un véritable Microsoft AD qui vous permet d’exécuter des chargesde travail traditionnelles compatibles AD telles que Gestionnaire de licences de bureau à distance et àMicrosoft SharePoint et Microsoft SQL Server toujours activés dans le AWS sur le Cloud. AWS ManagedMicrosoft AD vous aide également à simplifier et à améliorer la sécurité des applications.NET intégréesà AD en utilisant des comptes de services gérés de groupe (gMSA) et une délégation de contraintesKerberos (KCD).
Version 1.027
AWS Directory Service Guide d'administrationCas d’utilisation 4 : de SSO à Office
365 et autres applications cloud
Cas d’utilisation 4 : de SSO à Office 365 et autresapplications cloudVous pouvez utiliser AWS Managed Microsoft AD pour fournir une authentification unique (SSO) pourles applications cloud. Vous pouvez utiliser Azure AD Connect pour synchroniser vos utilisateurs dansAzure AD, puis utiliser Active Directory Federation Services (AD FS) afin que vos utilisateurs puissentaccéder Office 365 de Microsoft et d’autres applications cloud SAML 2.0 en utilisant leurs informationsd’identification AD.
Intégration AWS Managed Microsoft AD avec AWS SSO ajoute des fonctionnalités SAML à votreAWS Managed Microsoft AD et/ou vos domaines approuvés sur site. Une fois intégrés, vos utilisateurspeuvent ensuite utiliser AWS SSO avec des services qui prennent en charge SAML, y compris le AWSManagement Console et des applications cloud tierces telles qu’Office 365, Concur et Salesforce sansavoir à configurer une infrastructure SAML. Pour une démonstration sur le processus permettant à vosutilisateurs sur site d’utiliser AWS SSO, voir ce qui suit YouTube vidéo.
Version 1.028
AWS Directory Service Guide d'administrationCas d’utilisation 5 : Étendez votreAD sur site au AWS sur le Cloud
Cas d’utilisation 5 : Étendez votre AD sur site au AWSsur le CloudSi vous disposez déjà d'une infrastructure AD et que vous souhaitez l'utiliser lors de la migration descharges de travail compatibles avec AD dans le cloud AWS, AWS Managed Microsoft AD peut vous êtreutile. Vous pouvez utiliser AD fait confiance à pour se connecter AWS Managed Microsoft AD à votre ADexistant. Ainsi, vos utilisateurs peuvent accéder aux applications compatibles avec AD et aux applicationsAWS au moyen de leurs informations d'identification AD sur site, sans que vous ne deviez synchroniser lesutilisateurs, les groupes ou les mots de passe.
Par exemple, vos utilisateurs peuvent se connecter à AWS Management Console et aux AmazonWorkSpaces en utilisant leur nom d'utilisateur et mot de passe AD. En outre, lorsque vous utilisez desapplications compatibles AD telles que SharePoint avec AWS Managed Microsoft AD, vos utilisateursWindows connectés peuvent accéder à ces applications sans avoir à saisir à nouveau leurs informationsd’identification.
Vous pouvez également migrer votre domaine Active Directory (AD) sur site vers AWS pour vous libérer dela charge opérationnelle de votre infrastructure AD à l’aide de l’ Boîte à outils de migration Active Directory(ADMT) avec le service d’exportation de mot de passe (PES) pour effectuer la migration.
Cas d’utilisation 6 : Partagez votre annuaire pour vousjoindre en toute transparence Amazon EC2 Instancesà un domaine sur AWS ComptesLe partage de votre annuaire entre plusieurs comptes AWS vous permet de gérer des services AWS telsque Amazon EC2 en toute simplicité, sans devoir opérer un annuaire pour chaque compte et chaque VPC.Vous pouvez utiliser votre annuaire depuis n'importe quel compte AWS et n'importe quel VPC Amazonà l'intérieur d'une région AWS. Cette capacité facilite et rend plus rentable la gestion des charges detravail sensibles aux répertoires avec un seul répertoire entre les comptes et VPCs. Par exemple, vouspouvez désormais gérer votre Charges de travail Windows déployés dans des instances EC2 sur plusieurscomptes et VPCs en utilisant une seule AWS Managed Microsoft AD répertoire.
Lorsque vous partagez votre annuaire AWS Managed Microsoft AD avec un autre compte AWS, vouspouvez utiliser la console Amazon EC2 ou AWS Systems Manager pour joindre en toute transparencevos instances depuis n'importe quel VPC Amazon à l'intérieur du compte et de la région AWS. Vouspouvez déployer rapidement vos charges de travail prenant en charge les annuaires sur les instancesEC2, en éliminant le besoin de joindre manuellement vos instances à un domaine ou de déployer desannuaires dans chaque compte et VPC. Pour plus d'informations, consultez la section Partagez votreannuaire (p. 60).
Comment administrer AWS Managed Microsoft ADCette section répertorie toutes les procédures de fonctionnement et de maintenance d'un environnementAWS Managed Microsoft AD.
Rubriques• Sécurisation de votre annuaire AWS Managed Microsoft AD (p. 30)• Surveillance de votre AWS Managed Microsoft AD (p. 54)• Partagez votre annuaire (p. 60)• Jonction d'une instance EC2 à votre annuaire AWS Managed Microsoft AD (p. 69)
Version 1.029
AWS Directory Service Guide d'administrationSécurisation de votre annuaire
• Gérer des utilisateurs et des groupes dans AWS Managed Microsoft AD (p. 91)• Connexion à votre infrastructure AD existante (p. 95)• Extension de votre schéma (p. 115)• Maintenance de votre annuaire AWS Managed Microsoft AD (p. 120)• Accorder l'accès aux ressources AWS (p. 124)• Activation de l'accès aux applications et services AWS (p. 128)• Activation de l'accès à AWS Management Console avec les informations d'identification AD (p. 137)• Déploiement de contrôleurs de domaine supplémentaires (p. 139)• Migration des utilisateurs d'Active Directory vers AWS Managed Microsoft AD (p. 141)
Sécurisation de votre annuaire AWS ManagedMicrosoft ADCette section décrit les éléments à prendre en compte pour sécuriser votre environnement AWS ManagedMicrosoft AD.
Rubriques• Gestion de la la stratégie de mot de passe pour AWS Managed Microsoft AD (p. 30)• Activer l'authentification multi-facteurs pour AWS Managed Microsoft AD (p. 33)• Activation de LDAP sécurisé (LDAPS) (p. 35)• Gestion de la conformité pour AWS Managed Microsoft AD (p. 43)• Améliorer la configuration de la sécurité réseau AWS Managed Microsoft AD (p. 45)
Gestion de la la stratégie de mot de passe pour AWS ManagedMicrosoft ADAWS Managed Microsoft AD vous permet de définir et d'attribuer des stratégies précises de mot depasse et de verrouillage de compte (ou stratégies de mot de passe affinées) différentes pour les groupesd'utilisateurs que vous gérez dans votre domaine AWS Managed Microsoft AD. Lorsque vous créez unannuaire AWS Microsoft AD, une stratégie de domaine est créée et appliquée par défaut à l'annuaire. Cettestratégie contient les paramètres suivants :
Policy Paramètre
Appliquer l'historique des mots de passe 24 mots de passe mémorisés
Durée de vie maximale du mot de passe 42 jours *
Durée de vie minimale du mot de passe 1 jour
Longueur minimum du mot de passe 7 caractères
Le mot de passe doit respecter des exigences decomplexité
Enabled
Enregistrer les mots de passe en utilisant unchiffrement réversible
Désactivé
* Remarque : L’âge maximum de 42 jours du mot de passe inclut le mot de passe admin.
Version 1.030
AWS Directory Service Guide d'administrationSécurisation de votre annuaire
Par exemple, vous pouvez attribuer un paramètre de stratégie moins strict pour les employés qui n'ontaccès qu'à des informations de faible importance. Pour les cadres supérieurs qui accèdent régulièrement àdes informations confidentielles, vous pouvez appliquer des paramètres plus stricts.
AWS fournit un ensemble de stratégies de mot de passe affinées dans AWS Managed Microsoft AD quevous pouvez configurer et attribuer à vos groupes. Pour configurer les stratégies, vous pouvez utiliser lesoutils de gestion des stratégies Microsoft standard, tels que le Centre d'administration Active Directory(ADAC). Pour commencer à utiliser les outils de gestion des stratégies Microsoft, consultez Installation desoutils d'administration Active Directory (p. 92).
Rubriques• Paramètres de stratégie pris en charge (p. 31)• Déléguer des autorisations de gestion de vos stratégies de mot de passe (p. 32)• Attribuer des stratégies de mot de passe à vos utilisateurs (p. 33)
Article du blog sur la sécurité AWS connexe
• Comment configurer des stratégies de mot de passe encore plus strictes pour répondre à vos normes desécurité en utilisant AWS Directory Service pour AWS Managed Microsoft AD
Paramètres de stratégie pris en chargeAWS Managed Microsoft AD comprend cinq stratégies affinées avec une valeur de priorité non modifiable.Les stratégies possèdent un certain nombre de propriétés que vous pouvez configurer pour mettre enœuvre vos mots de passe et actions de verrouillage de compte en cas d'échecs de connexion. Vouspouvez attribuer des stratégies à zéro ou plusieurs groupes Active Directory. Si un utilisateur final estmembre de plusieurs groupes et reçoit plus d'une stratégie de mot de passe, Active Directory applique lastratégie avec la valeur de priorité la plus faible.
Stratégies de mot de passe prédéfinies AWS
Le tableau suivant répertorie les cinq stratégies incluses dans votre annuaire AWS Managed MicrosoftAD et la valeur de priorité attribuée à chacune d'entre elles. Pour plus d'informations, consultez la sectionPrecedence (p. 32).
Nom de la stratégie Precedence
CustomerPSOà 01 10
CustomerPSOà 02 20
CustomerPSOà 03 30
CustomerPSOà 04 40
CustomerPSOà 05 50
Propriétés de stratégie de mot de passe
Vous pouvez modifier les propriétés suivantes dans vos stratégies de mot de passe pour respecter lesnormes de conformité qui répondent à vos besoins métier.
• Nom de la stratégie• Appliquer l'historique des mots de passe• Longueur minimum du mot de passe
Version 1.031
AWS Directory Service Guide d'administrationSécurisation de votre annuaire
• Durée de vie minimale du mot de passe• Durée de vie maximale du mot de passe• Enregistrer les mots de passe en utilisant un chiffrement réversible• Le mot de passe doit respecter des exigences de complexité
Vous ne pouvez pas modifier les valeurs de priorité pour ces stratégies. Pour plus d’informations sur lamanière dont ces paramètres affectent l’application du mot de passe, consultez DS de l’AD : Politiquesde mot de passe affinées sur le à Microsoft TechNet site Web. Pour des informations générales sur cesstratégies, consultez Stratégie de mot de passe sur le à Microsoft TechNet site Web.
Stratégies de verrouillage de compte
Vous pouvez également modifier les propriétés suivantes de vos stratégies de mot de passe pour indiquersi et comment Active Directory doit verrouiller un compte en cas d'échecs de connexion :
• Nombre d'échecs de connexion autorisés• Durée de verrouillage du compte• Réinitialiser les tentatives de connexion échouées après une période donnée
Pour des informations générales sur ces stratégies, consultez Politique de verrouillage du compte sur le àMicrosoft TechNet site Web.
Precedence
Les stratégies avec une valeur de priorité inférieure ont une priorité plus élevée. Vous pouvez attribuer desstratégies de mot de passe à des groupes de sécurité Active Directory. Même si vous devez appliquer uneseule stratégie à un groupe de sécurité, un même utilisateur peut recevoir plus d'une stratégie de mot depasse. Par exemple, si jsmith est membre du groupe RESSOURCES HUMAINES et également membredu groupe RESPONSABLES. Si vous attribuez CustomerPSOà 05 (qui a une priorité de 50) au groupe RH,et CustomerPSOà 04 (qui a une priorité de 40) aux RESPONSABLES, CustomerPSOà 04 a la priorité laplus élevée et Active Directory applique cette stratégie à jsmith.
Si vous attribuez plusieurs stratégies à un utilisateur ou un groupe, Active Directory détermine la stratégierésultante comme suit :
1. Une stratégie que vous attribuez directement à l'objet utilisateur s'applique.2. Si aucune stratégie n'est attribuée directement à l'objet utilisateur, la stratégie avec la valeur de priorité
la plus faible reçue par l'utilisateur suite à son adhésion à un groupe s'applique.
Pour plus de détails, voir DS de l’AD : Politiques de mot de passe affinées sur le à Microsoft TechNet siteWeb.
Déléguer des autorisations de gestion de vos stratégies de mot de passe
Vous pouvez déléguer des autorisations de gestion des stratégies de mot de passe à des comptesutilisateurs spécifiques créés dans votre annuaire AWS Managed Microsoft AD en les ajoutant au groupede sécurité AWS Delegated Fine Grained Password Policy Administrators (Administrateurs déléguésde stratégies de mot de passe granulaires AWS). Lorsqu'un compte devient membre de ce groupe,il dispose des autorisations nécessaires pour modifier et configurer les stratégies de mot de passeprécédemment (p. 31) mentionnées.
Pour déléguer des autorisations de gestion de vos stratégies de mot de passe
1. Lancez le Centre d'administration Active Directory (ADAC) depuis n'importe quelle instance EC2 quevous avez jointe à votre domaine AWS Managed Microsoft AD.
Version 1.032
AWS Directory Service Guide d'administrationSécurisation de votre annuaire
2. Basculez vers l'arborescence et accédez à l'unité d'organisationAWS Delegated Groups (Groupesdélégués AWS). Pour plus d'informations sur cette unité d'organisation, consultez Ce qui estcréé ? (p. 13).
3. Recherchez le groupe d'utilisateurs AWS Delegated Fine Grained Password Policy Administrators(Administrateurs délégués de stratégies de mot de passe granulaires AWS). Ajoutez des utilisateurs oudes groupes de votre domaine à ce groupe.
Attribuer des stratégies de mot de passe à vos utilisateurs
Les comptes utilisateurs membres du groupe de sécurité AWS Delegated Fine Grained Password PolicyAdministrators (Administrateurs délégués de stratégies de mot de passe granulaires AWS) peuvent recourirà la procédure suivante pour attribuer des stratégies à des utilisateurs et des groupes de sécurité.
Pour attribuer des stratégies de mot de passe à vos utilisateurs
1. Lancez le Centre d'administration Active Directory (ADAC) depuis n'importe quelle instance EC2 quevous avez jointe à votre domaine AWS Managed Microsoft AD.
2. Passez à l'arborescence et accédez à System\Password Settings Container.3. Double-cliquez sur la stratégie affinée que vous souhaitez modifier. Cliquez sur Ajouter pour modifier
les propriétés de la stratégie et ajouter des utilisateurs ou des groupes de sécurité à la stratégie. Pourplus d'informations sur les stratégies affinées fournies par défaut avec AWS Managed Microsoft AD,consultez Stratégies de mot de passe prédéfinies AWS (p. 31).
4. Pour vérifier que la stratégie de mot de passe a été appliquée, exécutez la procédure suivantePowerShell commande :
Get-ADUserResultantPasswordPolicy -Identity 'username'
Si vous ne configurez aucune des cinq stratégies de mot de passe dans votre annuaire AWS ManagedMicrosoft AD, Active Directory utilise la stratégie de groupe de domaine par défaut. Pour plus d'informationssur l'utilisation du Conteneur de paramètres de mots de passe, consultez ce billet de blog Microsoft.
Activer l'authentification multi-facteurs pour AWS ManagedMicrosoft ADVous pouvez activer l'authentification multi-facteurs (MFA) pour votre annuaire AWS Managed MicrosoftAD afin de renforcer la sécurité lorsque vos utilisateurs saisissent leurs informations d'identification AD pouraccéder à Applications d'entreprise Amazon prises en charge (p. 35). Lorsque vous activez la MFA,vos utilisateurs saisissent leur nom d'utilisateur et leur mot de passe (premier facteur), comme ils en ontl'habitude, mais ils doivent également saisir un code d'authentification (deuxième facteur) qui leur est fournipar votre solution MFA matérielle ou virtuelle. Ensemble, ces facteurs offrent une sécurité supplémentaireen empêchant l'accès à vos applications d'entreprise Amazon si les utilisateurs ne sont pas en mesured'indiquer des informations d'identification utilisateur valides et un code MFA valide.
Pour activer l'authentification MFA, vous devez posséder une solution MFA qui est un serveur RemoteAuthentication Dial-In User Service (RADIUS), ou disposer d'un plugin sur un serveur RADIUS déjà installédans votre infrastructure sur site. Votre solution d'authentification MFA doit utiliser des codes secretsuniques que les utilisateurs obtiennent à partir d'un périphérique physique ou d'un logiciel exécuté sur unpériphérique, par exemple un téléphone portable.
RADIUS est un protocole client/serveur standard qui propose des mécanismes d'authentification,d'autorisation, ainsi que des fonctionnalités de comptabilité pour permettre aux utilisateurs de se connecterà des services en réseau. AWS Managed Microsoft AD inclut un client RADIUS qui se connecte au serveurRADIUS sur lequel vous avez mis en œuvre votre solution d'authentification MFA. Votre serveur RADIUS
Version 1.033
AWS Directory Service Guide d'administrationSécurisation de votre annuaire
valide le nom d'utilisateur et le code secret unique. Si votre serveur RADIUS valide avec succès l'utilisateur,alors AWS Managed Microsoft AD authentifie l'utilisateur auprès d'AD. Une fois l'authentification ADréussie, les utilisateurs peuvent alors accéder à l'application AWS. La communication entre le clientRADIUS AWS Managed Microsoft AD et votre serveur RADIUS nécessite la configuration de groupes desécurité AWS qui permettent la communication via le port 1812.
Vous pouvez activer l'authentification multi-facteurs pour votre annuaire AWS Managed Microsoft AD eneffectuant la procédure suivante. Pour plus d'informations sur la configuration de votre serveur RADIUSpour être utilisé avec AWS Directory Service et MFA, consultez Prérequis pour l’authentification multi-facteurs (p. 11).
Note
L'authentification multi-facteurs n'est pas disponible pour Simple AD. Toutefois, MFA peut êtreactivé pour votre annuaire AD Connector. Pour plus d'informations, consultez la section Activerl'authentification multi-facteurs pour AD Connector (p. 193).
Pour activer l'authentification multi-facteurs pour AWS Managed Microsoft AD
1. Identifiez l'adresse IP de votre serveur MFA RADIUS et de votre annuaire AWS Managed MicrosoftAD.
2. Modifiez vos groupes de sécurité Virtual Private Cloud (VPC) pour activer les communications via leport 1812 entre vos points de terminaison IP AWS Managed Microsoft AD et votre serveur RADIUSMFA.
3. Dans le volet de navigation AWS Directory Service console, sélectionnez Annuaires.4. Choisissez le lien de l'ID correspondant à votre annuaire AWS Managed Microsoft AD.5. Sur la page Directory details (Détails de l'annuaire), sélectionnez l'onglet Networking & security (Mise
en réseau et sécurité).6. Dans la section Authentification multi-facteurs, choisissez Actions, puis sélectionnez Activer.7. Dans la page Activer l'authentification multi-facteurs, indiquez les valeurs suivantes :
Afficher l'étiquette
Indiquez un nom d'étiquette.Nom DNS ou adresses IP du serveur RADIUS
Adresses IP des points de terminaison de votre serveur RADIUS ou adresse IP de l'équilibreur decharge de votre serveur RADIUS. Vous pouvez entrer plusieurs adresses IP en les séparant parune virgule (par exemple, 192.0.0.0,192.0.0.12).
Note
RADIUS MFA est applicable uniquement pour authentifier l'accès à AWS ManagementConsole, ou à des applications et services d'entreprise Amazon comme AmazonWorkSpaces, Amazon QuickSight ou Amazon Chime. Il ne fournit pas la fonction MFAaux charges de travail Windows s’exécutant sur des instances EC2 ou pour la connexionà une instance EC2. AWS Directory Service ne prend pas en charge l’authentification parsimulation/réponse RADIUS.Les utilisateurs doivent disposer de leur code MFA au moment d'entrer leur nomd'utilisateur et leur mot de passe. Sinon, vous pouvez utiliser une solution qui effectueune authentification MFA hors bande comme une vérification par SMS pour l'utilisateur.Dans les solutions MFA hors bande, vous devez veiller à définir la valeur de délaid’attente RADIUS de manière adéquate en fonction de votre solution. Lorsque vousutilisez une solution MFA hors bande, la page de connexion invite l’utilisateur à saisir uncode MFA. Dans ce cas, la bonne pratique consiste à entrer son mot de passe dans lazone de mot de passe et dans la zone MFA.
Version 1.034
AWS Directory Service Guide d'administrationSécurisation de votre annuaire
Port
Port que votre serveur RADIUS utilise pour les communications. Votre réseau sur site doitautoriser le trafic entrant par le port serveur RADIUS par défaut (UDP : 1812) depuis vos serveursAWS Directory Service.
Code secret partagé
Code secret partagé qui a été spécifié lorsque vos points de terminaison RADIUS ont été créés.Confirmer le code secret partagé
Confirmez le code secret partagé pour vos points de terminaison RADIUS.Protocole
Sélectionnez le protocole qui a été spécifié lorsque vos points de terminaison RADIUS ont étécréés.
Délai d'attente du serveur (en secondes)
Durée, en secondes, d'attente de la réponse du serveur RADIUS. La valeur doit être compriseentre 1 et 50.
Nombre maximal de tentatives RADIUS
Nombre de tentatives de communication avec le serveur RADIUS. La valeur doit être compriseentre 0 et 10.
Multi-Factor Authentication est disponible lorsque le paramètre Statut RADIUS passe à l'état Activé.8. Choisissez Activer.
Applications d'entreprise Amazon prises en charge
Toutes les applications informatiques d'entreprise Amazon, y compris Amazon WorkSpaces, AmazonWorkDocs, Amazon WorkMail, Amazon QuickSight, ainsi que l'accès à AWS Single Sign-On et AWSManagement Console sont pris en charge lors de l'utilisation de AWS Managed Microsoft AD et ADConnector avec MFA.
Pour en savoir plus sur la configuration de l'accès de l'utilisateur de base aux applications d'entrepriseAmazon, AWS Single Sign-On et AWS Management Console à l'aide d'AWS Directory Service, consultezActivation de l'accès aux applications et services AWS (p. 128) et Activation de l'accès à AWSManagement Console avec les informations d'identification AD (p. 137).
Article du blog sur la sécurité AWS connexe
• Comment activer l’authentification multifacteur pour AWS Services par en utilisant AWS ManagedMicrosoft AD et informations d’identification sur site
Activation de LDAP sécurisé (LDAPS)LDAP (Lightweight Directory Access Protocol) est un protocole de communication standard utilisé pour lireet écrire des données vers et depuis Active Directory. Certaines applications utilisent LDAP pour ajouter,supprimer ou rechercher des utilisateurs et des groupes dans Active Directory ou pour transférer desinformations d'identification afin d'authentifier des utilisateurs dans Active Directory. Chaque communicationLDAP comprend un client (par exemple une application) et un serveur (comme Active Directory).
Par défaut, les communications via LDAP ne sont pas chiffrées. Cela permet à un utilisateur malveillantd'utiliser un logiciel de surveillance réseau pour afficher les paquets de données sur le réseau. C'est
Version 1.035
AWS Directory Service Guide d'administrationSécurisation de votre annuaire
pourquoi de nombreuses stratégies de sécurité d'entreprise imposent généralement aux organisations dechiffrer toutes les communications LDAP.
Pour atténuer cette forme d’exposition des données, AWS Managed Microsoft AD propose une option :Vous pouvez activer LDAP sur SSL (Secure Sockets Layer)/TLS (Transport Layer Security), égalementappelé LDAPS. Avec LDAPS, vous pouvez renforcer la sécurité de votre réseau. Vous pouvez égalementrespecter vos critères de conformité en chiffrant toutes les communications entre vos applications LDAP etAWS Managed Microsoft AD.
AWS Managed Microsoft AD prend en charge LDAPS dans les deux scénarios de déploiement suivants :
• LDAPS côté serveur chiffre les communications LDAP entre vos applications LDAP commercialesou locales et votre annuaire AWS Managed Microsoft AD (tenant lieu de serveur LDAP). Pour plusd'informations, consultez la section Activation de LDAPS côté serveur à l'aide d'AWS Managed MicrosoftAD (p. 36).
• LDAPS côté client chiffre les communications LDAP entre vos applications AWS, comme AmazonWorkSpaces, (agissant en tant que clients LDAP) et votre annuaire Active Directory autogéré (tenant lieude serveur LDAP). Pour plus d'informations, consultez la section Activation de LDAPS côté client à l'aided'AWS Managed Microsoft AD (p. 39).
Rubriques• Activation de LDAPS côté serveur à l'aide d'AWS Managed Microsoft AD (p. 36)• Activation de LDAPS côté client à l'aide d'AWS Managed Microsoft AD (p. 39)
Activation de LDAPS côté serveur à l'aide d'AWS Managed Microsoft ADLa prise en charge de LDAP côté serveur chiffre les communications LDAP entre vos applications LDAPcommerciales ou locales et votre annuaire AWS Managed Microsoft AD. Cela permet d'améliorer lasécurité de votre réseau et de répondre aux critères de conformité à l'aide du protocole de chiffrement SSL(Secure Sockets Layer).
Activation de LDAPS côté serveur
Pour obtenir des instructions détaillées sur la façon de configurer LDAPS côté serveur et votre serveurd’autorité de certification (CA), consultez Comment activer LDAPS côté serveur pour votre annuaireMicrosoft AD géré par AWS sur le blog sur la sécurité AWS.
Vous devez effectuer la plupart des tâches de configuration à partir de l'instance Amazon EC2 que vousutilisez pour gérer vos contrôleurs de domaine AWS Managed Microsoft AD. Les étapes suivantes vousexpliquent comment activer LDAPS pour votre domaine dans le cloud AWS.
Rubriques• Étape 1 : Déléguer qui peut activer LDAPS (p. 36)• Étape 2 : Configurer votre autorité de certification (p. 37)• Étape 3 : Créer un modèle de certificat (p. 37)• Étape 4 : Ajouter des règles de groupe de sécurité (p. 38)
Étape 1 : Déléguer qui peut activer LDAPS
Pour activer LDAPS côté serveur, vous devez être membre du groupe Admins ou du grouped'administrateurs délégués de l'autorité de certification d'entreprise AWS dans votre annuaire AWSManaged Microsoft AD. Vous pouvez également être l'utilisateur administratif par défaut (compte Admin).Si vous préférez, vous pouvez faire en sorte qu'un autre utilisateur que le compte Admin configure LDAPS.Dans ce cas, ajoutez cet utilisateur au groupe Admins ou au groupe d'administrateurs délégués de l'autoritéde certification d'entreprise AWS dans votre annuaire AWS Managed Microsoft AD.
Version 1.036
AWS Directory Service Guide d'administrationSécurisation de votre annuaire
Étape 2 : Configurer votre autorité de certification
Avant de pouvoir activer LDAPS côté serveur, vous devez créer un certificat. Ce certificat doit être émispar un serveur d’autorité de certification d’entreprise Microsoft joint à votre AWS Managed Microsoft ADdomaine. Une fois créée, le certificat doit être installé sur chacun des contrôleurs de domaine qui setrouvent dans ce domaine. Ce certificat permet au service LDAP se trouvant sur les contrôleurs de domained'écouter et d'accepter automatiquement les connexions SSL provenant de clients LDAP.
Note
LDAPS côté serveur avec AWS Managed Microsoft AD ne prend pas en charge les certificatsémis par une autorité de certification autonome. Il ne prend pas non plus en charge les certificatsémis par une autorité de certification tierce.
Selon vos besoins spécifiques, vous disposez de différentes options pour configurer une autorité decertification ou pour vous connecter à une autorité de certification dans votre domaine :
• Créer une autorité de certification d'entreprise Microsoft subordonnée – (Recommandé) Cette optionvous permet de déployer dans le cloud AWS un serveur d'autorité de certification d'entreprise Microsoftsubordonnée. Le serveur peut utiliser Amazon EC2 pour fonctionner avec votre autorité de certificationMicrosoft racine existante. Pour plus d’informations sur la configuration d’une autorité de certificationd’entreprise Microsoft subordonnée, consultez Étape 4 : Ajouter une autorité de certification MicrosoftEnterprise à votre annuaire AWS Microsoft AD dans Comment activer LDAPS côté serveur pour votreannuaire Microsoft AD géré par AWS.
• Créer une autorité de certification d'entreprise Microsoft racine – Cette option vous permet de créerune autorité de certification d'entreprise Microsoft racine dans le cloud AWS à l'aide d'Amazon EC2et de l'associer à votre domaine AWS Managed Microsoft AD. Cette autorité de certification racinepeut émettre le certificat sur vos contrôleurs de domaine. Pour plus d’informations sur la configurationd’une nouvelle autorité de certification racine, consultez Étape 3 : Installer et configurer une autorité decertification hors ligne dans Comment activer LDAPS côté serveur pour votre annuaire Microsoft AD gérépar AWS.
Pour en savoir plus sur la manière d'associer votre instance EC2 à votre domaine, consultez Jonction d'uneinstance EC2 à votre annuaire AWS Managed Microsoft AD (p. 69).
Étape 3 : Créer un modèle de certificat
Une fois votre autorité de certification d'entreprise configurée, vous pouvez configurer le modèle decertificat d'authentification Kerberos.
Pour créer un modèle de certificat
1. Lancement Gestionnaire de serveur Microsoft Windows. Sélectionner Outils > Autorité de certification.2. Dans le Autorité de certification , développez la fenêtre Autorité de certification dans le volet de
gauche. Clic droit Modèles de certificat, et choisissez Gérer.3. Dans le Console des modèles de certificat fenêtre, clic droit Authentification Kerberos et choisissez
Dupliquer le modèle.4. Le Propriétés du nouveau modèle fenêtre s’affiche.5. Dans le Propriétés du nouveau modèle , accédez à la fenêtre Compatibilité , puis procédez comme
suit :
a. Modifier Autorité de certification vers le système d’exploitation qui correspond à votre autorité decertification.
b. Si un Modifications résultantes s’affiche, sélectionnez OK.c. Modifier Destinataire de la certification à Windows 8.1 / Windows Server 2012 version 2.
Version 1.037
AWS Directory Service Guide d'administrationSécurisation de votre annuaire
Note
AWS Managed Microsoft AD est alimenté par Windows Server 2012 R2.d. Si un Modifications résultantes fenêtres contextuelles, sélectionnez OK.
6. Cliquez sur le bouton Généralités et modifiez l’onglet Nom d’affichage du modèle à LDAPOverSSL outout autre nom que vous préféreriez.
7. Cliquez sur le bouton Sécurité et choisissez Contrôleurs de domaine dans le Noms de groupe oud’utilisateur section. Dans le Autorisations pour les contrôleurs de domaine vérifiez que la sectionAutoriser cases à cocher pour Lu, Inscrire, et Inscription automatique sont cochés.
8. Choisir OK pour créer le LDAPOverSSL (ou le nom que vous avez spécifié ci-dessus) modèle decertificat. Fermez le Console des modèles de certificat fenêtre.
9. Dans le Autorité de certification fenêtre, clic droit Modèles de certificat, et choisissez Nouveau >Modèle de certificat à émettre.
10. Dans le Activer les modèles de certificat choisissez la fenêtre LDAPOverSSL (ou le nom que vousavez spécifié ci-dessus), puis choisissez OK.
Étape 4 : Ajouter des règles de groupe de sécurité
Dans la dernière étape, vous devez ouvrir la console Amazon EC2 et ajouter des règles de groupede sécurité. Ces règles permettent à vos contrôleurs de domaine de se connecter à votre autorité decertification d'entreprise pour demander un certificat. Pour ce faire, vous devez ajouter des règlesentrantes afin que votre autorité de certification d'entreprise puisse accepter le trafic entrant à partir de voscontrôleurs de domaine. Vous devez ensuite ajouter des règles de trafic sortant pour autoriser le trafic entrevos contrôleurs de domaine et l'autorité de certification d'entreprise.
Une fois les deux règles configurées, vos contrôleurs de domaine demandent automatiquement un certificatà votre autorité de certification d'entreprise et activent LDAPS pour votre annuaire. Le service LDAP survos contrôleurs de domaine est maintenant prêt à accepter les connexions LDAPS.
Pour configurer des règles de groupe de sécurité
1. Accédez à votre console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2 et connectez-vous avec vos informations d'identification d'administrateur.
2. Dans le volet de gauche, sélectionnez Security Groups sous l'onglet Network & Security.3. Dans le volet principal, choisissez le groupe de sécurité AWS pour votre autorité de certification.4. Sélectionnez l'onglet Inbound, puis Edit.5. Dans la boîte de dialogue Edit inbound rules, exécutez l'une des actions suivantes :
• Choisissez Add Rule.• Choisissez l'option All traffic pour le champ Type et l'option Custom pour le champ Source.• Entrez le groupe de sécurité AWS de l'annuaire (par exemple, sg-123456789) dans la zone en
regard de Source.• Choisissez Save.
6. Sélectionnez maintenant le groupe de sécurité AWS de votre annuaire AWS Managed Microsoft AD.Sélectionnez l'onglet Outbound, puis Edit.
7. Dans la boîte de dialogue Edit outbound rules, exécutez l'une des actions suivantes :
• Choisissez Add Rule.• Choisissez l'option All traffic pour le champ Type et l'option Custom pour le champ Destination.• Renseignez le groupe de sécurité AWS de votre autorité de certification dans la zone en regard de
Destination.• Choisissez Save.
Version 1.038
AWS Directory Service Guide d'administrationSécurisation de votre annuaire
Vous pouvez tester la connexion LDAPS à votre annuaire AWS Managed Microsoft AD à l'aide de l'outilLDP. L'outil LDP est fourni avec les outils d'administration Active Directory. Pour plus d'informations,consultez la section Installation des outils d'administration Active Directory (p. 92).
Note
Avant de tester la connexion LDAPS, vous devez attendre jusqu’à 30 minutes que l’autorité decertification subordonnée émette un certificat à vos contrôleurs de domaine.
Pour plus d'informations sur LDAPS côté serveur et pour obtenir un exemple de configuration, consultezl'article How to Enable Server-Side LDAPS for Your AWS Managed Microsoft AD Directory sur le blog desécurité AWS.
Activation de LDAPS côté client à l'aide d'AWS Managed Microsoft AD
La prise en charge de LDAPS côté client dans le AWS Managed Microsoft AD chiffre les communicationsentre les applications Microsoft Active Directory (AD) et AWS. Exemples de ces applications : AmazonWorkSpaces, AWS SSO, Amazon QuickSight et Amazon Chime. Ce chiffrement vous aide à mieuxprotéger les données d'identité de votre organisation et répondre à vos exigences de sécurité.
Prerequisites
Avant d'activer LDAPS côté client, vous devez satisfaire les exigences suivantes.
Rubriques• Déploiement des certificats de serveur dans Active Directory (p. 39)• Exigences relatives aux certificats de CA (p. 39)• Exigences liées à la mise en réseau (p. 40)
Déploiement des certificats de serveur dans Active Directory
Afin d'activer LDAPS côté client, vous devez obtenir et installer des certificats de serveur pour chaquecontrôleur de domaine dans Active Directory. Ces certificats seront utilisés par le service LDAP pourécouter et accepter automatiquement les connexions SSL provenant de clients LDAP. Vous pouvezutiliser des certificats SSL émis par un déploiement ADCS (services de certificat Active Directory) interneou achetés auprès d'un émetteur commercial. Pour plus d'informations sur les exigences relatives auxcertificats de serveur Active Directory, consultez LDAP over SSL (LDAPS) Certificate sur le site web deMicrosoft.
Exigences relatives aux certificats de CA
Un certificat d'autorité de certification (CA), qui représente l'émetteur de vos certificats de serveur, estrequis pour le fonctionnement de LDAPS côté client. Les certificats d'une autorité de certification sontmis en correspondance avec les certificats de serveur présentés par vos contrôleurs de domaine ActiveDirectory pour chiffrer les communications LDAP. Notez les exigences suivantes relatives aux certificatsd'autorité de certification :
• Pour que vous puissiez enregistrer un certificat, celui-ci doit expirer dans plus de 90 jours.• Les certificats doivent être au format PEM (Privacy-Enhanced Mail). Si vous exportez des certificats
d'autorité de certification à partir d'Active Directory, choisissez X.509 codé en base64 (.CER) commeformat de fichier d'exportation.
• Cinq (5) certificats d'une autorité de certification au maximum peuvent être stockés par l'annuaire AWSManaged Microsoft AD.
• Les certificats utilisant l'algorithme de signature RSASSA-PSS ne sont pas pris en charge.• Les certificats d'autorité de certification qui sont chaînés à chaque certificat de serveur dans chaque
domaine approuvé doivent être enregistrés.
Version 1.039
AWS Directory Service Guide d'administrationSécurisation de votre annuaire
Exigences liées à la mise en réseau
Le trafic LDAP d'application AWS doit s'exécuter exclusivement sur le port TCP 636, sans basculementsur le port LDAP 389. Toutefois, les communications LDAP Windows prenant en charge la réplication, lesapprobations, etc. continueront d'utiliser le port LDAP 389 avec une sécurité native Windows. Configurezdes pare-feu et des groupes de sécurité AWS pour autoriser les communications TCP sur le port 636dans AWS Managed Microsoft AD (en sortie) et Active Directory autogérées (en entrée). Laissez le portLDAP 389 ouvert entre AWS Managed Microsoft AD et Active Directory autogéré.
Activation de LDAPS côté client
Pour activer LDAPS côté client, vous importez votre certificat d'une autorité de certification dans AWSManaged Microsoft AD, puis vous activez LDAPS sur votre annuaire. Lors de l'activation, tout le traficLDAP entre les applications AWS et votre Active Directory autogéré est transmis avec le chiffrement decanal Secure Sockets Layer (SSL).
Vous pouvez utiliser deux méthodes différentes pour activer LDAPS côté client pour votre annuaire.Vous pouvez utiliser la méthode de l'AWS Management Console ou la méthode de l'interface de ligne decommande AWS.
Rubriques• Étape 1 : Enregistrer le certificat dans AWS Directory Service (p. 40)• Étape 2 : Vérifier le statut d’inscription (p. 40)• Étape 3 : Activation de LDAPS côté client (p. 41)• Étape 4 : Vérifier l’état LDAPS (p. 41)
Étape 1 : Enregistrer le certificat dans AWS Directory Service
Utilisez l'une des méthodes suivantes pour enregistrer un certificat dans AWS Directory Service.
Méthode 1 : Pour enregistrer votre certificat dans AWS Directory Service (AWS ManagementConsole)
1. Dans le volet de navigation AWS Directory Service console, sélectionnez Annuaires.2. Choisissez le lien de l'ID correspondant à votre annuaire .3. Sur la page Détails de l'annuaire, choisissez l'onglet Mise en réseau et sécurité.4. Dans la section LDAPS côté client sélectionnez le menu Actions, puis Enregistrer le certificat.5. Dans la boîte de dialogue Enregistrer un certificat d'une autorité de certification, sélectionnez
Parcourir, puis le certificat et choisissez Ouvrir.6. Choisissez Enregistrer le certificat.
Méthode 2 : Pour enregistrer votre certificat dans AWS Directory Service (AWS CLI)
• Exécutez la commande suivante . Pour les données de certificat, pointez vers l'emplacement de votrefichier de certificat de CA. Un ID de certificat sera fourni dans la réponse.
aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
Étape 2 : Vérifier le statut d’inscription
Pour afficher l'état d'un enregistrement de certificat ou d'une liste de certificats enregistrés, utilisez l'une desméthodes suivantes.
Version 1.040
AWS Directory Service Guide d'administrationSécurisation de votre annuaire
Méthode 1 : Pour vérifier l’état d’enregistrement du certificat dans AWS Directory Service (AWSManagement Console)
1. Accédez à la section LDAPS côté client sur la page Détails de l'annuaire.2. Vérifiez l'état de l'enregistrement de certificat actuel qui s'affiche sous la colonne État de
l'enregistrement. Lorsque la valeur de l'état de l'enregistrement passe à Registered (Enregistré), celasignifie que votre certificat a été enregistré avec succès.
Méthode 2 : Pour vérifier l’état d’enregistrement du certificat dans AWS Directory Service (AWSCLI)
• Exécutez la commande suivante . Si la valeur de l'état renvoie Registered, cela signifie que votrecertificat a été enregistré avec succès.
aws ds list-certificates --directory-id your_directory_id
Étape 3 : Activation de LDAPS côté client
Utilisez l'une des méthodes suivantes pour activer LDAPS côté client dans AWS Directory Service.Note
Avant de pouvoir activer LDAPS côté client, vous devez avoir enregistré avec succès au moins uncertificat.
Méthode 1 : Pour activer LDAPS côté client dans AWS Directory Service (AWS ManagementConsole)
1. Accédez à la section LDAPS côté client sur la page Détails de l'annuaire.2. Choisissez Enable (Activer). Si cette option n'est pas disponible, vérifiez qu'un certificat valide a bien
été enregistré, puis réessayez.3. Dans la boîte de dialogue Activer LDAPS côté client choisissez Activer.
Méthode 2 : Pour activer LDAPS côté client dans AWS Directory Service (AWS CLI)
• Exécutez la commande suivante .
aws ds enable-ldaps --directory-id your_directory_id --type Client
Étape 4 : Vérifier l’état LDAPS
Utilisez l'une des méthodes suivantes pour vérifier l'état LDAPS dans AWS Directory Service.
Méthode 1 : Pour vérifier l’état LDAPS dans AWS Directory Service (AWS Management Console)
1. Accédez à la section LDAPS côté client sur la page Détails de l'annuaire.2. Si la valeur d'état est affichée en tant que Enabled (Activé), cela signifie que LDAPS a été configuré
avec succès.
Méthode 2 : Pour vérifier l’état LDAPS dans AWS Directory Service (AWS CLI)
• Exécutez la commande suivante . Si la valeur d'état renvoie Enabled, cela signifie que LDAPS a étéconfiguré avec succès.
Version 1.041
AWS Directory Service Guide d'administrationSécurisation de votre annuaire
aws ds describe-ldaps-settings –-directory-id your_directory_id
Gestion de LDAPS côté client
Utilisez ces commandes pour gérer votre configuration LDAPS.
Vous pouvez utiliser deux méthodes différentes pour gérer les paramètres LDAPS côté client. Vous pouvezutiliser la méthode de l'AWS Management Console ou la méthode de l'interface de ligne de commandeAWS.
Afficher les détails du certificat
Utilisez l'une des méthodes suivantes pour voir lorsqu'un certificat est défini pour expirer.
Méthode 1 : Pour afficher les détails du certificat dans AWS Directory Service (AWS ManagementConsole)
1. Dans le volet de navigation AWS Directory Service console, sélectionnez Annuaires.2. Choisissez le lien de l'ID correspondant à votre annuaire .3. Sur la page Détails de l'annuaire, choisissez l'onglet Mise en réseau et sécurité.4. Les informations relatives au certificat sont affichées dans la section LDAPS côté client sous Certificats
d'une autorité de certification.
Méthode 2 : Pour afficher les détails du certificat dans AWS Directory Service (AWS CLI)
• Exécutez la commande suivante . Pour l'ID de certificat, utilisez l'identifiant renvoyé par register-certificate ou list-certificates.
aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
Annuler l'enregistrement d'un certificat
Utilisez l'une des méthodes suivantes pour annuler l'enregistrement d'un certificat.
Note
Si un seul certificat est enregistré, vous devez d'abord désactiver LDAPS avant de pouvoir annulerl'enregistrement d'un certificat.
Méthode 1 : Pour annuler l’enregistrement d’un certificat dans AWS Directory Service (AWSManagement Console)
1. Dans le volet de navigation AWS Directory Service console, sélectionnez Annuaires.2. Choisissez le lien de l'ID correspondant à votre annuaire .3. Sur la page Détails de l'annuaire, choisissez l'onglet Mise en réseau et sécurité.4. Dans la section LDAPS côté client choisissez Actions, puis Annuler l'enregistrement du certificat.5. Dans la boîte de dialogue Annuler l'enregistrement d'un certificat d'une autorité de certification,
choisissez Annuler l'enregistrement.
Version 1.042
AWS Directory Service Guide d'administrationSécurisation de votre annuaire
Méthode 2 : Pour annuler l’enregistrement d’un certificat dans AWS Directory Service (AWS CLI)
• Exécutez la commande suivante . Pour l'ID de certificat, utilisez l'identifiant renvoyé par register-certificate ou list-certificates.
aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
Désactiver LDAPS côté client
Utilisez l'une des méthodes suivantes pour désactiver LDAPS côté client.
Méthode 1 : Pour désactiver LDAPS côté client dans AWS Directory Service (AWS ManagementConsole)
1. Dans le volet de navigation AWS Directory Service console, sélectionnez Annuaires.2. Choisissez le lien de l'ID correspondant à votre annuaire .3. Sur la page Détails de l'annuaire, choisissez l'onglet Mise en réseau et sécurité.4. Dans la section LDAPS côté client choisissez Désactiver.5. Dans la boîte de dialogue Désactiver LDAPS côté client, choisissez Désactiver.
Méthode 2 : Pour désactiver LDAPS côté client dans AWS Directory Service (AWS CLI)
• Exécutez la commande suivante .
aws ds disable-ldaps --directory-id your_directory_id --type Client
Gestion de la conformité pour AWS Managed Microsoft ADVous pouvez utiliser AWS Managed Microsoft AD to support your Active Directory–aware applications, inthe AWS, qui sont soumises aux exigences de conformité suivantes. Sachez toutefois que vos applicationsne respecteront pas ces exigences de conformité si vous utilisez Simple AD ou AD Connector.
Normes de conformité prises en charge
AWS Managed Microsoft AD a fait l'objet d'un audit visant à vérifier sa conformité aux normes suivantes. Ilpeut être utilisé dans le cadre de solutions pour lesquelles vous avez besoin d'obtenir une certification deconformité.
Version 1.043
AWS Directory Service Guide d'administrationSécurisation de votre annuaire
AWS Managed Microsoft AD satisfait aux exigences desécurité du programme de gestion des risques et desautorisations fédéraux (FedRAMP) et a reçu un FedRAMPAutorité d’exploitation provisoire du Comité d’autorisationconjoint (Joint Authorization Board, JAB) (P-ATO) à l’FedRAMP Modérément à l’entrée dans l’étude. Pour plusd’informations sur FedRAMP, voir FedRAMP Conformité.
AWS Managed Microsoft AD possède une attestation deconformité pour la norme PCI DSS (Payment Card IndustryData Security Standard) version 3.2 correspondant à unprestataire de services de niveau 1. Les clients qui utilisent lesproduits et services AWS pour stocker, traiter ou transmettredes données de titulaires de cartes peuvent utiliser AWSManaged Microsoft AD tout en gérant leur propre certificationde conformité PCI DSS.
Pour plus d'informations sur PCI DSS, et notamment sur lamanière de demander une copie du package de conformitéPCI AWS, consultez PCI DSS, niveau 1. Notez que vousdevez configurer des stratégies de gestion des mots de passedétaillées dans AWS Managed Microsoft AD pour garantirvotre conformité avec les normes PCI DSS version 3.2. Pourde plus amples informations sur les stratégies qui doivent êtreappliquées, veuillez consulter la section Garantie de conformitéà la loi américaine PCI pour votre annuaire AWS ManagedMicrosoft AD ci-dessous.
AWS a élargi son programme de conformité à la législationaméricaine HIPAA (Health Insurance Portability andAccountability Act) de manière à inclure AWS ManagedMicrosoft AD sous forme de service éligible à HIPAA. Si vousdisposez d'un Accord de partenariat (BAA) exécuté avecAWS, vous pouvez utiliser AWS Managed Microsoft AD pourdévelopper vos propres applications conformes à la loi HIPAA.
AWS met un livre blanc consacré à la loi HIPAA à la dispositiondes clients qui cherchent à savoir comment exploiter AWS pourle traitement et le stockage des données de santé. Pour deplus amples informations, veuillez consulter Conformité à la loiHIPAA.
Version 1.044
AWS Directory Service Guide d'administrationSécurisation de votre annuaire
Responsabilité partagéeSécurité, y compris FedRAMPest conforme aux normes HIPAA et PCI, est un responsabilité partagée. Ilest important de comprendre que le statut de conformité de AWS Managed Microsoft AD ne s'applique pasautomatiquement aux applications qui seront exécutées dans le cloud AWS. Vous devez faire en sorte quevotre utilisation des services AWS respecte les normes en vigueur.
Pour obtenir la liste complète des différents programmes de conformité AWS pris en charge par AWSManaged Microsoft AD, consultez Services AWS concernés par le programme de conformité.
Enable PCGarantie de conformité à la loi américaine PCI pour votre annuaireAWS Managed Microsoft ADPour vous assurer que votre annuaire AWS Managed Microsoft AD est conforme à la loi américaine PCI,vous devez configurer des stratégies de mots de passe détaillées, comme indiqué dans l'attestation deconformité PCI DSS et dans le récapitulatif des responsabilités délivrés par AWS Artifact.
Pour plus d'informations sur l'utilisation de stratégies de mots de passe détaillées, consultez Gestion de lala stratégie de mot de passe pour AWS Managed Microsoft AD (p. 30).
Améliorer la configuration de la sécurité réseau AWS ManagedMicrosoft ADLe groupe de sécurité AWS mis en service pour l’annuaire AWS Managed Microsoft AD est configuré avecles ports réseau entrants minimum requis pour la prise en charge de tous les cas d'utilisation connus devotre annuaire AWS Managed Microsoft AD. Pour plus d'informations sur le groupe de sécurité AWS misen service, veuillez consulterCe qui est créé ? (p. 13).
Pour améliorer la sécurité réseau de votre annuaire AWS Managed Microsoft AD, vous pouvez modifier legroupe de sécurité AWS en fonction des scénarios courants présentés ci-dessous.
Rubriques• Prise en charge des applications AWS seulement (p. 45)• Applications AWS seulement avec prise en charge d’approbation (p. 46)• Prise en charge de charges de travail Active Directory natives et d’applications AWS (p. 48)• Prise en charge de charges de travail Active Directory natives et d’applications AWS avec prise en
charge d’approbation (p. 50)
Prise en charge des applications AWS seulementTous les comptes d'utilisateur sont mis en service uniquement dans votre AWS Managed Microsoft ADpour être utilisés avec des applications AWS prises en charge, telles que les suivantes :
• Amazon Chime• Amazon Connect• Amazon QuickSight• Authentification unique AWS• Amazon WorkDocs• Amazon WorkMail• AWS Client VPN• AWS Management Console
Vous pouvez utiliser la configuration de groupe de sécurité AWS suivante pour bloquer tout le trafic nonessentiel vers vos contrôleurs de domaine AWS Managed Microsoft AD.
Version 1.045
AWS Directory Service Guide d'administrationSécurisation de votre annuaire
Note
• Les éléments suivants ne sont pas compatibles avec cette configuration de groupe de sécuritéAWS :• Instances Amazon EC2• Amazon FSx• Amazon RDS pour MySQL• Amazon RDS pour Oracle• Amazon RDS pour PostgreSQL• Amazon RDS pour SQL Server• Amazon WorkSpaces• Active Directory approuve• Clients ou serveurs joints au domaine
Règles entrantes
Aucun.
Règles sortantes
Aucun.
Applications AWS seulement avec prise en charge d’approbationTous les comptes d'utilisateur sont mis en service dans votre Active Directory AWS Managed Microsoft ADou approuvé pour être utilisés avec des applications AWS prises en charge, telles que les suivantes :
• Amazon Chime• Amazon Connect• Amazon QuickSight• Authentification unique AWS• Amazon WorkDocs• Amazon WorkMail• AWS Client VPN• AWS Management Console
Vous pouvez modifier la configuration du groupe de sécurité AWS mis en service pour bloquer tout le traficnon essentiel vers vos contrôleurs de domaine AWS Managed Microsoft AD.
Note
• Les éléments suivants ne sont pas compatibles avec cette configuration de groupe de sécuritéAWS :• Instances Amazon EC2• Amazon FSx• Amazon RDS pour MySQL• Amazon RDS pour Oracle• Amazon RDS pour PostgreSQL• Amazon RDS pour SQL Server• Amazon WorkSpaces• Active Directory approuve• Clients ou serveurs joints au domaine
Version 1.046
AWS Directory Service Guide d'administrationSécurisation de votre annuaire
• Pour cette configuration, vous devez vous assurer que le réseau « CIDR sur site » est sécurisé.• TCP 445 est utilisé uniquement pour la création d'une approbation et peut être supprimé une
fois que l'approbation a été établie.• TCP 636 est requis uniquement lorsque LDAP sur SSL est en cours d'utilisation.
Règles entrantes
Protocol Plage de ports Source Type de trafic Utilisationd’Active Directory
TCP et UDP 53 CIDR sur site DNS Authentificationd'utilisateur etd'ordinateur,résolutionde noms,approbations
TCP et UDP 88 CIDR sur site Kerberos Authentificationd’utilisateur etd’ordinateur,approbations auniveau de la forêt
TCP et UDP 389 CIDR sur site LDAP Directory,réplication,stratégiede grouped’authentificationd’utilisateur etd’ordinateur,approbations
TCP et UDP 464 CIDR sur site Mot de passeKerberos(modification/définition)
Réplication,authentificationd'utilisateur etd'ordinateur,approbations
TCP 445 CIDR sur site SMB / CIFS Réplication,authentificationd’utilisateur etd’ordinateur,approbationsde stratégie degroupe
TCP 135 CIDR sur site Réplication RPC, EPM
TCP 636 CIDR sur site LDAP SSL Directory,réplication,stratégiede grouped’authentificationd’utilisateur etd’ordinateur,approbations
Version 1.047
AWS Directory Service Guide d'administrationSécurisation de votre annuaire
Protocol Plage de ports Source Type de trafic Utilisationd’Active Directory
TCP 49152 - 65535 CIDR sur site RPC Réplication,authentificationd’utilisateur etd’ordinateur,stratégiede groupe,approbations
TCP 3268 ‑ 3269 CIDR sur site LDAP GC et LDAPGC SSL
Directory,réplication,stratégiede grouped’authentificationd’utilisateur etd’ordinateur,approbations
UDP 123 CIDR sur site Heure Windows Heure Windows,approbations
Règles sortantes
Protocol Plage de ports Source Type de trafic Utilisationd’Active Directory
Toutes Toutes CIDR sur site Tout le trafic
Prise en charge de charges de travail Active Directory natives et d’applicationsAWS
Les comptes d'utilisateur sont mis en service uniquement dans votre AWS Managed Microsoft AD pour êtreutilisés avec des applications AWS prises en charge, telles que les suivantes :
• Amazon Chime• Amazon Connect• Instances Amazon EC2• Amazon FSx• Amazon QuickSight• Amazon RDS pour MySQL• Amazon RDS pour Oracle• Amazon RDS pour PostgreSQL• Amazon RDS pour SQL Server• Authentification unique AWS• Amazon WorkDocs• Amazon WorkMail• Amazon WorkSpaces• AWS Client VPN
Version 1.048
AWS Directory Service Guide d'administrationSécurisation de votre annuaire
• AWS Management Console
Vous pouvez modifier la configuration du groupe de sécurité AWS mis en service pour bloquer tout le traficnon essentiel vers vos contrôleurs de domaine AWS Managed Microsoft AD.
Note
• Les approbations Active Directory ne peuvent pas être créées et gérées entre votre annuaireAWS Managed Microsoft AD et le domaine sur site.
• Vous devez vous assurer que le réseau « CIDR client » est sécurisé.• TCP 636 est requis uniquement lorsque LDAP sur SSL est en cours d'utilisation.• Si vous souhaitez utiliser une autorité de certification d'entreprise avec cette configuration, vous
devrez créer une règle sortante « TCP, 443, CIDR d’autorité de certification ».
Règles entrantes
Protocol Plage de ports Source Type de trafic Utilisationd’Active Directory
TCP et UDP 53 CIDR client DNS Authentificationd'utilisateur etd'ordinateur,résolutionde noms,approbations
TCP et UDP 88 CIDR client Kerberos Authentificationd’utilisateur etd’ordinateur,approbations auniveau de la forêt
TCP et UDP 389 CIDR client LDAP Directory,réplication,stratégiede grouped’authentificationd’utilisateur etd’ordinateur,approbations
TCP et UDP 445 CIDR client SMB / CIFS Réplication,authentificationd’utilisateur etd’ordinateur,approbationsde stratégie degroupe
TCP et UDP 464 CIDR client Mot de passeKerberos(modification/définition)
Réplication,authentificationd'utilisateur etd'ordinateur,approbations
TCP 135 CIDR client Réplication RPC, EPM
Version 1.049
AWS Directory Service Guide d'administrationSécurisation de votre annuaire
Protocol Plage de ports Source Type de trafic Utilisationd’Active Directory
TCP 636 CIDR client LDAP SSL Directory,réplication,stratégiede grouped’authentificationd’utilisateur etd’ordinateur,approbations
TCP 49152 - 65535 CIDR client RPC Réplication,authentificationd’utilisateur etd’ordinateur,stratégiede groupe,approbations
TCP 3268 ‑ 3269 CIDR client LDAP GC et LDAPGC SSL
Directory,réplication,stratégiede grouped’authentificationd’utilisateur etd’ordinateur,approbations
TCP 9389 CIDR client SOAP Services Web ADDS
UDP 123 CIDR client Heure Windows Heure Windows,approbations
UDP 138 CIDR client DFSN et NetLogon DFS, stratégie degroupe
Règles sortantes
Aucun.
Prise en charge de charges de travail Active Directory natives et d’applicationsAWS avec prise en charge d’approbationTous les comptes d'utilisateur sont mis en service dans votre Active Directory AWS Managed Microsoft ADou approuvé pour être utilisés avec des applications AWS prises en charge, telles que les suivantes :
• Amazon Chime• Amazon Connect• Instances Amazon EC2• Amazon FSx• Amazon QuickSight• Amazon RDS pour MySQL• Amazon RDS pour Oracle• Amazon RDS pour PostgreSQL
Version 1.050
AWS Directory Service Guide d'administrationSécurisation de votre annuaire
• Amazon RDS pour SQL Server• Authentification unique AWS• Amazon WorkDocs• Amazon WorkMail• Amazon WorkSpaces• AWS Client VPN• AWS Management Console
Vous pouvez modifier la configuration du groupe de sécurité AWS mis en service pour bloquer tout le traficnon essentiel vers vos contrôleurs de domaine AWS Managed Microsoft AD.
Note
• Vous devez vous assurer que les réseaux « CIDR sur site » et « CIDR client » sont sécurisés.• TCP 445 avec le réseau « CIDR sur site » est utilisé uniquement pour la création d'une
approbation et peut être supprimé une fois que l'approbation a été établie.• TCP 445 avec le réseau « CIDR client » doit être conservé ouvert, car il est requis pour le
traitement de la stratégie de groupe.• TCP 636 est requis uniquement lorsque LDAP sur SSL est en cours d'utilisation.• Si vous souhaitez utiliser une autorité de certification d'entreprise avec cette configuration, vous
devrez créer une règle sortante « TCP, 443, CIDR d’autorité de certification ».
Règles entrantes
Protocol Plage de ports Source Type de trafic Utilisationd’Active Directory
TCP et UDP 53 CIDR sur site DNS Authentificationd'utilisateur etd'ordinateur,résolutionde noms,approbations
TCP et UDP 88 CIDR sur site Kerberos Authentificationd’utilisateur etd’ordinateur,approbations auniveau de la forêt
TCP et UDP 389 CIDR sur site LDAP Directory,réplication,stratégiede grouped’authentificationd’utilisateur etd’ordinateur,approbations
TCP et UDP 464 CIDR sur site Mot de passeKerberos(modification/définition)
Réplication,authentificationd'utilisateur etd'ordinateur,approbations
Version 1.051
AWS Directory Service Guide d'administrationSécurisation de votre annuaire
Protocol Plage de ports Source Type de trafic Utilisationd’Active Directory
TCP 445 CIDR sur site SMB / CIFS Réplication,authentificationd’utilisateur etd’ordinateur,approbationsde stratégie degroupe
TCP 135 CIDR sur site Réplication RPC, EPM
TCP 636 CIDR sur site LDAP SSL Directory,réplication,stratégiede grouped’authentificationd’utilisateur etd’ordinateur,approbations
TCP 49152 - 65535 CIDR sur site RPC Réplication,authentificationd’utilisateur etd’ordinateur,stratégiede groupe,approbations
TCP 3268 ‑ 3269 CIDR sur site LDAP GC et LDAPGC SSL
Directory,réplication,stratégiede grouped’authentificationd’utilisateur etd’ordinateur,approbations
UDP 123 CIDR sur site Heure Windows Heure Windows,approbations
TCP et UDP 53 CIDR client DNS Authentificationd'utilisateur etd'ordinateur,résolutionde noms,approbations
TCP et UDP 88 CIDR client Kerberos Authentificationd’utilisateur etd’ordinateur,approbations auniveau de la forêt
Version 1.052
AWS Directory Service Guide d'administrationSécurisation de votre annuaire
Protocol Plage de ports Source Type de trafic Utilisationd’Active Directory
TCP et UDP 389 CIDR client LDAP Directory,réplication,stratégiede grouped’authentificationd’utilisateur etd’ordinateur,approbations
TCP et UDP 445 CIDR client SMB / CIFS Réplication,authentificationd’utilisateur etd’ordinateur,approbationsde stratégie degroupe
TCP et UDP 464 CIDR client Mot de passeKerberos(modification/définition)
Réplication,authentificationd'utilisateur etd'ordinateur,approbations
TCP 135 CIDR client Réplication RPC, EPM
TCP 636 CIDR client LDAP SSL Directory,réplication,stratégiede grouped’authentificationd’utilisateur etd’ordinateur,approbations
TCP 49152 - 65535 CIDR client RPC Réplication,authentificationd’utilisateur etd’ordinateur,stratégiede groupe,approbations
TCP 3268 ‑ 3269 CIDR client LDAP GC et LDAPGC SSL
Directory,réplication,stratégiede grouped’authentificationd’utilisateur etd’ordinateur,approbations
TCP 9389 CIDR client SOAP Services Web ADDS
Version 1.053
AWS Directory Service Guide d'administrationSurveillance de votre annuaire
Protocol Plage de ports Source Type de trafic Utilisationd’Active Directory
UDP 123 CIDR client Heure Windows Heure Windows,approbations
UDP 138 CIDR client DFSN et NetLogon DFS, stratégie degroupe
Règles sortantes
Protocol Plage de ports Source Type de trafic Utilisationd’Active Directory
Toutes Toutes CIDR sur site Tout le trafic
Surveillance de votre AWS Managed Microsoft ADVous pouvez surveiller l'annuaire AWS Managed Microsoft AD en procédant comme suit :
Rubriques• Comprendre le statut de votre annuaire (p. 54)• Configuration des notifications de statut de l'annuaire (p. 55)• Vérification de vos journaux d'annuaire AWS Managed Microsoft AD (p. 57)• Activer le transfert de journaux (p. 58)
Comprendre le statut de votre annuaireThe following are the various statuses for a directory.
Active
The directory is operating normally. No issues have been detected by the AWS Directory Service foryour directory.
Creating
The directory is currently being created. Directory creation typically takes between 20 to 45 minutes butmay vary depending on the system load.
Deleted
The directory has been deleted. All resources for the directory have been released. Once a directoryenters this state, it cannot be recovered.
Deleting
The directory is currently being deleted. The directory will remain in this state until it has beencompletely deleted. Once a directory enters this state, the delete operation cannot be cancelled, andthe directory cannot be recovered.
Failed
The directory could not be created. Please delete this directory. If this problem persists, please contactthe AWS Support Center.
Version 1.054
AWS Directory Service Guide d'administrationSurveillance de votre annuaire
Impaired
The directory is running in a degraded state. One or more issues have been detected, and not alldirectory operations may be working at full operational capacity. There are many potential reasonsfor the directory being in this state. These include normal operational maintenance activity such aspatching or EC2 instance rotation, temporary hot spotting by an application on one of your domaincontrollers, or changes you made to your network that inadvertently disrupt directory communications.For more information, see either Dépannage de AWS Managed Microsoft AD (p. 171), Dépannagede AD Connector (p. 214), Dépannage de Simple AD (p. 268). For normal maintenance relatedissues, AWS resolves these issues within 40 minutes. If after reviewing the troubleshooting topic, yourdirectory is in an Impaired state longer than 40 minutes, we recommend that you contact the AWSSupport Center.
Important
Do not restore a snapshot while a directory is in an Impaired state. It is rare that snapshotrestore is necessary to resolve impairments. For more information, see Création d'uninstantané ou d'une restauration de votre annuaire (p. 122).
Inoperable
The directory is not functional. All directory endpoints have reported issues.Requested
A request to create your directory is currently pending.RestoreFailed
Restoring the directory from a snapshot failed. Please retry the restore operation. If this continues, try adifferent snapshot, or contact the AWS Support Center.
Restoring
The directory is currently being restored from an automatic or manual snapshot. Restoring from asnapshot typically takes several minutes, depending on the size of the directory data in the snapshot.
For more information, see Motifs de statut d'annuaire Simple AD (p. 270).
Configuration des notifications de statut de l'annuaireAvec Amazon Simple Notification Service (Amazon SNS), vous pouvez recevoir des e-mails ou desmessages texte (SMS) lorsque le statut de votre annuaire change. Vous êtes averti lorsque votre annuairepasse du statut Actif au statut Dégradé ou Inopérable. Vous recevez également une notification lorsquel'annuaire renvoie un statut Active.
FonctionnementAmazon SNS utilise des « rubriques » pour collecter et distribuer les messages. Chaque rubrique possèdeun ou plusieurs abonnés qui reçoivent les messages ayant été publiés dans cette rubrique. En suivant lesétapes ci-dessous, vous pouvez ajouter AWS Directory Service en tant qu'éditeur à une rubrique AmazonSNS. Lorsque AWS Directory Service détecte un changement de statut dans votre annuaire, il publie unmessage dans cette rubrique, qui est ensuite envoyée aux abonnés de la rubrique.
Vous pouvez associer plusieurs annuaires en tant qu'éditeurs à une seule rubrique. Vous pouvezégalement ajouter des messages de statut d'annuaire créés précédemment dans Amazon SNS. Vous avezla possibilité de contrôler qui peut publier dans une rubrique ou s'y abonner. Pour obtenir des informationsdétaillées sur Amazon SNS, veuillez consulter Qu'est-ce qu'Amazon SNS ?.
Pour activer la messagerie SNS pour votre annuaire
1. Connectez-vous à AWS Management Console et ouvrez la console AWS Directory Service à l'adressehttps://console.aws.amazon.com/directoryservicev2/.
Version 1.055
AWS Directory Service Guide d'administrationSurveillance de votre annuaire
2. Sur la page Directories (Annuaires), choisissez l'ID de votre annuaire.3. Sélectionnez l'onglet Maintenance.4. Dans la section Surveillance de l'annuaire, choisissez Actions, puis sélectionnez Créer une notification.5. Sur la page Créer une notification, sélectionnez Choisir un type notification, puis Créer une nouvelle
notification. Sinon, si vous avez déjà une rubrique SNS existante, vous pouvez choisir Associer unerubrique SNS existante pour envoyer des messages de statut de cet annuaire vers cette rubrique.
Note
Si vous choisissez Créer une nouvelle notification, mais que vous utilisez le même nomde rubrique pour une rubrique SNS qui existe déjà, Amazon SNS ne crée pas de nouvellerubrique, mais ajoute les nouvelles informations d'abonnement à la rubrique existante.Si vous choisissez Associer à une rubrique SNS existante, vous pourrez choisir uniquementune rubrique SNS qui se trouve dans la même région que l'annuaire.
6. Choisissez le type de destinataire, puis entrez les informations de contact du destinataire. Si vousentrez un numéro de téléphone pour les SMS, utilisez uniquement des nombres. N'utilisez pas detirets, d'espaces ou de parenthèses.
7. (Facultatif) Indiquez un nom pour votre rubrique et un nom d'affichage SNS. Le nom d'affichage estcourt (10 caractères maximum) et inclus dans tous les SMS de cette rubrique. Lorsque vous utilisezl'option SMS, le nom d'affichage est obligatoire.
Note
Si vous êtes connecté sous le nom d'un utilisateur ou d'un rôle IAM associé uniquement àla stratégie gérée DirectoryServiceFullAccess, le nom de votre rubrique doit commencer par« DirectoryMonitoring ». Si vous souhaitez personnaliser votre nom de rubrique, vous aurezbesoin de privilèges supplémentaires pour SNS.
8. Sélectionnez Create.
Si vous souhaitez désigner d'autres abonnés SNS, par exemple une adresse e-mail supplémentaire, desfiles d'attente Amazon SQS ou AWS Lambda, vous pouvez pour cela utiliser la console Amazon SNS àl'adresse https://console.aws.amazon.com/sns/v3/home.
Pour supprimer les messages de statut d'annuaire à partir d'une rubrique
1. Connectez-vous à AWS Management Console et ouvrez la console AWS Directory Service à l'adressehttps://console.aws.amazon.com/directoryservicev2/.
2. Sur la page Directories (Annuaires), choisissez l'ID de votre annuaire.3. Sélectionnez l'onglet Maintenance.4. Dans la section Surveillance de l'annuaire, sélectionnez un nom de rubrique SNS dans la liste,
choisissez Actions, puis sélectionnez Supprimer.5. Choisissez Supprimer.
Cela supprime votre annuaire en tant qu'éditeur pour la rubrique SNS sélectionnée. Si vous souhaitezsupprimer la rubrique entière, vous pouvez le faire à partir de la console Amazon SNS à l'adresse https://console.aws.amazon.com/sns/v3/home.
Note
Avant de supprimer une rubrique Amazon SNS à l'aide de la console SNS, vous devez vousassurer qu'aucun annuaire n'enverra de messages de statut vers cette rubrique.Si vous supprimez une rubrique Amazon SNS à l'aide de la console SNS, ce changement nefigurera pas immédiatement dans la console des services d'annuaire. Vous en serez notifiéseulement la prochaine fois qu'un annuaire publiera une notification dans la rubrique supprimée,auquel cas vous verrez le statut mis à jour dans l'onglet Surveillance de l'annuaire indiquant que larubrique est introuvable.
Version 1.056
AWS Directory Service Guide d'administrationSurveillance de votre annuaire
Par conséquent, pour éviter de manquer des messages de statut d'annuaire importants, avant desupprimer une rubrique recevant des messages d'AWS Directory Service, associez votre annuaireà une autre rubrique Amazon SNS.
Vérification de vos journaux d'annuaire AWS Managed MicrosoftADLes journaux de sécurité des instances de contrôleur de domaine AWS Managed Microsoft AD sontarchivés pendant un an. Vous pouvez également configurer votre annuaire AWS Managed Microsoft ADpour transmettre les journaux du contrôleur de domaine à Amazon CloudWatch Logs en temps quasi réel.Pour plus d'informations, consultez la section Activer le transfert de journaux (p. 58).
AWS enregistre les événements suivants à des fins de conformité.
Catégorie de surveillance Définition de stratégie État d'audit
Connexion au compte Audit de validation desidentifiants
Réussite, échec
Audit des autres événementsd'ouverture de session decompte
Réussite, échec
Gestion de compte Audit de la gestion des comptesinformatiques
Réussite, échec
Audit des autres événements degestion des comptes
Réussite, échec
Audit de la gestion des groupesde sécurité
Réussite, échec
Audit de la gestion des comptesd'utilisateur
Réussite, échec
Suivi détaillé Audit d’activité DPAPI Réussite, échec
Audit d’activité PNP Success (Succès)
Audit de la création de processus Réussite, échec
Accès DS Audit de l'accès aux servicesd'annuaire
Réussite, échec
Audit des changements deservices d'annuaire
Réussite, échec
Connexion/déconnexion Audit de verrouillage de compte Réussite, échec
Audit de déconnexion Success (Succès)
Audit de connexion Réussite, échec
Audit des autres événementsd'ouverture/fermeture de session
Réussite, échec
Audit des connexions spéciales Réussite, échec
Accès aux objets Audit des autres événementsd'accès aux objets
Réussite, échec
Version 1.057
AWS Directory Service Guide d'administrationSurveillance de votre annuaire
Catégorie de surveillance Définition de stratégie État d'audit
Audit des supports de stockageamovibles
Réussite, échec
Audit du transfert des stratégiesd'accès centrales
Réussite, échec
Modifications des stratégies Audit de modification desstratégies
Réussite, échec
Audit de modification desstratégies d'authentification
Réussite, échec
Audit de modification desstratégies d'autorisation
Réussite, échec
Audit de modification de lastratégie au niveau des règlesMPSSVC
Success (Succès)
Audit des autres événements demodification de stratégie
Échec
Utilisation des privilèges Audit de l'utilisation des privilègessensibles
Réussite, échec
Présentation de l’audit IPsec Conducteur Réussite, échec
Audit des autres événementssystème
Réussite, échec
Audit des changements d'état desécurité
Réussite, échec
Audit de l'extension du systèmede sécurité
Réussite, échec
Audit de l'intégrité du système Réussite, échec
Activer le transfert de journauxVous pouvez utiliser l’un des deux AWS Directory Service console ou APIs pour transférer les journauxd’événements de sécurité du contrôleur de domaine vers Amazon CloudWatch Logs. Cela vous aide àrépondre à vos exigences en matière de sécurité, d'audit et de conservation des journaux en assurant latransparence des événements de sécurité dans votre annuaire.
CloudWatch Logs peut également transférer ces événements vers d'autres comptes AWS, services AWSou applications tierces. Cela facilite la surveillance et la configuration centralisées des alertes afin dedétecter et de réagir de manière proactive aux activités inhabituelles en temps quasi réel.
Une fois le service activé, vous pouvez ensuite utiliser la console CloudWatch Logs pour récupérer lesdonnées du groupe de journaux que vous avez spécifié lors de l'activation. Ce groupe de journaux contientles journaux de sécurité de vos contrôleurs de domaine.
Pour plus d'informations sur les groupes de journaux et la lecture de leurs données, consultez Utilisationdes groupes de journaux et des flux de journaux dans le Guide de l'utilisateur d'Amazon CloudWatch Logs.
Version 1.058
AWS Directory Service Guide d'administrationSurveillance de votre annuaire
Pour activer le transfert de journaux
1. Dans le panneau de navigation de la console AWS Directory Service, choisissez Annuaires.2. Choisissez l'ID de l'annuaire AWS Managed Microsoft AD que vous souhaitez partager.3. Sur la page Détails de l'annuaire, choisissez l'onglet Mise en réseau et sécurité.4. Dans la section Transfert de journaux, choisissez Activer.5. Sur la page Activer le transfert des journaux vers CloudWatch , choisissez l’une des options suivantes :
a. Sélectionner Créer un nouveau CloudWatch groupe de journaux, sous Nom du groupe dejournaux, spécifiez un nom auquel vous pouvez faire référence dans CloudWatch Logs.
b. Sélectionner Choisissez un CloudWatch groupe de journaux, et moins de Existant CloudWatchgroupes de journaux, sélectionnez un groupe de journaux dans le menu.
6. Passez en revue les informations de tarification et le lien, puis choisissez Activer.
Pour désactiver le transfert de journaux
1. Dans le panneau de navigation de la console AWS Directory Service, choisissez Annuaires.2. Choisissez l'ID de l'annuaire AWS Managed Microsoft AD que vous souhaitez partager.3. Sur la page Détails de l'annuaire, choisissez l'onglet Mise en réseau et sécurité.4. Dans la section Transfert de journaux, choisissez Désactiver.5. Une fois que vous avez lu les informations de la boîte de dialogue Désactiver le transfert de journaux,
choisissez Désactiver.
Utilisation de l'interface de ligne de commande pour activer le transfert dejournaux
Avant de pouvoir utiliser la commande ds create-log-subscription, vous devez créer un groupede journaux Amazon CloudWatch, puis créer une stratégie de ressources IAM qui accorde l'autorisationnécessaire à ce groupe. Pour activer le transfert de journaux à l'aide de l'interface de ligne de commande,suivez toutes les étapes ci-dessous.
Étape 1 : Création d'un groupe de journaux dans CloudWatch Logs
Créez un groupe de journaux qui servira à recevoir les journaux de sécurité de vos contrôleurs de domaine.Nous vous conseillons de faire précéder le nom de /aws/directoryservice/, mais ce n'est pasobligatoire. Exemple :
EXEMPLE DE COMMANDE DE LIGNE DE COMMANDE
aws logs create-log-group --log-group-name '/aws/directoryservice/d-9876543210'
EXEMPLE DE COMMANDE POWERSHELL
New-CWLLogGroup -LogGroupName '/aws/directoryservice/d-9876543210'
Pour plus d'informations sur la création d'un groupe CloudWatch Logs, consultez Création d'un groupe dejournaux dans CloudWatch Logs dans le Guide de l'utilisateur Amazon CloudWatch Logs.
Étape 2 : Créer un CloudWatch Logs Stratégie de ressource dans IAM
Créez une stratégie de ressources CloudWatch Logs accordant à AWS Directory Service des droits pourajouter des journaux dans le nouveau groupe de journaux créé à l'étape 1. Vous pouvez spécifier l'ARNprécis du groupe de journaux pour limiter l'accès de Directory Service aux autres groupes de journaux ou
Version 1.059
AWS Directory Service Guide d'administrationPartagez votre annuaire
utiliser un caractère générique pour inclure tous les groupes de journaux. La stratégie de l'exemple suivantutilise la méthode du caractère générique pour inclure tous les groupes de journaux commençant par /aws/directoryservice/ pour le compte AWS dans lequel votre annuaire.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ds.amazonaws.com" }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:YOUR_REGION:YOUR_ACCOUNT_NUMBER:log-group:/aws/directoryservice/*" } ]}
Vous devrez enregistrer cette stratégie dans un fichier texte (par exemple DSPolicy.json) sur votre poste detravail local, car vous devrez l’exécuter à partir de l’interface de ligne de commande. Exemple :
EXEMPLE DE COMMANDE DE LIGNE DE COMMANDE
aws logs put-resource-policy --policy-name DSLogSubscription --policy-documentfile://DSPolicy.json
EXEMPLE DE COMMANDE POWERSHELL
$PolicyDocument = Get-Content .\DSPolicy.json –Raw
Write-CWLResourcePolicy -PolicyName DSLogSubscription -PolicyDocument$PolicyDocument
Étape 3 : Créez un AWS Directory Service Abonnement au journal
Dans cette étape finale, vous pouvez maintenant passer à l'activation du transfert de journaux en créantl'abonnement aux journaux. Exemple :
EXEMPLE DE COMMANDE DE LIGNE DE COMMANDE
aws ds create-log-subscription --directory-id 'd-9876543210' --log-group-name'/aws/directoryservice/d-9876543210'
EXEMPLE DE COMMANDE POWERSHELL
New-DSLogSubscription -DirectoryId 'd-9876543210' -LogGroupName '/aws/directoryservice/d-9876543210'
Partagez votre annuaireAWS Managed Microsoft AD s'intègre étroitement avec AWS Organizations pour autoriser un partaged'annuaire transparent entre différents comptes AWS. Vous pouvez partager un seul annuaire avecd'autres comptes AWS approuvés au sein de la même organisation ou partager l'annuaire avec d'autrescomptes AWS en dehors de votre organisation. Vous pouvez également partager votre annuaire lorsquevotre compte AWS n'est pas membre d'une organisation.
Version 1.060
AWS Directory Service Guide d'administrationPartagez votre annuaire
Note
AWS facture des frais supplémentaires pour le partage d'annuaire. Pour en savoir plus, consultezla page Tarification du site Web AWS Directory Service.
Le partage d’annuaire rend AWS Managed Microsoft AD une façon plus rentable d’intégrer Amazon EC2dans plusieurs comptes et VPCs. Le partage d’annuaire est disponible dans tous AWS Régions où AWS Agéré Microsoft AD est offert.
Note
Dans la région AWS Chine (Ningxia), cette fonction est uniquement disponible en cas d'utilisationde AWS Systems Manager (SSM) pour joindre vos instances Amazon EC2 en toute transparence.
Pour plus d'informations sur le partage d'annuaire et pour savoir comment étendre la portée de votreannuaire AWS Managed Microsoft AD au-delà des limites du compte AWS, consultez les rubriquessuivantes.
Rubriques• Concepts clés du partage d'annuaire (p. 61)• Tutoriel : Partage de votre AWS Managed Microsoft AD Annuaire pour intégration transparente de
domaine EC2 (p. 62)• Annulation du partage de l'annuaire (p. 69)
Concepts clés du partage d'annuaireVous tirerez le meilleur parti de la fonction de partage d'annuaire en vous familiarisant avec les conceptsclés suivants.
Compte propriétaire de l'annuaire
Le propriétaire de l'annuaire est le titulaire du compte AWS qui possède l'annuaire d'origine dans la relationd'annuaire partagé. Un administrateur de ce compte initie le flux de partage d'annuaire en spécifiant avecquels comptes AWS leur annuaire doit être partagé. Les propriétaires d'annuaires peuvent voir avec quiils ont partagé un annuaire depuis l'onglet Mettre à l'échelle et partager pour un annuaire donné dans laconsole AWS Directory Service.
Version 1.061
AWS Directory Service Guide d'administrationPartagez votre annuaire
Compte consommateur de l'annuaire
Dans une relation d'annuaire partagé, le consommateur de l'annuaire représente le compte AWS aveclequel le propriétaire de l'annuaire a partagé l'annuaire. En fonction de la méthode de partage utilisée, unadministrateur de ce compte peut avoir besoin d'accepter une invitation envoyée depuis le propriétaire del'annuaire avant de pouvoir commencer à utiliser l'annuaire partagé.
Le processus de partage d'annuaire crée un annuaire partagé dans le compte consommateur de l'annuaire.Cet annuaire partagé contient les métadonnées qui permettent de joindre l'instance EC2 en toutetransparence au domaine, ce qui place l'annuaire d'origine dans le compte propriétaire de l'annuaire.Chaque annuaire partagé dans le compte consommateur de l'annuaire possède un identifiant unique (ID del'annuaire partagé).
Méthodes de partage
AWS Managed Microsoft AD fournit deux méthodes de partage d'annuaire :
• AWS Organizations – Cette méthode simplifie le partage de l'annuaire au sein de votre organisation.En effet, elle vous permet de parcourir et de confirmer les comptes consommateurs de l'annuaire. Pourutiliser cette option, votre organisation doit avoir Toutes les caractéristiques activé, et votre annuairedoit être dans l’organisation compte de gestion. Cette méthode de partage simplifie votre configuration,car elle n'oblige pas les comptes consommateurs de l'annuaire à accepter votre invitation de partaged'annuaire. Dans la console, cette méthode est appelée Partager cet annuaire avec les comptes AWS devotre organisation.
• Handshake (Poignée de main) – Cette méthode permet le partage d'annuaire lorsque vous n'utilisezpas AWS Organizations. Cette méthode de la « poignée de main » oblige le compte consommateur del'annuaire à accepter la demande de partage d'annuaire. Dans la console, cette méthode est appeléePartager cet annuaire avec d'autres comptes AWS.
Connectivité réseau
La connectivité réseau est une condition préalable à l’utilisation d’une relation de partage d’annuaire dansAWS comptes. AWS prend en charge de nombreuses solutions pour connecter votre VPCs, certainsd’entre eux comprennent Appairage de VPC, Passerelle de transit, et Réseau privé virtuel. Consultez leTutoriel : Partage de votre AWS Managed Microsoft AD Annuaire pour intégration transparente de domaineEC2 (p. 62) pour démarrer.
Tutoriel : Partage de votre AWS Managed Microsoft AD Annuairepour intégration transparente de domaine EC2Ce didacticiel vous montre comment partager votre annuaire AWS Managed Microsoft AD (le comptepropriétaire de l'annuaire) avec un autre compte AWS (le compte consommateur de l'annuaire). Une foisles prérequis de mise en réseau remplis, vous pourrez partager un annuaire entre deux comptes AWS.Ensuite, vous apprendrez à joindre en toute transparence une instance EC2 à un domaine dans le compteconsommateur de l'annuaire.
Nous vous recommandons d'examiner les concepts clés du partage d'annuaire et le contenu des casd'utilisation avant de commencer à travailler avec ce didacticiel. Pour plus d'informations, consultez lasection Concepts clés du partage d'annuaire (p. 61).
Le processus de partage de votre annuaire diffère selon que vous partagez l'annuaire avec un autrecompte AWS dans la même organisation AWS ou avec un compte qui est à l'extérieur de l'organisationAWS. Pour plus d'informations sur le partage, consultez Méthodes de partage (p. 62).
Ce flux de travail se compose de quatre étapes de base.
Version 1.062
AWS Directory Service Guide d'administrationPartagez votre annuaire
Étape 1 : Configurer votre environnement de mise en réseau (p. 63)
Dans le compte propriétaire de l'annuaire, vous configurez tous les prérequis de mise en réseaunécessaires pour le processus de partage d'annuaire.
Étape 2 : Partagez votre annuaire (p. 65)
Une fois connecté avec les informations d'identification d'administrateur propriétaire de l'annuaire, vousouvrez la console AWS Directory Service et démarrez le flux de partage d'annuaire. Celui-ci envoieune invitation au compte consommateur de l'annuaire.
Étape 3 : Accepter l’invitation d’annuaire partagé (facultatif) (p. 66)
Une fois connecté avec les informations d'identification d'administrateur consommateur de l'annuaire,vous ouvrez la console AWS Directory Service et acceptez l'invitation de partage d'annuaire.
Étape 4 : Jonction transparente d’une instance EC2 pour Windows Server à un domaine (p. 66)
Enfin, en tant qu'administrateur consommateur de l'annuaire, vous tentez de joindre une instance EC2à votre domaine et vérifiez si cela fonctionne.
Ressources supplémentaires concernant
• Cas d’utilisation : Partage de votre annuaire pour joindre de manière transparente des instances AmazonEC2 à un domaine entre les comptes AWS
• Article du blog sur la sécurité AWS : Comment rejoindre des instances Amazon EC2 à partir de plusieurscomptes et VPCs vers un seul annuaire Microsoft AD géré par AWS
Étape 1 : Configurer votre environnement de mise en réseau
Avant d'exécuter les procédures fournies dans ce didacticiel, vous devez commencer par effectuer lesopérations suivantes :
• Créez deux nouveaux comptes AWS à des fins de test dans la même région. Lorsque vous créez uncompte AWS, un VPC (Cloud privé virtuel) dédié est automatiquement créé dans chaque compte. Preneznote de l'ID du VPC dans chaque compte. Vous en aurez besoin ultérieurement.
• Créer une connexion d’appairage de VPC entre les deux VPCs dans chaque compte en utilisant lesprocédures de cette étape.
Note
Bien qu’il existe de nombreuses façons de connecter le propriétaire de l’annuaire et le compteconsommateur de l’annuaire VPCs, ce didacticiel utilise la méthode d’appairage de VPC. Pourplus d'options d’appairage de VPC, reportez-vous à la section Connectivité réseau (p. 62).
Version 1.063
AWS Directory Service Guide d'administrationPartagez votre annuaire
Configurez une connexion d'appairage de VPC entre le compte propriétaire de l'annuaire et lecompte consommateur de l'annuaire
La connexion d’appairage de VPC que vous allez créer se trouve entre le consommateur d’annuaire et lepropriétaire d’annuaire VPCs. Suivez ces étapes pour configurer une connexion d’appairage de VPC pourla connectivité avec le compte consommateur d’annuaire. Avec cette connexion, vous pouvez acheminer letrafic entre les deux VPCs à l’aide d’adresses IP privées.
Pour créer une connexion d'appairage de VPC entre le compte propriétaire de l'annuaire et lecompte consommateur de l'annuaire
1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/. Assurez-vous devous connecter en tant qu'administrateur au compte propriétaire de l'annuaire.
2. Dans le volet de navigation, choisissez Peering Connections. Ensuite, choisissez Créer une connexiond'appairage.
3. Configurez les informations suivantes :
• Balise de nom de connexion d’appairage: Fournissez un nom qui identifie clairement cette connexionavec le VPC dans le compte consommateur de l’annuaire.
• VPC (Demandeur): Sélectionnez l’ID de VPC pour le compte propriétaire de l’annuaire.• Dans Sélectionner un autre VPC auquel s'appairer, assurez-vous que les options Mon compte et
Cette région sont sélectionnées.• VPC (accepteur): Sélectionnez l’ID de VPC pour le compte consommateur de l’annuaire.
4. Choisissez Créer une connexion d'appairage. Dans la boîte de dialogue de confirmation, choisissezOK.
Puisque les deux VPCs se trouvent dans la même région, l’administrateur du compte propriétaire del’annuaire qui a envoyé la demande d’appairage de VPC peut également accepter la demande d’appairageau nom du compte consommateur de l’annuaire.
Pour accepter la demande d'appairage au nom du compte consommateur de l'annuaire
1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Peering Connections.3. Sélectionnez la connexion d'appairage de VPC en attente. (Son statut est En attente d’acceptation.)
Choisir Actions, Accepter la demande.4. Dans la boîte de dialogue de confirmation, choisissez Yes, Accept. Dans la boîte de dialogue de
confirmation qui suit, choisissez Modifier mes tables de routage maintenant pour accéder directementà la page des tables de routage.
Maintenant que votre connexion d'appairage de VPC est active, vous devez ajouter une entrée dans latable de routage de votre VPC dans le compte propriétaire de l'annuaire. Ceci permet d'acheminer le traficvers le VPC du compte consommateur de l'annuaire.
Pour ajouter une entrée dans la table de routage du VPC dans le compte propriétaire de l'annuaire
1. Dans la section Tables de routage de la console Amazon VPC, sélectionnez la table de routagecorrespondant au VPC propriétaire de l'annuaire.
2. Cliquez sur l'onglet Routes, choisissez Modifier, puis choisissez Ajouter une autre route.3. Dans la colonne Destination, saisissez le bloc d'adresse CIDR pour le VPC consommateur de
l'annuaire.4. Dans la colonne Cible, saisissez l'ID de la connexion d'appairage de VPC (par exemple,
pcx-123456789abcde000) correspondant à la connexion d'appairage que vous avez crééeprécédemment dans le compte propriétaire de l'annuaire.
Version 1.064
AWS Directory Service Guide d'administrationPartagez votre annuaire
5. Choisissez Save.
Pour ajouter une entrée dans la table de routage du VPC dans le compte consommateur del'annuaire
1. Dans la section Tables de routage de la console Amazon VPC, sélectionnez la table de routagecorrespondant au VPC consommateur de l'annuaire.
2. Cliquez sur l'onglet Routes, choisissez Modifier, puis choisissez Ajouter une autre route.3. Dans la colonne Destination, saisissez le bloc d'adresse CIDR pour le VPC propriétaire de l'annuaire.4. Dans la colonne Cible, saisissez l'ID de la connexion d'appairage de VPC (par exemple,
pcx-123456789abcde001) correspondant à la connexion d'appairage que vous avez crééeprécédemment dans le compte consommateur de l'annuaire.
5. Choisissez Save.
Assurez-vous de configurer votre application consommateur d’annuaire VPCspour activer le traficsortant en ajoutant les protocoles et ports Active Directory au tableau des règles sortantes. Pour plusd'informations, consultez Groupes de sécurité pour votre VPC et Prérequis pour AWS Managed MicrosoftAD.
Étape suivante
Étape 2 : Partagez votre annuaire (p. 65)
Étape 2 : Partagez votre annuaire
Utilisez les procédures suivantes pour commencer le flux de partage d'annuaire depuis le comptepropriétaire de l'annuaire.
Pour partager votre annuaire depuis le compte propriétaire de l'annuaire
1. Connectez-vous à AWS Management Console en tant qu'administrateur au compte propriétaire del'annuaire, puis ouvrez la AWS Directory Service console à l'adresse https://console.aws.amazon.com/directoryservicev2/.
2. Dans le volet de navigation, choisissez Directories (Répertoires).3. Choisissez l'ID de l'annuaire AWS Managed Microsoft AD que vous souhaitez partager.4. Dans la page Détails de l'annuaire, cliquez sur l'onglet Mettre à l'échelle et partager.5. Dans la section Annuaires partagés, choisissez Actions, puis Créer un nouvel annuaire partagé.6. Dans la page Choisir les comptes AWS avec lesquels partager, choisissez l'une des méthodes de
partage suivantes, en fonction des besoins de votre activité :
a. Partager cet annuaire avec les comptes AWS de votre organisation – Cette option vous permetde sélectionner les comptes AWS avec lesquels vous souhaitez partager votre annuaire, dansune liste reprenant tous les comptes AWS à l'intérieur de votre organisation AWS. Vous devezactiver l'accès approuvé avec AWS Directory Service avant de partager un annuaire. Pour plusd'informations, consultez Procédure pour activer ou désactiver l'accès approuvé.
Note
Pour utiliser cette option, votre organisation doit avoir Toutes les caractéristiques activé,et votre annuaire doit être dans l’organisation compte de gestion.
i. Dans Comptes AWS de votre organisation, sélectionnez les comptes AWS avec lesquelsvous souhaitez partager l'annuaire, puis cliquez sur Ajouter.
ii. Passez en revue les informations de tarification, puis choisissez Partager.
Version 1.065
AWS Directory Service Guide d'administrationPartagez votre annuaire
iii. Passez à l'étape 4 (p. 66) de ce guide. Étant donné que tous les comptes AWS sont dansla même organisation, vous n'avez pas besoin d'effectuer l'étape 3.
b. Partager cet annuaire avec d'autres comptes AWS - Cette option vous permet de partager unannuaire avec des comptes à l'intérieur ou à l'extérieur de votre organisation AWS. Vous pouvezégalement utiliser cette option lorsque votre annuaire ne fait pas partie d'une organisation AWS etque vous souhaitez le partager avec un autre compte AWS.
i. dans AWS identifiant(s) de compte, saisissez tous les AWS compte IDs avec lequel voussouhaitez partager le répertoire, puis cliquez sur Ajouter.
ii. Dans Envoyer un message, saisissez un message à l'attention de l'administrateur de l'autrecompte AWS.
iii. Passez en revue les informations de tarification, puis choisissez Partager.iv. Passez à l'étape 3.
Étape suivante
Étape 3 : Accepter l’invitation d’annuaire partagé (facultatif) (p. 66)
Étape 3 : Accepter l’invitation d’annuaire partagé (facultatif)
Si vous avez choisi l'option Partager cet annuaire avec d'autres comptes AWS (méthode de la poignée demain) dans la procédure précédente, procédez comme suit pour terminer le flux de partage d'annuaire. Sivous avez choisi l'option Partager cet annuaire avec les comptes AWS de votre organisation, ignorez cetteétape et passez à l'étape 4.
Pour accepter l'invitation de partage d'annuaire
1. Connectez-vous à AWS Management Console en tant qu'administrateur au compte consommateur del'annuaire, puis ouvrez la AWS Directory Service console à l'adresse https://console.aws.amazon.com/directoryservicev2/.
2. Dans le volet de navigation, choisissez Annuaires partagés avec moi.3. Dans la colonne ID de l'annuaire partagé, choisissez l'ID de l'annuaire qui affiche l'état En attente
d'acceptation.4. Dans la page Détails de l'annuaire partagé, choisissez Vérifier.5. Dans la boîte de dialogue Invitation en attente pour l'annuaire partagé, passez en revue le message,
les détails sur le propriétaire de l'annuaire et les informations de tarification. Si vous êtes d'accord,choisissez Accepter pour commencer à utiliser l'annuaire.
Étape suivante
Étape 4 : Jonction transparente d’une instance EC2 pour Windows Server à un domaine (p. 66)
Étape 4 : Jonction transparente d’une instance EC2 pour Windows Server à undomaine
Vous pouvez utiliser l'une des deux méthodes suivantes pour tester une jonction de domaines totalementtransparente.
Méthode 1: Jonction de domaine de test à l’aide de l’ Amazon EC2 console
Effectuez cette étape dans le compte consommateur de l'annuaire.
1. Connectez-vous à AWS Management Console et ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.
Version 1.066
AWS Directory Service Guide d'administrationPartagez votre annuaire
2. Dans le sélecteur de région de la barre de navigation, choisissez la même région que l'annuaireexistant.
3. Choisissez Launch Instances.4. Sur la page Étape 1, choisissez Sélectionner pour l'AMI appropriée.5. Sur la page Étape 2, sélectionnez le type d'instance approprié, puis choisissez Suivant : Configurer les
détails d'instance.6. Sur la page Étape 3, effectuez les étapes suivantes, puis choisissez Suivant : Ajouter le stockage :
1. Pour Réseau, choisissez le VPC dans lequel votre annuaire a été créé.2. Pour Sous-réseau, choisissez l'un des sous-réseaux publics dans votre VPC. Le sous-réseau
que vous choisissez doit avoir tout le trafic externe acheminé vers une passerelle Internet. Le caséchéant, vous ne pourrez pas vous connecter à l'instance à distance.
3. Pour Attribuer automatiquement l'adresse IP publique, choisissez Activer.
Pour plus d'informations sur les adresses IP publiques et privées, consultez Adressage IP desinstances Amazon EC2 dans le Amazon EC2 Guide de l'utilisateur pour les instances Windows.
4. Pour Répertoire de jonction de domaines, choisissez votre domaine dans la liste.
Note
Cette option est uniquement disponible pour les instances Windows. Les instances Linuxdoivent être jointes manuellement à l'annuaire comme indiqué dans Jonction manuelled'une instance Linux (p. 78).
5. Pour Rôle IAM, effectuez l'une des opérations suivantes :
Sélectionnez un rôle IAM auquel les stratégies gérées AWS AmazonSSMManagedInstanceCore etAmazonSSMDirectoryServiceAccess sont attachées.
-ou-
Si vous n'avez pas créé de rôle IAM auquel les stratégies géréesAmazonSSMManagedInstanceCore et AmazonSSMDirectoryServiceAccess sont attachées,choisissez le lien Créer un nouveau rôle IAM, puis procédez comme suit :a. Sélectionnez Créer un rôle.b. Sous Select type of trusted entity (Sélectionner le type d'entité de confiance), choisissez AWS
service (Service AWS).c. Sous Choose the service that this role will use (Choisir le service que ce rôle utilisera), dans la
liste complète des services, choisissez EC2.d. Sous Select your use case (Sélectionner votre cas d'utilisation), choisissez EC2, puis Suivant :
Autorisations.e. Dans la liste des stratégies, sélectionnez les stratégies AmazonSSMManagedInstanceCore et
AmazonSSMDirectoryServiceAccess. (Pour filtrer la liste, entrez SSM dans la zone de recherche.)
Note
La stratégie AmazonSSMDirectoryServiceAccess fournit les autorisations nécessairespour joindre des instances à un domaine Active Directory géré par AWS DirectoryService. La stratégie AmazonSSMManagedInstanceCore fournit les autorisationsminimales nécessaires pour pouvoir utiliser le service Systems Manager. Pour plusd'informations sur la création d'un rôle avec ces autorisations, et sur les autresautorisations et stratégies que vous pouvez affecter à votre rôle IAM, consultez Créer unprofil d'instance IAM pour Systems Manager dans le Guide de l'utilisateur AWS SystemsManager.
f. Choisissez Next: Tags (Suivant : Balises).Version 1.067
AWS Directory Service Guide d'administrationPartagez votre annuaire
g. (Facultatif) Ajoutez une ou plusieurs paires clé-valeur de balise afin d'organiser, de suivre ou decontrôler l'accès pour ce rôle, puis choisissez Suivant : Vérifier.
h. Pour Nom du rôle, entrez un nom pour votre nouveau rôle, par exemple EC2DomainJoin ouautre, en fonction de vos préférences.
i. (Facultatif) Pour Description du rôle, entrez une description.j. Sélectionnez Créer un rôle.k. Revenez à la page Étape 3. Pour le rôle IAM, choisissez l'icône d'actualisation à côté du champ
rôle IAM. Votre nouveau rôle devrait apparaître dans le menu déroulant. Choisissez-le etconservez les autres paramètres par défaut sur cette page, puis choisissez Suivant : Ajouter lestockage.
7. Sur les pages Étape 4 et Étape 5, conservez les paramètres par défaut ou modifiez-les si nécessaire,puis choisissez les boutons Suivant.
8. Sur la page Étape 6, sélectionnez un groupe de sécurité pour l'instance qui a été configurée pourautoriser l'accès à distance à l'instance à partir de votre réseau, puis choisissez Vérifier et lancer.
9. Sur la page Étape 7, choisissez Lancer, sélectionnez une paire de clés, puis choisissez Lancer uneinstance.
Méthode 2 : Jonction de domaine de test à l’aide de l’ AWS Console du gestionnaire de systèmes
Utilisation cette étape dans le compte consommateur de l’annuaire. Pour effectuer cette procédure, vousaurez besoin d'informations sur le compte du propriétaire de l'annuaire.
Note
Assurez-vous de fixer le AmazonSSMManagedInstanceCore etAmazonSSMDirectoryServiceAccess aux stratégies gérées par IAM pour votre instance avantde commencer les étapes de cette procédure. Pour plus d'informations sur ces stratégies géréeset sur les autres stratégies que vous pouvez attacher à un profil d'instance IAM pour SystemsManager, consultez Création d'un profil d'instance IAM pour Systems Manager dans le Guide del'utilisateur AWS Systems Manager. Pour plus d'informations sur les stratégies gérées, consultezStratégies gérées par AWS dans le IAM Guide de l'utilisateur.
1. Connectez-vous à la AWS Management Console et ouvrez la console AWS Systems Manager àl'adresse https://console.aws.amazon.com/systems-manager/.
2. Dans le panneau de navigation, sélectionnez Exécuter une commande.3. Choisissez Exécuter une commande.4. Sur la page Exécuter une commande, recherchez AWS-JoinDirectoryServiceDomain. Lorsqu'elle
s'affiche dans les résultats de recherche, sélectionnez l'option AWS-JoinDirectoryServiceDomain.5. Faites défiler jusqu'à la section Paramètres de la commande. Vous devez fournir les paramètres
suivants :
• Pour ID de l'annuaire), entrez le nom de l'annuaire AWS Directory Service.
Note
Vous pouvez localiser la valeur Directory Id en retournant à la console AWS DirectoryService, en choisissant Annuaires partagés avec moi, en sélectionnant votre annuaire, puisen recherchant la valeur dans la section Détails de l'annuaire partagé.
• Pour Nom de l'annuaire, entrez le nom de l'annuaire (pour le compte du propriétaire de l'annuaire).• Pour Adresses IP DNS, entrez les adresses IP des serveurs DNS dans l'annuaire (pour le compte
du propriétaire de l'annuaire).
Version 1.068
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
Note
Vous pouvez localiser les valeurs Nom de l'annuaire et Adresses IP DNS en retournantà la console AWS Directory Service, en choisissant Annuaires partagés avec moi, ensélectionnant votre annuaire, puis en recherchant la valeur dans la section Détails del'annuaire du propriétaire.
6. Pour Cibles, sélectionnez les instances que vous souhaitez joindre au domaine.7. Pour le reste du formulaire, laissez les valeurs par défaut, faites défiler la page, puis choisissez
Exécuter.8. Dans le panneau de navigation, choisissez Instances gérées.9. Assurez-vous que l'instance a rejoint le domaine en la vérifiant dans la liste. Si le champ État
d'association indique Opération réussie, votre instance a rejoint le domaine.
Après avoir terminé l'une ou l'autre de ces étapes, vous devriez désormais être en mesure de joindre votreinstance EC2 au domaine. Vous pourrez ensuite vous connecter à votre instance au moyen d'un clientRDP (Remote Desktop Protocol) avec les informations d'identification de votre compte d'utilisateur AWSManaged Microsoft AD.
Annulation du partage de l'annuaireUtilisez la procédure suivante pour annuler le partage d'un annuaire AWS Managed Microsoft AD.
Pour annuler le partage de votre annuaire
1. Dans le panneau de navigation AWS Directory Service console, sous Active Directory, sélectionnezAnnuaires.
2. Choisissez l'ID de l'annuaire AWS Managed Microsoft AD que vous souhaitez partager.3. Dans la page Détails de l'annuaire, cliquez sur l'onglet Mettre à l'échelle et partager.4. Dans la section Annuaires partagés, sélectionnez l'annuaire partagé dont vous souhaitez annuler le
partage, choisissez Actions, puis choisissez Annuler le partage.5. Dans la boîte de dialogue Annuler le partage de l'annuaire, choisissez Annuler le partage.
Ressources supplémentaires concernant
• Cas d’utilisation : Partagez votre annuaire pour joindre de manière transparente les instances AmazonEC2 à un domaine sur l’ensemble AWS Comptes
• AWS Article du blog sur la sécurité : Comment rejoindre des instances Amazon EC2 à partir de plusieurscomptes et VPCs à un seul AWS Annuaire AD Microsoft géré
• Rejoindre votre Amazon RDS Instances de base de données entre les comptes vers un seul domainepartagé
Jonction d'une instance EC2 à votre annuaire AWSManaged Microsoft ADVous pouvez joindre en toute transparence une instance EC2 à votre domaine d'annuaire lorsque l'instanceest lancée à l'aide d'AWS Systems Manager. Pour plus d'informations, consultez Jonction facile d'uneinstance Windows à un domaine AWS Directory Service dans le Amazon EC2 Guide de l'utilisateur pourles instances Windows.
Version 1.069
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
Si vous devez joindre une instance EC2 manuellement à votre domaine, lancez l'instance dans la région etle sous-réseau ou le groupe de sécurité appropriés, puis joignez l'instance au domaine.
Pour vous connecter à ces instances à distance, vous devez disposer d'une connectivité IP aux instancesdu réseau à partir desquelles vous vous connectez. Dans la plupart des cas, cela nécessite qu'unepasserelle internet soit attachée à votre VPC et que l'instance ait une adresse IP publique.
Rubriques• Jonction facile d'une instance EC2 Windows (p. 70)• Jonction manuelle d'une instance Windows (p. 71)• Joignez de manière transparente une instance EC2 Linux à votre AWS Managed Microsoft AD
Répertoire (p. 73)• Jonction manuelle d'une instance Linux (p. 78)• Délégation des privilèges de jonction d'annuaire pour AWS Managed Microsoft AD (p. 89)• Création d'un jeu d'options DHCP (p. 90)
Jonction facile d'une instance EC2 WindowsCette procédure joint de façon transparente une instances EC2 Windows à votre annuaire AWS ManagedMicrosoft AD. Si vous devez effectuer une jonction de domaines transparente entre plusieurs comptesAWS, vous pouvez, si vous le souhaitez, choisir d'activer le partage d'annuaire. Pour plus d'informations,consultez la section Tutoriel : Partage de votre AWS Managed Microsoft AD Annuaire pour intégrationtransparente de domaine EC2 (p. 62).
Pour joindre une instance EC2 Windows de façon transparente
1. Connectez-vous à AWS Management Console et ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.
2. Dans le sélecteur de région de la barre de navigation, choisissez la même région que l'annuaireexistant.
3. Choisissez Launch Instances.4. Sur la page Étape 1, choisissez Sélectionner pour l'AMI appropriée.5. Sur la page Étape 2, sélectionnez le type d'instance approprié, puis choisissez Suivant : Configurer les
détails d'instance.6. Sur la page Étape 3, effectuez les étapes suivantes, puis choisissez Suivant : Ajouter le stockage :
1. Pour Réseau, choisissez le VPC dans lequel votre annuaire a été créé.2. Pour Sous-réseau, choisissez l'un des sous-réseaux publics dans votre VPC. Le sous-réseau
que vous choisissez doit avoir tout le trafic externe acheminé vers une passerelle Internet. Le caséchéant, vous ne pourrez pas vous connecter à l'instance à distance.
3. Pour Attribuer automatiquement l'adresse IP publique, choisissez Activer.
Pour plus d'informations sur les adresses IP publiques et privées, consultez Adressage IP desinstances Amazon EC2 dans le Amazon EC2 Guide de l'utilisateur pour les instances Windows.
4. Pour Répertoire de jonction de domaines, choisissez votre domaine dans la liste.
Note
Cette option est uniquement disponible pour les instances Windows. Les instances Linuxdoivent être jointes manuellement à l'annuaire comme indiqué dans Jonction manuelled'une instance Linux (p. 78).
5. Pour Rôle IAM, effectuez l'une des opérations suivantes :Version 1.0
70
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
Sélectionnez un rôle IAM auquel les stratégies gérées AWS AmazonSSMManagedInstanceCore etAmazonSSMDirectoryServiceAccess sont attachées.
-ou-
Si vous n'avez pas créé de rôle IAM auquel les stratégies géréesAmazonSSMManagedInstanceCore et AmazonSSMDirectoryServiceAccess sont attachées,choisissez le lien Créer un nouveau rôle IAM, puis procédez comme suit :a. Sélectionnez Créer un rôle.b. Sous Select type of trusted entity (Sélectionner le type d'entité de confiance), choisissez AWS
service (Service AWS).c. Sous Choose the service that this role will use (Choisir le service que ce rôle utilisera), dans la
liste complète des services, choisissez EC2.d. Sous Select your use case (Sélectionner votre cas d'utilisation), choisissez EC2, puis Suivant :
Autorisations.e. Dans la liste des stratégies, sélectionnez les stratégies AmazonSSMManagedInstanceCore et
AmazonSSMDirectoryServiceAccess. (Pour filtrer la liste, entrez SSM dans la zone de recherche.)
Note
La stratégie AmazonSSMDirectoryServiceAccess fournit les autorisations nécessairespour joindre des instances à un domaine Active Directory géré par AWS DirectoryService. La stratégie AmazonSSMManagedInstanceCore fournit les autorisationsminimales nécessaires pour pouvoir utiliser le service Systems Manager. Pour plusd'informations sur la création d'un rôle avec ces autorisations, et sur les autresautorisations et stratégies que vous pouvez affecter à votre rôle IAM, consultez Créer unprofil d'instance IAM pour Systems Manager dans le Guide de l'utilisateur AWS SystemsManager.
f. Choisissez Next: Tags (Suivant : Balises).g. (Facultatif) Ajoutez une ou plusieurs paires clé-valeur de balise afin d'organiser, de suivre ou de
contrôler l'accès pour ce rôle, puis choisissez Suivant : Vérifier.h. Pour Nom du rôle, entrez un nom pour votre nouveau rôle, par exemple EC2DomainJoin ou
autre, en fonction de vos préférences.i. (Facultatif) Pour Description du rôle, entrez une description.j. Sélectionnez Créer un rôle.k. Revenez à la page Étape 3. Pour le rôle IAM, choisissez l'icône d'actualisation à côté du champ
rôle IAM. Votre nouveau rôle devrait apparaître dans le menu déroulant. Choisissez-le etconservez les autres paramètres par défaut sur cette page, puis choisissez Suivant : Ajouter lestockage.
7. Sur les pages Étape 4 et Étape 5, conservez les paramètres par défaut ou modifiez-les si nécessaire,puis choisissez les boutons Suivant.
8. Sur la page Étape 6, sélectionnez un groupe de sécurité pour l'instance qui a été configurée pourautoriser l'accès à distance à l'instance à partir de votre réseau, puis choisissez Vérifier et lancer.
9. Sur la page Étape 7, choisissez Lancer, sélectionnez une paire de clés, puis choisissez Lancer uneinstance.
Jonction manuelle d'une instance WindowsPour joindre manuellement une instance existante de Windows Amazon EC2 à un annuaire Simple ADou AWS Directory Service for Microsoft Active Directory, l'instance doit être lancée comme indiqué dansJonction facile d'une instance EC2 Windows (p. 70).
Version 1.071
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
Pour joindre une instance Windows à un annuaire Simple AD ou AWS Managed Microsoft AD
1. Connectez-vous à l'instance à l'aide d'un client de protocole RDP (Remote Desktop Protocol).2. Ouvrez la boîte de dialogue Propriétés TCP/IPv4 sur l'instance.
a. Ouvrez Connexions réseau.
Tip
Vous pouvez ouvrir les connexions réseau directement en exécutant les opérationssuivantes à partir d'une invite de commande sur l'instance.
%SystemRoot%\system32\control.exe ncpa.cpl
b. Ouvrez le menu contextuel (clic droit) d'une connexion réseau activée, puis choisissez Propriétés.c. Dans la boîte de dialogue Propriétés de connexion, ouvrez (double-cliquez sur) Protocole Internet
version 4.3. Sélectionnez Use the following DNS server addresses (Utiliser les adresses du serveur DNS
suivantes), remplacez les adresses Preferred DNS server (Serveur DNS préféré) et Alternate DNSserver (Serveur DNS auxiliaire) par les adresses IP des serveurs DNS fournies par AWS DirectoryService, puis sélectionnez OK.
4. Ouvrez la boîte de dialogue Propriétés système de l'instance, sélectionnez l'onglet Nom del'ordinateur, puis choisissez Modifier.
Tip
Vous pouvez ouvrir la boîte de dialogue Propriétés système directement en exécutant lesopérations suivantes à partir d'une invite de commande sur l'instance.
%SystemRoot%\system32\control.exe sysdm.cpl
5. Dans le champ Member of (Membre de), sélectionnez Domain (Domaine), saisissez le nom complet devotre annuaire AWS Directory Service, puis choisissez OK.
Version 1.072
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
6. Lorsque vous êtes invité à fournir le nom et le mot de passe de l'administrateur de domaine, entrez lenom d'utilisateur et le mot de passe d'un compte disposant des privilèges de jonction de domaine. Pourobtenir plus d'informations sur la délégation de ces privilèges, consultez Délégation des privilèges dejonction d'annuaire pour AWS Managed Microsoft AD (p. 89).
Note
Vous pouvez entrer le nom complet de votre domaine ou le nom NetBios, suivi d'une barreoblique inverse (\), puis le nom d'utilisateur.Si vous utilisez AWS Managed Microsoft AD, le nom d'utilisateur est Admin. Par exemple,corp.example.com\admin ou corp\admin.Si vous utilisez Simple AD, le nom d'utilisateur est Administrator (Administrateur). Parexemple, corp.example.com\administrator ou corp\administrator.
7. Dès que le message d'accueil relatif au domaine s'affiche, redémarrez l'instance pour que lesmodifications prennent effet.
Maintenant que votre instance a été jointe au domaine, vous pouvez vous connecter à cette instance àdistance et installer les utilitaires pour gérer l'annuaire, comme ajouter des utilisateurs et des groupes.
Joignez de manière transparente une instance EC2 Linux à votreAWS Managed Microsoft AD RépertoireCette procédure joint de manière transparente une instance EC2 Linux à votre AWS Managed MicrosoftAD répertoire. Si vous avez besoin d’effectuer une jointure de domaine transparente sur plusieurs AWScomptes, vous pouvez éventuellement choisir d’activer Partage d’annuaire.
Les distributions et les versions d'instance Linux suivantes sont prises en charge :
• AMI Amazon Linux 2018.03.0• Amazon Linux 2 (64 bits x86)• Red Hat Enterprise Linux 8 (HVM) (64 bits x86)• Ubuntu Server 18.04 LTS et Ubuntu Server 16.04 LTS• CentOS 7 x86-64• SUSE Linux Enterprise Server 15 SP1
Note
Les distributions antérieures à Ubuntu 14 et Red Hat Enterprise Linux 7 ne prennent pas encharge la fonction de jonction de domaines en toute transparence.
Prerequisites
Pour pouvoir configurer la jointure transparente de domaine à une instance EC2 Linux, vous devezeffectuer les procédures décrites dans cette section.
Sélectionnez votre compte de service de jointure de domaine transparent
Vous pouvez facilement joindre des ordinateurs Linux à votre AWS Domaine Active Directory géré. Pour cefaire, vous devez utiliser un compte utilisateur avec des autorisations de création de compte d’ordinateurpour joindre les machines au domaine. Bien que les membres du AWS administrateurs délégués oud’autres groupes peuvent avoir des privilèges suffisants pour joindre des ordinateurs au domaine, nous nerecommandons pas d’utiliser ces. À titre de bonne pratique, nous vous recommandons d’utiliser un comptede service qui dispose des privilèges minimum nécessaires pour joindre les ordinateurs au domaine.
Version 1.073
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
Pour déléguer un compte avec les privilèges minimum nécessaires pour joindre les ordinateurs audomaine, vous pouvez exécuter les éléments suivants PowerShell aux commandes. Vous devezexécuter ces commandes à partir d’un ordinateur Windows joint à un domaine avec l’ Installation desoutils d'administration Active Directory (p. 92) installé. En outre, vous devez utiliser un compte qui al’autorisation de modifier les autorisations sur l’unité d’organisation ou le conteneur de votre ordinateur. LePowerShell définit les autorisations permettant au compte de service de créer des objets ordinateur dans leconteneur d’ordinateurs par défaut de votre domaine.
$AccountName = 'awsSeamlessDomain'# DO NOT modify anything below this comment.# Getting Active Directory information.Import-Module 'ActiveDirectory'$Domain = Get-ADDomain -ErrorAction Stop$BaseDn = $Domain.DistinguishedName$ComputersContainer = $Domain.ComputersContainer$SchemaNamingContext = Get-ADRootDSE | Select-Object -ExpandProperty 'schemaNamingContext'[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $SchemaNamingContext -Filter { lDAPDisplayName -eq 'Computer' } -Properties 'schemaIDGUID').schemaIDGUID# Getting Service account Information.$AccountProperties = Get-ADUser -Identity $AccountName$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value# Getting ACL settings for the Computers container.$ObjectAcl = Get-ACL -Path "AD:\$ComputersContainer" # Setting ACL allowing the service account the ability to create child computer objects in the Computers container.$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'CreateChild', 'Allow', $ServicePrincipalNameGUID, 'All'$ObjectAcl.AddAccessRule($AddAccessRule)Set-ACL -AclObject $ObjectAcl -Path "AD:\$ComputersContainer"
Si vous préférez utiliser une interface utilisateur graphique (GUI), vous pouvez utiliser le processus manueldécrit dans Délégation de privilèges à votre compte de service (p. 183).
Créer les secrets pour stocker le compte de service de domaine
Vous pouvez utiliser AWS Secrets Manager pour stocker le compte de service de domaine.
Pour créer des secrets et stocker les informations du compte de service de domaine
1. Connectez-vous à AWS Management Console et ouvrez la console AWS Secrets Manager à l'adressehttps://console.aws.amazon.com/secretsmanager/.
2. Choisissez Store a new secret (Stocker un nouveau secret).3. Sur la page Stocker un nouveau secret, procédez comme suit :
a. Pour Select secret type (Sélectionner un type de secret), choisissez Other type of secrets (Autretype de secrets).
b. Sous Specify the key/value pairs to be stored in the secret (Spécifier les paires clé/valeur àstocker dans le secret), procédez comme suit :
i. Dans la première zone, saisissez awsSeamlessDomainUsername. Sur la même ligne, dansla zone suivante, entrez le nom d'utilisateur de votre compte de service. Par exemple, si vousavez précédemment utilisé la commande PowerShell, le nom du compte de service seraitawsSeamlessDomain.
Note
Vous devez entrer exactement awsSeamlessDomainUsername. Assurez-vousde ne pas insérer d'espaces de début ou de fin. Sinon, la jonction de domaineéchouera.
Version 1.074
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
ii. Choisissez Add row (Ajouter une ligne).iii. Sur la nouvelle ligne, dans la première zone, entrez awsSeamlessDomainPassword. Sur la
même ligne, dans la zone suivante, entrez le mot de passe de votre compte de service.
Note
Vous devez entrer exactement awsSeamlessDomainPassword. Assurez-vousde ne pas insérer d'espaces de début ou de fin. Sinon, la jonction de domaineéchouera.
iv. Sous Sélectionner la clé de chiffrement, choisissez DefaultenCryptionKey dans le menu.Secrets Manager chiffre toujours le secret lorsque vous choisissez cette option, et vous lefournit sans frais supplémentaires. Vous pouvez également choisir une clé que vous avezcréée.
v. Choisissez Suivant.4. Sous Nom secret, entrez un nom secret qui inclut votre ID de répertoire au format aws/directory-
services/d-xxxxxxxxx/seamless-domain-join. Cela sera utilisé pour récupérer des secretsdans l'application.
Note
Vous devez entrer exactement aws/directory-services/d-xxxxxxxxx/seamless-domain-join, mais remplacez d-xxxxxxxxxx par votre ID de répertoire. Assurez-vous dene pas insérer d'espaces de début ou de fin. Sinon, la jonction de domaine échouera.
5. Laissez tout le reste défini sur les valeurs par défaut, puis choisissez Suivant.6. Sous Configurer la rotation automatique, choisissez Désactiver la rotation automatique, puis choisissez
Suivant.7. Passez en revue les paramètres, puis choisissez Enregistrer pour enregistrer vos modifications. La
console Secrets Manager revient à la liste des secrets de votre compte. Votre nouveau secret estdésormais inclus dans la liste.
8. Choisissez votre nom secret nouvellement créé dans la liste et prenez note de la valeur de ARN dusecret. Vous en aurez besoin à la section suivante.
Créez la stratégie et le rôle IAM requis.
Utilisez les étapes préalables suivantes pour créer une stratégie personnalisée autorisant l'accès en lectureseule à votre secret de jonction de domaine Secrets Manager en toute transparence (créé précédemment)et créer un nouveau rôle IAM LinuxEC2DomainJoin.
Créer la stratégie de lecture IAM Secrets Manager
Utilisez la console IAM pour créer une stratégie qui accorde un accès en lecture seule à votre secretSecrets Manager.
Pour créer la stratégie de lecture IAM Secrets Manager
1. Connectez-vous à AWS Management Console en tant qu'utilisateur autorisé à créer des stratégiesIAM. Ouvrez ensuite la console IAM à l'adresse https://console.aws.amazon.com/iam/.
2. Dans le panneau de navigation, choisissez Stratégies.3. Choisissez Créer une stratégie.4. Choisissez l'onglet JSON et copiez le texte du document de stratégie JSON suivant. Ensuite, collez-le
dans la zone de texte JSON.
Note
Assurez-vous de remplacer l'ARN de Resource par l'ARN réel du secret que vous avez crééprécédemment.
Version 1.075
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Resource": [ "arn:aws:secretsmanager:us-east-1:############:secret:aws/directory-service/d-xxxxxxxxxx/seamless-domain-join-example" ] } ]}
5. Lorsque vous avez terminé, choisissez Examiner une stratégie. Le programme de validation desstratégies signale les éventuelles erreurs de syntaxe.
6. Sur la page Vérifier la stratégie entrez un nom de stratégie, tel que SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read. Consultez la section Récapitulatif pour voir les autorisations accordées par votrestratégie. Sélectionnez ensuite Créer une stratégie pour enregistrer vos modifications. La nouvellestratégie s'affiche dans la liste des stratégies gérées et est désormais prête à être attachée à uneidentité.
Note
Nous vous recommandons de créer une stratégie par secret. Cela garantit que les instances n'ontaccès qu'au secret approprié et minimise l'impact si une instance est compromise.
Créer le rôle LinuxEC2DomainJoin
Vous utilisez la console IAM pour créer le rôle que vous utiliserez pour joindre le domaine à votre instanceLinux EC2.
Pour créer le rôle LinuxEC2DomainJoin
1. Connectez-vous à AWS Management Console en tant qu'utilisateur autorisé à créer des stratégiesIAM. Ouvrez ensuite la console IAM à l'adresse https://console.aws.amazon.com/iam/.
2. Dans le panneau de navigation, choisissez Rôles.3. Dans le volet de contenu, choisissez Create role (Créer un rôle).4. Sous Select type of trusted entity (Sélectionner un type d'entité de confiance), choisissez AWS service
(Service AWS).5. Sous Choose a use case (Choisir un cas d'utilisation), sélectionnez EC2, puis Next: Permissions
(Suivant : Autorisations).6. Pour Filtrer les stratégies, procédez comme suit :
a. Saisissez AmazonSSMManagedInstanceCore. Sélectionnez ensuite la case à cochercorrespondant à cet élément dans la liste.
b. Saisissez AmazonSSMDirectoryServiceAccess. Sélectionnez ensuite la case à cochercorrespondant à cet élément dans la liste.
c. Entrez SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read (ou le nom de la stratégie que vous avezcréée au cours de la procédure précédente). Sélectionnez ensuite la case à cocher correspondantà cet élément dans la liste.
Version 1.076
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
Note
AmazonSSMDirectoryServiceAccess fournit les autorisations nécessaires pourjoindre des instances à un domaine Active Directory géré par AWS Directory Service.AmazonSSMManagedInstanceCore fournit les autorisations minimales nécessaires pourpouvoir utiliser le service AWS Systems Manager. Pour plus d'informations sur la créationd'un rôle avec ces autorisations, et sur les autres autorisations et stratégies que vous pouvezaffecter à votre rôle IAM, veuillez consulter Créer un profil d'instance IAM pour SystemsManager dans le Guide de l'utilisateur AWS Systems Manager.
7. Choisissez Next: Tags (Suivant : Balises).8. (Facultatif) Ajoutez une ou plusieurs paires clé-valeur de balise afin d'organiser, de suivre ou de
contrôler l'accès pour ce rôle. Choisissez ensuite Next: Review.9. En regarde de Nom du rôle, entrez un nom pour votre nouveau rôle, par exemple
LinuxEC2DomainJoin ou autre, en fonction de vos préférences.10. (Facultatif) Pour Description du rôle, entrez une description.11. Sélectionnez Créer un rôle.
Rejoignez votre instance EC2 Linux en toute transparence
Maintenant que vous avez configuré toutes les tâches préalables, vous pouvez utiliser la procéduresuivante pour rejoindre en toute transparente votre instance Linux EC2.
Pour rejoindre en toute transparence votre instance Linux EC2
1. Connectez-vous à AWS Management Console et ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.
2. Dans le sélecteur de région de la barre de navigation, choisissez la même région que l'annuaireexistant.
3. Choisissez Launch Instances.4. Sur la page Étape 1 choisissez Sélectionner pour l'image Amazon Machine (AMI) appropriée.
Note
L'AMI utilisée doit disposer de l'agent SSM AWS Systems Manager version 2.3.1644.0 ouultérieure. Pour vérifier la version de l'agent SSM installée dans votre AMI en lançant uneinstance à partir de cette AMI, consultez Pour obtenir la version de l'agent SSM actuellementinstallée. Si vous devez mettre à niveau l'agent SSM, veuillez consulter Installation etconfiguration de l'agent SSM sur des instances EC2 pour Linux.
5. Sur la page Étape 2, sélectionnez le type d'instance approprié, puis choisissez Suivant : Configurer lesdétails d'instance.
6. Sur la page Étape 3, effectuez les étapes suivantes, puis choisissez Suivant : Ajouter le stockage :
a. Pour Réseau, choisissez le VPC dans lequel votre annuaire a été créé.b. Pour Sous-réseau, choisissez l'un des sous-réseaux publics dans votre VPC. Le sous-réseau
que vous choisissez doit avoir tout le trafic externe acheminé vers une passerelle Internet. Le caséchéant, vous ne pourrez pas vous connecter à l'instance à distance.
c. Pour Attribuer automatiquement l'adresse IP publique, choisissez Activer. Pour plus d'informationssur les adresses IP publiques et privées, veuillez consulter Adressage IP des instances AmazonEC2 dans le Guide de l'utilisateur Amazon EC2 pour les instances Windows.
d. Pour Répertoire de jonction de domaines, choisissez votre domaine dans la liste.e. Pour Rôle IAM, choisissez le rôle IAM que vous avez précédemment créé dans la section des
conditions préalables Étape 2 : Créer le rôle LinuxEC2DomainJoin.
Version 1.077
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
7. Sur les pages Étape 4 et Étape 5, conservez les paramètres par défaut ou modifiez-les si nécessaire.Choisissez Suivant sur chacune d'elles.
8. Dans la page Étape 6 sélectionnez un groupe de sécurité qui a été configuré pour autoriser l'accèsdistant à l'instance à partir de votre réseau. Ensuite, choisissez Vérifier et lancer.
9. Sur la page Étape 7, choisissez Lancer, sélectionnez une paire de clés, puis choisissez Lancer uneinstance.
Note
Si vous effectuez une jonction de domaines en toute transparence avec SUSE Linux, unredémarrage est nécessaire avant que les authentifications ne fonctionnent. Pour redémarrerSUSE à partir du terminal Linux, tapez sudo reboot.
Jonction manuelle d'une instance LinuxOutre les instances Windows Amazon EC2 , vous pouvez également joindre certaines instances LinuxAmazon EC2 à votre annuaire AWS Directory Service for Microsoft Active Directory. Les distributions et lesversions d'instance Linux suivantes sont prises en charge :
• Amazon Linux AMI 2018.03.0• Amazon Linux 2 (64-bit x86)• Red Hat Enterprise Linux 8 (HVM) (64-bit x86)• Ubuntu Server 18.04 LTS & Ubuntu Server 16.04 LTS• CentOS 7 x86-64• SUSE Linux Enterprise Server 15 SP1
Note
Other Linux distributions and versions may work but have not been tested.
Joindre une instance à votre annuaireBefore you can join either an Amazon Linux, CentOS, Red Hat, or Ubuntu instance to your directory, theinstance must first be launched as specified in Jonction facile d'une instance EC2 Windows (p. 70).
Important
Some of the following procedures, if not performed correctly, can render your instanceunreachable or unusable. Therefore, we strongly suggest you make a backup or take a snapshotof your instance before performing these procedures.
Pour joindre une instance Linux à votre annuaire
Suivez les étapes pour votre instance Linux spécifique à l'aide de l'un des onglets suivants :
Amazon Linux
1. Connectez-vous à l'instance à l'aide d'un client SSH.2. Configurez l'instance Linux pour utiliser les adresses IP de serveur DNS des serveurs DNS fournis
par AWS Directory Service. Pour cela, vous pouvez la configurer dans le jeu d'options DHCP lié auVPC ou la définir manuellement sur l'instance. Si vous souhaitez la définir manuellement, consultezComment attribuer un serveur DNS statique à une instance privée Amazon EC2 dans le Centre deconnaissances AWS pour obtenir des conseils sur la configuration du serveur DNS persistant pourvotre distribution et votre version particulières de Linux.
3. Assurez-vous que l'instance Amazon Linux - 64 bits est à jour.
Version 1.078
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
sudo yum -y update
4. Installez les packages Amazon Linux obligatoires sur votre instance Linux.
Note
Certains de ces packages peuvent être déjà installés.Au fur et à mesure que vous installez les packages, plusieurs fenêtres de configurationcontextuelles peuvent apparaître. Vous pouvez généralement laisser les champs de cesécrans vides.
Amazon Linux 1
sudo yum -y install sssd realmd krb5-workstation
Amazon Linux 2
sudo yum -y install sssd realmd krb5-workstation samba-common-tools
Note
Pour obtenir de l'aide pour déterminer la version d'Amazon Linux que vous utilisez,consultez Identification des images Amazon Linux dans le Guide de l'utilisateur pour lesinstances Linux Amazon EC2.
5. Joignez l'instance à l'annuaire avec la commande suivante.
sudo realm join -U [email protected] example.com --verbose
Compte du domaine example.com disposant des privilèges de jonction de domaine. À l'invite,saisissez le mot de passe du compte. Pour obtenir plus d'informations sur la délégation deces privilèges, consultez Délégation des privilèges de jonction d'annuaire pour AWS ManagedMicrosoft AD (p. 89).
example.com
Nom DNS complet de votre annuaire.
... * Successfully enrolled machine in realm
6. Définissez le service SSH pour permettre l'authentification du mot de passe.a. Ouvrez le fichier /etc/ssh/sshd_config dans un éditeur de texte.
sudo vi /etc/ssh/sshd_config
b. Définissez le paramètre PasswordAuthentication sur yes.
PasswordAuthentication yes
c. Redémarrez le service SSH.
sudo systemctl restart sshd.service
Autrement :Version 1.0
79
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
sudo service sshd restart
7. After the instance has restarted, connect to it with any SSH client and add the AWS DelegatedAdministrators group to the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
## Add the "AWS Delegated Administrators" group from the example.com domain.%AWS\ Delegated\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
CentOS
1. Connectez-vous à l'instance à l'aide d'un client SSH.2. Configurez l'instance Linux pour utiliser les adresses IP de serveur DNS des serveurs DNS fournis
par AWS Directory Service. Pour cela, vous pouvez la configurer dans le jeu d'options DHCP lié auVPC ou la définir manuellement sur l'instance. Si vous souhaitez la définir manuellement, consultezComment attribuer un serveur DNS statique à une instance privée Amazon EC2 dans le Centre deconnaissances AWS pour obtenir des conseils sur la configuration du serveur DNS persistant pourvotre distribution et votre version particulières de Linux.
3. Assurez-vous que l'instance CentOS 7 est à jour.
sudo yum -y update
4. Installez les packages CentOS 7 obligatoires sur votre instance Linux.
Note
Certains de ces packages peuvent être déjà installés.Au fur et à mesure que vous installez les packages, plusieurs fenêtres de configurationcontextuelles peuvent apparaître. Vous pouvez généralement laisser les champs de cesécrans vides.
sudo yum -y install sssd realmd krb5-workstation samba-common-tools
5. Joignez l'instance à l'annuaire avec la commande suivante.
sudo realm join -U [email protected] example.com --verbose
Compte du domaine example.com disposant des privilèges de jonction de domaine. À l'invite,saisissez le mot de passe du compte. Pour obtenir plus d'informations sur la délégation deces privilèges, consultez Délégation des privilèges de jonction d'annuaire pour AWS ManagedMicrosoft AD (p. 89).
example.com
Nom DNS complet de votre annuaire.
Version 1.080
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
... * Successfully enrolled machine in realm
6. Définissez le service SSH pour permettre l'authentification du mot de passe.a. Ouvrez le fichier /etc/ssh/sshd_config dans un éditeur de texte.
sudo vi /etc/ssh/sshd_config
b. Définissez le paramètre PasswordAuthentication sur yes.
PasswordAuthentication yes
c. Redémarrez le service SSH.
sudo systemctl restart sshd.service
Autrement :
sudo service sshd restart
7. After the instance has restarted, connect to it with any SSH client and add the AWS DelegatedAdministrators group to the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
## Add the "AWS Delegated Administrators" group from the example.com domain.%AWS\ Delegated\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
Red Hat
1. Connectez-vous à l'instance à l'aide d'un client SSH.2. Configurez l'instance Linux pour utiliser les adresses IP de serveur DNS des serveurs DNS fournis
par AWS Directory Service. Pour cela, vous pouvez la configurer dans le jeu d'options DHCP lié auVPC ou la définir manuellement sur l'instance. Si vous souhaitez la définir manuellement, consultezComment attribuer un serveur DNS statique à une instance privée Amazon EC2 dans le Centre deconnaissances AWS pour obtenir des conseils sur la configuration du serveur DNS persistant pourvotre distribution et votre version particulières de Linux.
3. Assurez-vous que l'instance Red Hat - 64 bits est à jour.
sudo yum -y update
4. Installez les packages Red Hat obligatoires sur votre instance Linux.
Note
Certains de ces packages peuvent être déjà installés.Version 1.0
81
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
Au fur et à mesure que vous installez les packages, plusieurs fenêtres de configurationcontextuelles peuvent apparaître. Vous pouvez généralement laisser les champs de cesécrans vides.
sudo yum -y install sssd realmd krb5-workstation samba-common-tools
5. Joignez l'instance à l'annuaire avec la commande suivante.
sudo realm join -v -U join_account example.com --install=/
join_account
Le sAMAccountName d'un compte dans le domaine example.com qui dispose de privilègesde jointure de domaine. À l'invite, saisissez le mot de passe du compte. Pour obtenir plusd'informations sur la délégation de ces privilèges, consultez Délégation des privilèges dejonction d'annuaire pour AWS Managed Microsoft AD (p. 89).
example.com
Nom DNS complet de votre annuaire.
... * Successfully enrolled machine in realm
6. Définissez le service SSH pour permettre l'authentification du mot de passe.a. Ouvrez le fichier /etc/ssh/sshd_config dans un éditeur de texte.
sudo vi /etc/ssh/sshd_config
b. Définissez le paramètre PasswordAuthentication sur yes.
PasswordAuthentication yes
c. Redémarrez le service SSH.
sudo systemctl restart sshd.service
Autrement :
sudo service sshd restart
7. After the instance has restarted, connect to it with any SSH client and add the AWS DelegatedAdministrators group to the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
## Add the "AWS Delegated Administrators" group from the example.com domain.%AWS\ Delegated\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)Version 1.082
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
SUSE
1. Connectez-vous à l'instance à l'aide d'un client SSH.2. Configurez l'instance Linux pour utiliser les adresses IP de serveur DNS des serveurs DNS fournis
par AWS Directory Service. Pour cela, vous pouvez la configurer dans le jeu d'options DHCP lié auVPC ou la définir manuellement sur l'instance. Si vous souhaitez la définir manuellement, consultezComment attribuer un serveur DNS statique à une instance privée Amazon EC2 dans le Centre deconnaissances AWS pour obtenir des conseils sur la configuration du serveur DNS persistant pourvotre distribution et votre version particulières de Linux.
3. Assurez-vous que votre instance SUSE Linux 15 est à jour.a. Connectez le référentiel de packages.
sudo SUSEConnect -p PackageHub/15.1/x86_64
b. Mettre à jour SUSE.
sudo zypper update -y
4. Installez les paquets SUSE Linux 15 requis sur votre instance Linux.
Note
Certains de ces packages peuvent être déjà installés.Au fur et à mesure que vous installez les packages, plusieurs fenêtres de configurationcontextuelles peuvent apparaître. Vous pouvez généralement laisser les champs de cesécrans vides.
sudo zypper -n install realmd adcli sssd sssd-tools sssd-ad samba-client krb5-client
5. Joignez l'instance à l'annuaire avec la commande suivante.
sudo realm join -U join_account example.com --verbose
join_account
Le sAMAccountName dans le example.com domaine qui dispose de privilèges de jointure dedomaine. À l'invite, saisissez le mot de passe du compte. Pour obtenir plus d'informations surla délégation de ces privilèges, consultez Délégation des privilèges de jonction d'annuaire pourAWS Managed Microsoft AD (p. 89).
example.com
Nom DNS complet de votre annuaire.
…realm: Couldn't join realm: Enabling SSSD in nsswitch.conf and PAM failed.
Notez que les deux retours suivants sont attendus.
! Couldn't authenticate with keytab while discovering which salt to use:! Enabling SSSD in nsswitch.conf and PAM failed.
6. Activez manuellement SSSD dans PAM.
sudo pam-config --add --sss Version 1.083
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
7. Modifier nsswitch.conf pour activer SSSD dans nsswitch.conf
sudo vi /etc/nsswitch.conf
passwd: compat sssgroup: compat sssshadow: compat sss
8. Ajoutez la ligne suivante à /etc/pam.d/common-session pour créer automatiquement un répertoirede base lors de la connexion initiale
sudo vi /etc/pam.d/common-session
session optional pam_mkhomedir.so skel=/etc/skel umask=077
9. Redémarrez l'instance pour terminer le processus de jointure de domaine.
sudo reboot
10.Reconnectez-vous à l’instance à l’aide d’un client SSH pour vérifier que la jointure de domaine s’estterminée avec succès et finalisez les étapes supplémentaires.a. Pour confirmer que l'instance a été inscrite sur le domaine
sudo realm list
example.com type: kerberos realm-name: EXAMPLE.COM domain-name: example.com configured: kerberos-member server-software: active-directory client-software: sssd required-package: sssd-tools required-package: sssd required-package: adcli required-package: samba-client login-formats: %[email protected] login-policy: allow-realm-logins
b. Pour vérifier l'état du démon SSSD
systemctl status sssd
sssd.service - System Security Services Daemon Loaded: loaded (/usr/lib/systemd/system/sssd.service; enabled; vendor preset: disabled) Active: active (running) since Wed 2020-04-15 16:22:32 UTC; 3min 49s ago Main PID: 479 (sssd) Tasks: 4 CGroup: /system.slice/sssd.service ##479 /usr/sbin/sssd -i --logger=files ##505 /usr/lib/sssd/sssd_be --domain example.com --uid 0 --gid 0 --logger=files ##548 /usr/lib/sssd/sssd_nss --uid 0 --gid 0 --logger=files ##549 /usr/lib/sssd/sssd_pam --uid 0 --gid 0 --logger=files
11.Pour autoriser l'accès d'un utilisateur via SSH et la console
Version 1.084
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
sudo realm permit [email protected]
Pour autoriser un accès à un groupe de domaines via SSH et la console
sudo realm permit -g 'AWS Delegated Administrators'
Ou pour permettre à tous les utilisateurs d'accéder
sudo realm permit --all
12.Définissez le service SSH pour permettre l'authentification du mot de passe.a. Ouvrez le fichier /etc/ssh/sshd_config dans un éditeur de texte.
sudo vi /etc/ssh/sshd_config
b. Définir le PasswordAuthentication définition sur yes.
PasswordAuthentication yes
c. Redémarrez le service SSH.
sudo systemctl restart sshd.service
Autrement :
sudo service sshd restart
13.13. Une fois que l'instance a redémarré, connectez-vous y avec un client SSH et ajoutez lesgroupes d'administrateurs délégués administrateurs AWS à la liste sudoers en effectuant les étapessuivantes :a. Ouvrez le fichier sudoers avec la commande suivante :
sudo visudo
b. Ajoutez les éléments suivants en bas du fichier sudoers et enregistrez-le.
## Add the "Domain Admins" group from the awsad.com domain.%AWS\ Delegated\ [email protected] ALL=(ALL) NOPASSWD: ALL
Ubuntu
1. Connectez-vous à l'instance à l'aide d'un client SSH.2. Configurez l'instance Linux pour utiliser les adresses IP de serveur DNS des serveurs DNS fournis
par AWS Directory Service. Pour cela, vous pouvez la configurer dans le jeu d'options DHCP lié auVPC ou la définir manuellement sur l'instance. Si vous souhaitez la définir manuellement, consultezComment attribuer un serveur DNS statique à une instance privée Amazon EC2 dans le Centre deconnaissances AWS pour obtenir des conseils sur la configuration du serveur DNS persistant pourvotre distribution et votre version particulières de Linux.
3. Assurez-vous que l'instance Ubuntu - 64 bits est à jour.
sudo apt-get update
Version 1.085
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
sudo apt-get -y upgrade
4. Installez les packages Ubuntu obligatoires sur votre instance Linux.
Note
Certains de ces packages peuvent être déjà installés.Au fur et à mesure que vous installez les packages, plusieurs fenêtres de configurationcontextuelles peuvent apparaître. Vous pouvez généralement laisser les champs de cesécrans vides.
sudo apt-get -y install sssd realmd krb5-user samba-common packagekit adcli
5. Désactivez la résolution DNS inversée et définissez le domaine par défaut sur le nom de domainecomplet de votre domaine. Les instances Ubuntu doivent pouvoir faire l'objet d'une résolutioninverse dans le DNS pour qu'un domaine puisse fonctionner. Sinon, vous devez désactiver larésolutions DNS inverse dans /etc/krb5.conf de la façon suivante :
sudo vi /etc/krb5.conf
[libdefaults] default_realm = EXAMPLE.COM rdns = false
6. Joignez l'instance à l'annuaire avec la commande suivante.
sudo realm join -U join_account example.com --verbose
Le sAMAccountName d'un compte dans le domaine example.com qui dispose de privilègesde jointure de domaine. À l'invite, saisissez le mot de passe du compte. Pour obtenir plusd'informations sur la délégation de ces privilèges, consultez Délégation des privilèges dejonction d'annuaire pour AWS Managed Microsoft AD (p. 89).
example.com
Nom DNS complet de votre annuaire.
... * Successfully enrolled machine in realm
7. Définissez le service SSH pour permettre l'authentification du mot de passe.a. Ouvrez le fichier /etc/ssh/sshd_config dans un éditeur de texte.
sudo vi /etc/ssh/sshd_config
b. Définissez le paramètre PasswordAuthentication sur yes.
PasswordAuthentication yes
c. Redémarrez le service SSH.
sudo systemctl restart sshd.service
Autrement : Version 1.086
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
sudo service sshd restart
8. After the instance has restarted, connect to it with any SSH client and add the AWS DelegatedAdministrators group to the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
## Add the "AWS Delegated Administrators" group from the example.com domain.%AWS\ Delegated\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
Restriction de l'accès de connexion à un compteComme tous les comptes sont définis dans Active Directory, par défaut, tous les utilisateurs de l'annuairepeuvent se connecter à l'instance. Vous pouvez autoriser uniquement certains utilisateurs à se connecter àl'instance à l'aide de la commande ad_access_filterdans sssd.conf. Par exemple :
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
memberOf
Indique que les utilisateurs ne peuvent accéder qu'à l'instance s'ils sont membres d'un groupespécifique.
cn
Nom canonique du groupe disposant d'un accès. Dans cet exemple, le nom du groupe est admins.ou
Il s'agit de l'unité d'organisation dans laquelle se trouve le groupe ci-dessus. Dans cet exemple, l'unitéd'organisation est Testou.
dc
Il s'agit du composant de domaine de votre domaine. Dans cet exemple, example.dc
Il s'agit d'un composant de domaine supplémentaire. Dans cet exemple, com.
Vous devez ajouter manuellement ad_access_filter à votre /etc/sssd/sssd.conf.
Ouvrez le fichier /etc/sssd/sssd.conf dans un éditeur de texte.
sudo vi /etc/sssd/sssd.conf
Une fois l'opération effectuée, votre commande sssd.conf pourrait ressembler à ce qui suit :
[sssd]domains = example.comconfig_file_version = 2
Version 1.087
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
services = nss, pam
[domain/example.com] ad_domain = example.com krb5_realm = EXAMPLE.COM realmd_tags = manages-system joined-with-samba cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True use_fully_qualified_names = True fallback_homedir = /home/%u@%d access_provider = ad ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
Pour que la configuration soit appliquée, vous devez redémarrer le service sssd :
sudo systemctl restart sssd.service
Vous pouvez également utiliser :
sudo service sssd start
Connexion à l'instanceLorsqu'un utilisateur se connecte à l'instance à l'aide d'un client SSH, il est invité à indiquer son nomd'utilisateur. L'utilisateur peut entrer le nom d'utilisateur au format [email protected] ou au formatEXAMPLE\username. La réponse apparaîtra similaire à la suivante, selon la distribution Linux que vousutilisez :
Amazon Linux, Red Hat Enterprise Linux et CentOS Linux
login as: [email protected]@example.com's password:Last login: Thu Jun 25 16:26:28 2015 from XX.XX.XX.XX
SUSE Linux
SUSE Linux Enterprise Server 15 SP1 x86_64 (64-bit) As "root" (sudo or sudo -i) use the: - zypper command for package management - yast command for configuration management Management and Config: https://www.suse.com/suse-in-the-cloud-basicsDocumentation: https://www.suse.com/documentation/sles-15/Forum: https://forums.suse.com/forumdisplay.php?93-SUSE-Public-Cloud Have a lot of fun...
Ubuntu Linux
login as: [email protected]@[email protected]'s password:Welcome to Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-1057-aws x86_64) * Documentation: https://help.ubuntu.com* Management: https://landscape.canonical.com
Version 1.088
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
* Support: https://ubuntu.com/advantage System information as of Sat Apr 18 22:03:35 UTC 2020 System load: 0.01 Processes: 102 Usage of /: 18.6% of 7.69GB Users logged in: 2 Memory usage: 16% IP address for eth0: 10.24.34.1 Swap usage: 0%
Délégation des privilèges de jonction d'annuaire pour AWSManaged Microsoft ADPour joindre un ordinateur à votre annuaire, vous devez disposer d'un compte doté des privilèges dejonction des ordinateurs à l'annuaire.
Avec AWS Directory Service for Microsoft Active Directory, les membres des groupes Admins et AWSDelegated Server Administrators (Administrateurs délégués des serveurs AWS) disposent de cesprivilèges.
Cependant, en tant que bonne pratique, vous devez utiliser un compte disposant uniquement des privilègesminimum nécessaires. La procédure suivante montre comment créer un nouveau groupe appelé Joinerset déléguer les privilèges à ce groupe qui sont nécessaires pour joindre des ordinateurs à l'annuaire.
Vous devez effectuer cette procédure sur un ordinateur qui est joint à votre annuaire et qui a le Utilisateurset ordinateurs Active Directory Encliquetage MMC installé. Vous devez également être connecté en tantqu'administrateur de domaine.
Pour déléguer les privilèges de jonction pour AWS Managed Microsoft AD
1. Ouvert Utilisateurs et ordinateurs Active Directory et sélectionnez l’unité organisationnelle (UO) àlaquelle votre NetBIOS dans l’arborescence de navigation, puis sélectionnez le nom Utilisateurs Unitéd’organisation.
Important
Lorsque vous lancez un AWS Directory Service for Microsoft Active Directory, AWS crée uneunité d'organisation (UO) qui contient les objets de votre annuaire. Cette unité d’organisation,qui possède le NetBIOS que vous avez saisi lorsque vous avez créé votre annuaire, se trouvedans la racine du domaine. La racine du domaine appartient à AWS, qui la gère. Vous nepouvez pas apporter de modifications à la racine du domaine elle-même, vous devez donccréer le Joiners au sein de l’unité d’organisation qui a votre NetBIOS nom.
2. Ouvrez le menu contextuel (clic droit) pour Utilisateurs, choisissez Nouveau, puis choisissez Groupe.3. Dans la zone Nouvel objet - groupe, saisissez ce qui suit et choisissez OK.
• Pour Nom du groupe, tapez Joiners.• Pour Étendue du groupe, choisissez Global.• Pour Type de groupe, choisissez Sécurité.
4. Dans l’arborescence de navigation, sélectionnez le bouton Ordinateurs sous votre NetBIOS nom. Apartir du menu Action, choisissez Déléguer le contrôle.
5. Sur la page Delegation of Control Wizard, choisissez Next, puis choisissez Add.6. Dans la zone Select Users, Computers, or Groups, saisissez Joiners, puis choisissez OK. Si vous
trouvez plusieurs objets, sélectionnez le groupe Joiners créé précédemment. Choisissez Next(Suivant).
7. Sur la page Tâches à déléguer, sélectionnez Créer une tâche personnalisée à déléguer, puischoisissez Suivant.
8. Sélectionnez Only the following objects in the folder, puis Computer objects.
Version 1.089
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
9. Sélectionnez Créer les objets sélectionnés dans ce dossier et Supprimer les objets sélectionnés dansce dossier. Sélectionnez ensuite Next (Suivant).
10. Sélectionnez Lecture et Ecriture, puis choisissez Suivant.
11. Vérifiez les informations de la page Fin de l'Assistant Délégation de contrôle, puis choisissez Terminer.12. Créez un utilisateur avec un mot de passe fort et ajoutez-le au groupe Joiners. Cet utilisateur doit se
trouver dans le Utilisateurs qui se trouve sous votre NetBIOS nom. L'utilisateur aura alors les privilègesnécessaires pour connecter les instances à l'annuaire.
Création d'un jeu d'options DHCPAWS recommande de créer un jeu d'options DHCP pour votre annuaire AWS Directory Service et del'affecter au VPC dans lequel figure votre annuaire. Cela permet à toutes les instances de ce VPC depointer vers le domaine et les serveurs DNS spécifiés pour résoudre leurs noms de domaine.
Pour plus d'informations sur les jeux d'options DHCP, consultez Jeux d'options DHCP dans le AmazonVPC Guide de l'utilisateur.
Pour créer un jeu d'options DHCP défini pour votre annuaire
1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le panneau de navigation, choisissez DHCP Options Sets, puis sélectionnez Create DHCP
options set.
Version 1.090
AWS Directory Service Guide d'administrationGérer des utilisateurs et des groupes
3. Sur la page Créer un jeu d'options DHCP, entrez les valeurs suivantes pour votre annuaire :
Nom
Balise facultative pour le jeu d'options.Nom de domaine
Nom complet de votre annuaire, par exemple corp.example.com.Serveurs de noms de domaine
Adresses IP des serveurs DNS de l'annuaire fourni par AWS.
Note
Vous pouvez trouver ces adresses en accédant au panneau de navigation de la AWSDirectory Service console, en sélectionnant Directories (Annuaires), puis en choisissantl'ID de l'annuaire approprié.
Serveurs NTP
Laissez ce champ vide.Serveurs de noms NetBIOS
Laissez ce champ vide.Type de nœud NetBIOS
Laissez ce champ vide.4. Choisissez Créer un jeu d'options DHCP. Le nouveau jeu d'options DHCP apparaît dans votre liste
d'options DHCP.5. Notez l'ID du nouveau jeu d'options DHCP (dopt-xxxxxxxx). Vous l'utiliserez pour associer le
nouveau jeu d'options à votre VPC.
Modifier le jeu d'options DHCP associé à un VPC
Vous ne pouvez pas modifier un jeu d'options DHCP après l'avoir créé. Si vous voulez que votre VPCutilise un jeu différent d'options DHCP, vous devez créer un nouveau jeu et l'associer à votre VPC. Vouspouvez également configurer votre VPC pour ne pas utiliser d'options DHCP du tout.
1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le panneau de navigation, choisissez Vos VPC.3. Sélectionnez le VPC, puis choisissez Actions, Modifier le jeu d'options DHCP.4. Pour Jeu d'options DHCP, sélectionnez un jeu d'options ou choisissez Pas de jeu d'options DHCP,
puis Enregistrer.
Gérer des utilisateurs et des groupes dans AWSManaged Microsoft ADUsers represent individual people or entities that have access to your directory. Groups are very usefulfor giving or denying privileges to groups of users, rather than having to apply those privileges to eachindividual user. If a user moves to a different organization, you move that user to a different group and theyautomatically receive the privileges needed for the new organization.
To create users and groups in an AWS Directory Service directory, you must use any instance (from eitheron-premises or EC2) that has been joined to your AWS Directory Service directory, and be logged in asa user that has privileges to create users and groups. You will also need to install the Active Directory
Version 1.091
AWS Directory Service Guide d'administrationGérer des utilisateurs et des groupes
Tools on your EC2 instance so you can add your users and groups with the Active Directory Users andComputers snap-in. For more information about how to set up an EC2 instance and install the necessarytools, see Étape 3 : Déploiement d’une instance EC2 à gérer AWS Managed Microsoft AD (p. 159).
Note
Your user accounts must have Kerberos preauthentication enabled. This is the default setting fornew user accounts, but it should not be modified. For more information about this setting, go toPreauthentication on Microsoft TechNet.
The following topics include instructions on how to create and manage users and groups.
Rubriques• Installation des outils d'administration Active Directory (p. 92)• créer un utilisateur ; (p. 92)• Réinitialiser un mot de passe utilisateur (p. 93)• Création d'un groupe (p. 94)• Ajouter un utilisateur à un groupe (p. 94)
Installation des outils d'administration Active DirectoryTo manage your directory from an EC2 Windows instance, you need to install the Active Directory DomainServices and Active Directory Lightweight Directory Services Tools on the instance. Use the followingprocedure to install these tools on either Windows Server 2012, Windows Server 2016, or Windows Server2019.
You can optionally choose to install the Active Directory administration tools using Windows PowerShell.For example, you can install the Active Directory remote administration tools from a PowerShell promptusing Install-WindowsFeature RSAT-ADDS. For more information, see Install-WindowsFeature on theMicrosoft Website.
Install the Active Directory Administration Tools on Windows Server 2012 throughWindows Server 2019
To install the Active Directory administration tools on Windows Server 2012 through WindowsServer 2019
1. Open Server Manager from the Start screen by choosing Server Manager.2. In the Server Manager Dashboard, choose Add roles and features,3. In the Add Roles and Features Wizard choose Installation Type, select Role-based or feature-based
installation, and choose Next.4. Under Server Selection, make sure the local server is selected, and choose Features in the left
navigation pane.5. In the Features tree, open Remote Server Administration Tools, Role Administration Tools, select AD
DS and AD LDS Tools, scroll down and select DNS Server Tools, and then choose Next.6. Review the information and choose Install. When the feature installation is finished, the Active
Directory Domain Services and Active Directory Lightweight Directory Services Tools are available onthe Start screen in the Administrative Tools folder.
créer un utilisateur ;Utilisez la procédure suivante pour créer un utilisateur avec une instance EC2 qui est jointe à votreannuaire AWS Managed Microsoft AD.
Version 1.092
AWS Directory Service Guide d'administrationGérer des utilisateurs et des groupes
To create a user
1. Open the Active Directory Users and Computers tool. There is a shortcut to this tool in theAdministrative Tools folder.
Tip
You can run the following from a command prompt on the instance to open the ActiveDirectory Users and Computers tool box directly.
%SystemRoot%\system32\dsa.msc
2. In the directory tree, select an OU under your directory's NetBIOS name OU where you want to storeyour user (for example, Corp\Users). For more information about the OU structure used by directoriesin AWS, see Ce qui est créé ? (p. 13).
3. On the Action menu, click New, and then click User to open the new user wizard.4. On the first page of the wizard, enter the values for the following fields, and then click Next.
• First name• Last name• User logon name
5. On the second page of the wizard, type a temporary password in Password and Confirm Password.Make sure the User must change password at next logon option is selected. None of the other optionsshould be selected. Click Next.
6. On the third page of the wizard, verify that the new user information is correct and click Finish. The newuser will appear in the Users folder.
Réinitialiser un mot de passe utilisateurLes utilisateurs doivent respecter les stratégies de mot de passe définies dans l'annuaire. Parfois, mêmeles utilisateurs les plus avancés, y compris l'administrateur de l'annuaire, perdent leur mot de passe. Dansce cas, vous devez réinitialiser rapidement le mot de passe utilisateur à l'aide d'AWS Directory Service sil'utilisateur en question figure dans un annuaire Simple AD ou AWS Managed Microsoft AD.
Vous pouvez réinitialiser le mot de passe de n'importe quel utilisateur de votre annuaire, sauf dans les cassuivants :
• Pour Simple AD, vous ne pouvez pas réinitialiser le mot de passe d'un utilisateur qui est membre dugroupe Administrateurs du domaine ou Administrateurs d'entreprise, sauf pour l'utilisateur Administrateur.
• Pour AWS Managed Microsoft AD, vous ne pouvez pas réinitialiser le mot de passe d'un utilisateur quise trouve dans une autre unité d'organisation (UO) que celle basée sur le nom NetBIOS que vous avezentré au moment de créer votre annuaire. Par exemple, vous ne pouvez pas réinitialiser le mot de passed'un utilisateur qui se trouve dans l'UO AWS Reserved. Pour plus d'informations sur la structure desunités d'organisation d'un annuaire AWS Managed Microsoft AD, consultez Ce qui est créé ? (p. 13).
Vous pouvez utiliser l'une des méthodes ci-dessous pour réinitialiser le mot de passe d'un utilisateur.
Méthode 1 : pour réinitialiser le mot de passe d'un utilisateur avec AWS Management Console
1. Dans le volet de navigation de la console AWS Directory Service, sous Active Directory, choisissezAnnuaires, puis sélectionnez l'annuaire dans la liste où figure l'utilisateur dont vous souhaitezréinitialiser le mot de passe.
2. Dans la page Directory details (Détails de l'annuaire) choisissez Réinitialiser le mot de passeutilisateur.
Version 1.093
AWS Directory Service Guide d'administrationGérer des utilisateurs et des groupes
3. Dans la boîte de dialogue Réinitialiser le mot de passe utilisateur, dans Nom d'utilisateur, entrez lenom d'utilisateur de l'utilisateur dont le mot de passe doit être modifié.
4. Entrez un mot de passe dans Nouveau mot de passe et Confirmer le mot de passe, puis choisissezRéinitialiser le mot de passe.
Méthode 2 : pour réinitialiser un mot de passe utilisateur avec Windows PowerShell
1. Ouvrez Windows PowerShell.2. Entrez la commande suivante et remplacez le nom d'utilisateur « joebob » et le mot de passe
« P@ssw0rd » par les informations d'identification souhaitées. Pour plus d'informations, consultezReset-DSUserPassword Cmdlet.
Reset-DSUserPassword -UserName joebob -DirectoryId d-1234567890 -NewPasswordP@ssw0rd
Méthode 3 : pour réinitialiser le mot de passe d'un utilisateur avec l'AWS CLI
1. Ouvrez l'AWS CLI.2. Entrez la commande suivante et remplacez le nom d'utilisateur « joebob » et le mot de passe
« P@ssw0rd » par les informations d'identification souhaitées. Pour plus d'informations, consultezreset-user-password dans le document Référence sur les commandes AWS CLI.
aws ds reset-user-password --directory-id d-1234567890 --user-name joebob --new-password P@ssw0rd
Création d'un groupeUtilisez la procédure suivante pour créer un groupe de sécurité avec une instance EC2 qui est jointe à votreannuaire AWS Managed Microsoft AD.
To create a group
1. Open the Active Directory Users and Computers tool. There is a shortcut to this tool in theAdministrative Tools folder.
Tip
You can run the following from a command prompt on the instance to open the ActiveDirectory Users and Computers tool box directly.
%SystemRoot%\system32\dsa.msc
2. In the directory tree, select an OU under your directory's NetBIOS name OU where you want to storeyour group (for example, Corp\Users). For more information about the OU structure used by directoriesin AWS, see Ce qui est créé ? (p. 13).
3. On the Action menu, click New, and then click Group to open the new group wizard.4. Type a name for the group in Group name, select a Group scope, and select Security for the Group
type.5. Click OK. The new security group will appear in the Users folder.
Ajouter un utilisateur à un groupeUtilisez la procédure suivante pour ajouter un utilisateur à un groupe de sécurité avec une instance EC2 quiest jointe à votre annuaire AWS Managed Microsoft AD.
Version 1.094
AWS Directory Service Guide d'administrationConnexion à votre infrastructure AD existante
Pour ajouter un utilisateur à un groupe
1. Ouvrez l'outil Utilisateurs et ordinateurs Active Directory. Il existe un raccourci vers cet outil dans ledossier Outils d'administration.
Tip
Vous pouvez exécuter l'élément suivant à partir d'une invite de commande sur l'instance pourouvrir directement l'outil Utilisateurs et ordinateurs Active Directory.
%SystemRoot%\system32\dsa.msc
2. Dans l'arborescence de l'annuaire, sélectionnez l'unité d'organisation en dessous de l'unitéd'organisation qui porte le nom NetBIOS de votre annuaire et dans laquelle vous avez stocké votregroupe, puis sélectionnez le groupe auquel vous voulez ajouter un utilisateur comme membre.
3. Dans le menu Action, cliquez sur Propriétés pour ouvrir la boîte de dialogue des propriétés du groupe.4. Sélectionnez l'onglet Membres, puis cliquez sur Ajouter.5. Dans Entrez les noms des objets à sélectionner, entrez le nom d'utilisateur à ajouter, puis cliquez
sur OK. Le nom s'affiche dans la liste Membres. Cliquez à nouveau sur OK pour mettre à jour lesmembres du groupe.
6. Vérifiez que l'utilisateur est maintenant membre du groupe en sélectionnant son nom dans le dossierUtilisateurs, puis cliquez sur Propriétés dans le menu Action pour ouvrir la boîte de dialogue despropriétés. Sélectionnez l'onglet Membre de. Le nom du groupe doit figurer dans la liste des groupesauxquels appartient l'utilisateur.
Connexion à votre infrastructure AD existanteCette section explique comment configurer les relations d'approbation entre AWS Managed Microsoft AD etvotre infrastructure AD existante.
Rubriques• Quand créer une relation d'approbation (p. 95)• Tutoriel : Créer une relation d’approbation entre vos AWS Managed Microsoft AD et votre domaine sur
site (p. 103)
Quand créer une relation d'approbationVous pouvez configurer des relations d’approbation unidirectionnelles et bilatérales externes et forestièresentre votre AWS Directory Service for Microsoft Active Directory et les répertoires sur site, ainsi qu’entreplusieurs AWS Managed Microsoft AD répertoires dans le AWS dans le cloud. AWS Managed Microsoft ADprend en charge les trois directions de relation d’approbation : Appels entrants, sortants et bidirectionnels.
Note
Lors de la définition des relations d'approbation, vous devez vous assurer que votre annuaire sursite est toujours compatible avec les Services d'annuaire AWS. Pour plus d'informations sur vosresponsabilités, consultez notre modèle de responsabilité partagée.
AWS Managed Microsoft AD prend en charge à la fois les approbations externes et de forêts. Pourpasser en revue un exemple de scénario montrant comment créer une approbation de forêt, consultezTutoriel : Créer une relation d’approbation entre vos AWS Managed Microsoft AD et votre domaine sursite (p. 103).
Version 1.095
AWS Directory Service Guide d'administrationConnexion à votre infrastructure AD existante
PrerequisitesLa création de l'approbation s'effectue en quelques étapes seulement, mais vous devez d'abord effectuerplusieurs étapes préalables à la phase de configuration de la relation d'approbation.
Note
AWS Managed Microsoft AD ne prend pas en charge les approbations avec domaines à étiquetteunique.
Connexion au VPC
Si vous créez une relation d'approbation avec votre annuaire sur site, vous devez tout d'abord connectervotre réseau local au VPC contenant votre AWS Managed Microsoft AD. Les ports suivants doivent êtreouverts sur le pare-feu de votre réseau sur site CIDRs pour les deux sous-réseaux dans le VPC.
• TCP/UDP 53 ‑ DNS• TCP/UDP 88 ‑ Authentification Kerberos• TCP/UDP 389 ‑ LDAP• TCP 445 ‑ SMB
Note
SMBv1 n’est plus pris en charge.
Il s'agit des ports minimum requis pour vous permettre de vous connecter à votre annuaire. Votreconfiguration spécifique peut nécessiter l'ouverture de ports supplémentaires.
Configuration de votre VPC
Le VPC qui contient votre AWS Managed Microsoft AD doit disposer des règles sortantes et entrantesappropriées.
Pour configurer vos règles sortantes VPC
1. Dans le AWS Directory Service console, sur la page Directory Details (Détails de l'annuaire), notezvotre ID d'annuaire AWS Managed Microsoft AD.
2. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.3. Choisissez Security Groups.4. Recherchez votre ID d'annuaire AWS Managed Microsoft AD. Dans les résultats de recherche,
sélectionnez l'élément avec la description « AWS created security group for directory ID directorycontrollers ».
Note
Le groupe de sécurité sélectionné est un groupe de sécurité qui est créé automatiquementlorsque vous créez initialement votre annuaire.
5. Accédez à l'onglet Outbound Rules de ce groupe de sécurité. Sélectionnez Edit, puis Add another rule.Pour la nouvelle règle, saisissez les valeurs suivantes :
• Type : Tout le trafic• Protocole: Toutes• La Destination détermine le trafic qui peut quitter vos contrôleurs de domaine et où il peut aller sur
votre réseau local. Indiquez une adresse IP unique ou une plage d'adresses IP dans une notationCIDR (par exemple, 203.0.113.5/32). Vous pouvez également indiquer le nom ou l'ID d'un autregroupe de sécurité dans la même région. Pour plus d'informations, consultez la section Comprendrel'utilisation et la configuration du groupe de sécurité AWS de votre annuaire (p. 142).
6. Sélectionnez Save.
Version 1.096
AWS Directory Service Guide d'administrationConnexion à votre infrastructure AD existante
Pour configurer vos règles entrantes VPC
1. Dans le AWS Directory Service console, sur la page Directory Details (Détails de l'annuaire), notezvotre ID d'annuaire AWS Managed Microsoft AD.
2. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.3. Choisissez Security Groups.4. Recherchez votre ID d'annuaire AWS Managed Microsoft AD. Dans les résultats de recherche,
sélectionnez l'élément avec la description « AWS created security group for directory ID directorycontrollers ».
Note
Le groupe de sécurité sélectionné est un groupe de sécurité qui est créé automatiquementlorsque vous créez initialement votre annuaire.
5. Accédez à l'onglet Inbound Rules de ce groupe de sécurité. Sélectionnez Edit, puis Add another rule.Pour la nouvelle règle, saisissez les valeurs suivantes :
• Type : Règle UDP personnalisée• Protocole: UDP• Plage de ports: 445• Pour Source, indiquez une adresse IP unique ou une plage d'adresses IP dans une notation CIDR
(par exemple, 203.0.113.5/32). Vous pouvez également indiquer le nom ou l'ID d'un autre groupe desécurité dans la même région. Ce paramètre détermine le trafic qui peut atteindre vos contrôleursde domaine depuis votre réseau local. Pour plus d'informations, consultez la section Comprendrel'utilisation et la configuration du groupe de sécurité AWS de votre annuaire (p. 142).
6. Sélectionnez Save.7. Répétez ces opérations pour ajouter chacune des règles suivantes :
Tapez Protocol Plage deports
Source
Règle UDP personnalisée UDP 88 Spécifiezle traficSourceutilisé àl'étapeprécédente.
Règle UDP personnalisée UDP 123 Spécifiezle traficSourceutilisé àl'étapeprécédente.
Règle UDP personnalisée UDP 138 Spécifiezle traficSourceutilisé àl'étapeprécédente.
Règle UDP personnalisée UDP 389 Spécifiezle traficSourceutilisé à
Version 1.097
AWS Directory Service Guide d'administrationConnexion à votre infrastructure AD existante
Tapez Protocol Plage deports
Source
l'étapeprécédente.
Règle UDP personnalisée UDP 464 Spécifiezle traficSourceutilisé àl'étapeprécédente.
Destination TCP 88 Spécifiezle traficSourceutilisé àl'étapeprécédente.
Destination TCP 135 Spécifiezle traficSourceutilisé àl'étapeprécédente.
Destination TCP 445 Spécifiezle traficSourceutilisé àl'étapeprécédente.
Destination TCP 464 Spécifiezle traficSourceutilisé àl'étapeprécédente.
Destination TCP 636 Spécifiezle traficSourceutilisé àl'étapeprécédente.
Destination TCP 1024-65535 Spécifiezle traficSourceutilisé àl'étapeprécédente.
Version 1.098
AWS Directory Service Guide d'administrationConnexion à votre infrastructure AD existante
Tapez Protocol Plage deports
Source
Destination TCP 3268 ‑ 3269 Spécifiezle traficSourceutilisé àl'étapeprécédente.
DNS (UDP) UDP 53 Spécifiezle traficSourceutilisé àl'étapeprécédente.
DNS (TCP) TCP 53 Spécifiezle traficSourceutilisé àl'étapeprécédente.
LDAP TCP 389 Spécifiezle traficSourceutilisé àl'étapeprécédente.
Tous les ICMP Toutes S/O Spécifiezle traficSourceutilisé àl'étapeprécédente.
Tout le trafic Toutes Toutes Groupe desécuritéactuel(groupe desécuritéde votreannuaire).
Ces règles de sécurité ont un impact sur une interface réseau interne qui n'est pas exposéepubliquement.
Activation de l'authentification préalable Kerberos
Vos comptes d'utilisateur doivent avoir une pré-authentification Kerberos activée. Pour plus d’informationssur ce paramètre, consultez Pré-authentification sur Microsoft TechNet.
Version 1.099
AWS Directory Service Guide d'administrationConnexion à votre infrastructure AD existante
Configuration des redirecteurs conditionnels DNS sur votre domaine sur site
Vous devez configurer des redirecteurs conditionnels DNS sur votre domaine sur site. Reportez-vous àAttribuer un redirecteur conditionnel pour un nom de domaine sur Microsoft TechNet pour plus de détailssur les redirecteurs conditionnels.
Pour effectuer les étapes suivantes, vous devez avoir accès aux outils Windows Server suivants pour votredomaine sur site :
• Outils AD DS et AD LDS• DNS
Pour configurer les redirecteurs conditionnels sur votre domaine sur site
1. Vous devez d'abord obtenir des informations sur votre annuaire AWS Managed Microsoft AD.Connectez-vous à AWS Management Console et ouvrez la AWS Directory Service console à l'adressehttps://console.aws.amazon.com/directoryservicev2/.
2. Dans le volet de navigation, sélectionnez Directories.3. Choisissez l'ID d'annuaire de votre AWS Managed Microsoft AD.4. Prenez note du nom de domaine complet (FQDN) et des adresses DNS de votre annuaire.5. Maintenant, revenez à votre contrôleur de domaine sur site. Ouvrez le Gestionnaire de serveur.6. Dans le menu Tools, choisissez DNS.7. Dans l'arborescence de la console, développez le serveur DNS du domaine pour lequel vous
configurez la relation d'approbation.8. Dans l'arborescence de la console, sélectionnez Conditional Forwarders.9. Dans le menu Action, choisissez New conditional forwarder.10. Dans DNS domain (Domaine DNS), tapez le nom de domaine complet (FQDN) de votre AWS
Managed Microsoft AD, que vous avez noté précédemment.11. Choisissez IP addresses of the master servers (Adresses IP des serveurs maîtres) et entrez les
adresses DNS de votre annuaire AWS Managed Microsoft AD, que vous avez notées précédemment.
Après avoir saisi les adresses DNS, il se peut que l'erreur « timeout » ou « Impossible à résoudre »s'affiche. Vous pouvez généralement ignorer ces erreurs.
12. Sélectionner Stockez ce redirecteur conditionnel dans Active Directory et répliquez-le comme suit :Tous les serveurs DNS de ce domaine. Choisissez OK.
Mot de passe de relation d'approbation
Si vous créez une relation d'approbation avec un domaine existant, configurez la relation d'approbation surce domaine à l'aide des outils d'administration de Windows Server. Pensez à relever le mot de passe de larelation d'approbation que vous utilisez. Vous devrez utiliser ce même mot de passe lors de la configurationde la relation d'approbation sur le AWS Managed Microsoft AD. Pour plus d’informations, consultez Gestiondes approbations sur Microsoft TechNet.
Vous êtes maintenant prêt à créer la relation d'approbation sur votre AWS Managed Microsoft AD.
Création, vérification ou suppression d'une relation d'approbation
Pour créer une relation d'approbation avec votre AWS Managed Microsoft AD
1. Ouvrez AWS Directory Service console.2. Sur la page Directories (Annuaires), choisissez l'ID de votre AWS Managed Microsoft AD.
Version 1.0100
AWS Directory Service Guide d'administrationConnexion à votre infrastructure AD existante
3. Sur la page Directory details (Détails de l'annuaire), sélectionnez l'onglet Networking & security (Miseen réseau et sécurité).
4. Dans la section Trust relationships (Relations d'approbation), choisissez Actions, puis sélectionnezAdd trust relationship (Ajouter une relation d'approbation).
5. Sur la page Ajouter une relation d'approbation, fournissez les informations requises, y compris le typed'approbation, le nom de domaine complet (FQDN) de votre domaine approuvé, le mot de passe et ladirection d'approbation.
6. (Facultatif) Si vous voulez que seuls les utilisateurs autorisés accèdent aux ressources de votreannuaire AWS Managed Microsoft AD, vous pouvez, si vous le souhaitez, sélectionner la case àcocher Authentification sélective. Pour des informations générales sur l’authentification sélective, voirConsidérations de sécurité pour les fiducies sur Microsoft TechNet.
7. Pour Conditional forwarder, saisissez l'adresse IP de votre serveur DNS sur site. Si vous avez crééprécédemment des redirecteurs conditionnels, vous pouvez saisir le nom de domaine complet de votredomaine sur site au lieu d'une adresse IP DNS.
8. (Facultatif) Choisissez Add another IP (Ajouter une autre adresse IP) et entrez l'adresse IP d'unautre serveur DNS sur site. Vous pouvez répéter cette étape pour chaque adresse de serveur DNSapplicable pour un total de quatre adresses.
9. Choisissez Add (Ajouter).10. Si le serveur DNS ou le réseau de votre domaine sur site utilise un espace d'adressage IP publique
(non RFC 1918), accédez à la section IP routing (Routage IP) et choisissez Actions, puis Add route(Ajouter une route). Tapez le bloc d'adresse IP de votre serveur DNS ou réseau interne selon le formatCIDR, par exemple 203.0.113.0/24. Cette étape n'est pas nécessaire si votre serveur DNS et votreréseau sur site utilisent des espaces d'adressage IP RFC 1918.
Note
Lorsque vous définissez un espace d'adressage IP publique, assurez-vous de ne pas utiliserl'une des plages d'adresses IP AWS ; en effet, celles-ci ne peuvent pas être exploitées dansce type de cas.
11. (Facultatif) Nous vous recommandons de sélectionner Add routes to the security group for thisdirectory's VPC (Ajouter des routes au groupe de sécurité pour le VPC de cet annuaire) pendant quevous êtes sur la page Add routes (Ajouter des routes). Cela va permettre de configurer les groupesde sécurité comme indiqué ci-dessus dans la section « Configuration de votre VPC ». Ces règles desécurité ont un impact sur une interface réseau interne qui n'est pas exposée publiquement. Si cetteoption n'est pas disponible, un message s'affichera pour indiquer que vous avez déjà personnalisé vosgroupes de sécurité.
Vous devez configurer la relation d'approbation sur les deux domaines. Les relations doivent êtrecomplémentaires. Par exemple, si vous créez une relation d'approbation sortante sur un domaine, vousdevez créer une relation d'approbation entrante sur l'autre.
Si vous créez une relation d'approbation avec un domaine existant, configurez la relation d'approbation surce domaine à l'aide des outils d'administration de Windows Server.
Vous pouvez créer plusieurs approbations entre votre domaine AWS Managed Microsoft AD et différentsdomaines Active Directory. Cependant, vous ne pouvez avoir qu'une seule relation d'approbation par paire.Par exemple, si vous avez une relation d'approbation unidirectionnelle dans la « direction entrante » etque vous souhaitez configurer une autre relation d'approbation dans la « direction sortante », vous devrezsupprimer la relation d'approbation existante et créer une nouvelle approbation « bidirectionnelle ».
Pour vérifier une relation d'approbation sortante
1. Ouvrez AWS Directory Service console.2. Sur la page Directories (Annuaires), choisissez l'ID de votre AWS Managed Microsoft AD.
Version 1.0101
AWS Directory Service Guide d'administrationConnexion à votre infrastructure AD existante
3. Sur la page Directory details (Détails de l'annuaire), sélectionnez l'onglet Networking & security (Miseen réseau et sécurité).
4. Dans la section Trust relationships (Relations d'approbation), sélectionnez la relation d'approbationque vous voulez vérifier et choisissez Actions, puis Verify trust relationship (Vérifier la relationd'approbation).
Ce processus vérifie uniquement la direction sortante d'une relation d'approbation bidirectionnelle. AWSne prend pas en charge la vérification d'une relation d'approbation entrante. Pour plus d’informations sur lavérification d’une approbation vers ou depuis votre annuaire Active Directory sur site, consultez Vérifier unefiducie sur Microsoft TechNet.
Suppression d'une relation d'approbation existante
1. Ouvrez AWS Directory Service console.2. Sur la page Directories (Annuaires), choisissez l'ID de votre AWS Managed Microsoft AD.3. Sur la page Directory details (Détails de l'annuaire), sélectionnez l'onglet Networking & security (Mise
en réseau et sécurité).4. Dans la section Trust relationships (Relations d'approbation), sélectionnez la relation d'approbation
que vous voulez supprimer et choisissez Actions, puis Delete trust relationship (Supprimer la relationd'approbation).
5. Sélectionnez Supprimer.
Ajout de routes IP lors de l'utilisation d'adresses IP publiques
Vous pouvez utiliser AWS Directory Service for Microsoft Active Directory pour tirer profit de nombreusesfonctionnalités puissantes d'Active Directory, y compris l'établissement d'approbation avec d'autresannuaires. Toutefois, si les serveurs DNS des réseaux d'autres annuaires utilisent des adresses IPpubliques (non RFC 1918), vous devez spécifier ces adresses IP dans le cadre de la configuration de larelation d'approbation. Vous pourrez trouver des informations à ce sujet dans Quand créer une relationd'approbation (p. 95).
De même, vous devez également entrer les adresses IP lors du routage du trafic entre votre AWSManaged Microsoft AD sur AWS et un VPC AWS homologue, si l'ordinateur virtuel utilise des plagesd'adresses IP publiques.
Lorsque vous ajoutez les adresses IP comme décrit dans Quand créer une relationd'approbation (p. 95), vous avez la possibilité de sélectionner Add routes to the security group for thisdirectory's VPC. Cette option doit être sélectionnée, sauf si vous avez déjà personnalisé votre groupede sécurité pour autoriser le trafic nécessaire comme indiqué ci-dessous. Pour plus d'informations,consultez la section Comprendre l'utilisation et la configuration du groupe de sécurité AWS de votreannuaire (p. 142).
Cette option configure les groupes de sécurité pour le VPC de votre annuaire comme suit :
Règles entrantes
Tapez Protocol Plage deports
Source
Règle UDP personnalisée UDP 88 0.0.0.0/0
Règle UDP personnalisée UDP 123 0.0.0.0/0
Règle UDP personnalisée UDP 138 0.0.0.0/0
Règle UDP personnalisée UDP 389 0.0.0.0/0
Version 1.0102
AWS Directory Service Guide d'administrationConnexion à votre infrastructure AD existante
Tapez Protocol Plage deports
Source
Règle UDP personnalisée UDP 445 0.0.0.0/0
Règle UDP personnalisée UDP 464 0.0.0.0/0
Destination TCP 88 0.0.0.0/0
Destination TCP 135 0.0.0.0/0
Destination TCP 445 0.0.0.0/0
Destination TCP 464 0.0.0.0/0
Destination TCP 636 0.0.0.0/0
Destination TCP 1024-65535 0.0.0.0/0
Destination TCP 3268 ‑ 3269 0.0.0.0/0
DNS (UDP) UDP 53 0.0.0.0/0
DNS (TCP) TCP 53 0.0.0.0/0
LDAP TCP 389 0.0.0.0/0
Tous les ICMP Toutes S/O 0.0.0.0/0
Règles sortantes
Tapez Protocol Plage deports
Destination
Tout le trafic Toutes Toutes 0.0.0.0/0
Ces règles de sécurité affectent une interface réseau interne qui n'est pas exposée publiquement.
Tutoriel : Créer une relation d’approbation entre vos AWSManaged Microsoft AD et votre domaine sur siteCe didacticiel vous guide à travers toutes les étapes nécessaires pour configurer une relation d'approbationentre AWS Directory Service for Microsoft Active Directory et votre annuaire Microsoft Active Directory sursite. Même si la création de la relation d'approbation ne requiert que quelques étapes, vous devez d'abordeffectuer les étapes préalables suivantes.
Rubriques• Prerequisites (p. 104)• Étape 1 : Préparez votre domaine sur site (p. 105)• Étape 2 : Préparez votre AWS Managed Microsoft AD (p. 107)• Étape 3 : Créer la relation d’approbation (p. 113)
Voir aussi
Quand créer une relation d'approbation (p. 95)
Version 1.0103
AWS Directory Service Guide d'administrationConnexion à votre infrastructure AD existante
Prerequisites
Le didacticiel présume que vous ayez déjà effectué les étapes suivantes :
Note
AWS Managed Microsoft AD ne prend pas en charge les approbations avec domaines à étiquetteunique.
• Un annuaire AWS Managed Microsoft AD créé sur AWS. Si vous avez besoin d'aide pour effectuerl'opération, consultez Prise en main d'AWS Managed Microsoft AD (p. 10).
• Instance EC2 exécutant Windows ajoutée à cet AWS Managed Microsoft AD. Si vous avez besoin d'aidepour effectuer l'opération, consultez Jonction manuelle d'une instance Windows (p. 71).
Important
Le compte d'administrateur de votre AWS Managed Microsoft AD doit disposer d'un accèsadministratif à cette instance.
• Outils Windows Server suivants installés sur cette instance :• Outils AD DS et AD LDS• DNS
Si vous avez besoin d'aide pour effectuer l'opération, consultez Installation des outils d'administrationActive Directory (p. 92).
• Annuaire Microsoft Active Directory sur site
Vous devez disposer d'un accès administratif à cet annuaire. Les mêmes outils Windows Server commeindiqué ci-dessus doivent être également disponibles pour cet annuaire.
• Connexion active entre votre réseau local et le VPC contenant votre AWS Managed Microsoft AD. Sivous avez besoin d'aide pour effectuer l'opération, consultez la section Amazon Virtual Private CloudConnectivity Options.
Configuration du didacticiel
Pour ce didacticiel, nous avons déjà créé un AWS Managed Microsoft AD et un domaine local. Le réseaulocal est connecté au VPC de votre AWS Managed Microsoft AD. Voici les propriétés des deux annuaires :
AWS Managed Microsoft AD exécuté sur AWS
• Nom de domaine (FQDN) : MyManagedAD.exemple.com• NetBIOS nom : MyManagedAD• Adresses DNS : 10.0.10.246, 10.0.20.121• Adresse CIDR du VPC : 10.0.0.0/16
L'AWS Managed Microsoft AD réside dans l'ID de VPC : vpc-12345678.
Domaine sur site
• Nom de domaine (FQDN) : corp.example.com• NetBIOS nom : de l’entreprise• Adresses DNS : à la place• CIDR sur site : 172.16.0.0/16
Étape suivante
Version 1.0104
AWS Directory Service Guide d'administrationConnexion à votre infrastructure AD existante
Étape 1 : Préparez votre domaine sur site (p. 105)
Étape 1 : Préparez votre domaine sur site
Tout d'abord, vous devez suivre plusieurs étapes préalables sur votre domaine sur site.
Configuration de votre pare-feu sur site
Vous devez configurer votre pare-feu sur site pour que les ports suivants soient ouverts sur le CIDRspour tous les sous-réseaux utilisés par le VPC qui contient votre AWS Managed Microsoft AD. IDans cedidacticiel, nous autorisons les trafics entrants et sortants à partir de 10.0.0.0/16 (bloc CIDR du VPC denotre AWS Managed Microsoft ADsur les ports suivants :
• TCP/UDP 53 ‑ DNS• TCP/UDP 88 ‑ Authentification Kerberos• TCP/UDP 389 ‑ LDAP• TCP 445 ‑ SMB
Note
SMBv1 n’est plus pris en charge.
Note
Il s'agit des ports minimum nécessaires pour connecter le VPC à l'annuaire sur site. Votreconfiguration spécifique peut nécessiter l'ouverture de ports supplémentaires.
Vérification de l'activation de l'authentification préalable Kerberos
Les comptes d'utilisateur dans les deux annuaires doivent avoir une pré-authentification Kerberos activée. Ils'agit de la configuration par défaut, mais vérifiez les propriétés d'un utilisateur choisi de manière aléatoireafin de vous assurer que rien n'a changé.
Pour afficher les paramètres Kerberos utilisateur
1. Sur votre contrôleur de domaine sur site, ouvrez le Gestionnaire de serveur.2. Dans le menu Outils, choisissez Utilisateurs et ordinateurs Active Directory.3. Choisissez le dossier Utilisateurs et ouvrez le menu contextuel (clic droit). Sélectionnez compte
utilisateur de manière aléatoire parmi ceux répertoriés dans le volet droit. Sélectionnez Propriétés.4. Choisissez l'onglet Account. Parcourez la liste Account options vers le bas pour vérifier que l'option Do
not require Kerberos preauthentication n'est pas cochée.
Version 1.0105
AWS Directory Service Guide d'administrationConnexion à votre infrastructure AD existante
Configuration des redirecteurs conditionnels DNS pour votre domaine sur site
Vous devez configurer des redirecteurs conditionnels DNS sur chaque domaine. Avant de procéder àl'opération sur votre domaine sur site, vous obtiendrez tout d'abord des informations concernant votre AWSManaged Microsoft AD.
Pour configurer les redirecteurs conditionnels sur votre domaine sur site
1. Connectez-vous à AWS Management Console et ouvrez la AWS Directory Service console à l'adressehttps://console.aws.amazon.com/directoryservicev2/.
2. Dans le volet de navigation, sélectionnez Directories.3. Choisissez l'ID d'annuaire de votre AWS Managed Microsoft AD.4. Sur la page Details (Détails), notez les valeurs des zones Directory name (Nom de l'annuaire) et DNS
address (Adresse DNS) de votre annuaire.5. Maintenant, revenez à votre contrôleur de domaine sur site. Ouvrez le Gestionnaire de serveur.6. Dans le menu Tools, choisissez DNS.7. Dans l'arborescence de la console, développez le serveur DNS du domaine pour lequel vous
configurez la relation d'approbation. Notre serveur s'intitule WIN-5V70CN7VJ0.corp.example.com.8. Dans l'arborescence de la console, sélectionnez Conditional Forwarders.9. Dans le menu Action, choisissez New conditional forwarder.10. Dans DNS domain (Domaine DNS), tapez le nom de domaine complet (FQDN) de votre AWS
Managed Microsoft AD, que vous avez noté précédemment. Dans cet exemple, le FQDN estMyManagedAD.exemple.com.
Version 1.0106
AWS Directory Service Guide d'administrationConnexion à votre infrastructure AD existante
11. Choisissez IP addresses of the master servers (Adresses IP des serveurs maîtres) et entrez lesadresses DNS de votre annuaire AWS Managed Microsoft AD, que vous avez notées précédemment.Dans cet exemple, il s’agit des éléments suivants : 10.0.10.246, 10.0.20.121
Après avoir saisi les adresses DNS, il se peut que l'erreur « timeout » ou « Impossible à résoudre »s'affiche. Vous pouvez généralement ignorer ces erreurs.
12. Sélectionnez Store this conditional forwarder in Active Directory, and replicate it as follows.13. Sélectionnez All DNS servers in this domain, puis cliquez sur OK.
Étape suivante
Étape 2 : Préparez votre AWS Managed Microsoft AD (p. 107)
Étape 2 : Préparez votre AWS Managed Microsoft AD
A présent, préparons votre AWS Managed Microsoft AD pour la relation d'approbation. Une grande partiedes étapes suivantes est quasi-identique aux opérations que vous venez d'effectuer pour votre domainesur site. Cette fois, vous allez cependant utiliser votre AWS Managed Microsoft AD.
Configuration de vos groupes de sécurité et sous-réseaux VPC
Vous devez autoriser le trafic entre votre réseau local et le VPC contenant votre AWS Managed MicrosoftAD. Pour ce faire, vous devez vous assurer que le ACLs associés aux sous-réseaux utilisés pour déployervotre AWS Managed Microsoft AD et les règles de groupe de sécurité configurées sur vos contrôleurs dedomaine , autorisent tous deux le trafic requis pour prendre en charge les approbations.
Version 1.0107
AWS Directory Service Guide d'administrationConnexion à votre infrastructure AD existante
Les exigences relatives aux ports varient en fonction de la version de Windows Server utilisée par voscontrôleurs de domaine et les services ou applications qui utiliseront l'approbation. Dans le cadre de cedidacticiel, vous devez ouvrir les ports suivants :
Entrant
• TCP/UDP 53 ‑ DNS• TCP/UDP 88 ‑ Authentification Kerberos• UDP 123 - NTP• TCP 135 - RPC• UDP 137-138 - Netlogon• TCP 139 - Netlogon• TCP/UDP 389 ‑ LDAP• TCP/UDP 445 - SMB
Note
SMBv1 n’est plus pris en charge.• TCP/UDP 464 ‑ Authentification Kerberos• TCP 636 - LDAPS (LDAP sur TLS/SSL)• TCP 873 - Rsync• TCP 3268-3269 - Catalogue global• TCP/UDP 1024-65535 - Ports éphémères pour RPC• ICMP - Tous
Sortant
• ALL
Note
Il s'agit des ports minimum nécessaires pour connecter le VPC et l'annuaire sur site. Votreconfiguration spécifique peut nécessiter l'ouverture de ports supplémentaires.
Pour configurer les règles sortantes de votre contrôleur de domaine AWS Managed Microsoft AD
1. Revenez à AWS Directory Service console. Dans la liste d'annuaires, notez l'ID d'annuairecorrespondant à votre annuaire AWS Managed Microsoft AD.
2. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.3. Dans le panneau de navigation, choisissez Groupes de sécurité.4. Utilisez la zone de recherche pour rechercher l'ID de votre annuaire AWS Managed Microsoft AD.
Dans les résultats de la recherche, sélectionnez l’élément avec la description Groupe de sécurité AWScréé pour <yourdirectoryID> contrôleurs d’annuaire.
Version 1.0108
AWS Directory Service Guide d'administrationConnexion à votre infrastructure AD existante
5. Accédez à l'onglet Outbound Rules de ce groupe de sécurité. Choisissez Edit, puis Add another rule.Pour la nouvelle règle, saisissez les valeurs suivantes :
• Type : Tout le trafic• Protocole: ALL• La Destination détermine le trafic qui peut quitter vos contrôleurs de domaine et où il peut aller.
Indiquez une adresse IP unique ou une plage d'adresses IP dans une notation CIDR (par exemple,203.0.113.5/32). Vous pouvez également indiquer le nom ou l'ID d'un autre groupe de sécuritédans la même région. Pour plus d'informations, consultez la section Comprendre l'utilisation et laconfiguration du groupe de sécurité AWS de votre annuaire (p. 142).
6. Sélectionnez Save.
7. Accédez à l'onglet Inbound Rules de ce même groupe de sécurité. Choisissez Edit, puis Add anotherrule. Pour la nouvelle règle, saisissez les valeurs suivantes :
• Type : Règle UDP personnalisée• Protocole: UDP• Plage de ports: 445• Pour Source, indiquez une adresse IP unique ou une plage d'adresses IP dans une notation CIDR
(par exemple, 203.0.113.5/32). Vous pouvez également indiquer le nom ou l'ID d'un autre groupe desécurité dans la même région. Ce paramètre détermine le trafic qui peut atteindre vos contrôleurs dedomaine. Pour plus d'informations, consultez la section Comprendre l'utilisation et la configuration dugroupe de sécurité AWS de votre annuaire (p. 142).
8. Sélectionnez Save.9. Répétez les étapes 7 et 8, en ajoutant chacune des règles suivantes :
Version 1.0109
AWS Directory Service Guide d'administrationConnexion à votre infrastructure AD existante
Tapez Protocol Plage deports
Source
Règle UDP personnalisée UDP 88 Spécifiezle traficSourceutilisé àl'étapeprécédente.
Règle UDP personnalisée UDP 123 Spécifiezle traficSourceutilisé àl'étapeprécédente.
Règle UDP personnalisée UDP 138 Spécifiezle traficSourceutilisé àl'étapeprécédente.
Règle UDP personnalisée UDP 389 Spécifiezle traficSourceutilisé àl'étapeprécédente.
Règle UDP personnalisée UDP 464 Spécifiezle traficSourceutilisé àl'étapeprécédente.
Destination TCP 88 Spécifiezle traficSourceutilisé àl'étapeprécédente.
Destination TCP 135 Spécifiezle traficSourceutilisé àl'étapeprécédente.
Version 1.0110
AWS Directory Service Guide d'administrationConnexion à votre infrastructure AD existante
Tapez Protocol Plage deports
Source
Destination TCP 445 Spécifiezle traficSourceutilisé àl'étapeprécédente.
Destination TCP 464 Spécifiezle traficSourceutilisé àl'étapeprécédente.
Destination TCP 636 Spécifiezle traficSourceutilisé àl'étapeprécédente.
Destination TCP 1024-65535 Spécifiezle traficSourceutilisé àl'étapeprécédente.
Destination TCP 3268 ‑ 3269 Spécifiezle traficSourceutilisé àl'étapeprécédente.
DNS (UDP) UDP 53 Spécifiezle traficSourceutilisé àl'étapeprécédente.
DNS (TCP) TCP 53 Spécifiezle traficSourceutilisé àl'étapeprécédente.
LDAP TCP 389 Spécifiezle traficSourceutilisé àl'étapeprécédente.
Version 1.0111
AWS Directory Service Guide d'administrationConnexion à votre infrastructure AD existante
Tapez Protocol Plage deports
Source
Tous les ICMP Toutes S/O Spécifiezle traficSourceutilisé àl'étapeprécédente.
Tout le trafic Toutes Toutes Groupe desécuritéactuel(groupe desécuritéde votreannuaire).
Vérification de l'activation de l'authentification préalable Kerberos
A présent, vous souhaitez confirmer que les utilisateurs de votre AWS Managed Microsoft AD bénéficientégalement de l'authentification préalable Kerberos. Il s'agit du même processus que celui que vous venezd'effectuer pour votre annuaire sur site. Il s'agit de la valeur par défaut, mais nous allons vérifier que rienn'a changé.
Pour afficher les paramètres Kerberos utilisateur
1. Connectez-vous à une instance membre de votre annuaire AWS Managed Microsoft AD à l'aide duCompte administrateur (p. 18) du domaine ou d’un compte qui s’est vu déléguer des autorisationspour gérer les utilisateurs dans le domaine.
2. Si ce n’est pas encore fait, installez les outils Utilisateurs et ordinateurs Active Directory etDNS. Découvrez comment installer ces outils dans Installation des outils d'administration ActiveDirectory (p. 92).
3. Ouvrez le Gestionnaire de serveur. Dans le menu Outils, choisissez Utilisateurs et ordinateurs ActiveDirectory.
4. Choisissez le dossier Users dans votre domaine. Veuillez noter qu’il s’agit du Utilisateurs sous votreNetBIOS nom, pas le nom Utilisateurs sous le nom de domaine complet (FQDN).
Version 1.0112
AWS Directory Service Guide d'administrationConnexion à votre infrastructure AD existante
5. Dans la liste des utilisateurs, cliquez avec le bouton droit sur un utilisateur, puis choisissez Properties(Propriétés).
6. Choisissez l'onglet Account. Dans la liste Account options, vérifiez que l'option Do not require Kerberospreauthentication n'est pas cochée.
Étape suivante
Étape 3 : Créer la relation d’approbation (p. 113)
Étape 3 : Créer la relation d’approbation
Maintenant que le travail de préparation est terminé, les étapes finales consistent à créer les approbations.Dans un premier temps, commencez par créer la relation d'approbation sur votre domaine sur site, puis survotre AWS Managed Microsoft AD. Si vous avez des problèmes lors du processus de création de la relationd'approbation, consultez Raisons liées aux statuts de création d'une relation d'approbation (p. 178) pourobtenir de l'aide.
Configurer l'approbation dans votre annuaire Active Directory sur site
Dans ce didacticiel, configurez une relation d'approbation de forêt bidirectionnelle. Toutefois, si vous créezune relation d'approbation de forêt unidirectionnelle, sachez que les directions d'approbation sur chacunde vos domaines doivent être complémentaires. Par exemple, si vous créez une relation d'approbationunidirectionnelle sortante sur votre domaine sur site, vous devez créer une relation d'approbationunidirectionnelle entrante sur votre AWS Managed Microsoft AD.
Note
AWS Managed Microsoft AD prend également en charge les approbations externes. Toutefois,dans le cadre de ce didacticiel, vous allez créer une approbation de forêt birectionnelle.
Pour configurer l'approbation dans votre AD sur site
1. Ouvrez le Gestionnaire de serveur, puis dans le menu Tools, choisissez Active Directory Domains andTrusts.
Version 1.0113
AWS Directory Service Guide d'administrationConnexion à votre infrastructure AD existante
2. Ouvrez le menu contextuel (clic droit) de votre domaine, puis choisissez Properties.3. Choisissez l'onglet Trusts, puis choisissez New trust. Saisissez le nom de votre AWS Managed
Microsoft AD, puis choisissez Next (Suivant).4. Choisissez Forest trust. Choisissez Nex t(Suivant).5. Choisissez Two-way. Choisissez Nex t(Suivant).6. Choisissez This domain only. Choisissez Nex t(Suivant).7. Choisissez Forest-wide authentication. Choisissez Nex t(Suivant).8. Saisissez un mot de passe d'approbation. Prenez soin de retenir ce mot de passe car vous en aurez
besoin lorsque vous configurerez la relation d'approbation pour votre AWS Managed Microsoft AD.9. Dans la boîte de dialogue suivante, confirmez vos paramètres et choisissez Next. Confirmez que la
relation d'approbation a été créée avec succès, puis choisissez à nouveau Next.10. Choisissez No, do not confirm the outgoing trust. Choisissez Nex t(Suivant).11. Choisissez No, do not confirm the incoming trust. Choisissez Nex t(Suivant).
Configurez l'approbation dans votre annuaire AWS Managed Microsoft AD
Pour finir, configurez la relation d'approbation de forêt avec votre annuaire AWS Managed Microsoft AD.Etant donné que vous avez créé une relation d'approbation de forêt bidirectionnelle sur le domaine sur site,vous devez également créer une relation d'approbation bidirectionnelle en utilisant votre annuaire AWSManaged Microsoft AD.
Pour configurer l'approbation dans votre annuaire AWS Managed Microsoft AD
1. Revenez à AWS Directory Service console.2. Sur la page Directories (Annuaires), choisissez l'ID de votre AWS Managed Microsoft AD.3. Sur la page Directory details (Détails de l'annuaire), sélectionnez l'onglet Networking & security (Mise
en réseau et sécurité).4. Dans la section Trust relationships (Relations d'approbation), choisissez Actions, puis sélectionnez
Add trust relationship (Ajouter une relation d'approbation).5. Sur la page Add a trust relationship (Ajouter une relation d'approbation) tapez le nom de domaine
complet (FQDN) de votre domaine sur site (dans ce didacticiel, corp.example.com). Tapez lemême mot de passe de relation d'approbation que vous avez utilisé lors de la création de la relationd'approbation sur votre domaine sur site. Spécifiez la direction. Dans ce cas, nous choisissons Two-way.
6. Dans le champ Conditional forwarder, entrez l'adresse IP de votre serveur DNS sur site. Pour cetexemple, entrez 172.16.10.153.
7. (Facultatif) Choisissez Add another IP address (Ajouter une autre adresse IP), puis entrez unedeuxième adresse IP pour votre serveur DNS sur site. Vous pouvez spécifier un maximum de quatreserveurs DNS.
8. Choisissez Add (Ajouter).
Félicitations ! Vous avez maintenant une relation d'approbation entre votre domaine sur site(corp.example.com) et votre AWS Managed Microsoft AD (MyManagedAD.example.com). Une seulerelation peut être configurée entre ces deux domaines. Si vous souhaitez par exemple passer à unedirection d'approbation unidirectionnelle, vous devrez tout d'abord supprimer cette relation d'approbationexistante, puis en créer une autre.
Pour plus d'informations, notamment pour obtenir les instructions de vérification ou de suppression d'uneapprobation, consultez Quand créer une relation d'approbation (p. 95).
Version 1.0114
AWS Directory Service Guide d'administrationExtension de votre schéma
Extension de votre schémaAWS Managed Microsoft AD utilise des schémas pour organiser et appliquer la façon dont les donnéesd'annuaire sont stockées. Le processus d'ajout de définitions au schéma est appelé « extension deschéma. » Les extensions de schéma vous permettent de modifier le schéma de votre annuaire AWSManaged Microsoft AD à l'aide d'un fichier LDAP Data Interchange Format (LDIF) valide. Pour plusd'informations sur les schémas AD et comment étendre votre schéma, consultez les rubriques ci-dessous.
Rubriques• Quand étendre votre schéma AWS Managed Microsoft AD (p. 115)• Tutoriel : Extension de votre AWS Managed Microsoft AD Schéma (p. 115)
Quand étendre votre schéma AWS Managed Microsoft ADVous pouvez étendre votre schéma AWS Managed Microsoft AD en ajoutant de nouveaux attributset classes d'objet. Par exemple, vous pouvez exécuter cette action si vous disposez d'une applicationqui nécessite d'apporter des modifications à votre schéma afin de prendre en charge les fonctionsd'authentification unique.
Vous pouvez également utiliser des extensions de schéma pour activer la prise en charge des applicationsqui reposent sur des attributs et classes d'objet Active Directory spécifiques. Cela peut être particulièrementutile si vous avez besoin de migrer des applications d'entreprise qui dépendent de AWS Managed MicrosoftAD, vers le cloud AWS.
Chaque attribut ou classe ajouté(e) à un schéma Active Directory existant doit être défini(e) avec un IDunique. De cette manière, lorsque les entreprises ajoutent des extensions au schéma, ces dernières sontassurées d'être uniques et de ne pas entrer en conflit les unes avec les autres. Ces IDs sont appelésidentifiants d’objet AD (OID) et sont stockés dans AWS Managed Microsoft AD.
Consultez le Tutoriel : Extension de votre AWS Managed Microsoft AD Schéma (p. 115) pour démarrer.
Rubriques connexes
• Extension de votre schéma (p. 115)• Eléments du schéma (p. 20)
Tutoriel : Extension de votre AWS Managed Microsoft ADSchémaDans ce didacticiel, vous allez découvrir comment étendre le schéma pour votre annuaire AWS DirectoryService for Microsoft Active Directory, également appelé AWS Managed Microsoft AD, en ajoutant desattributs et des classes uniques qui répondent à vos exigences spécifiques. Les extensions de schémaAWS Managed Microsoft AD peuvent uniquement être chargées et appliquées à l'aide d'un fichier de scriptLDIF (Lightweight Directory Interchange Format) valide.
Les attributs (attributeSchema) définissent les champs de la base de données, tandis que les classes(classSchema) définissent les tables de la base de données. Par exemple, tous les objets utilisateur dansActive Directory sont définis par la classe de schéma Utilisateur, tandis que les propriétés individuelles d'unutilisateur, telles que l'adresse e-mail ou le numéro de téléphone, sont chacune définies par un attribut.
Si vous souhaitez ajouter une nouvelle propriété, telle que la taille de chaussure, vous définissez un nouvelattribut, qui serait de type entier. Vous pouvez également définir des limites inférieure et supérieure allantde 1 à 20. Une fois la pointure attributeSchema objet a été créé, vous devez ensuite modifier le UtilisateurclassSchema objet pour contenir cet attribut. Les attributs peuvent être liés à plusieurs classes. La taille
Version 1.0115
AWS Directory Service Guide d'administrationExtension de votre schéma
de chaussure peut être ajoutée à la classe Contact par exemple. Pour plus d'informations sur les schémasActive Directory, consultez Quand étendre votre schéma AWS Managed Microsoft AD (p. 115).
Ce flux de travail se compose de trois étapes de base.
Étape 1 : Créez votre fichier LDIF (p. 116)
Tout d'abord, vous créez un fichier LDIF et définissez les nouveaux attributs et les classes auxquellesils doivent être ajoutés. Vous utilisez ce fichier pour la prochaine étape du flux de travail.
Étape 2 : Importer votre fichier LDIF (p. 117)
Dans cette étape, vous utilisez la console AWS Directory Service pour importer le fichier LDIF dansvotre environnement AD Microsoft.
Étape 3 : Vérifiez si l’extension du schéma a réussi (p. 118)
Enfin, en tant qu'administrateur, vous utilisez une instance EC2 pour vérifier que les nouvellesextensions apparaissent dans le composant logiciel enfichable du schéma Active Directory.
Étape 1 : Créez votre fichier LDIFUn fichier LDIF est un format d'échange de données standard en texte brut qui représente le contenu del'annuaire LDAP (Lightweight Directory Access Protocol) et les demandes de mise à jour. LDIF transmetle contenu de l'annuaire en tant qu'ensemble d'enregistrements, un enregistrement pour chaque objet (ouentrée). Il représente également des demandes de mise à jour, comme Ajouter, Modifier, Supprimer etRenommer en tant qu'ensemble d'enregistrements, un enregistrement pour chaque demande de mise àjour.
Le AWS Directory Service importe votre fichier LDIF avec les modifications de schéma en exécutantl'application ldifde.exe sur votre annuaire AWS Managed Microsoft AD. Par conséquent, vous trouvezutile pour comprendre la syntaxe de script LDIF. Pour plus d'informations, consultez Scripts LDIF.
Plusieurs outils LDIF tiers peuvent extraire, nettoyer et mettre à jour vos mises à jour de schéma. Quel quesoit l'outil utilisé, vous devez comprendre que tous les identificateurs utilisés dans votre fichier LDIF doiventêtre uniques.
Nous vous recommandons vivement d'examiner les concepts et conseils suivants avant de créer votrefichier LDIF.
• Éléments de schéma – En savoir plus sur les éléments de schéma tels que les attributs, les classes,les objets IDs, et les attributs liés. Pour plus d'informations, consultez la section Eléments duschéma (p. 20).
Version 1.0116
AWS Directory Service Guide d'administrationExtension de votre schéma
• Séquence d'éléments – Veillez à ce que l'ordre dans lequel les éléments de votre fichier LDIF sontdisposés respecte le Directory Information Tree (DIT) de haut en bas. Les règles générales poureffectuer le séquençage d'un fichier LDIF incluent les éléments suivants :• Séparer les éléments par une ligne vide.• Répertorier les éléments enfants en fonction de leurs éléments parents.• Veillez à ce que des éléments tels que des attributs ou des classes d'objet existent dans le schéma.
S'ils ne sont pas présents, vous devez les ajouter au schéma avant qu'ils puissent être utilisés. Parexemple, avant que vous puissiez assigner un attribut à une classe, ce dernier doit être créé.
• Format du DN – Pour chaque nouvelle instruction dans le fichier LDIF, définissez le nom unique(DN) en tant que première ligne de l'instruction. Le DN identifie un objet Active Directory au seinde l'arborescence de l'objet Active Directory et doit comporter les composants du domaine pourvotre annuaire. Par exemple, les composants du domaine pour l'annuaire dans ce didacticiel sontDC=example,DC=com.
Le DN doit contenir le nom commun (CN) de l'objet Active Directory. La première entrée de CN est lenom de l'attribut ou de la classe. Ensuite, vous devez utiliser CN=Schema,CN=Configuration. Ce CNgarantit que vous êtes en mesure d’étendre le schéma Active Directory. Comme mentionné auparavant,vous ne pouvez pas ajouter ou modifier le contenu des objets Active Directory. Le format général pour unDN suit.
dn: CN=[attribute or class name],CN=Schema,CN=Configuration,DC=[domain_name]
Pour ce didacticiel, le DN pour le nouvel attribut taille de chaussure ressemblerait à :
dn: CN=Shoe-Size,CN=Schema,CN=Configuration,DC=example,DC=com
• Avertissements – Examinez les avertissements avant d'étendre votre schéma.• Avant d'étendre votre schéma Active Directory, il est important d'examiner les avertissements de
Microsoft sur l'impact de cette opération. Pour plus d'informations, consultez Ce que vous devez savoiravant d'étendre le schéma.
• Vous ne pouvez pas supprimer un attribut ou une classe de schéma. Par conséquent, si vous faitesune erreur et ne voulez pas restaurer à partir d'une sauvegarde, vous pouvez uniquement désactiverl'objet. Pour plus d'informations, consultez Désactivation des classes et attributs existants.
Pour en savoir plus sur la construction des fichiers LDIF et voir un exemple de fichier LDIF qui peut êtreutilisé pour tester les extensions de schéma AWS Managed Microsoft AD, consultez l'article How to Extendyour AWS Managed Microsoft AD directory Schema sur le blog sur la sécurité AWS.
Étape suivante
Étape 2 : Importer votre fichier LDIF (p. 117)
Étape 2 : Importer votre fichier LDIFVous pouvez étendre votre schéma en important un fichier LDIF à partir de la console AWS DirectoryService ou à l'aide de l'API. Pour plus d’informations sur la façon de procéder avec l’extension de schémaAPIs, voir le AWS Directory Service API Reference. Pour l'instant, AWS ne prend pas en charge lesapplications externes, telles que Microsoft Exchange, pour d'effectuer directement les mises à jour deschéma.
Important
Lorsque vous effectuez une mise à jour de votre schéma d'annuaire AWS Managed Microsoft AD,l'opération est irréversible. En d'autres termes, une fois que vous créez une nouvelle classe ouun nouvel attribut, Active Directory ne vous autorise pas à la ou le supprimer. Cependant, vouspouvez la ou le désactiver.
Version 1.0117
AWS Directory Service Guide d'administrationExtension de votre schéma
Si vous devez supprimer les modifications de schéma, une option consiste à restaurer l'annuaireà partir d'un instantané précédent. La restauration d'un instantané restaure à la fois le schéma etles données de l'annuaire à un point précédent, pas uniquement le schéma. Remarque : la duréemaximale prise en charge pour un instantané est de 180 jours. Pour plus d'informations, consultezla section Durée de conservation d’une sauvegarde de l’état du système d'Active Directory sur lesite Web Microsoft.
Avant le début du processus de mise à jour, AWS Managed Microsoft AD prend un instantané afin deconserver l'état actuel de votre annuaire.
Pour importer votre fichier LDIF
1. Dans le volet de navigation AWS Directory Service console, sélectionnez Annuaires.2. Sur la page Directories (Annuaires), choisissez l'ID de votre annuaire.3. Sur la page Directory details (Détails de l'annuaire), sélectionnez l'onglet Maintenance.4. Dans la sectionSchema extensions (Extensions de schéma), choisissez Actions, puis sélectionnez
Upload and update schema (Charger et mettre à jour le schéma).5. Dans la boîte de dialogue, cliquez sur Parcourir, sélectionnez un fichier LDIF valide, saisissez une
description, puis choisissez Update Schema.
Important
L'extension du schéma est une opération critique. N'appliquez aucune mise à jour de schémaà un environnement de production sans l'avoir d'abord tester avec votre application dans unenvironnement de développement ou de test.
Comment le fichier LDIF est appliqué
Après avoir chargé votre fichier LDIF, AWS Managed Microsoft AD procède par étape pour protéger votreannuaire des erreurs lorsqu'il applique les modifications dans l'ordre suivant.
1. Valide le fichier LDIF. Etant donné que des scripts LDIF peuvent manipuler n'importe quel objet dans ledomaine, AWS Managed Microsoft AD réalise des vérifications après le chargement pour prévenir toutéchec de l'importation. Ces vérifications garantissent les points suivants :• Les objets à mettre à jour se trouvent uniquement dans le conteneur de schéma• La partie des DC (contrôleurs de domaine) correspond au nom du domaine dans lequel le script LDIF
est en cours d'exécution2. Prend un instantané de votre annuaire. Vous pouvez utiliser l'instantané pour restaurer votre annuaire au
cas où vous rencontrez des problèmes avec votre application après la mise à jour du schéma.3. Applique les modifications à un seul CC. AWS Managed Microsoft AD isole l’un de vos DCs et applique
les mises à jour du fichier LDIF au DC isolé. Il sélectionne ensuite l’un de vos DCs pour être le maîtrede schéma, supprime ce DC de la réplication de répertoire et applique votre fichier LDIF à l’aide deLdifde.exe.
4. La réplication se produit pour tous DCs. AWS Managed Microsoft AD ajoute le DC isolé à la réplicationpour terminer la mise à jour. Pendant ce temps, votre annuaire continue de fournir l'Active DirectoryService à vos applications sans interruption.
Étape suivante
Étape 3 : Vérifiez si l’extension du schéma a réussi (p. 118)
Étape 3 : Vérifiez si l’extension du schéma a réussi
Lorsque vous avez terminé le processus d'importation, il est important de vérifier que les mises à jour deschéma ont été appliqués à votre annuaire. Cette étape est particulièrement importante avant de migrer
Version 1.0118
AWS Directory Service Guide d'administrationExtension de votre schéma
ou mettre à jour toute application s'appuyant sur la mise à jour de schéma. Pour ce faire, utilisez différentsoutils LDAP ou écrivez un outil de test qui émet les commandes LDAP appropriées.
Cette procédure utilise le composant logiciel enfichable de schéma Active Directory et/ou PowerShell pourvérifier que les mises à jour de schéma ont été appliquées. Vous devez exécuter ces outils à partir d'unordinateur joint au domaine de votre AWS Managed Microsoft AD. Il peut s'agir d'un serveur Windows encours d'exécution dans votre réseau sur site avec accès à votre Virtual Private Cloud (VPC) ou via uneconnexion de réseau privé virtuel (VPN). Vous pouvez également exécuter ces outils sur une instanceWindows Amazon EC2 (consultez Comment lancer une nouvelle instance EC2 avec une jonction dedomaine continue).
Pour vérifier à l'aide du composant logiciel enfichable du schéma Active Directory
1. Installez le composant logiciel enfichable de schéma Active Directory à l’aide des instructions de l’TechNet site Web.
2. Ouvrez la Microsoft Management Console (MMC) et développez l'arborescence Schéma AD pourvotre annuaire.
3. Parcourez les dossiers Classes et Attributs jusqu'à ce que vous trouviez les modifications de schémaque vous avez fait précédemment.
Pour vérifier à l’aide de PowerShell
1. Ouvrez un PowerShell fenêtre.2. Utilisez l'applet de commande Get-ADObject comme illustré ci-dessous pour vérifier la modification
de schéma. Exemple :
get-adobject -Identity 'CN=Shoe-Size,CN=Schema,CN=Configuration,DC=example,DC=com' -Properties *
Étape facultative
(Facultatif) Ajoutez une valeur au nouvel attribut (p. 119)
(Facultatif) Ajoutez une valeur au nouvel attributUtilisez cette étape facultative lorsque vous avez créé un nouvel attribut et souhaitez ajouter une nouvellevaleur à l'attribut de votre annuaire AWS Managed Microsoft AD.
Pour ajouter une valeur à un attribut
1. Ouvrez les fenêtres PowerShell de ligne de commande et définissez le nouvel attribut avec lacommande suivante. Dans cet exemple, nous allons ajouter un nouveau EC2InstanceID à l’attributpour un ordinateur spécifique.
PS C:\> set-adcomputer -Identity computer name -add @{example-EC2InstanceID= 'EC2 instance ID'}
2. Vous pouvez valider si le EC2InstanceID a été ajoutée à l’objet ordinateur en exécutant la commandesuivante :
PS C:\> get-adcomputer -Identity computer name –Property example-EC2InstanceID
Ressources connexesLes liens de ressource suivants se trouvent sur le site web Microsoft et fournissent des informationsconnexes.
Version 1.0119
AWS Directory Service Guide d'administrationMaintenance de votre annuaire
• Extension du schéma (Windows)• Schéma Active Directory (Windows)• Schéma Active Directory• Administration de Windows : Extension du schéma Active Directory• Restrictions sur l'extension du schéma (Windows)• Ldifde
Maintenance de votre annuaire AWS ManagedMicrosoft ADCette section décrit comment assurer la gestion des tâches administratives courantes pour votreenvironnement AWS Managed Microsoft AD.
Rubriques• Ajout de suffixes UPN alternatifs (p. 120)• Suppression de votre annuaire (p. 120)• Modifier le nom de site de votre annuaire (p. 121)• Création d'un instantané ou d'une restauration de votre annuaire (p. 122)• Affichage des informations d'annuaire (p. 123)
Ajout de suffixes UPN alternatifsVous pouvez simplifier la gestion des noms de connexion Active Directory (AD) et améliorer l'expériencede connexion de l'utilisateur en ajoutant d'autres suffixes de noms principaux d'utilisateurs (UPN) à votreannuaire AWS Managed Microsoft AD. Pour ce faire, vous devez être connecté avec le compte Admin ouavec un compte qui est un membre du groupe Administrateurs délégués des suffixes de noms principauxd'utilisateurs AWS. Pour en savoir plus sur ce groupe, consultez Ce qui est créé ? (p. 13).
Pour ajouter des suffixes UPN alternatifs
1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Recherchez une instance Amazon EC2 qui est jointe à votre annuaire AWS Managed Microsoft AD.
Sélectionnez l'instance, puis choisissez Connecter.3. Dans la fenêtre Gestionnaire de serveur, choisissez Outils. Puis choisissez Domaines et approbations
Active Directory.4. Dans le volet de gauche, effectuez un clic droit sur Domaines et approbations Active Directory, puis
choisissez Propriétés .5. Dans l'onglet Suffixes UPN, tapez un suffixe UPN alternatif (par exemple, sales.example.com).
Sélectionnez Ajouter, puis Appliquer.6. Si vous devez ajouter d'autres suffixes UPN alternatifs, répétez l'étape 5 jusqu'à ce que vous ayez les
suffixes UPN dont vous avez besoin.
Suppression de votre annuaireWhen a Simple AD or AWS Directory Service for Microsoft Active Directory directory is deleted, all ofthe directory data and snapshots are deleted and cannot be recovered. After the directory is deleted, allinstances that are joined to the directory remain intact. You cannot, however, use your directory credentialsto log in to these instances. You need to log in to these instances with a user account that is local to theinstance.
Version 1.0120
AWS Directory Service Guide d'administrationMaintenance de votre annuaire
When an AD Connector directory is deleted, your on-premises directory remains intact. All instances thatare joined to the directory also remain intact and remain joined to your on-premises directory. You can stilluse your directory credentials to log in to these instances.
To delete a directory
1. In the AWS Directory Service console navigation pane, select Directories.2. Ensure that no AWS applications are enabled for the directory.
a. On the Directories page, choose your directory ID.b. On the Directory details page, select the Application management tab. In the AWS apps &
services section, you see which AWS applications are enabled for your directory.
• To disable Amazon WorkSpaces, you must deregister the service from the directory in theAmazon WorkSpaces console. For more information, see Deregistering From a Directory in theAmazon WorkSpaces Administration Guide.
• To disable Amazon WorkSpaces Application Manager, you must remove all applicationassignments in the Amazon WAM console. For more information, see Removing All ApplicationAssignments in the Amazon WAM Administration Guide.
• To disable Amazon WorkDocs, you must delete the Amazon WorkDocs site in the AmazonWorkDocs console. For more information, see Delete a Site in the Amazon WorkDocs Guided'administration.
• To disable Amazon WorkMail, you must remove the Amazon WorkMail organization in theAmazon WorkMail console. For more information, see Remove an Organization in the AmazonWorkMail Administrator Guide.
• Disable AWS Management Console access.• To disable Amazon Relational Database Service, you must remove the Amazon RDS instance
from the domain. For more information, see Managing a DB Instance in a Domain in theAmazon RDS Guide de l'utilisateur.
• To disable Amazon QuickSight, you must unsubscribe from Amazon QuickSight. For moreinformation, see Closing Your Amazon QuickSight Account in the Amazon QuickSight UserGuide.
• To disable Amazon Connect, you must delete the Amazon Connect Instance. For moreinformation, see Deleting an Amazon Connect Instance in the Amazon Connect AdministrationGuide.
• To disable Amazon FSx for Windows File Server, you must remove the Amazon FSx file systemfrom the domain. For more information, see Working with Active Directory in Amazon FSx forWindows File Server in the Guide de l'utilisateur Amazon FSx for Windows File Server.
Note
If you are using AWS Single Sign-On and have previously connected it to the AWSManaged Microsoft AD directory you plan to delete, you must first disconnect thedirectory from AWS SSO before you can delete it. For more information, see Disconnecta Directory in the AWS SSO User Guide.
3. In the navigation pane, choose Directories.4. Select only the directory to be deleted and click Delete. It takes several minutes for the directory to be
deleted. When the directory has been deleted, it is removed from your directory list.
Modifier le nom de site de votre annuaireVous pouvez modifier le nom de site de votre annuaire AWS Managed Microsoft AD par défaut afin qu'ilcorresponde à vos noms de site Microsoft Active Directory (AD) existants. Il est ainsi plus facile pour AWS
Version 1.0121
AWS Directory Service Guide d'administrationMaintenance de votre annuaire
Managed Microsoft AD de trouver et d'authentifier vos utilisateurs AD existants dans votre annuaire sursite. Cela offre une meilleure expérience lorsque les utilisateurs se connectent à des ressources AWS tellesqu'Amazon EC2 etAmazon RDS pour SQL Server que vous avez jointes à votre annuaire AWS ManagedMicrosoft AD.
Pour ce faire, vous devez être connecté avec le compte Admin ou avec un compte qui est un membre dugroupe Administrateurs délégués des sites et services AWS. Pour en savoir plus sur ce groupe, consultezCe qui est créé ? (p. 13).
Pour prendre connaissance des avantages supplémentaires à renommer votre site en fonction desapprobations, veuillez consulter Domain Locator Across a Forest Trust sur le site Web de Microsoft.
Pour modifier le nom de site AWS Managed Microsoft AD
1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Recherchez une instance Amazon EC2 qui est jointe à votre annuaire AWS Managed Microsoft AD.
Sélectionnez l'instance, puis choisissez Connecter.3. Dans la fenêtre Gestionnaire de serveur, choisissez Outils. Choisissez ensuite Sites et services Active
Directory.4. Dans le volet de gauche, développez le dossier Sites, effectuez un clic droit sur le nom de site (par
défaut, c'est Default-Site-Name), puis choisissez Renommer.5. Tapez le nouveau nom de site, puis sélectionnez Entrée.
Création d'un instantané ou d'une restauration de votre annuaireAWS Directory Service provides the ability to take manual snapshots of data for a Simple AD or AWSDirectory Service for Microsoft Active Directory directory. These snapshots can be used to perform a point-in-time restore for your directory.
Note
You cannot take snapshots of AD Connector directories.
Rubriques• Creating a Snapshot of Your Directory (p. 122)• Restoring Your Directory from a Snapshot (p. 123)• Deleting a Snapshot (p. 123)
Creating a Snapshot of Your Directory
A snapshot can be used to restore your directory to what it was at the point in time that the snapshot wastaken. To create a manual snapshot of your directory, perform the following steps.
Note
You are limited to 5 manual snapshots for each directory. If you have already reached this limit,you must delete one of your existing manual snapshots before you can create another.
To create a manual snapshot
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Maintenance tab.
Version 1.0122
AWS Directory Service Guide d'administrationMaintenance de votre annuaire
4. In the Snapshots section, choose Actions, and then select Create snapshot.5. In the Create directory snapshot dialog box, provide a name for the snapshot, if desired. When ready,
choose Create.
Depending on the size of your directory, it may take several minutes to create the snapshot. When thesnapshot is ready, the Status value changes to Completed.
Restoring Your Directory from a Snapshot
Restoring a directory from a snapshot is equivalent to moving the directory back in time. Directorysnapshots are unique to the directory they were created from. A snapshot can only be restored to thedirectory from which it was created. In addition, the maximum supported age of a manual snapshot is180 days. For more information, see Useful shelf life of a system-state backup of Active Directory on theMicrosoft website.
Warning
We recommend that you contact the AWS Support Center before any snapshot restore; we maybe able to help you avoid the need to do a snapshot restore. Any restore from snapshot can resultin data loss as they are a point in time. It is important you understand that all of the DCs and DNSservers associated with the directory will be offline until the restore operation has been completed.
To restore your directory from a snapshot, perform the following steps.
To restore a directory from a snapshot
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Maintenance tab.4. In the Snapshots section, select a snapshot in the list, choose Actions, and then select Restore
snapshot.5. Review the information in the Restore directory snapshot dialog box, and choose Restore.
For a Simple AD directory, it may take several minutes for the directory to be restored. For a AWSManaged Microsoft AD directory, it can take from two to three hours. When it has been successfullyrestored, the Status value of the directory changes to Active. Any changes made to the directory after thesnapshot date are overwritten.
Deleting a Snapshot
To delete a snapshot
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Maintenance tab.4. In the Snapshots section, choose Actions, and then select Delete snapshot.5. Verify that you want to delete the snapshot, and then choose Delete.
Affichage des informations d'annuaireYou can view detailed information about a directory.
Version 1.0123
AWS Directory Service Guide d'administrationAccorder l'accès aux ressources AWS
To view detailed directory information
1. In the AWS Directory Service console navigation pane, select Directories.2. Click the directory ID link for your directory. Information about the directory is displayed in the Directory
details page.
For more information about the Status field, see Comprendre le statut de votre annuaire (p. 54).
Accorder l'accès aux ressources AWSAWS Directory Service permet de donner accès aux services et ressources AWS aux utilisateurs etgroupes de votre annuaire, comme l'accès à la console Amazon EC2. Pour accorder un accès auxutilisateurs IAM afin de gérer des annuaires comme décrit dans Stratégies basées sur une identité(stratégies IAM) (p. 277) et d'accéder aux autres ressources AWS, comme Amazon EC2, vous devezattribuer des rôles et des stratégies IAM à ces utilisateurs et groupes. Pour plus d'informations, consultezRôles IAM dans IAM Guide de l'utilisateur.
Pour plus d'informations sur l'octroi de l'accès à des utilisateurs à l'AWS Management Console, consultezActivation de l'accès à AWS Management Console avec les informations d'identification AD (p. 137).
Rubriques• Création d'un rôle (p. 124)• Modification de la relation d'approbation pour un rôle existant (p. 125)• Attribution d'utilisateurs et de groupes à un rôle existant (p. 126)• Affichage des utilisateurs et groupes attribués à un rôle (p. 126)• Suppression d'un utilisateur ou d'un groupe d'un rôle (p. 127)• Utilisation des stratégies gérées AWS avec AWS Directory Service (p. 127)
Création d'un rôleSi vous avez besoin de créer un nouveau rôle IAM à utiliser avec AWS Directory Service, vous devez lecréer à l'aide de la console IAM. Une fois le rôle créé, vous devez configurer une relation d'approbationavec ce rôle avant qu'il s'affiche dans la console AWS Directory Service. Pour plus d'informations,consultez la section Modification de la relation d'approbation pour un rôle existant (p. 125).
Note
L'utilisateur exécutant cette tâche doit avoir l'autorisation d'effectuer les opérations IAM suivantes.Pour plus d'informations, consultez la section Stratégies basées sur une identité (stratégiesIAM) (p. 277).
• iam:PassRole• iam:GetRole• iam:CreateRole• iam:PutRolePolicy
Pour créer un nouveau rôle dans la console IAM
1. Dans le volet de navigation de la console IAM, choisissez Roles (Rôles). Pour plus d'informations,consultez Création d'un rôle IAM (AWS Management Console) dans le Guide de l'utilisateur IAM.
2. Sélectionnez Créer un rôle.3. Dans Choisir le service qui utilisera ce rôle, choisissez Directory Service, puis Suivant : Autorisations.
Version 1.0124
AWS Directory Service Guide d'administrationAccorder l'accès aux ressources AWS
4. Cochez la case en regard de la stratégie (par exemple, AmazonEC2FullAccessque vous souhaitezappliquer aux utilisateurs de votre annuaire, puis choisissez Suivant.
5. Si nécessaire, ajoutez une balise au rôle, puis choisissez Suivant.6. Fournissez le Nom du rôle et une Description (facultative), puis choisissez Créer un rôle.
Exemple: Créer un rôle pour activer AWS Management Console accès
La liste suivante fournit un exemple des tâches que vous devez effectuer pour créer un nouveau rôle quidonnera à des utilisateurs spécifiques de l'annuaire l'accès à la console Amazon EC2.
1. Créez un rôle avec la console IAM à l'aide de la procédure ci-dessus. Lorsque vous êtes invité à entrerune stratégie, choisissez AmazonEC2FullAccess.
2. Suivez les étapes décrites dans Modification de la relation d'approbation pour un rôleexistant (p. 125) pour modifier le rôle que vous venez de créer, puis ajoutez les informations derelation d'approbation requises au document de stratégie. Cette étape est nécessaire pour que le rôlesoit visible immédiatement une fois que vous aurez activé l'accès à AWS Management Console dansl'étape suivante.
3. Suivez les étapes de Activation de l'accès à AWS Management Console avec les informationsd'identification AD (p. 137) pour configurer l'accès général à AWS Management Console.
4. Suivez les étapes de Attribution d'utilisateurs et de groupes à un rôle existant (p. 126) pour ajouterau nouveau rôle les utilisateurs qui ont besoin d'un accès complet aux ressources EC2.
Modification de la relation d'approbation pour un rôle existantVous pouvez assigner vos rôles IAM existants à vos utilisateurs et groupes AWS Directory Service. Pource faire, toutefois, le rôle doit avoir une relation d'approbation avec AWS Directory Service. Lorsque vousutilisez AWS Directory Service pour créer un rôle à l'aide de la procédure définie dans Création d'unrôle (p. 124), cette relation d'approbation est automatiquement définie. Vous n'avez qu'à établir cetterelation d'approbation pour les rôles IAM qui ne sont pas créés par AWS Directory Service.
Pour établir une relation d'approbation pour un rôle existant avec AWS Directory Service
1. Dans le volet de navigation de la console IAM, choisissez Roles (Rôles).
La console affiche les rôles de votre compte.2. Choisissez le nom du rôle que vous voulez modifier, puis sélectionnez Relations d'approbation dans la
page des détails.3. Choisissez Modifier la relation d'approbation.4. Sous Document de stratégie, collez les informations suivantes, puis choisissez Mettre à jour la
stratégie de confiance.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ds.amazonaws.com" }, "Action": "sts:AssumeRole" } ]}
Version 1.0125
AWS Directory Service Guide d'administrationAccorder l'accès aux ressources AWS
Vous pouvez également mettre à jour ce document de stratégie à l'aide de l'interface de ligne decommande IAM. Pour plus d'informations, consultez put-role-policy dans le Référence de la ligne decommande IAM.
Attribution d'utilisateurs et de groupes à un rôle existantVous pouvez attribuer un rôle IAM à un utilisateur ou un groupe AWS Directory Service. Le rôle doit avoirune relation d'approbation avec AWS Directory Service. Pour plus d'informations, consultez la sectionModification de la relation d'approbation pour un rôle existant (p. 125).
Pour attribuer des utilisateurs ou des groupes à un rôle IAM existant
1. Dans le volet de navigation AWS Directory Service console, choisissez Annuaires.2. Sur la page Directories (Annuaires), choisissez l'ID de votre annuaire.3. Sur la page Directory details (Détails de l'annuaire), sélectionnez l'onglet Application management
(Gestion d'applications).4. Dans la section AWS Management Console sous Delegate console access (Déléguer l’accès à la
console), choisissez le nom du rôle IAM existant auquel vous souhaitez attribuer des utilisateurs. Si lerôle n'a pas encore été créé, consultez Création d'un rôle (p. 124).
5. Sur la page Selected rôle (Rôle sélectionné) sous Manage users and groups for this role (Gérer lesutilisateurs et les groupes pour ce rôle), choisissez Add (Ajouter).
6. Sur la page Add users and groups to the role (Ajouter des utilisateurs et groupes aux rôles), en regardde Select Active Directory Forest (Sélectionner la forêt Active Directory), choisissez la forêt AWSManaged Microsoft AD (cette forêt) ou la forêt sur site (forêt approuvée), selon celle qui contient lescomptes qui ont besoin d'accéder à AWS Management Console. Pour plus d'informations sur la miseen place d'une forêt approuvée, consultez Tutoriel : Créer une relation d’approbation entre vos AWSManaged Microsoft AD et votre domaine sur site (p. 103).
7. Sous Specify which users or groups to add (Spécifier les utilisateurs ou les groupes à ajouter),sélectionnez Find by user (Rechercher par utilisateur) ou Find by group (Rechercher par groupe), puistapez le nom de l'utilisateur ou du groupe. Dans la liste de correspondances possibles, choisissezl'utilisateur ou le groupe que vous souhaitez ajouter.
8. Choisissez Add (Ajouter) pour mettre fin à l'affectation des utilisateurs et des groupes au rôle.
Note
L'accès pour les utilisateurs figurant dans des groupes imbriqués au sein de votre annuairen'est pas pris en charge. Les membres du groupe parent ont accès à la console, mais pas lesmembres des groupes enfants.
Affichage des utilisateurs et groupes attribués à un rôlePour afficher les utilisateurs et groupes attribués à un rôle, procédez comme suivant.
Pour afficher les utilisateurs et groupes attribués à un rôle
1. Dans le volet de navigation AWS Directory Service console, choisissez Annuaires.2. Sur la page Directories (Annuaires), choisissez l'ID de votre annuaire.3. Sur la page Directory details (Détails de l'annuaire), sélectionnez l'onglet Application management
(Gestion d'applications).4. Dans la sectionAWS Management Console, choisissez le rôle que vous souhaitez afficher.5. Sur la page Selected role (Rôle sélectionné), sous Manage users and groups for this role (Gérer les
utilisateurs et les groupes pour ce rôle), vous pouvez afficher les utilisateurs et les groupes attribués aurôle.
Version 1.0126
AWS Directory Service Guide d'administrationAccorder l'accès aux ressources AWS
Suppression d'un utilisateur ou d'un groupe d'un rôlePour supprimer d'un rôle un utilisateur ou un groupe, procédez comme suit.
Pour supprimer un utilisateur ou un groupe d'un rôle
1. Dans le volet de navigation AWS Directory Service console, choisissez Annuaires.2. Sur la page Directories (Annuaires), choisissez l'ID de votre annuaire.3. Sur la page Directory details (Détails de l'annuaire), sélectionnez l'onglet Application management
(Gestion d'applications).4. Dans la sectionAWS Management Console, choisissez le rôle que vous souhaitez afficher.5. Sur la page Selected role (Rôle sélectionné), sous Manage users and groups for this role (Gérer les
utilisateurs et les groupes pour ce rôle), sélectionnez les utilisateurs ou les groupes pour lesquelssupprimer le rôle, puis choisissez Remove (Supprimer). Le rôle est supprimé pour les utilisateurs et lesgroupes spécifiés, mais il n'est pas supprimé de votre compte.
Utilisation des stratégies gérées AWS avec AWS DirectoryServiceAWS Directory Service fournit les stratégies gérées par AWS suivantes afin de donner à vos utilisateurs età vos groupes l'accès aux services et ressources AWS, comme l'accès à la console Amazon EC2. Vousdevez vous connecter à AWS Management Console avant de pouvoir afficher ces stratégies.
• Accès en lecture seule• Accès utilisateur avec pouvoir• AWS Directory Service Accès complet• AWS Directory Service Accès en lecture seule• Amazon Cloud Directory Accès complet• Amazon Cloud Directory Accès en lecture seule• Amazon EC2 Accès complet• Amazon EC2 Accès en lecture seule• Amazon VPC Accès complet• Amazon VPC Accès en lecture seule• Amazon RDS Accès complet• Amazon RDS Accès en lecture seule• Amazon DynamoDB Accès complet• Amazon DynamoDB Accès en lecture seule• Amazon S3 Accès complet• Amazon S3 Accès en lecture seule• AWS CloudTrail Accès complet• AWS CloudTrail Accès en lecture seule• Amazon CloudWatch Accès complet• Amazon CloudWatch Accès en lecture seule• Amazon CloudWatch Logs Accès complet• Amazon CloudWatch Logs Accès en lecture seule
Pour plus d'informations sur la création de vos propres stratégies, consultez la section Exemples destratégies de gestion de ressources AWS du IAM Guide de l'utilisateur.
Version 1.0127
AWS Directory Service Guide d'administrationActivation de l'accès aux applications et services AWS
Activation de l'accès aux applications et services AWSAWS Directory Service can give other AWS applications and services, such as Amazon WorkSpaces,access to your directory users. The following AWS applications and services can be enabled or disabled towork with AWS Directory Service.
AWS application / service More information...
Amazon Chime For more information, see the Amazon ChimeAdministration Guide.
Amazon Connect For more information, see the Amazon ConnectAdministration Guide.
Amazon FSx for Windows File Server For more information, see Using AmazonFSx with AWS Directory Service for MicrosoftActive Directory in the Amazon FSx forWindows File Server User Guide.
Amazon QuickSight For more information, see the Amazon QuickSightUser Guide.
Amazon Relational Database Service For more information, see the Amazon RDS Guidede l'utilisateur.
Amazon WorkDocs For more information, see the Amazon WorkDocsGuide d'administration.
Amazon WorkMail For more information, see the Amazon WorkMailAdministrator Guide.
Amazon WorkSpaces You can create a Simple AD, AWS ManagedMicrosoft AD, or AD Connector directly fromAmazon WorkSpaces. Simply launch AdvancedSetup when creating your Workspace.
For more information, see the AmazonWorkSpaces Administration Guide.
Amazon WorkSpaces Application Manager For more information, see the Amazon WAMAdministration Guide.
AWS Management Console For more information, see Activation de l'accès àAWS Management Console avec les informationsd'identification AD (p. 137).
Once enabled, you manage access to your directories in the console of the application or service that youwant to give access to your directory. To find the AWS applications and services links described above inthe AWS Directory Service console, perform the following steps.
To display the applications and services for a directory
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. Review the list under the AWS apps & services section.
Version 1.0128
AWS Directory Service Guide d'administrationActivation de l'accès aux applications et services AWS
Rubriques• Création d'une URL d'accès (p. 129)• Authentification unique (p. 129)
Création d'une URL d'accèsAn access URL is used with AWS applications and services, such as Amazon WorkSpaces, to reach alogin page that is associated with your directory. The URL must be unique globally. You can create anaccess URL for your directory by performing the following steps.
Warning
Once you create an application access URL for this directory, it cannot be changed. After anaccess URL is created, it cannot be used by others. If you delete your directory, the access URL isalso deleted and can then be used by any other account.
To create an access URL
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. In the Application access URL section, if an access URL has not been assigned to the directory, the
Create button is displayed. Enter a directory alias and choose Create. If an Entity Already Exists erroris returned, the specified directory alias has already been allocated. Choose another alias and repeatthis procedure.
Your access URL is displayed in the format <alias>.awsapps.com.
Authentification uniqueAWS Directory Service vous donne la possibilité d'accorder à vos utilisateurs un accès à AmazonWorkDocs à partir d'un ordinateur joint à l'annuaire sans avoir à entrer leurs informations d'identificationséparément.
Avant d'activer l'authentification unique, vous devez prendre des mesures supplémentaires pour permettreaux navigateurs Web de vos utilisateurs de prendre en charge l'authentification unique. Les utilisateurspeuvent avoir besoin de modifier les paramètres de leur navigateur web pour activer l'authentificationunique.
Note
L'authentification unique fonctionne uniquement lorsqu'elle est utilisée sur un ordinateur qui estassocié à l'annuaire AWS Directory Service. Elle ne peut pas être utilisée sur les ordinateurs quine sont pas joints à l'annuaire.
Si votre annuaire est un annuaire AD Connector et que le compte de service AD Connector ne dispose pasde l'autorisation d'ajouter ou de supprimer son attribut de nom principal de service, vous disposez de deuxoptions pour les étapes 5 et 6 ci-dessous :
1. Vous pouvez continuer et vous serez invité à saisir le nom d'utilisateur et le mot de passe d'un utilisateurd'annuaire qui dispose de cette autorisation pour ajouter ou supprimer l'attribut de nom principal deservice sur le compte de service AD Connector. Ces informations d'identification ne sont utilisées quepour activer l'authentification unique et ne sont pas stockées par le service. Les autorisations du comptede service AD Connector ne sont pas modifiées.
2. Vous pouvez déléguer des autorisations pour autoriser le compte de service AD Connector à ajouter ousupprimer l'attribut de nom principal de service pour lui-même, vous pouvez exécuter les commandesPowerShell ci-dessous à partir d'un ordinateur joint à un domaine à l'aide d'un compte disposant des
Version 1.0129
AWS Directory Service Guide d'administrationActivation de l'accès aux applications et services AWS
autorisations pour modifier celles sur le compte de service AD Connector. La commande ci-dessousdonnera au compte de service AD Connector la possibilité d'ajouter et de supprimer un attribut de nomprincipal de service uniquement pour lui-même.
$AccountName = 'ConnectorAccountName'# DO NOT modify anything below this comment.# Getting Active Directory information.Import-Module 'ActiveDirectory'$RootDse = Get-ADRootDSE [System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID# Getting AD Connector service account Information.$AccountProperties = Get-ADUser -Identity $AccountName$AclPath = $AccountProperties.DistinguishedName$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value# Getting ACL settings for AD Connector service account.$ObjectAcl = Get-ACL -Path "AD:\$AclPath" # Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None'$ObjectAcl.AddAccessRule($AddAccessRule)Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
Pour activer ou désactiver l'authentification unique avec Amazon WorkDocs
1. Dans le volet de navigation AWS Directory Service console, sélectionnez Annuaires.2. Sur la page Directories (Annuaires), choisissez l'ID de votre annuaire.3. Sur la page Directory details (Détails de l'annuaire), sélectionnez l'onglet Application management
(Gestion d'applications).4. Dans la section Application access URL (URL d'accès à l'application), choisissez Activer pour activer
l'authentification unique pour Amazon WorkDocs.
Si vous ne voyez pas le bouton Activer, vous devez d'abord créer une URL d'accès pour pouvoirafficher cette option. Pour plus d'informations sur la création d'une URL d'accès, consultez Créationd'une URL d'accès (p. 129).
5. Dans la boîte de dialogue Enable Single Sign-On for this directory (Activer l'authentification uniquepour cet annuaire), choisissez Activer. L'authentification unique est activée pour l'annuaire.
6. Si vous souhaitez désactiver l'authentification unique avec Amazon WorkDocs, choisissez Désactiverpuis, dans la boîte de dialogue Disable Single Sign-On for this directory (Désactiver l'authentificationunique pour cet annuaire), choisissez à nouveau Désactiver.
Rubriques• Authentification unique pour IE et Chrome (p. 130)• Authentification unique pour Firefox (p. 136)
Authentification unique pour IE et Chrome
Pour permettre aux navigateurs Microsoft Internet Explorer (IE) et Google Chrome de prendre en chargel'authentification unique, les tâches suivantes doivent être exécutées sur l'ordinateur client :
• Ajoutez votre URL d'accès (par exemple, https://<alias>.awsapps.com) à la liste des sites approuvéspour l'authentification unique.
Version 1.0130
AWS Directory Service Guide d'administrationActivation de l'accès aux applications et services AWS
• Activez les scripts ASP (JavaScript).• Autorisez l'ouverture de session automatique.• Activez l'authentification intégrée.
Vous ou vos utilisateurs pouvez réaliser ces tâches manuellement ou vous pouvez modifier ces paramètresà l'aide des paramètres de stratégie de groupe.
Rubriques• Mise à jour manuelle pour l'authentification unique sous Windows (p. 131)• Mise à jour manuelle pour l'authentification unique sous OS X (p. 133)• Paramètres de stratégie de groupe pour l'authentification unique (p. 133)
Mise à jour manuelle pour l'authentification unique sous Windows
Pour autoriser manuellement l'authentification unique sur un ordinateur Windows, effectuez les opérationssuivantes sur l'ordinateur client. Certains de ces paramètres peuvent déjà être configurés correctement.
Pour activer manuellement l'authentification unique pour Internet Explorer et Chrome sousWindows
1. Pour ouvrir la boîte de dialogue Propriétés Internet, choisissez le menu Démarrer, tapez InternetOptions dans la zone de recherche, puis choisissez Options Internet.
2. Ajoutez votre URL d'accès à la liste des sites approuvés pour l'authentification unique en effectuant lesétapes suivantes :
a. Dans la boîte de dialogue Propriétés Internet, sélectionnez l'onglet Sécurité.b. Sélectionnez Intranet local, puis choisissez Sites.c. Dans la boîte de dialogue Intranet local, choisissez Avancé.d. Ajoutez votre URL d'accès à la liste des sites web et choisissez Fermer.e. Dans la boîte de dialogue Intranet local, choisissez OK.
3. Pour activer le script actif, effectuez les opérations suivantes :
a. Dans l'onglet Sécurité de la boîte de dialogue Propriétés Internet, choisissez Personnaliser leniveau.
b. Dans la boîte de dialogue Paramètres de sécurité - Zone intranet local, faites défiler l'écran jusqu'àScript, puis sélectionnez Activer sous Scripts ASP.
Version 1.0131
AWS Directory Service Guide d'administrationActivation de l'accès aux applications et services AWS
c. Dans la boîte de dialogue Paramètres de sécurité - Zone intranet local, choisissez OK.4. Pour activer la connexion automatique, effectuez les opérations suivantes :
a. Dans l'onglet Sécurité de la boîte de dialogue Propriétés Internet, choisissez Personnaliser leniveau.
b. Dans la boîte de dialogue Paramètres de sécurité - Zone intranet local, faites défiler l'écran jusqu'àAuthentification utilisateur, puis sélectionnez Connexion automatique uniquement dans la zoneintranet sous Connexion.
c. Dans la boîte de dialogue Paramètres de sécurité - Zone intranet local, choisissez OK.d. Dans la boîte de dialogue Paramètres de sécurité - Zone intranet local, choisissez OK.
5. Pour activer l'authentification intégrée, effectuez les étapes suivantes :
a. Dans la boîte de dialogue Propriétés Internet, sélectionnez l'onglet Avancé.b. Faites défiler l'écran jusqu'à Sécurité, puis sélectionnez Activer l'authentification Windows
intégrée.
Version 1.0132
AWS Directory Service Guide d'administrationActivation de l'accès aux applications et services AWS
c. Dans la boîte de dialogue Propriétés Internet, choisissez OK.6. Fermez et rouvrez votre navigateur pour que ces modifications prennent effet.
Mise à jour manuelle pour l'authentification unique sous OS X
Pour activer manuellement l'authentification unique pour Chrome sous OS X, effectuez les opérationssuivantes sur l'ordinateur client. Vous aurez besoin des droits d'administrateur sur votre ordinateur pourréaliser ces étapes.
Pour activer manuellement l'authentification unique pour Chrome sous OS X
1. Ajoutez votre URL d'accès à la stratégie AuthServerWhitelist en exécutant la commande suivante :
defaults write com.google.Chrome AuthServerWhitelist "https://<alias>.awsapps.com"
2. Ouvrez Préférences système, accédez au panneau Profils et supprimez le profil Chrome KerberosConfiguration.
3. Redémarrez Chrome et ouvrez chrome://policy dans Chrome afin de confirmer que les nouveauxparamètres sont activés.
Paramètres de stratégie de groupe pour l'authentification unique
L'administrateur de domaine peut implémenter des paramètres de stratégie de groupe pour appliquer lesmodifications d'authentification unique sur les ordinateurs clients qui sont joints au domaine.
Note
Si vous gérez les navigateurs web Chrome sur les ordinateurs de votre domaine avec desstratégies Chrome, vous devez ajouter votre URL d'accès à la stratégie AuthServerWhitelist. Pourde plus amples informations sur la définition des stratégies Chrome, veuillez consulter PolicySettings in Chrome.
Version 1.0133
AWS Directory Service Guide d'administrationActivation de l'accès aux applications et services AWS
Pour activer l'authentification unique pour Internet Explorer et Chrome à l'aide des paramètres destratégie de groupe
1. Créez un nouvel objet de stratégie de groupe en effectuant les étapes suivantes :
a. Ouvrez l'outil de gestion des stratégies de groupe, accédez à votre domaine et sélectionnezObjets de stratégie de groupe.
b. Dans le menu principal, choisissez Action, puis sélectionnez Nouveau.c. Dans la boîte de dialogue Nouvel objet GPO, entrez un nom descriptif pour l'objet de stratégie de
groupe, tel que SSO Policy, et laissez Objet GPO Starter source défini sur (aucun). Cliquez surOK.
2. Ajoutez l'URL d'accès à la liste des sites approuvés pour l'authentification unique en effectuant lesétapes suivantes :
a. Dans l'outil de gestion des stratégies de groupe, accédez à votre domaine, sélectionnez Objetsde stratégie de groupe, ouvrez le menu contextuel (clic droit) de votre stratégie d'authentificationunique, puis choisissez Modifier.
b. Dans l'arborescence de la stratégie, accédez à Configuration utilisateur > Préférences >Paramètres Windows.
c. Dans la liste Paramètres Windows, ouvrez le menu contextuel (clic droit) pour Registre, puischoisissez Nouvel élément Registre.
d. Dans la boîte de dialogue Nouvelles propriétés de Registre, entrez les paramètres suivants etchoisissez OK :
Action
Update
Hive
HKEY_CURRENT_USER
Chemin
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>
La valeur pour <alias> est dérivée de votre URL d'accès. Si votre URL d'accès esthttps://examplecorp.awsapps.com, l'alias correspond à examplecorp et la clé deRegistre correspond à Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\awsapps.com\examplecorp.
Nom de la valeur
https
Type de la valeur
REG_DWORD
Données de la valeur
1
3. Pour activer le script actif, effectuez les opérations suivantes :
a. Dans l'outil de gestion des stratégies de groupe, accédez à votre domaine, sélectionnez Objetsde stratégie de groupe, ouvrez le menu contextuel (clic droit) de votre stratégie d'authentificationunique, puis choisissez Modifier.
Version 1.0134
AWS Directory Service Guide d'administrationActivation de l'accès aux applications et services AWS
b. Dans l'arborescence de la stratégie, accédez à Configuration de l'ordinateur > Stratégies >Modèles d'administration > Composants Windows > Internet Explorer > Panneau de configurationInternet > Onglet Sécurité > Zone intranet.
c. Dans la liste Zone intranet, ouvrez le menu contextuel (clic droit) pour Autoriser les scripts actifs,puis choisissez Modifier.
d. Dans la boîte de dialogue Autoriser les scripts actifs, entrez les paramètres suivants et choisissezOK :
• Sélectionnez la case d'option Activé.• Sous Options, définissez Autoriser les scripts actifs sur Activer.
4. Pour activer la connexion automatique, effectuez les opérations suivantes :
a. Dans l'outil de gestion des stratégies de groupe, accédez à votre domaine, sélectionnez Objetsde stratégie de groupe, ouvrez le menu contextuel (clic droit) de votre stratégie d'authentificationunique, puis choisissez Modifier.
b. Dans l'arborescence de la stratégie, accédez à Configuration de l'ordinateur > Stratégies >Modèles d'administration > Composants Windows > Internet Explorer > Panneau de configurationInternet > Onglet Sécurité > Zone intranet.
c. Dans la liste Zone intranet, ouvrez le menu contextuel (clic droit) pour Options d'ouverture desession, puis choisissez Modifier.
d. Dans la boîte de dialogue Options d'ouverture de session, entrez les paramètres suivants etchoisissez OK :
• Sélectionnez la case d'option Activé.• Sous Options, définissez Options d'ouverture de session sur Connexion automatique
uniquement dans la zone Intranet.5. Pour activer l'authentification intégrée, effectuez les étapes suivantes :
a. Dans l'outil de gestion des stratégies de groupe, accédez à votre domaine, sélectionnez Objetsde stratégie de groupe, ouvrez le menu contextuel (clic droit) de votre stratégie d'authentificationunique, puis choisissez Modifier.
b. Dans l'arborescence de la stratégie, accédez à Configuration utilisateur > Préférences >Paramètres Windows.
c. Dans la liste Paramètres Windows, ouvrez le menu contextuel (clic droit) pour Registre, puischoisissez Nouvel élément Registre.
d. Dans la boîte de dialogue Nouvelles propriétés de Registre, entrez les paramètres suivants etchoisissez OK :
Action
Update
Hive
HKEY_CURRENT_USER
Chemin
Software\Microsoft\Windows\CurrentVersion\Internet Settings
Nom de la valeur
EnableNegotiate
Type de la valeur
REG_DWORDVersion 1.0
135
AWS Directory Service Guide d'administrationActivation de l'accès aux applications et services AWS
Données de la valeur
1
6. Fermez la fenêtre Éditeur de gestion des stratégies de groupe si elle est toujours ouverte.7. Attribuez la nouvelle stratégie à votre domaine en suivant les étapes suivantes :
a. Dans l'arborescence de gestion des stratégies de groupe, ouvrez le menu contextuel (clic droit)pour votre domaine et choisissez Lier un objet de stratégie de groupe existant.
b. Dans la liste Objets de stratégie de groupe, sélectionnez votre stratégie d'authentification uniqueet choisissez OK.
Ces modifications prennent effet après la prochaine mise à jour de la stratégie de groupe sur le client ou àla prochaine connexion de l'utilisateur.
Authentification unique pour Firefox
Pour permettre au navigateur Mozilla Firefox de prendre en charge l'authentification unique, ajoutezvotre URL d'accès (par exemple, https://<alias>.awsapps.com) à la liste des sites approuvés pourl'authentification unique. Cela peut être effectué manuellement ou de manière automatisée avec un script.
Rubriques• Mise à jour manuelle pour l'authentification unique (p. 136)• Mise à jour automatique pour l'authentification unique (p. 137)
Mise à jour manuelle pour l'authentification unique
Pour ajouter manuellement votre URL d'accès à la liste des sites approuvés dans Firefox, effectuez lesopérations suivantes sur l'ordinateur client.
Pour ajouter manuellement votre URL d'accès à la liste des sites approuvés dans Firefox
1. Ouvrez Firefox et ouvrez la page about:config.2. Ouvrez la préférence network.negotiate-auth.trusted-uris et ajoutez votre URL d'accès à la
liste des sites. Utilisez une virgule (,) pour séparer plusieurs entrées.
Version 1.0136
AWS Directory Service Guide d'administrationActivation de l'accès à la AWS Management Console
Mise à jour automatique pour l'authentification unique
En tant qu'administrateur de domaine, vous pouvez utiliser un script pour ajouter votre URL d'accès auxpréférences utilisateur Firefox network.negotiate-auth.trusted-uris sur tous les ordinateursde votre réseau. Pour de plus amples informations, veuillez consulter https://support.mozilla.org/en-US/questions/939037.
Activation de l'accès à AWS Management Consoleavec les informations d'identification ADAWS Directory Service allows you to grant members of your directory access to the AWS ManagementConsole. By default, your directory members do not have access to any AWS resources. You assign IAMroles to your directory members to give them access to the various AWS services and resources. The IAMrole defines the services, resources, and level of access that your directory members have.
Before you can grant console access to your directory members, your directory must have an access URL.For more information about how to view directory details and get your access URL, see Affichage desinformations d'annuaire (p. 123). For more information about how to create an access URL, see Créationd'une URL d'accès (p. 129).
For more information about how to create and assign IAM roles to your directory members, see Accorderl'accès aux ressources AWS (p. 124).
Rubriques• Enable AWS Management Console Access (p. 138)
Version 1.0137
AWS Directory Service Guide d'administrationActivation de l'accès à la AWS Management Console
• Disable AWS Management Console Access (p. 138)• Set Login Session Length (p. 138)
Related AWS Security Blog Article
• How to Access the AWS Management Console Using AWS Managed Microsoft AD and Your On-Premises Credentials
Enable AWS Management Console AccessBy default, console access is not enabled for any directory. To enable console access for your directoryusers and groups, perform the following steps:
To enable console access
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. Under the AWS Management Console section, choose Enable. Console access is now enabled for
your directory.
Before users can sign-in to the console with your access URL, you must first add your users to therole. For general information about assigning users to IAM roles, see Attribution d'utilisateurs etde groupes à un rôle existant (p. 126). After the IAM roles have been assigned, users can thenaccess the console using your access URL. For example, if your directory access URL is example-corp.awsapps.com, the URL to access the console is https://example-corp.awsapps.com/console/.
Disable AWS Management Console AccessTo disable console access for your directory users and groups, perform the following steps:
To disable console access
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. Under the AWS Management Console section, choose Disable. Console access is now disabled for
your directory.5. If any IAM roles have been assigned to users or groups in the directory, the Disable button may
be unavailable. In this case, you must remove all IAM role assignments for the directory beforeproceeding, including assignments for users or groups in your directory that have been deleted, whichwill show as Deleted User or Deleted Group.
After all IAM role assignments have been removed, repeat the steps above.
Set Login Session LengthBy default, users have 1 hour to use their session after successfully signing in to the console before theyare logged out. After that, users must sign in again to start the next 1 hour session before being logged offagain. You can use the following procedure to change the length of time to up to 12 hours per session.
Version 1.0138
AWS Directory Service Guide d'administrationDéploiement de contrôleurs de domaine supplémentaires
To set login session length
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. Under the AWS apps & services section, choose AWS Management Console.5. In the Manage Access to AWS Resource dialog box, choose Continue.6. In the Assign users and groups to IAM roles page, under Set login session length, edit the numbered
value, and then choose Save.
Déploiement de contrôleurs de domainesupplémentairesLe déploiement de contrôleurs de domaine supplémentaires permet d'augmenter la redondance, ce quise traduit par une plus grande résilience et une plus grande disponibilité. Ceci améliore également lesperformances de votre annuaire, grâce à la prise en charge d'un plus grand nombre de requêtes ActiveDirectory. Vous pouvez par exemple utiliser AWS Managed Microsoft AD pour prendre en charge plusieursapplications .NET déployées sur d'importants parcs Amazon EC2 et Amazon RDS pour des instancesSQL Server.
Lorsque vous créez votre premier annuaire, AWS Managed Microsoft AD déploie deux contrôleurs dedomaine dans plusieurs zones de disponibilité afin de garantir une haute disponibilité. Par la suite, vouspouvez facilement déployer des contrôleurs de domaine supplémentaires via la console AWS DirectoryService, en spécifiant simplement le nombre total de contrôleurs de domaine que vous souhaitez. AWSManaged Microsoft AD répartit les contrôleurs de domaine supplémentaires dans les zones de disponibilitéet les sous-réseaux VPC sur lesquels s'exécute votre annuaire.
Par exemple, dans l'illustration ci-dessous, DC-1 et DC-2 représentent les deux contrôleurs de domainequi ont été initialement créés avec votre annuaire. La console AWS Directory Service référence cescontrôleurs de domaine par défaut comme étant Obligatoires. AWS Managed Microsoft AD localiseintentionnellement chacun de ces contrôleurs de domaine dans des zones de disponibilité différentesau cours du processus de création du annuaire. Vous pouvez ensuite décider d'ajouter deux contrôleursde domaine supplémentaires pour mieux répartir la charge d'authentification sur les pics de connexion.DC-3 et DC-4 représentent les nouveaux contrôleurs de domaine, que la console désigne comme descontrôleurs Supplémentaires. Comme auparavant, AWS Managed Microsoft AD place automatiquementles nouveaux contrôleurs de domaine dans différentes zones de disponibilité afin de garantir la hautedisponibilité de votre domaine.
Version 1.0139
AWS Directory Service Guide d'administrationDéploiement de contrôleurs de domaine supplémentaires
Grâce à ce processus, vous n'avez plus besoin de configurer manuellement la réplication des donnéesd'annuaire, la génération automatique des instantanés quotidiens ou la surveillance des contrôleurs dedomaine supplémentaires. Il simplifie également la migration et l'exécution des charges de travail ActiveDirectory stratégiques dans le cloud sans avoir à déployer et à tenir à jour votre propre infrastructure ActiveDirectory. Vous pouvez également déployer ou supprimer des contrôleurs de domaine supplémentairespour AWS Managed Microsoft AD à l’aide de la UpdateNumberOfDomainControllers de l’API.
Ajout ou suppression de contrôleurs de domaine supplémentairesUtilisez la procédure suivante pour déployer ou supprimer des contrôleurs de domaine supplémentairesdans votre annuaire AWS Managed Microsoft AD.
Note
Si vous avez configuré votre AWS Managed Microsoft AD pour activer LDAPS, tous lescontrôleurs de domaine supplémentaires que vous ajoutez prendront aussi automatiquementen charge LDAPS. Pour plus d'informations, consultez la section Activation de LDAP sécurisé(LDAPS) (p. 35).
Pour ajouter ou supprimer des contrôleurs de domaine supplémentaires
1. Dans le volet de navigation AWS Directory Service console, choisissez Annuaires.2. Sur la page Directories (Annuaires), choisissez l'ID de votre annuaire.3. Sur la page Directory details (Détails de l'annuaire), sélectionnez l'onglet Scale (Mettre à l'échelle).4. Dans la section Domain controllers (Contrôleurs de domaine), choisissez Edit (Modifier).
Version 1.0140
AWS Directory Service Guide d'administrationMigration des utilisateurs d'AD
vers AWS Managed Microsoft AD
5. Spécifiez le nombre de contrôleurs de domaine à ajouter ou supprimer de votre annuaire, puischoisissez Modify (Modifier).
6. Une fois qu'AWS Managed Microsoft AD a terminé le processus de déploiement, tous les contrôleursde domaine passent à l'état Active (Actif), et la zone de disponibilité et les sous-réseaux VPCattribués s'affichent. Les nouveaux contrôleurs de domaine sont également répartis sur les zones dedisponibilité et sur les sous-réseaux sur lesquels votre annuaire est déjà déployé.
Note
Après le déploiement de contrôleurs de domaine supplémentaires, vous pouvez ramener à deuxle nombre de contrôleurs de domaine, ce qui correspond au minimum requis pour garantir latolérance aux pannes et la haute disponibilité.
Article du blog sur la sécurité AWS connexe
• Comment augmenter la redondance et les performances de votre service d’annuaire AWS pour AWSManaged Microsoft AD en ajoutant des contrôleurs de domaine
Migration des utilisateurs d'Active Directory vers AWSManaged Microsoft ADVous pouvez utiliser l'Active Directory Migration Toolkit (ADMT) ainsi que le service PES (Password ExportService) pour migrer des utilisateurs de votre AD auto-géré vers votre annuaire AWS Managed MicrosoftAD. Cela vous permet de migrer les objets AD et les mots de passe chiffrés pour vos utilisateurs plusfacilement.
Pour obtenir des instructions détaillées, consultez Procédure pour migrer votre domaine sur site vers AWSManaged Microsoft AD à l'aide d'ADMT sur le Blog AWS consacré à la sécurité.
Bonnes pratiques pour AWS Managed Microsoft ADVoici quelques suggestions et directives que vous devez prendre en compte pour éviter de rencontrer desproblèmes et tirer le meilleur parti d'AWS Managed Microsoft AD.
Configuration : Conditions préalables requisesPensez à utiliser ces consignes avant de créer votre annuaire.
Verify You Have the Right Directory TypeAWS Directory Service provides multiple ways to use Microsoft Active Directory with other AWS services.You can choose the directory service with the features you need at a cost that fits your budget:
• AWS Directory Service for Microsoft Active Directory is a feature-rich managed Microsoft Active Directoryhosted on the AWS cloud. AWS Managed Microsoft AD is your best choice if you have more than 5,000users and need a trust relationship set up between an AWS hosted directory and your on-premisesdirectories.
• AD Connector simply connects your existing on-premises Active Directory to AWS. AD Connector is yourbest choice when you want to use your existing on-premises directory with AWS services.
• Simple AD is an inexpensive Active Directory–compatible service with the common directory features.In most cases, Simple AD is the least expensive option and your best choice if you have 5,000 or fewerusers and don’t need the more advanced Microsoft Active Directory features.
Version 1.0141
AWS Directory Service Guide d'administrationConfiguration : Conditions préalables requises
For a more detailed comparison of AWS Directory Service options, see Que choisir ? (p. 1).
Ensure Your VPCs and Instances are Configured CorrectlyIn order to connect to, manage, and use your directories, you must properly configure the VPCs thatthe directories are associated with. See either Conditions préalables requises AWS Managed MicrosoftAD (p. 10), Conditions préalables requises AD Connector (p. 180), or Conditions préalables requisesSimple AD (p. 218) for information about the VPC security and networking requirements.
If you are adding an instance to your domain, ensure that you have connectivity and remote access toyour instance as described in Jonction d'une instance EC2 à votre annuaire AWS Managed MicrosoftAD (p. 69).
Be Aware of Your LimitsLearn about the various limits for your specific directory type. The available storage and the aggregate sizeof your objects are the only limitations on the number of objects you may store in your directory. See eitherLimites pour AWS Managed Microsoft AD (p. 147), Limites pour AD Connector (p. 212), or Limites pourSimple AD (p. 267) for details about your chosen directory.
Comprendre l'utilisation et la configuration du groupe de sécuritéAWS de votre annuaireAWS crée un groupe de sécurité et l'associe aux interfaces réseau Elastic du contrôleur de domaine devotre annuaire. Ce groupe de sécurité bloque le trafic inutile vers le contrôleur de domaine et autorise letrafic nécessaire aux communications Active Directory. AWS configure le groupe de sécurité pour ouvriruniquement les ports nécessaires aux communications Active Directory. Dans la configuration par défaut,le groupe de sécurité accepte le trafic vers ces ports à partir de n'importe quelle adresse IP. AWS attachele groupe de sécurité aux interfaces de vos contrôleurs de domaine qui sont accessibles depuis votreappairage ou redimensionné VPCs. Ces interfaces sont inaccessibles depuis Internet même si vousmodifiez les tables de routage, modifiez les connexions réseau vers votre VPC et configurez le Service depasserelle NAT. Par conséquent, seules les instances et les ordinateurs qui disposent d'un chemin d'accèsréseau dans le VPC peuvent accéder à l'annuaire. Cela simplifie la configuration et vous permet de ne plusavoir à configurer des plages d'adresses spécifiques. Au lieu de cela, vous configurez dans le VPC desroutes et des groupes de sécurité qui autorisent uniquement le trafic provenant d'instances et d'ordinateursde confiance.
Modification du groupe de sécurité de l'annuaire
Si vous souhaitez renforcer la sécurité des groupes de sécurité de vos annuaires, vous pouvez les modifierpour accepter le trafic d'une liste d'adresses IP plus restrictive. Par exemple, vous pouvez modifier lesadresses acceptées de 0.0.0.0/0 à une plage CIDR spécifique à un seul sous-réseau ou ordinateur. Demême, vous pouvez choisir de restreindre les adresses de destination vers lesquelles vos contrôleursde domaine peuvent communiquer. Effectuez ces modifications uniquement si vous avez entièrementcompris le fonctionnement du filtrage des groupes de sécurité. Pour plus d'informations, consultez lasection Groupes de sécurité Amazon EC2 pour les instances Linux du Guide de l'utilisateur Amazon EC2.Des modifications inappropriées peuvent entraîner une perte de communication vers les ordinateurs etles instances visés. AWS vous recommande de ne pas tenter d'ouvrir des ports supplémentaires vers lecontrôleur de domaine car cette action réduirait le niveau de sécurité de votre annuaire. Lisez attentivementle Modèle de responsabilité partagée AWS.
Warning
Vous êtes techniquement en mesure d'associer les groupes de sécurité utilisés par votre annuaireavec d'autres instances EC2 que vous créez. Cependant, AWS recommande de ne pas faire appelà cette pratique. AWS peut avoir des raisons de modifier le groupe de sécurité sans préavis pour
Version 1.0142
AWS Directory Service Guide d'administrationConfiguration : Création de votre annuaire
répondre aux besoins fonctionnels ou de sécurité de l'annuaire géré. Ces modifications affectenttoutes les instances avec lesquelles vous associez le groupe de sécurité de l'annuaire. De plus,l'association du groupe de sécurité de l'annuaire avec vos instances EC2 entraîne un risque desécurité potentiel pour vos instances EC2. Le groupe de sécurité de l'annuaire accepte le trafic surles ports Active Directory requis depuis n'importe quelle adresse IP. Si vous associez ce groupede sécurité avec une instance EC2 dont l'adresse IP publique est rattachée à Internet, n'importequel ordinateur sur Internet peut communiquer avec votre instance EC2 sur les ports ouverts.
Configuration : Création de votre annuaireVoici quelques suggestions à prendre en compte lorsque vous créez votre annuaire.
Rétention de vos ID et mot de passe d'administrateurLorsque vous configurez votre annuaire, vous fournissez un mot de passe pour le compte d'administrateur.Cet ID de compte est un Admin pour AWS Managed Microsoft AD. Retenez le mot de passe créé pour cecompte, sinon vous ne serez pas en mesure d'ajouter des objets à votre annuaire.
Création d'un jeu d'options DHCPNous vous recommandons de créer un jeu d'options DHCP pour votre annuaire AWS Directory Service etde l'affecter au VPC figurant dans votre annuaire. De cette façon, toutes les instances de ce VPC peuventpointer vers le domaine spécifié, et les serveurs DNS peuvent résoudre leurs noms de domaine.
Pour plus d'informations sur les jeux d'options DHCP, consultez Création d'un jeu d'optionsDHCP (p. 90).
Déploiement de contrôleurs de domaine supplémentairesPar défaut, AWS crée deux contrôleurs de domaine qui existent dans des zones de disponibilité distinctes.Cela fournit une résilience aux pannes lors de l'application des correctifs logiciels et d'autres événementsqui peuvent rendre un contrôleur de domaine inaccessible ou indisponible. Nous vous recommandons dedéployer des contrôleurs de domaine supplémentaires pour augmenter encore plus la résilience et garantirdes performances d'augmentation en cas d'événement à long terme affectant l'accès à un contrôleur dedomaine ou à une zone de disponibilité.
Pour plus d'informations, consultez la section Utilisez le service de localisation des contrôleurs de domainede Windows (p. 146).
Comprendre les restrictions de nom d'utilisateur pour lesapplications AWSAWS Directory Service prend en charge la plupart des formats de caractères pouvant être utilisés dansla création d'un nom d'utilisateur. Toutefois, certaines restrictions de caractères s'appliquent aux nomsd'utilisateur qui seront utilisés pour se connecter aux applications AWS telles que Amazon WorkSpaces,Amazon WorkDocs, Amazon WorkMail ou Amazon QuickSight. Ces restrictions empêchent l'utilisation descaractères suivants :
• Espaces• !"#$%&'()*+,/:;<=>?@[\]^`{|}~
Note
Le symbole @ est autorisé s'il précède un suffixe UPN.
Version 1.0143
AWS Directory Service Guide d'administrationUtilisation de votre annuaire
Utilisation de votre annuaireVoici quelques suggestions à garder à l'esprit lorsque vous utilisez votre annuaire.
Ne pas modifier les utilisateurs, groupes et unités d'organisationprédéfinisLorsque vous utilisez AWS Directory Service tpour lancer un annuaire, AWS crée une unité d'organisation(UO) qui contient tous les objets de votre annuaire. Cette unité d’organisation, qui possède le NetBIOS quevous avez saisi lorsque vous avez créé votre annuaire, se trouve dans la racine du domaine. La racine dudomaine appartient à AWS, qui la gère. Plusieurs groupes et un utilisateur administratif sont créés.
Ne déplacez pas, ne supprimez pas ou ne modifiez pas ces objets prédéfinis. Ces opérations peuventrendre votre annuaire totalement inaccessible par vous-même et AWS. Pour plus d'informations, consultezla section Ce qui est créé ? (p. 13).
Jonction automatique des domainesLors du lancement d'une instance Windows faisant partie du domaine AWS Directory Service, il est souventplus facile de joindre le domaine dans le cadre du processus de création d'instance plutôt que d'ajoutermanuellement l'instance ultérieurement. Pour joindre automatiquement un domaine, il suffit de sélectionnerl'annuaire approprié pour le paramètre Domain join directory lors du lancement d'une nouvelle instance.Pour plus de détails, consultez Jonction facile d'une instance EC2 Windows (p. 70).
Configuration appropriée des relations d'approbationLorsque vous configurez la relation d'approbation entre votre annuaire AWS Managed Microsoft AD et unautre annuaire, gardez à l'esprit ces consignes :
• Le type d'approbation doit correspondre des deux côtés (forêt ou externe)• Assurez-vous que la direction d'approbation est correctement configurée si vous utilisez une approbation
unidirectionnelle (sortante sur le domaine d'approbation, entrante sur le domaine approuvé)• Les noms de domaine complets (FQDN) et NetBIOS les noms doivent être uniques entre les forêts/
domaines
Pour plus de détails et des instructions spécifiques sur la configuration d'une relation d'approbation,consultez Quand créer une relation d'approbation (p. 95).
Gestion de votre annuairePensez à utiliser ces suggestions pour la gestion de votre annuaire.
Planifiez soigneusement les extensions de schémaAppliquez soigneusement les extensions de schéma de manière à indexer votre annuaire pour lesrequêtes importantes et fréquentes. Veillez à ne pas trop indexer l'annuaire car les index consommentde l'espace d'annuaire, et la modification rapide des valeurs indexées risque d'entraîner des problèmesde performance. Pour ajouter des index, vous devez créer un fichier LDIF (Directory Interchange Format)de LDAP (Lightweight Directory Access Protocol) et étendre la modification de votre schéma. Pour plusd'informations, consultez la section Extension de votre schéma (p. 115).
À propos des équilibreurs de chargeN'utilisez pas d'équilibreur de charge devant les points de terminaison AWS Managed Microsoft AD.Microsoft a conçu Active Directory (AD) pour une utilisation avec un algorithme de détection des
Version 1.0144
AWS Directory Service Guide d'administrationGestion de votre annuaire
contrôleurs de domaine (DC) qui permet de détecter le contrôleur de domaine opérationnel le plus réactifsans équilibrage de charge externe. Les équilibreurs de charge réseau externes détectent de manièreinexacte les charges actives DCs et peut entraîner l’envoi de votre application à un DC qui est en coursd’affichage mais qui n’est pas prêt à être utilisé. Pour plus d’informations, consultez Équilibreurs decharge et Active Directory sur Microsoft TechNet qui recommande de corriger les applications pour utilisercorrectement AD plutôt que d’implémenter des équilibreurs de charge externes.
Réalisation d'une sauvegarde de votre instanceSi vous décidez d'ajouter manuellement une instance à un domaine AWS Directory Serviceexistant, effectuez une sauvegarde ou prenez un instantané de cette instance au préalable. Cela estparticulièrement important lors de la jonction d'une instance Linux. Certaines des procédures utiliséespour ajouter une instance, si elles ne sont pas effectuées correctement, peuvent rendre votre instanceinaccessible ou non utilisable. Pour plus d'informations, consultez la section Création d'un instantané oud'une restauration de votre annuaire (p. 122).
Configuration de la messagerie SNSAvec Amazon Simple Notification Service (Amazon SNS), vous pouvez recevoir des e-mails ou desmessages texte (SMS) lorsque le statut de votre annuaire change. Vous êtes averti lorsque votre annuairepasse du statut Active au statut Impaired ou Inoperable. Vous recevez également une notification lorsquel'annuaire renvoie un statut Active.
Aussi n'oubliez pas que si vous avez une rubrique SNS qui reçoit les messages d'AWS Directory Service, ,avant de supprimer cette rubrique de la console Amazon SNS, vous devez associer votre annuaire àune autre rubrique SNS. Sinon, vous risquez de manquer des messages de statut d'annuaire importants.Pour savoir comment configurer Amazon SNS, consultez Configuration des notifications de statut del'annuaire (p. 55).
Supprimez les applications d'entreprise Amazon avant desupprimer un annuaireAvant de supprimer un annuaire associé à une ou plusieurs applications d'entreprise Amazon, telles queAmazon WorkSpaces, Amazon WorkSpaces Application Manager, Amazon WorkDocs, Amazon WorkMail,AWS Management Console ou Amazon Relational Database Service (Amazon RDS), vous devez d'abordsupprimer chaque application. Pour en savoir plus sur la suppression de ces applications, consultezSuppression de votre annuaire (p. 120).
Utiliser les clients SMB 2.x lors de l'accès aux partages SYSVOLet NETLOGONLes ordinateurs clients utilisent SMB (Server Message Block) pour accéder aux partages SYSVOL etNETLOGON sur les contrôleurs de domaine AWS Managed Microsoft AD pour la stratégie de groupe,les scripts de connexion et d'autres fichiers. AWS Managed Microsoft AD prend uniquement en charge laversion 2.0 de SMB (SMBv2) et les autres versions plus récentes.
Le SMBv2 et les versions plus récentes ajoutent un certain nombre de fonctionnalités qui améliorentles performances du client et augmentent la sécurité de vos contrôleurs de domaine et clients. Cettemodification suit les recommandations du Équipe de préparation aux situations d’urgence informatique desÉtats-Unis et à Microsoft pour désactiver SMBv1.
Important
Si vous utilisez actuellement SMBv1 pour accéder aux partages SYSVOL et NETLOGON de votrecontrôleur de domaine, vous devez mettre à jour ces clients pour utiliser SMBv2 ou plus récent.
Version 1.0145
AWS Directory Service Guide d'administrationProgrammation de vos applications
Votre répertoire fonctionnera correctement, mais votre SMBv1 ne parvient pas à se connecter auxpartages SYSVOL et NETLOGON de vos contrôleurs de domaine Microsoft AD gérés par AWS, etne peut pas non plus traiter la stratégie de groupe.
SMBv1 les clients travailleront avec d’autres SMBv1 des serveurs de fichiers compatibles que vous avez.Toutefois, AWS vous recommande de mettre à jour tous vos serveurs et clients SMB vers SMBv2 ou plusrécent. Pour en savoir plus sur la désactivation SMBv1 et de la mettre à jour vers les versions SMB les plusrécentes sur vos systèmes, voir ces publications sur à Microsoft TechNet et Assistance.
Suivi SMBv1 Connexions à distance
Vous pouvez consulter le Serveur/Audit-Microsoft-Windows-SMB Journal des événements Windows seconnectant à distance au AWS Managed Microsoft AD contrôleur de domaine, tout événement dans cejournal indique SMBv1 connexions. Voici un exemple des informations que vous pouvez voir dans l'un deces journaux :
Accès SMB1
Adresse du client : ###.###.###.###
Conseils :
Cet événement indique qu’un client a tenté d’accéder au serveur à l’aide de SMB1. Pour arrêter l’audit del’accès SMB1, utilisez l’onglet Windows PowerShell Applet de commande Set-SmbServerConfiguration.
Programmation de vos applicationsAvant de programmer vos applications, prenez en compte les éléments suivants :
Utilisez le service de localisation des contrôleurs de domaine deWindowsLors du développement des applications, utilisez le service de localisation des contrôleurs de domainede Windows ou le service DNS dynamique (DDNS) de votre AWS Managed Microsoft AD pour localiserles contrôleurs de domaine (DC). Ne codez pas en dur les applications avec l'adresse d'un contrôleurde domaine. Le service de localisation des contrôleurs de domaine permet de garantir que l'annuaire estdistribué et vous permet de tirer parti de la mise à l'échelle horizontale en ajoutant des contrôleurs dedomaine à votre déploiement. Si vous liez votre application à un DC fixe et que le DC subit un correctif ouune récupération, votre application perdra l’accès au DC au lieu d’utiliser l’un des autres DCs. En outre, lecodage en dur du CC peut entraîner un hot spotting sur un seul CC. Dans des cas extrêmes, la création dece point chaud peut entraîner une absence de réponse de votre contrôleur de domaine. Ces cas peuventégalement entraîner le marquage automatique de l'annuaire AWS comme « Impaired » (dégradé) et ledéclenchement des processus de récupération pour remplacer le contrôleur de domaine qui ne répond pas.
Testez la charge avant de lancer la productionAssurez-vous de procéder à des tests avec des objets et des requêtes représentatifs de votre charge detravail de production afin de confirmer que l'annuaire s'adapte à la charge de travail de votre application.Si vous avez besoin d’une capacité supplémentaire, testez avec des DCs lors de la distribution desdemandes entre les DCs. Pour plus d’informations, consultez Déploiement de contrôleurs de domainesupplémentaires (p. 139).
Utilisez des requêtes LDAP efficacesDe vastes requêtes LDAP effectuées dans un contrôleur de domaine sur des dizaines de milliers d'objetspeuvent consommer des cycles de processeur considérables sur un seul contrôleur de domaine, ce qui se
Version 1.0146
AWS Directory Service Guide d'administrationLimits
traduit par la création de points chauds. Ces points chauds peuvent affecter les applications qui partagentle même contrôleur de domaine lors de la requête.
Limites pour AWS Managed Microsoft ADVoici les limites par défaut pour AWS Managed Microsoft AD. Chaque limite est définie par région, saufmention contraire.
Limites pour AWS Managed Microsoft AD
Resource Limite par défaut
AWS Managed Microsoft AD annuaires 20
Instantanés manuels * 5 par AWS Managed Microsoft AD
Durée des instantanés manuels ** 180 jours
Nombre maximal de contrôleurs de domaine parannuaire
20
Domaines partagés via Microsoft AD standard 5
Domaines partagés via Microsoft AD Entreprise 125
Nombre maximal de certificats d'autorité decertification enregistrés par annuaire
5
* La limite d'instantané manuel ne peut pas être modifiée.
** La durée maximale de prise en charge pour un instantané manuel est de 180 jours et ne peut pas êtremodifiée. Cela est dû à l'attribut appelé « Tombstone-Lifetime » des objets supprimés. Il définit la duréede conservation d'une sauvegarde de l'état du système d'Active Directory. Il n'est pas possible d’effectuerune restauration à partir d'un instantané datant de plus de 180 jours. Pour plus d'informations, consultezla section Durée de conservation d’une sauvegarde de l’état du système d'Active Directory sur le site WebMicrosoft.
Note
Vous ne pouvez pas attacher une adresse IP publique à votre interface réseau Elastic (ENI) AWS.
Pour plus d'informations concernant la conception d'applications et de la répartition des charges, consultezProgrammation de vos applications (p. 146).
Pour les limites de stockage et des objets, consultez la Table de comparaison sur la page tarification deDirectory ServiceAWS.
Augmenter votre limiteEffectuez les opérations suivantes afin d'augmenter votre limite pour une région.
Pour demander une augmentation de limite pour une région
1. Accédez à la page Centre AWS Support, connectez-vous si nécessaire, puis cliquez sur Open a newcase (Ouvrir un nouveau cas).
Version 1.0147
AWS Directory Service Guide d'administrationCompatibilité des applications
2. Sous Regarding, sélectionnez Service Limit Increase (Augmentation de limite de service).3. Sous Limit Type (Type de limite), sélectionnez AWS Directory Service.4. Remplissez tous les champs nécessaires de l'écran, puis cliquez sur le bouton en bas de la page pour
définir le mode de contact souhaité.
Stratégie de compatibilité des applications pourAWS Managed Microsoft AD
AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) est compatible avecplusieurs services AWS et applications tierces.
Voici une liste des applications et des services AWS compatibles :
• Amazon Chime - Pour obtenir des instructions détaillées, consultez la section Connexion à votre ActiveDirectory.
• Amazon Connect - Pour plus d'informations, consultez la section Fonctionnement de Amazon Connect• Amazon EC2 – Pour plus d’informations, consultez Jonction d'une instance EC2 à votre annuaire AWS
Managed Microsoft AD (p. 69).• Amazon FSx for Windows File Server - Pour plus d'informations, consultez Qu'est-ce que Amazon FSx
for Windows File Server ?• Amazon QuickSight - Pour plus d'informations, consultez Gestion des comptes d'utilisateur dan Amazon
QuickSight Enterprise Edition.• Amazon RDS pour MySQL -Pour plus d’informations, voir Utilisation de l’authentification Kerberos pour
MySQL.• Amazon RDS pour SQL Server - Pour de plus amples informations, consultez la section Utilisation de
l'authentification Windows avec une instance de base de données Microsoft SQL Server Amazon RDS.• Amazon RDS pour Oracle - Pour de plus amples informations, veuillez consulter Utilisation de
l'authentification Kerberos avec Amazon RDS for Oracle.• Amazon RDS pour PostgreSQL -Pour plus d’informations, voir Utilisation de l’authentification Kerberos
avec Amazon RDS pour PostgreSQL.• AWS Single Sign-On - Pour obtenir des instructions détaillées, consultez la section Connexion SSO AWS
à un annuaire Active Directory sur site.• Amazon WorkDocs - Pour obtenir des instructions détaillées, consultez la section Connexion à votre
annuaire sur site avec AWS Managed Microsoft AD.• Amazon WorkMail - Pour obtenir des instructions détaillées, consultez la section Intégration d'Amazon
WorkMail à un annuaire existant (configuration standard).• Amazon WorkSpaces -Pour des instructions détaillées, voir Lancer un WorkSpace Utilisation de AWS
Managed Microsoft AD.• AWS Client VPN - Pour obtenir des instructions détaillées, consultez la section Authentification et
autorisation du client.• AWS Management Console – Pour plus d’informations, consultez Activation de l'accès à AWS
Management Console avec les informations d'identification AD (p. 137).
En raison du grand nombre d'applications commerciales et personnalisées prêtes à l'emploi qui utilisentActive Directory, AWS n'est pas en mesure de vérifier formellement ou de manière systématique lacompatibilité des applications tierces avec AWS Directory Service for Microsoft Active Directory (AWSManaged Microsoft AD). Bien qu'AWS travaille aux côtés de ses clients pour tenter de surmonter les
Version 1.0148
AWS Directory Service Guide d'administrationDirectives de compatibilité
éventuels défis d'installation d'applications qu'ils sont susceptibles de rencontrer, nous ne pouvons pasgarantir la compatibilité présente ou future de chaque application avec AWS Managed Microsoft AD.
Les applications tierces suivantes sont compatibles avec AWS Managed Microsoft AD :
• Activation Active Directory (ADBA)• Services de certificat Active Directory (AD CS) : Enterprise Certificate Authority• Active Directory Federation Services (AD FS)• Utilisateurs et ordinateurs Active Directory (ADUC)• Application Server (.NET)• Azure Active Directory (Azure AD)• Azure Active Directory (AD) Connect• Réplication de systèmes de fichiers distribué (DFSR)• Espaces de noms de système de fichiers distribués (DFSN)• Serveur de licences des services Bureau à distance de Microsoft• à Microsoft SharePoint Serveur• Microsoft SQL Server (y compris les groupes de disponibilité SQL Server Always On)• Microsoft System Center Configuration Manager (SCCM) - L'utilisateur qui déploie SCCM doit être
membre du groupe d'administrateurs de gestion de système délégués AWS.• Système d'exploitation Microsoft Windows et Windows Serveur• Office 365
Remarque : il se peut que certaines des configurations de ces applications ne soient pas prises en charge.
Directives de compatibilitéBien que les applications peuvent parfois avoir des configurations qui ne sont pas compatibles, lesconfigurations de déploiement d'applications sont souvent capables de surmonter une incompatibilité. Lasection suivante décrit les motifs les plus courants d'incompatibilité d'une application. Les clients peuventutiliser ces informations pour étudier les caractéristiques de compatibilité d'une application donnée etidentifier les éventuelles modifications à apporter à son déploiement.
• Autorisations de l'administrateur du domaine ou autres autorisations privilégiées – Certaines applicationsrequièrent que vous les installiez en tant qu'administrateur du domaine. Étant donné qu' AWS doitconserver le contrôle exclusif de ce niveau d'autorisation pour fournir Active Directory en tant que servicegéré, vous ne pouvez pas agir en tant qu'administrateur de domaine pour installer ces applications. Enrevanche, vous pouvez souvent installer ces applications en déléguant des autorisations spécifiques,moins privilégiées et prises en charge par AWS à la personne procédant à l'installation. Contactez votrefournisseur d'applications pour en savoir plus sur les autorisations précises que requiert votre application.Pour en savoir plus sur les autorisations qu'AWS vous autorise à déléguer, consultez la section Ce quiest créé ? (p. 13).
• Accès aux conteneurs Active Directory privilégiés – Dans votre annuaire, AWS Managed Microsoft ADfournit une unité d'organisation (UO) sur laquelle vous avez un contrôle administratif complet. Vousne possédez pas d'autorisations de création ou d'écriture mais vous pouvez détenir des autorisationslimitées de lecture des conteneurs qui se trouvent à un niveau supérieur dans l'arborescence ActiveDirectory que votre unité d'organisation. Les applications qui créent ou accèdent à des conteneurs, etpour lesquelles vous n'avez pas d'autorisation, peuvent ne pas fonctionner. Toutefois, ces applicationsont souvent la capacité d'utiliser un conteneur que vous créez dans votre unité d'organisation commealternative. Consultez votre fournisseur d'applications pour trouver des moyens de créer et d'utiliserun conteneur dans votre unité d'organisation comme alternative. Pour en savoir plus sur la gestion devotre unité d'organisation (UO), consultez la section Comment administrer AWS Managed MicrosoftAD (p. 29).
Version 1.0149
AWS Directory Service Guide d'administrationApplications incompatibles connues
• Modifications de schéma pendant le processus d'installation – Certaines applications Active Directorynécessitent la modification du schéma Active Directory par défaut, et elles peuvent essayer d'installer cesmodifications pendant le processus d'installation de l'application. En raison de la nature privilégiée desextensions de schéma, AWS rend la compatibilité possible par l'importation de fichiers CLI (LightweightDirectory Interchange Format), uniquement via la console AWS Directory Service, l'interface de lignede commande ou le kit de développement logiciel. Ces applications sont souvent fournies avec unfichier LDIF que vous pouvez appliquer à l'annuaire par l'intermédiaire du processus de mise à jour duschéma AWS Directory Service. Pour en savoir plus sur le fonctionnement du processus d'importationLDIF, consultez la section Tutoriel : Extension de votre AWS Managed Microsoft AD Schéma (p. 115).Vous pouvez installer l'application de sorte à contourner l'installation du schéma pendant le processusd'installation.
Applications incompatibles connuesLa liste suivante répertorie les applications commerciales prêtes à l'emploi couramment demandées pourlesquelles nous n'avons pas trouvé de configuration compatible avec AWS Managed Microsoft AD. AWSmet à jour cette liste régulièrement, à son entière discrétion, afin de vous éviter des efforts inutiles. AWSfournit ces informations sans garantie ni affirmation concernant la compatibilité actuelle ou future.
• Services de certificat Active Directory (AD CS) : Service Web d’inscription au certificat• Services de certificat Active Directory (AD CS) : Service Web de politique d’inscription au certificat• Microsoft Exchange Server• Microsoft Skype for Business Server
Didacticiels d'atelier de test AWS ManagedMicrosoft AD
Cette section fournit une série de didacticiels guidés pour vous aider à créer un environnement d'atelier detest dans AWS, d'où vous pourrez tester AWS Managed Microsoft AD.
Rubriques• Tutoriel : Configuration de votre base AWS Managed Microsoft AD Laboratoire de test dans
AWS (p. 150)• Tutoriel : Création d’une approbation à partir de AWS Managed Microsoft AD à une installation Active
Directory autogérée sur Amazon EC2 (p. 163)
Tutoriel : Configuration de votre base AWS ManagedMicrosoft AD Laboratoire de test dans AWSCe didacticiel explique comment configurer votre environnement AWS pour préparer l'installation d'unenouvelle instance AWS Managed Microsoft AD qui utilise une nouvelle instance EC2 exécutant WindowsServer 2019. Vous y apprendrez à utiliser les outils d'administration Active Directory classiques pour gérervotre environnement AWS Managed Microsoft AD à partir de votre système Windows. Une fois que vousaurez terminé ce didacticiel, vous aurez installé les composants requis du réseau et aurez configuré unenouvelle forêt AWS Managed Microsoft AD.
Comme vous pouvez le voir sur l'illustration suivante, l'atelier de test que vous allez créer à partir dece didacticiel vous servira grandement pour vous familiariser avec AWS Managed Microsoft AD. Vouspourrez ensuite ajouter des didacticiels facultatifs pour améliorer votre expérience pratique. Cette série
Version 1.0150
AWS Directory Service Guide d'administrationTutoriel : Configurez votre base AWS
Managed Microsoft AD Laboratoire de test
de didacticiels est idéale pour tous ceux qui débutent avec AWS Managed Microsoft AD et qui souhaitentbénéficier d'un environnement de test à des fins d'évaluation. Ce didacticiel vous prendra environ 1 heure.
Étape 1 : Configurez votre AWS Environnement pour AWS Managed Microsoft AD (p. 152)
Une fois ces tâches préalables effectuées, vous devez créer et configurer un VPC dans votre instanceEC2.
Étape 2 : Créez votre AWS Managed Microsoft AD Répertoire dans AWS (p. 157)
Au cours de cette étape, vous allez procéder à la première configuration de AWS Managed MicrosoftAD dans AWS.
Étape 3 : Déploiement d’une instance EC2 à gérer AWS Managed Microsoft AD (p. 159)
Vous allez ici exécuter les différentes tâches post-déploiement nécessaires pour que les ordinateursclients puissent se connecter à votre nouveau domaine et configurer un nouveau système WindowsServer dans EC2.
Étape 4 : Vérifiez que le laboratoire de test de base est opérationnel (p. 162)
Enfin, en tant qu'administrateur, vous devez vérifier que vous pouvez vous identifier et vous connecterà AWS Managed Microsoft AD depuis votre système Windows Server dans EC2. Une fois que vousaurez confirmé que le laboratoire est opérationnel, vous pourrez continuer d'ajouter d'autres modulesguides de votre atelier de test.
PrerequisitesSi vous prévoyez de suivre uniquement les étapes de l'interface utilisateur décrites dans ce didacticiel pourcréer votre atelier de test, vous pouvez ignorer cette section préalable et passer directement à l'étape 1.
Version 1.0151
AWS Directory Service Guide d'administrationTutoriel : Configurez votre base AWS
Managed Microsoft AD Laboratoire de test
Si vous envisagez cependant d'utiliser les commandes de la AWS CLI ou les modules Outils AWS pourWindows PowerShell pour créer votre environnement d'atelier de test, vous devez d'abord configurer leséléments suivants :
• Utilisateur IAM avec accès et clé d'accès secrète – Vous avez besoin d'un utilisateur IAM disposant d'uneclé d'accès si vous souhaitez utiliser la AWS CLI ou les modules Outils AWS pour Windows PowerShell.Si vous n'avez pas de clé d'accès, consultez la section Création, modification et affichage des clésd'accès (AWS Management Console).
• AWS Command Line Interface (facultatif)– Téléchargez et installez l'interface de ligne de commandeAWS sous Windows. Une fois installé, ouvrez l’invite de commande ou Windows PowerShell puis tapezaws configure. Notez que vous avez besoin de la clé d’accès et de la clé secrète pour terminerla configuration de. Référez-vous au premier prérequis pour savoir comment procéder. Vous devrezrenseigner les informations suivantes :• AWS access key ID [None] : AKIAIOSFODNN7EXAMPLE• AWS secret access key [None] : wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY• Default region name [None] : us-west-2• Default output format [None] : json
• Outils AWS pour Windows PowerShell (facultatif) – Téléchargez et installez la dernière version duOutils AWS pour Windows PowerShell depuis https://aws.amazon.com/powershell/, puis exécutez lacommande suivante. Notez que vous avez besoin de votre clé d'accès et de votre clé secrète poureffectuer la configuration. Référez-vous au premier prérequis pour savoir comment procéder.
Set-AWSCredentials -AccessKey {AKIAIOSFODNN7EXAMPLE} -SecretKey{wJalrXUtnFEMI/K7MDENG/ bPxRfiCYEXAMPLEKEY} -StoreAs {default}
Étape 1 : Configurez votre AWS Environnement pour AWSManaged Microsoft ADPour pouvoir créer AWS Managed Microsoft AD dans votre atelier de test AWS, vous devez d'abordconfigurer votre paire de clés Amazon EC2 de manière à chiffrer toutes les données de connexion.
Créer une paire de clés
Si vous possédez déjà une paire de clés, vous pouvez ignorer cette étape. Pour en savoir plus sur lespaires de clés Amazon EC2, consultez http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html.
Pour créer une paire de clés
1. Connectez-vous à AWS Management Console et ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.
2. Dans le volet de navigation, sous Réseau et sécurité, choisissez Paires de clés, puis sélectionnezCréer une paire de clés.
3. Pour Nom de la paire de cléstype AWS-DS-KP. Pour Format de fichier de paire de clés, sélectionnezpem, puis choisissez Créer.
4. Le fichier de clé privée est automatiquement téléchargé dans votre navigateur. Le nom de fichier estle nom que vous avez spécifié lorsque vous avez créé votre paire de clés avec l’extension .pem.Enregistrez le fichier de clé privée dans un emplacement sécurisé.
Important
C'est votre seule occasion d'enregistrer le fichier de clé privée. Vous devez indiquer le nomde votre paire de clés quand vous lancez une instance, ainsi que la clé privée correspondantechaque fois que vous déchiffrez le mot de passe de l'instance.
Version 1.0152
AWS Directory Service Guide d'administrationTutoriel : Configurez votre base AWS
Managed Microsoft AD Laboratoire de test
Créer, configurer et pair deux VPCsComme le montre l’illustration suivante, lorsque vous aurez terminé ce processus en plusieurs étapes,vous aurez créé et configuré deux VPCs, deux sous-réseaux publics par VPC, une passerelle Internetpar VPC et une connexion d’appairage de VPC entre le VPCs. Nous avons choisi d’utiliser les VPCset les sous-réseaux à des fins de simplicité et de coût. Pour les charges de travail de production, nousvous recommandons d’utiliser des VPCs. Pour plus d’informations sur l’amélioration de la sécurité VPC,consultez Sécurité dans Amazon Virtual Private Cloud.
Toute l’interface de ligne de commande AWS et PowerShell Les exemples utilisent les informations VPCci-dessous et sont intégrés dans us-west-2. Vous pouvez choisir n'importe quelle région prise en chargepour créer votre environnement. Pour de plus amples informations, veuillez consulter Qu'est-ce qu'AmazonVPC ?
Étape 1 : Créez deux VPCs
Dans cette étape, vous devez créer deux VPCs dans le même compte à l’aide des paramètres spécifiésdans le tableau suivant. AWS Managed Microsoft AD prend en charge l’utilisation de comptes distinctsavec le Partagez votre annuaire (p. 60) fonction. Le premier VPC sera utilisé pour AWS ManagedMicrosoft AD. Le deuxième VPC sera utilisé pour des ressources qui pourront servir plus tard dansTutoriel : Création d’une approbation à partir de AWS Managed Microsoft AD à une installation ActiveDirectory autogérée sur Amazon EC2 (p. 163).
Informations sur le VPC Managed AD Informations sur le VPC sur site
Balise de nom : pour AWS-DS-VPC01 Balise de nom : de l’AWS-OnPrem-VPC01
Version 1.0153
AWS Directory Service Guide d'administrationTutoriel : Configurez votre base AWS
Managed Microsoft AD Laboratoire de test
Informations sur le VPC Managed AD Informations sur le VPC sur siteIPv4 Bloc d’adresse CIDR : 10.0.0.0/16
IPv6 Bloc d’adresse CIDR : Non IPv6 Blocd’adresse CIDR
Location : Valeur par défaut
IPv4 Bloc d’adresse CIDR : 10.100.0.0/16
IPv6 Bloc d’adresse CIDR : Non IPv6 Blocd’adresse CIDR
Location : Valeur par défaut
Pour obtenir des instructions détaillées, veuillez consulter Création d’un VPC.
Étape 2 : Créer deux sous-réseaux par VPC
Après avoir créé le VPCs vous devrez créer deux sous-réseaux par VPC à l’aide des paramètres spécifiésdans le tableau suivant. Pour ce laboratoire de test, chaque sous-réseau sera de type /24. Cela permetd'émettre jusqu'à 256 adresses par sous-réseau. Chaque sous-réseau doit être un dans une zone dedisponibilité distincte. Mettre chaque sous-réseau dans une zone de disponibilité distincte est un desConditions préalables requises AWS Managed Microsoft AD (p. 10).
Informations sur le sous-réseau AWS-DS-VPC01 : Informations sur le sous-réseau AWS-OnPrem-VPC01
Balise de nom : Sous-réseau AWS-DS-VPC0101
VPC : vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01
Zone de disponibilité : us-west-2a
IPv4 Bloc d’adresse CIDR : 10.0.0.0/24
Balise de nom : Sous-réseau AWS-OnPrem-VPC0101
VPC : vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01
Zone de disponibilité : us-west-2a
IPv4 Bloc d’adresse CIDR : à 10.100.0.0/24
Balise de nom : Sous-réseau AWS-DS-VPC0102
VPC : vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01
Zone de disponibilité : us-west-2b
IPv4 Bloc d’adresse CIDR : 10.0.1.0/24
Balise de nom : Sous-réseau AWS-OnPrem-VPC0102
VPC : vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01
Zone de disponibilité : us-west-2b
IPv4 Bloc d’adresse CIDR : à 10.100.1.0/24
Pour obtenir des instructions détaillées, veuillez consulter Création d'un sous-réseau dans votre VPC.
Étape 3 : Créez et joignez une passerelle Internet à votre VPCs
Comme nous utilisons des VPCs vous devrez créer et attacher une passerelle Internet à votre VPCs àl’aide des paramètres spécifiés dans le tableau suivant. Cela vous donnera la possibilité de vous connecterà vos instances EC2 et de les gérer.
Informations sur la passerelle Internet AWS-DS-VPC01
Informations sur la passerelle Internet AWS-OnPrem-VPC01
Balise de nom : pour AWS-DS-VPC01-IGW
VPC : vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01
Balise de nom : de l’AWS-OnPrem-VPC01-IGW
VPC : vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01
Version 1.0154
AWS Directory Service Guide d'administrationTutoriel : Configurez votre base AWS
Managed Microsoft AD Laboratoire de test
Pour obtenir des instructions détaillées, veuillez consulter Passerelles Internet.
Étape 4 : Configurer une connexion d’appairage de VPC entre AWS-DS-VPC01 et AWS-OnPrem-VPC01
Puisque vous avez déjà créé deux VPCs plus tôt, vous devez les mettre en réseau ensemble à l’aidede l’appairage de VPC à l’aide des paramètres spécifiés dans le tableau suivant. Bien qu’il existe denombreuses façons de connecter votre VPCs, ce didacticiel utilisera l’appairage de VPC. AWS ManagedMicrosoft AD prend en charge de nombreuses solutions pour connecter votre VPCs, certains d’entre euxcomprennent Appairage de VPC, Passerelle de transit, et Réseau privé virtuel.
Balise de nom de connexion d’appairage : Pair AWS-DS-VPC01 et AWS-OnPrem-VPC01
VPC (demandeur) : vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01
Compte : Mon compte
Région : Cette région
VPC (Accepteur) : vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01
Pour obtenir des instructions sur la création d'une connexion d'appairage de VPC avec un autre VPCdepuis votre compte, veuillez consulter Création d'une connexion d'appairage de VPC avec un autre VPCdans votre compte.
Étape 5 : Ajouter deux routes à chaque table de routage principale de VPC
Pour que les passerelles Internet et la connexion d’appairage de VPC créées lors des étapes précédentessoient fonctionnelles, vous devez mettre à jour la table de routage principale des deux VPCs à l’aide desparamètres spécifiés dans le tableau suivant. Vous allez ajouter deux routes : 0.0.0.0/0, qui desserviratoutes les destinations non explicitement connues de la table de routage et 10.0.0.0/16 ou 10.100.0.0/16,qui desservira chaque VPC via la connexion d'appairage de VPC établie ci-dessus.
Vous pouvez facilement rechercher la table de routage correcte pour chaque VPC en filtrant sur la balisede nom du VPC (AWS-DS-VPC01 ou AWS-OnPrem-VPC01).
Informations sur la route1 AWS-DS-VPC01
Informations sur la route2 AWS-DS-VPC01
Informations sur laroute 1 AWS-OnPrem-VPC01
Informations sur laroute 2 AWS-OnPrem-VPC01
Destination : 0.0.0.0/0
Cible : igw-xxxxxxxxxxxxxxxxxAWS-DS-VPC01-IGW
Destination :10.100.0.0/16
Cible : pcx-xxxxxxxxxxxxxxxxxAWS-DS-VPC01&AWS-OnPrem-VPC01-Peer
Destination : 0.0.0.0/0
Cible : igw-xxxxxxxxxxxxxxxxxAWS-Onprem-VPC01
Destination : 10.0.0.0/16
Cible : pcx-xxxxxxxxxxxxxxxxxAWS-DS-VPC01&AWS-OnPrem-VPC01-Peer
Pour obtenir des instructions sur l'ajout de routes à une table de routage de VPC, veuillez consulter Ajout etsuppression de routes d'une table de routage.
Créer des groupes de sécurité pour les instances EC2.Par défaut, AWS Managed Microsoft AD crée un groupe de sécurité pour gérer le trafic entre sescontrôleurs de domaine. Dans cette section, vous devrez créer 2 groupes de sécurité (un pour chaqueVPC) qui seront utilisés pour gérer le trafic dans votre VPC pour vos instances EC2 à l'aide des paramètresspécifiés dans les tableaux suivants. Vous allez également ajouter une règle qui autorise le trafic entrant
Version 1.0155
AWS Directory Service Guide d'administrationTutoriel : Configurez votre base AWS
Managed Microsoft AD Laboratoire de test
RDP (3389) entrant depuis n'importe où et pour tous les types de trafic entrant depuis le VPC local. Pouren savoir plus, consultez la section Amazon EC2 Groupes de sécurité pour les instances Windows.
Informations sur le groupe de sécurité AWS-DS-VPC01 :
Nom du groupe de sécurité : Groupe de sécurité du laboratoire de test AWS DS
Description : Groupe de sécurité du laboratoire de test AWS DS
VPC : vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01
Règles entrantes du groupe de sécurité pour AWS-DS-VPC01
Tapez Protocol Plage de ports Source Type de trafic
Destination TCP 3389 Mon IP Bureau à distance
Tout le trafic Toutes Toutes 10.0.0.0/16 Tout le trafic duVPC local
Règles sortantes du groupe de sécurité pour AWS-DS-VPC01
Tapez Protocol Plage de ports Source Type de trafic
Tout le trafic Toutes Toutes 0.0.0.0/0 Tout le trafic
Informations sur le groupe de sécurité AWS-OnPrem-VPC01 :
Nom du groupe de sécurité : à l’aide d’ OnPrem Groupe de sécurité du laboratoire de test.
Description : à l’aide d’ OnPrem Groupe de sécurité du laboratoire de test.
VPC : vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01
Règles entrantes du groupe de sécurité pour AWS-OnPrem-VPC01
Tapez Protocol Plage de ports Source Type de trafic
Destination TCP 3389 Mon IP Bureau à distance
Destination TCP 53 10.0.0.0/16 DNS
Destination TCP 88 10.0.0.0/16 Kerberos
Destination TCP 389 10.0.0.0/16 LDAP
Destination TCP 464 10.0.0.0/16 Mot de passeKerberos(modification/définition)
Destination TCP 445 10.0.0.0/16 SMB / CIFS
Version 1.0156
AWS Directory Service Guide d'administrationTutoriel : Configurez votre base AWS
Managed Microsoft AD Laboratoire de test
Tapez Protocol Plage de ports Source Type de trafic
Destination TCP 135 10.0.0.0/16 Réplication
Destination TCP 636 10.0.0.0/16 LDAP SSL
Destination TCP 49152 - 65535 10.0.0.0/16 RPC
Destination TCP 3268 ‑ 3269 10.0.0.0/16 LDAP GC & LDAPGC SSL
Destination UDP 53 10.0.0.0/16 DNS
Règle UDPpersonnalisée
UDP 88 10.0.0.0/16 Kerberos
Règle UDPpersonnalisée
UDP 123 10.0.0.0/16 Heure Windows
Règle UDPpersonnalisée
UDP 389 10.0.0.0/16 LDAP
Règle UDPpersonnalisée
UDP 464 10.0.0.0/16 Mot de passeKerberos(modification/définition)
Tout le trafic Toutes Toutes 10.100.0.0/16 Tout le trafic duVPC local
Règles sortantes du groupe de sécurité pour AWS-OnPrem-VPC01
Tapez Protocol Plage de ports Source Type de trafic
Tout le trafic Toutes Toutes 0.0.0.0/0 Tout le trafic
Pour obtenir des instructions détaillées sur la création et l'ajout de règles à vos groupes de sécurité,veuillez consulter Utilisation des groupes de sécurité.
Étape 2 : Créez votre AWS Managed Microsoft AD Répertoiredans AWSVous pouvez créer votre annuaire selon trois méthodes différentes. Vous pouvez utiliser la procédure de laAWS Management Console (recommandée pour ce didacticiel) ou vous utiliser les procédures AWS CLI ouOutils AWS pour Windows PowerShell pour créer votre annuaire.
Méthode 1 : Pour créer votre AWS Managed Microsoft AD répertoire (AWS Management Console)
1. Dans le volet de navigation AWS Directory Service console, choisissez Directories (Annuaires), puisSet up directory (Configurer l'annuaire).
2. Sur la page Select directory type (Sélectionner un type d'annuaire), choisissez AWS ManagedMicrosoft AD, puis choisissez Next (Suivant).
3. Sur la page Enter directory information (Saisir les détails de l'annuaire), indiquez les informationssuivantes, puis choisissez Next (Suivant).
Version 1.0157
AWS Directory Service Guide d'administrationTutoriel : Configurez votre base AWS
Managed Microsoft AD Laboratoire de test
• Pour Edition (Édition), choisissez Standard Edition (Édition standard) ou Enterprise Edition (Éditiond'entreprise). Pour plus d'informations sur les éditions, consultez AWS Directory Service forMicrosoft Active Directory.
• Pour Directory DNS name (Nom DNS de l'annuaire), tapez corp.example.com.• Pour Répertoire NetBIOS nomtype corp.• Pour Directory description (Description de l'annuaire), saisissez AWS DS Managed.• Pour Mot de passe administrateur, saisissez le mot de passe que vous souhaitez utiliser pour ce
compte, puis saisissez de nouveau le mot de passe dans le champ Confirmer le mot de passe. Cecompte Admin est automatiquement créé pendant le processus de création de l'annuaire. Le mot depasse ne peut pas contenir le terme admin. Le mot de passe de l'administrateur de l'annuaire estsensible à la casse et doit comporter entre 8 et 64 caractères (inclus). Il doit également contenir aumoins un caractère de trois des quatre catégories suivantes :• Lettres minuscules (a-z)• Lettres majuscules (A-Z)• Chiffres (0-9)• Caractères non alphanumériques (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
4. Sur la page Choose VPC and subnets (Choisir un VPC et des sous-réseaux), indiquez les informationssuivantes, puis choisissez Next (Suivant).
• Pour VPC, choisissez l'option qui commence par AWS-DS-VPC01 et qui se termine par(10.0.0.0/16).
• Pour Subnets (Sous-réseaux), sélectionnez les sous-réseaux publics 10.0.0.0/24 et 10.0.1.0/24.5. Sur la page Review & create (Vérifier et créer), vérifiez les informations concernant l'annuaire et
effectuez les modifications nécessaires. Lorsque les informations sont correctes, choisissez Createdirectory (Créer l'annuaire). La création de l'annuaire prend entre 20 et 40 minutes. Une fois l'annuairecréé, le champ Statut prend la valeur Actif.
Méthode 2 : Pour créer votre AWS Managed Microsoft AD (Fenêtres PowerShell) (Facultatif)
1. Fenêtres ouvertes PowerShell.2. Saisissez la commande suivante. Veillez à utiliser les valeurs fournies à l'étape 4 de la procédure de
AWS Management Console ci-dessus.
New-DSMicrosoftAD -Name corp.example.com –ShortName corp –PasswordP@ssw0rd –Description “AWS DS Managed” - VpcSettings_VpcId vpc-xxxxxxxx -VpcSettings_SubnetId subnet-xxxxxxxx, subnet-xxxxxxxx
Méthode 3 : Pour créer votre AWS Managed Microsoft AD (AWS CLI) (Facultatif)
1. Ouvrez AWS CLI.2. Saisissez la commande suivante. Veillez à utiliser les valeurs fournies à l'étape 4 de la procédure de
AWS Management Console ci-dessus.
aws ds create-microsoft-ad --name corp.example.com --short-name corp --password P@ssw0rd --description "AWS DS Managed" --vpc-settings VpcId= vpc-xxxxxxxx,SubnetIds= subnet-xxxxxxxx, subnet-xxxxxxxx
Version 1.0158
AWS Directory Service Guide d'administrationTutoriel : Configurez votre base AWS
Managed Microsoft AD Laboratoire de test
Étape 3 : Déploiement d’une instance EC2 à gérer AWSManaged Microsoft ADPour cet exercice, nous allons utiliser des instances EC2 qui possèdent des adresses IP publiques afinde pouvoir accéder facilement à l'instance de gestion depuis n'importe quel emplacement. Dans unenvironnement de production, vous pouvez utiliser des instances qui se trouvent dans un VPC privé et quisont uniquement accessibles par le biais d'une connexion VPN ou Amazon Direct Connect. Il n'est pasnécessaire que l'instance possède une adresse IP publique.
Dans cette section, vous allez exécuter les différentes tâches post-déploiement nécessaires pour que lesordinateurs clients puissent se connecter à votre domaine à l'aide de Windows Server sur votre nouvelleinstance EC2. Vous allez utiliser Windows Server dans l'étape suivante pour vérifier que votre atelier detest est opérationnel.
Facultatif : Créer un jeu d’options DHCP dans AWS-DS-VPC01 pour votreannuaire
Dans cette procédure facultative, vous configurez un jeu d'options DHCP de telle sorte que les instancesEC2 de votre VPC utilisent automatiquement votre AWS Managed Microsoft AD pour la résolution DNS.Pour plus d'informations, consultez Jeux d'options DHCP.
Pour créer un jeu d'options DHCP défini pour votre annuaire
1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez DHCP Options Sets, puis sélectionnez Create DHCP options
set.3. Dans la page Créer un jeu d'options DHCP, entrez les valeurs suivantes pour votre annuaire :
• Pour Nom, entrez AWS DS DHCP.• Pour Domain name (Nom de domaine), tapez corp.example.com.• Pour Domain name servers (Serveurs de noms de domaine), tapez les adresses IP des serveurs
DNS de votre annuaire fourni par AWS.
Note
Pour trouver ces adresses, rendez-vous sur le AWS Directory Service Annuaires , puischoisissez l’ID d’annuaire applicable, dans le Détails , identifiez et utilisez le IPs qui sontaffichés dans Adresse DNS.
• Laissez les paramètres vides pour Serveurs NTP, NetBIOS serveurs de noms, et NetBIOS type denœud.
4. Choisissez Créer un jeu d'options DHCP, puis choisissez Fermer. Le nouveau jeu d'options DHCPapparaît dans votre liste d'options DHCP.
5. Notez l’ID du nouvel ensemble d’options DHCP (opt-xxxxxxxx). Vous l’utilisez à la fin de cetteprocédure lorsque vous associez le nouveau jeu d’options à votre VPC.
Note
La jonction transparente de domaines fonctionne sans qu’il soit nécessaire de configurer unjeu d'options DHCP.
6. Dans le volet de navigation, choisissez Votre VPCs.7. Dans la liste des VPCs, sélectionnez VPC du service AWS DS, choisissez Actions, puis choisissez
Modifier le jeu d’options DHCP.8. Sur la page Modifier le jeu d'options DHCP, sélectionnez les options que vous avez enregistrées à
l'étape 5, puis choisissez Enregistrer.Version 1.0
159
AWS Directory Service Guide d'administrationTutoriel : Configurez votre base AWS
Managed Microsoft AD Laboratoire de test
Création d'un rôle pour joindre les instances Windows à votre domaine AWSManaged Microsoft AD
Utilisez cette procédure pour configurer un rôle permettant de relier une instance Windows EC2 à undomaine. Pour plus d'informations, consultez Jonction facile d'une instance EC2 Windows dans le AmazonEC2 Guide de l'utilisateur pour les instances Windows.
Pour configurer EC2 afin de relier les instances Windows à votre domaine
1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.2. Dans le volet de navigation de la console IAM, choisissez Rôles, puis Créer un rôle.3. Sous Select type of trusted entity (Sélectionner le type d'entité de confiance), choisissez Service AWS.4. Immédiatement sous Choisissez le service qui utilisera ce rôle, choisissez CE2, puis choisissez
Suivant : Autorisations.5. Sur la page Stratégie d'autorisations attachée, procédez comme suit :
• Cochez la case en regard de la AmazonSSMManagedInstanceCore stratégie gérée par. Cettestratégie fournit les autorisations minimales nécessaires pour pouvoir utiliser le service SystemsManager.
• Cochez la case à côté de AmazonSSMDirectoryServiceAccess stratégie gérée par. La stratégiefournit les autorisations nécessaires pour joindre des instances à un domaine Active Directory gérépar AWS Directory Service.
Pour plus d'informations sur ces stratégies gérées et sur les autres stratégies que vous pouvezattacher à un profil d'instance IAM pour Systems Manager consultez Création d'un profil d'instanceIAM pour Systems Manager dans le Guide de l'utilisateur AWS Systems Manager. Pour plusd'informations sur les stratégies gérées, consultez Stratégies gérées par AWS dans le IAM Guide del'utilisateur.
6. Choisir Suivant : Balises.7. (Facultatif) Ajoutez une ou plusieurs paires clé-valeur de balise pour organiser, suivre ou contrôler
l’accès pour ce rôle, puis choisissez Suivant : à revoir.8. Pour Nom du rôle, entrez un nom pour le rôle qui décrit qu’il est utilisé pour joindre des instances à un
domaine, tel que EC2DomainJoin.9. (Facultatif) Pour Description du rôle, entrez une description.10. Sélectionnez Créer un rôle. Le système vous renvoie à la page Rôles.
Création d'une instance EC2 et jonction automatique de l'annuaire
Cette procédure vous permet de configurer un système Windows Server dans Amazon EC2 que vouspourrez ensuite utiliser pour administrer des utilisateurs, des groupes et des stratégies dans ActiveDirectory.
Pour créer une instance EC2 et rejoindre automatiquement l'annuaire
1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Choisissez Lancer les instances.3. Sur la page Étape 1 page, à côté de Serveur Microsoft Windows Base 2019 -
ami-xxxxxxxxxxxxxxxxx choisir Sélectionner.4. Sur la page Étape 2 de la page, sélectionnez à 3.micro (notez que vous pouvez choisir un type
d’instance plus grand), puis choisissez Suivant : Configurer les détails de l’instance.5. Sur la page Étape 3, procédez comme suit :
Version 1.0160
AWS Directory Service Guide d'administrationTutoriel : Configurez votre base AWS
Managed Microsoft AD Laboratoire de test
• Pour Réseau, choisissez le VPC qui se termine par pour AWS-DS-VPC01 (par exemple,vpc-xxxxxxxxxxxxxxxxx | AWS-DS-VPC01).
• Pour Sous-réseau choisir Sous-réseau public 1, qui doit être préconfiguré pour votre zone dedisponibilité préférée (par exemple, sous-réseau-xxxxxxxxxxxxxxxxx | AWS-DS-VPC01-Sous-réseau01 | us-west-2a).
• Pour Attribuer automatiquement l'adresse IP publique, choisissez Activer (si le sous-réseau n'est pasdéfini sur Activer par défaut).
• Pour Répertoire de jointure de domaine, choisissez corp.exemple.com (d-xxxxxxxxxx).• Pour Rôle IAM choisissez le nom que vous avez donné à votre rôle d’instance dans Création
d'un rôle pour joindre les instances Windows à votre domaine AWS Managed MicrosoftAD (p. 160)comme EC2DomainJoin.
• Conservez les valeurs par défaut des autres paramètres.• Choisir Suivant : Ajouter un stockage.
6. Sur la page Étape 4 , conservez les paramètres par défaut, puis choisissez Suivant : Ajouter desbalises.
7. Sur la page Étape 5, choisissez Add Tag. En dessous Clé type corp.example.com-mgmt puischoisissez Suivant : Configurer le groupe de sécurité.
8. Sur la page Étape 6, cliquez sur Select an existing security group, sélectionnez AWS DS RDP SecurityGroup, puis Review and Launch pour vérifier votre instance.
9. Sur la page Étape 7, vérifiez la page, puis choisissez Lancer.10. Dans la boîte de dialogue Sélectionner une paire de clés existante ou créer une nouvelle paire de clés,
procédez comme suit :
• Choisissez Choisir une paire de clés existante.
• Sous Sélectionner une paire de clés, choisissez AWS-DS-KP.• Cochez la case I acknowledge....• Sélectionnez Launch Instances.
11. Choisissez View Instances (Afficher les instances) pour revenir à la console Amazon EC2 et consulterl'état du déploiement.
Installation des outils Active Directory sur votre instance EC2
Vous avez le choix entre deux méthodes pour installer les outils de gestion de domaines Active Directorysur votre instance EC2. Vous pouvez utiliser l’interface utilisateur Server Manager (recommandée pour cedidacticiel) ou Windows PowerShell.
Pour installer les outils Active Directory sur votre instance EC2 (avec Server Manager)
1. Dans la console Amazon EC2, choisissez Instances, sélectionnez l'instance que vous venez de créer,puis choisissez Connect (Connecter).
2. Dans la boîte de dialogue Connectez-vous à votre instance, sélectionnez Obtenir le mot de passe pourrécupérer votre mot de passe si vous ne l'avez pas déjà fait, puis choisissez Télécharger le fichierBureau à distance.
3. Dans la boîte de dialogue Windows Security (Sécurité Windows) saisissez vos informationsd'identification d'administrateur local pour que l'ordinateur Windows Server puisse se connecter (parexemple : administrator).
4. Dans le menu Démarrer, choisissez Server Manager.5. Dans le Tableau de bord, choisissez Ajouter des rôles et des fonctionnalités.
Version 1.0161
AWS Directory Service Guide d'administrationTutoriel : Configurez votre base AWS
Managed Microsoft AD Laboratoire de test
6. Dans l'Assistant Ajouter des rôles et des fonctionnalités, choisissez Suivant.7. Sur la page Sélectionner le type d'installation, choisissez Installation basée sur un rôle ou une
fonctionnalité, puis choisissez Suivant.8. Sur la page Sélectionner le serveur de destination, assurez-vous que le serveur local est sélectionné,
puis choisissez Suivant.9. Sur la page Sélectionner des rôles de serveur, cliquez sur Suivant.10. Sur la page Sélectionner les fonctionnalités, procédez comme suit :
• Cochez la case Gestion des stratégies de groupe.• Développez Outils d'administration de serveur distant, puis Outils d'administration de rôles.• Cochez la case Outils AD DS et AD LDS.• Cochez la case DNS Server Tools.• Choisissez Nex t(Suivant).
11. Sur la page Confirmer les sélections d'installation, vérifiez les informations, puis cliquez sur Installer.Une fois l'installation des fonctionnalités terminée, les nouveaux outils ou composants suivants serontdisponibles dans le dossier Outils d'administration Windows, via le menu Démarrer.
• Centre d'administration Active Directory• Domaines et approbations Active Directory• Module Active Directory pour Windows PowerShell• Sites et services Active Directory• Utilisateurs et ordinateurs Active Directory• ADSI Edit• DNS• Gestion des stratégies de groupe
Pour installer les outils Active Directory sur votre instance EC2 (Windows PowerShell) (Facultatif)
1. Fenêtres de démarrage PowerShell.2. Saisissez la commande suivante.
Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
Étape 4 : Vérifiez que le laboratoire de test de base estopérationnelUtilisez la procédure suivante pour vérifier que l'atelier de test a bien été configuré avant d'ajouter d'autresmodules de guide pour votre atelier de test. Cette procédure permet de vérifier que votre Windows Serverest correctement configuré, qu'il peut se connecter au domaine corp.example.com et qu'il peut être utilisépour administrer votre forêt AWS Managed Microsoft AD.
Pour vérifier que l'atelier de test est opérationnel
1. Déconnectez-vous de l'instance EC2 à laquelle vous vous êtes connecté en tant qu'administrateurlocal.
2. Revenez dans le volet de navigation de la console Amazon EC2 et sélectionnez Instances.Sélectionnez ensuite l'instance que vous avez créée. Choisissez Connect (Se connecter).
3. Dans la boîte de dialogue Connectez-vous à votre instance, choisissez Télécharger le fichier Bureau àdistance.
Version 1.0162
AWS Directory Service Guide d'administrationTutoriel : Créer une approbation à partir de AWS ManagedMicrosoft AD vers une installation AD autogérée sur EC2
4. Dans la boîte de dialogue Windows Security (Sécurité Windows), saisissez vos informationsd'identification d'administrateur local pour que le domaine CORP puisse se connecter (par exemple,corp\admin).
5. Une fois connecté, dans le menu Démarrer, sous Outils d'administration Windows, choisissezUtilisateurs et ordinateurs Active Directory.
6. Vous devriez voir société.exemple.com affiché avec toutes les valeurs par défaut OUs et les comptesassociés à un nouveau domaine. Sous Domain Controllers (Contrôleurs de domaine), observez lesnoms des contrôleurs de domaine qui ont été automatiquement créés au moment de la création devotre AWS Managed Microsoft AD à l'étape 2 de ce didacticiel.
Félicitations ! Votre atelier de test AWS Managed Microsoft AD de base est maintenant configuré. Vouspouvez commencer à ajouter le prochain atelier de test de la série.
Didacticiel suivant : Tutoriel : Création d’une approbation à partir de AWS Managed Microsoft AD à uneinstallation Active Directory autogérée sur Amazon EC2 (p. 163)
Tutoriel : Création d’une approbation à partir deAWS Managed Microsoft AD à une installation ActiveDirectory autogérée sur Amazon EC2Dans ce didacticiel, vous apprendrez à créer une approbation entre la forêt AWS Directory Service forMicrosoft Active Directory que vous avez créée dans le Didacticiel de base (p. 150). Vous apprendrezégalement à créer une nouvelle forêt Active Directory native sur un serveur Windows dans Amazon EC2.Comme le montre l'illustration suivante, l'atelier que vous créez à partir de ce didacticiel est la deuxièmecomposante nécessaire lors de la configuration d'un atelier de test AWS Managed Microsoft AD complet.Vous pouvez utiliser l'atelier de test pour tester vos solutions AWS basées sur le cloud pur ou hybride.
Vous ne devez créer ce didacticiel qu'une seule fois. Après cela, vous pourrez ajouter des didacticielsfacultatifs, si nécessaire, pour acquérir davantage d'expérience.
Version 1.0163
AWS Directory Service Guide d'administrationTutoriel : Créer une approbation à partir de AWS ManagedMicrosoft AD vers une installation AD autogérée sur EC2
Étape 1 : Configurer votre environnement pour les approbations (p. 164)
Avant de pouvoir établir des approbations entre une nouvelle forêt Active Directory et la forêt AWSManaged Microsoft AD que vous avez créée dans le Didacticiel de base (p. 150), vous devezpréparer votre environnement Amazon EC2. Pour ce faire, vous devez d'abord créer un serveurWindows Server 2019, promouvoir ce serveur en contrôleur de domaine, puis configurer votre VPC enconséquence.
Étape 2 : Créer les approbations (p. 169)
Au cours de cette étape, vous créez une relation d'approbation de forêt bidirectionnelle entre votrenouvelle forêt Active Directory hébergée dans Amazon EC2 et votre forêt AWS Managed Microsoft ADdans AWS.
Étape 3 : Vérifier la confiance (p. 171)
Enfin, en tant qu'administrateur, vous utilisez la console AWS Directory Service pour vérifier que lesnouvelles approbations sont opérationnelles.
Étape 1 : Configurer votre environnement pour les approbationsDans cette section, vous configurez votre environnement Amazon EC2, déployez votre nouvelle forêt etpréparez votre VPC pour les approbations avec AWS.
Version 1.0164
AWS Directory Service Guide d'administrationTutoriel : Créer une approbation à partir de AWS ManagedMicrosoft AD vers une installation AD autogérée sur EC2
Créer une instance EC2 Windows Server 2019
Utilisez la procédure suivante pour créer un serveur membre Windows Server 2019 dans Amazon EC2.
Pour créer une instance EC2 Windows Server 2019
1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Dans la console Amazon EC2, choisissez Launch Instance (Lancer une instance).3. Sur la page Étape 1 page, localiser Serveur Microsoft Windows Base 2019 -
ami-xxxxxxxxxxxxxxxxx dans la liste. Choisissez ensuite Select (Sélectionner).4. Sur la page Étape 2 de la page, sélectionnez t2.grande, puis choisissez Suivant : Configurer les détails
de l’instance.5. Sur la page Étape 3, procédez comme suit :
• Pour Réseau, sélectionnez vpc-xxxxxxxxxxxxxxxxx pour AWS-DS-VPC01 (que vous avezprécédemment configuré dans le Tutoriel de base (p. 153)).
• Pour Sous-réseau, sélectionnez sous-réseau-xxxxxxxxxxxxxxxxx | AWS-OnPrem-VPC01-Sous-réseau01 | AWS-OnPrem-VPC01.
• Dans la liste Attribuer automatiquement l'adresse IP publique, choisissez Activer (si le sous-réseaun'est pas défini sur Activer par défaut).
• Conservez les valeurs par défaut des autres paramètres.• Choisir Suivant : Ajouter un stockage.
Version 1.0165
AWS Directory Service Guide d'administrationTutoriel : Créer une approbation à partir de AWS ManagedMicrosoft AD vers une installation AD autogérée sur EC2
6. Sur la page Étape 4 , conservez les paramètres par défaut, puis choisissez Suivant : Ajouter desbalises.
7. Sur la page Étape 5, choisissez Add Tag. En dessous Clé type example.local-DC01, puischoisissez Suivant : Configurer le groupe de sécurité.
8. Sur la page Étape 6, choisissez Sélectionner un groupe de sécurité existant, sélectionnez AWS DSRDP Security Group (que vous avez précédemment défini dans le Didacticiel de base (p. 155)), puischoisissez Vérifier et lancer pour vérifier votre instance.
9. Sur la page Étape 7, vérifiez la page, puis choisissez Lancer.10. Dans la boîte de dialogue Sélectionner une paire de clés existante ou créer une nouvelle paire de clés,
procédez comme suit :
• Choisissez Choisir une paire de clés existante.• Sous Sélectionner une paire de clés, choisissez AWS-DS-KP (que vous avez précédemment défini
dans le Didacticiel de base (p. 152)).• Cochez la case I acknowledge....• Sélectionnez Launch Instances.
11. Choisissez View Instances (Afficher les instances) pour revenir à la console Amazon EC2 et consulterl'état du déploiement.
Promouvoir votre serveur en contrôleur de domaine
Avant de pouvoir créer des approbations, vous devez générer et déployer le premier contrôleur de domainepour une nouvelle forêt. Au cours de ce processus, vous configurez une nouvelle forêt Active Directory,installez DNS et définissez ce serveur afin qu'il utilise le serveur DNS local pour la résolution des noms.Vous devez redémarrer le serveur à la fin de cette procédure.
Note
Si vous souhaitez créer un contrôleur de domaine dans AWS qui se réplique avec votre réseausur site, vous devez d'abord joindre manuellement l'instance EC2 à votre domaine sur site. Aprèscela, vous pourrez promouvoir le serveur en contrôleur de domaine.
Pour promouvoir votre serveur en contrôleur de domaine
1. Dans la console Amazon EC2, choisissez Instances, sélectionnez l'instance que vous venez de créer,puis choisissez Connect (Connecter).
2. Dans la boîte de dialogue Connectez-vous à votre instance, choisissez Télécharger le fichier Bureau àdistance.
3. Dans la boîte de dialogueIn the Windows Security (Sécurity Windows) saisissez vos informationsd'identification d'administrateur local pour que l'ordinateur Windows Server puisse se connecter (parexemple : administrator). Si vous ne possédez pas encore le mot de passe d'administrateurlocal, revenez à la console Amazon EC2 , cliquez avec le bouton droit de la souris sur l'instance etchoisissez Get Windows Password (Obtenir le mot de passe de Windows). Accédez à votre fichier AWSDS KP.pem ou votre clé .pem personnelle, puis choisissez Déchiffrer le mot de passe.
4. Dans le menu Démarrer, choisissez Server Manager.5. Dans le Tableau de bord, choisissez Ajouter des rôles et des fonctionnalités.6. Dans l'Assistant Ajouter des rôles et des fonctionnalités, choisissez Suivant.7. Sur la page Sélectionner le type d'installation, choisissez Installation basée sur un rôle ou une
fonctionnalité, puis choisissez Suivant.8. Sur la page Sélectionner le serveur de destination, assurez-vous que le serveur local est sélectionné,
puis choisissez Suivant.9. Sur la page Sélectionner des rôles de serveurs, sélectionnez Services de domaine Active Directory.
Dans la boîte de dialogue Assistant Ajouter des rôles et des fonctionnalités, vérifiez que la case Inclure
Version 1.0166
AWS Directory Service Guide d'administrationTutoriel : Créer une approbation à partir de AWS ManagedMicrosoft AD vers une installation AD autogérée sur EC2
les outils de gestion (le cas échéant) est cochée. Cliquez sur Ajouter des fonctionnalités, puis surSuivant.
10. Sur la page Sélectionner les fonctionnalités, choisissez Suivant.11. Sur la page Services de domaine Active Directory, choisissez Suivant.12. Sur la page Confirmer les sélections d'installation, choisissez Installer.13. Une fois les fichiers binaires Active Directory installés, choisissez Fermer.14. Lorsque le Gestionnaire de serveurs s'ouvre, recherchez un indicateur en haut de la page en regard de
la mention Gérer. Lorsque cet indicateur devient jaune, le serveur est prêt à être promu.15. Choisissez l'indicateur jaune, puis choisissez Promouvoir ce serveur en contrôleur de domaine.16. Sur la page Configuration de déploiement, choisissez Ajouter une nouvelle forêt. Dans Root domain
nam (Nom de domaine racine), saisissez example.local, puis choisissez Next (Suivant).17. Sur la page Options du contrôleur de domaine, procédez comme suit :
• Dans Forest functional level (Niveau fonctionnel de la forêt) et Domain functional level (Niveaufonctionnel du domaine), choisissez Windows Server 2019.
• Sous Spécifier des capacités de contrôleur de domaine, vérifiez que Serveur de système de nom dedomaine (DNS) et Catalogue global (GC) sont sélectionnés.
• Saisissez et confirmez un mot de passe pour le mode de restauration des services d'annuaire(DSRM). Sélectionnez ensuite Next (Suivant).
18. Sur la page Options DNS, ignorez l'avertissement sur la délégation et choisissez Suivant.19. Sur la page Options supplémentaires assurez-vous que EXEMPLE est répertorié comme le NetBios
nom de domaine.20. Sur la page Chemins, conservez les valeurs par défaut, puis choisissez Suivant.21. Sur la page Vérifier les options, choisissez Suivant. Le serveur vérifie maintenant que toutes les
conditions préalables requises pour le contrôleur de domaine sont remplies. Certains avertissementspeuvent s'afficher, mais vous pouvez les ignorer sans risque.
22. Choisissez Installer. Une fois l'installation terminée, le serveur redémarre puis devient un contrôleur dedomaine fonctionnel.
Configurer votre VPC
Les trois procédures suivantes vous guident à travers les étapes de configuration de votre VPC pour établirune connectivité avec AWS.
Pour configurer vos règles sortantes VPC
1. Dans la console AWS Directory Service, notez l'ID d'annuaire AWS Managed Microsoft AD pourcorp.example.com que vous avez précédemment créé dans le Didacticiel de base (p. 157).
2. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.3. Dans le panneau de navigation, choisissez Groupes de sécurité.4. Recherchez votre ID d'annuaire AWS Managed Microsoft AD. Dans les résultats de la recherche,
sélectionnez l’élément avec la description Groupe de sécurité AWS créé pour d-xxxxxx contrôleursd’annuaire.
Note
Ce groupe de sécurité a été automatiquement créé lorsque vous avez créé votre annuaire.5. Choisissez l'onglet Règles sortantes de ce groupe de sécurité. Choisissez Modifier, Ajouter une autre
règle, puis ajoutez les valeurs suivantes :
• Pour Type, sélectionnez Tout le trafic.• Pour Destination, tapez 0.0.0.0/0.
Version 1.0167
AWS Directory Service Guide d'administrationTutoriel : Créer une approbation à partir de AWS ManagedMicrosoft AD vers une installation AD autogérée sur EC2
• Conservez les valeurs par défaut des autres paramètres.• Sélectionnez Save.
Pour vérifier que la pré-authentification Kerberos est activée
1. Sur le contrôleur de domaine example.local, ouvrez le Gestionnaire de serveurs.2. Dans le menu Outils, choisissez Utilisateurs et ordinateurs Active Directory.3. Accédez à l'annuaire Utilisateurs, cliquez avec le bouton droit sur n'importe quel utilisateur et
sélectionnez Propriétés, puis choisissez l'onglet Compte. Faites défiler la liste Options de compte versle bas pour vérifier que l'option La pré-authentification Kerberos n'est pas nécessaire n'est pas cochée.
4. Effectuez les mêmes étapes pour le domaine corp.example.com de l'instance corp.example.com-mgmt.
Pour configurer des redirecteurs conditionnels DNS
Note
Un redirecteur conditionnel est un serveur DNS sur un réseau qui est utilisé pour transférer desrequêtes DNS en fonction du nom de domaine DNS dans la requête. Par exemple, un serveurDNS peut être configuré pour transférer toutes les requêtes qu'il reçoit pour des noms se terminantpar widgets.example.com à l'adresse IP d'un serveur DNS spécifique ou aux adresses IP deplusieurs serveurs DNS.
1. Vous devez d'abord obtenir des informations sur votre annuaire AWS Managed Microsoft AD.
Connectez-vous à la AWS Management Console et ouvrez la console AWS Directory Service àl'adresse https://console.aws.amazon.com/directoryservicev2/.
2. Dans le volet de navigation, choisissez Directories (Répertoires).3. Sélectionnez l'ID du répertoire de votre AWS Managed Microsoft AD.4. Prenez note du nom de domaine complet (FQDN), corp.example.com, et des adresses DNS de votre
annuaire.5. À présent, retournez sur votre contrôleur de domaine example.local, puis ouvrez le Gestionnaire de
serveurs.6. Dans le menu Tools, choisissez DNS.7. Dans l'arborescence de la console, développez le serveur DNS du domaine pour lequel vous
configurez l'approbation et accédez à Redirecteurs conditionnels.8. Cliquez avec le bouton droit de la souris sur Redirecteurs conditionnels, puis choisissez Nouveau
redirecteur conditionnel.9. Pour le domaine DNS, saisissez corp.example.com.10. Sous IP addresses of the master servers (Adresses IP des serveurs maîtres), choisissez <Click here
to add ...> (Cliquez ici pour ajouter), saisissez la première adresse DNS de votre annuaire AWSManaged Microsoft AD (dont vous avez pris note au cours de la procédure précédente), puis appuyezsur Entrée. Répétez l'opération pour la seconde adresse DNS. Après avoir saisi les adresses DNS, ilest possible que l'erreur « timeout » ou « Impossible à résoudre » s'affiche. Vous pouvez généralementignorer ces erreurs.
11. Cochez la case Stocker ce redirecteur conditionnel dans Active Directory, et le répliquer comme suit.Dans le menu déroulant, choisissez Tous les serveurs DNS de cette forêt, puis cliquez sur OK.
Version 1.0168
AWS Directory Service Guide d'administrationTutoriel : Créer une approbation à partir de AWS ManagedMicrosoft AD vers une installation AD autogérée sur EC2
Étape 2 : Créer les approbationsDans cette section, vous créez deux approbations de forêts. L'une des deux est créée à partir du domaineActive Directory sur votre instance EC2 et l'autre à partir de votre annuaire AWS Managed Microsoft ADdans AWS.
Pour créer l'approbation à partir de votre domaine EC2 sur votre annuaire AWS ManagedMicrosoft AD
1. Connectez-vous à example.local.2. Ouvrez le Gestionnaire de serveurs et choisissez DNS dans l'arborescence de la console. Prenez note
du IPv4 pour le serveur. Vous en aurez besoin au cours de la procédure suivante lors de la créationd'un redirecteur conditionnel depuis corp.example.com vers l'annuaire example.local.
3. Dans le menu Outils, choisissez Domaines et approbations Active Directory.4. Dans l'arborescence de la console, cliquez avec le bouton droit de la souris sur example.local, puis
choisissez Propriétés.5. Dans l'onglet Approbations, choisissez Nouvelle approbation, puis Suivant.6. Sur la page Trust Name (Nom d'approbation), saisissez corp.example.com, puis choisissez Next
(Suivant).7. Sur la page Type d'approbation, choisissez Approbation de forêt, puis Suivant.
Note
AWS Managed Microsoft AD prend également en charge les approbations externes.Toutefois, dans le cadre de ce didacticiel, vous allez créer une approbation de forêtbirectionnelle.
8. Sur la page Direction d'approbation, choisissez Bidirectionnelle, puis Suivant.
Note
Si vous décidez ultérieurement d'utiliser une approbation unidirectionnelle à la place, assurez-vous que les directions d'approbation sont correctement configurées (sortant sur le domained'approbation, entrant sur le domaine approuvé). Pour de plus amples informations générales,veuillez consulter Understanding Trust Direction sur le site Web de Microsoft.
9. Sur la page Sens d'approbation, choisissez Ce domaine uniquement, puis Suivant.10. Sur la page Niveau d'authentification d'approbations sortantes, choisissez Authentification pour toutes
les ressources de la forêt, puis Suivant.
Note
Bien que Selective authentication (Authentification sélective) soit une option, pour la simplicitéde ce didacticiel, nous vous recommandons de ne pas l'activer ici. Lorsqu'elle est configurée,elle restreint l'accès sur une approbation externe ou de forêt aux seuls utilisateurs d'un
Version 1.0169
AWS Directory Service Guide d'administrationTutoriel : Créer une approbation à partir de AWS ManagedMicrosoft AD vers une installation AD autogérée sur EC2
domaine ou d'une forêt approuvé ayant reçu explicitement des autorisations d'authentificationsur des objets informatiques (ordinateurs de ressources) résidant dans le domaine ou la forêtd'approbation. Pour de plus amples informations, veuillez consulter Configuring SelectiveAuthentication Settings.
11. Sur la page Mot de passe d'approbation, saisissez le mot de passe d'approbation deux fois, puischoisissez Suivant. Vous utiliserez ce mot de passe au cours de la procédure suivante.
12. Sur la page Fin de la sélection des approbations, passez en revue les résultats, puis choisissezSuivant.
13. Sur la page Fin de la création des approbations, passez en revue les résultats, puis choisissezSuivant.
14. Sur la page Confirmer l'approbation sortante, choisissez Non, ne pas confirmer l'approbation sortante.Ensuite, sélectionnez Next
15. Sur la pageConfirmer l'approbation entrante, choisissez Non, ne pas confirmer l'approbation entrante.Ensuite, sélectionnez Next
16. Sur la page Fin de l'Assistant Nouvelle approbation, choisissez Terminer.
Pour créer l'approbation à partir de votre annuaire AWS Managed Microsoft AD vers votredomaine EC2
1. Ouvrez la console AWS Directory Service.2. Choisissez l'annuaire corp.example.com.3. Sur la page Directory details (Détails de l'annuaire), sélectionnez l'onglet Networking & security (Mise
en réseau et sécurité).4. Dans la section Trust relationships (Relations d'approbation), choisissez Actions, puis sélectionnez
Add trust relationship (Ajouter une relation d'approbation).5. Dans la boîte de dialogue Ajouter une relation d'approbation, procédez comme suit :
• Sous Trust type (Type d'approbation) sélectionnez Forest trust (Approbation de forêt.
Note
Assurez-vous que le type d'approbation que vous choisissez ici correspond au même typed'approbation configuré dans la procédure précédente (pour créer l'approbation à partir devotre domaine EC2 vers votre annuaire AWS Managed Microsoft AD).
• Pour Existing or new remote domain name (Nom de domaine distant existant ou nouveau), tapezexemple.local.
• Pour Mot de passe d'approbation, saisissez le même mot de passe que vous avez fourni au coursde la procédure précédente.
• Dans Trust direction (Direction d'approbation), sélectionnez Two-Way (Bidirectionnelle).
Note
• Si vous décidez ultérieurement d'utiliser une approbation unidirectionnelle à la place,assurez-vous que les directions d'approbation sont correctement configurées (sortantsur le domaine d'approbation, entrant sur le domaine approuvé). Pour de plus amplesinformations générales, veuillez consulter Understanding Trust Direction sur le site Webde Microsoft.
• Bien que Selective authentication (Authentification sélective) soit une option, pour lasimplicité de ce didacticiel, nous vous recommandons de ne pas l'activer ici. Lorsqu'elleest configurée, elle restreint l'accès sur une approbation externe ou de forêt auxseuls utilisateurs d'un domaine ou d'une forêt approuvé ayant reçu explicitement desautorisations d'authentification sur des objets informatiques (ordinateurs de ressources)résidant dans le domaine ou la forêt d'approbation. Pour de plus amples informations,veuillez consulter Configuring Selective Authentication Settings.
Version 1.0170
AWS Directory Service Guide d'administrationDépannage
• Dans Conditional forwarder (Redirecteur conditionnel), saisissez l'adresse IP de votre serveur DNSdans la forêt example.local (dont vous avez pris note au cours de la procédure précédente).
Note
Un redirecteur conditionnel est un serveur DNS sur un réseau qui est utilisé pour transférerdes requêtes DNS en fonction du nom de domaine DNS dans la requête. Par exemple, unserveur DNS peut être configuré pour transférer toutes les requêtes qu'il reçoit pour desnoms se terminant par widgets.example.com à l'adresse IP d'un serveur DNS spécifique ouaux adresses IP de plusieurs serveurs DNS.
6. Choisissez Add (Ajouter).
Étape 3 : Vérifier la confianceDans cette section, vous testez si les approbations ont été configurées avec succès entre AWS et ActiveDirectory sur Amazon EC2.
Pour vérifier l'approbation
1. Ouvrez la console AWS Directory Service.2. Choisissez l'annuaire corp.example.com.3. Sur la page Directory details (Détails de l'annuaire), sélectionnez l'onglet Networking & security (Mise
en réseau et sécurité).4. Dans la section Relations d'approbation, sélectionnez la relation d'approbation que vous venez de
créer.5. Choisissez Actions, puis Vérifier la relation d'approbation.
Une fois la vérification terminée, la mention Vérifié devrait s'afficher dans la colonne Statut.
Félicitations, vous avez terminé ce didacticiel ! Vous disposez à présent d'un environnement ActiveDirectory multi-forêts entièrement fonctionnel à partir duquel vous pouvez commencer à tester différentsscénarios. Des didacticiels d'atelier de test supplémentaires sont planifiés en 2018. Revenez sur cette pageoccasionnellement pour découvrir les nouveautés.
Dépannage de AWS Managed Microsoft ADLes sections suivantes peuvent vous aider à résoudre certains problèmes courants que vous pourriezrencontrer lors de la création ou de l'utilisation de votre annuaire.
Récupération d'un mot de passeSi un utilisateur oublie un mot de passe ou rencontre des difficultés pour se connecter à votre SimpleAD ou AWS Managed Microsoft AD , vous pouvez réinitialiser leur mot de passe à l’aide de la AWSManagement Console, fenêtres PowerShell ou le AWS Interface de ligne de commande.
Pour plus d'informations, consultez la section Réinitialiser un mot de passe utilisateur (p. 93).
Rubriques• Dépannage de DNS (p. 172)• Erreurs de jonction du domaine Linux (p. 172)
Version 1.0171
AWS Directory Service Guide d'administrationDépannage de DNS
• Espace de stockage disponible bientôt saturé dans Active Directory (p. 174)• Erreurs d'extension de schéma (p. 177)• Raisons liées aux statuts de création d'une relation d'approbation (p. 178)
Dépannage de DNSVous pouvez vérifier vos événements DNS AWS Managed Microsoft AD, ce qui vous permet d'identifier etde résoudre les problèmes de DNS. Par exemple, si un enregistrement DNS est manquant, vous pouvezutiliser le journal des événements d'audit DNS pour vous aider à identifier la cause première et résoudrele problème. Vous pouvez également utiliser les journaux des événements d'audit DNS pour améliorer lasécurité en détectant et en bloquant les demandes en provenance d'adresses IP suspectes.
Pour ce faire, vous devez être connecté avec le compte Admin ou avec un compte qui est un membredu groupe Administrateurs des systèmes de noms de domaine AWS. Pour en savoir plus sur ce groupe,consultez Ce qui est créé ? (p. 13).
Pour résoudre les problèmes DNS AWS Managed Microsoft AD
1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Dans le panneau de navigation de gauche, choisissez Instances.3. Recherchez une instance Amazon EC2 qui est jointe à votre annuaire AWS Managed Microsoft AD.
Sélectionnez l'instance, puis choisissez Connecter.4. Ouvrez l'Observateur d'événements situé dans le dossier Outils d'administration.5. Dans la fenêtre Observateur d'événements, choisissez Action, puis choisissez Connecter à un autre
ordinateur.6. Sélectionnez Another computer (Autre ordinateur), tapez le nom ou l'adresse IP de l'un de vos
serveurs DNS AWS Managed Microsoft AD et choisissez OK.7. Dans le volet de gauche, accédez à Journaux d'applications et de
services>Microsoft>WindowsServeur DNS, puis sélectionnez Audit.
Erreurs de jonction du domaine LinuxLes informations suivantes peuvent vous aider à résoudre certains messages d'erreur que vous pouvezrencontrer lors de la jonction d'une instance EC2 Linux à votre annuaire AWS Managed Microsoft AD.
Impossible d'effectuer la jonction de domaine ou l'authentificationd'instances LinuxLes instances Ubuntu 14.04, 16.04 et 18.04 doivent pouvoir faire l'objet d'une résolution inverse dans leDNS pour qu'un domaine puisse fonctionner avec Microsoft AD. Sinon, vous pouvez rencontrer l’un desdeux scénarios suivants :
Scénario 1: Instances Ubuntu qui ne sont pas encore jointes à un domaine
Pour les instances Ubuntu qui tentent de joindre un domaine, la commande sudo realm join peut nepas fournir les autorisations requises pour joindre le domaine et afficher l'erreur suivante :
! Couldn't authenticate to active directory: SASL(-1): generic failure: GSSAPI Error: An invalid name wassupplied (Success) adcli: couldn't connect to EXAMPLE.COM domain: Couldn't authenticate to activedirectory: SASL(-1): generic failure: GSSAPI Error: An invalid name was supplied (Success) ! Insufficientpermissions to join the domain realm: Couldn't join realm: Insufficient permissions to join the domain
Version 1.0172
AWS Directory Service Guide d'administrationErreurs de jonction du domaine Linux
Scénario 2: Instances Ubuntu jointes à un domaine
Pour les instances Ubuntu qui sont déjà jointes à un domaine Microsoft AD, les tentatives d'utilisation deSSH dans celles-ci à l'aide des informations d'identification du domaine peuvent échouer avec les erreurssuivantes :
$ ssh [email protected]@198.51.100
no such identity: /Users/username/.ssh/id_ed25519: No such file or directory
[email protected]@198.51.100's password:
Permission denied, please try again.
[email protected]@198.51.100's password:
Si vous connectez à l’instance avec une clé publique et vérifiez /var/log/auth.log, vous pouvez voirles erreurs suivantes se rapportant à l’impossibilité de trouver l’utilisateur :
May 12 01:02:12 ip-192-0-2-0 sshd[2251]: pam_unix(sshd:auth): authentication failure; logname= uid=0euid=0 tty=ssh ruser= rhost=203.0.113.0
May 12 01:02:12 ip-192-0-2-0 sshd[2251]: pam_sss(sshd:auth): authentication failure; logname= uid=0euid=0 tty=ssh ruser= rhost=203.0.113.0 [email protected]
May 12 01:02:12 ip-192-0-2-0 sshd[2251]: pam_sss(sshd:auth): received for user [email protected]:10 (User not known to the underlying authentication module)
May 12 01:02:14 ip-192-0-2-0 sshd[2251]: Failed password for invalid user [email protected] from203.0.113.0 port 13344 ssh2
May 12 01:02:15 ip-192-0-2-0 sshd[2251]: Connection closed by 203.0.113.0 [preauth]
Cependant, kinit pour l’utilisateur fonctionne toujours. Voir cet exemple :
ubuntu@ip-192-0-2-0:~$ kinit [email protected] Password for [email protected]:ubuntu@ip-192-0-2-0:~$ klist Ticket cache: FILE:/tmp/krb5cc_1000 Default principal:[email protected]
Workaround
La solution recommandée actuelle pour ces deux scénarios consiste à désactiver le DNS inverse dans /etc/krb5.conf dans la section [libdefaults] comme illustré ci-dessous :
[libdefaults]default_realm = EXAMPLE.COMrdns = false
Problème d’authentification de confiance unidirectionnelle avecune jointure de domaine transparenteSi vous avez une confiance sortante unidirectionnelle établie entre votre AWS Managed Microsoft ADet votre AD sur site, vous pouvez rencontrer un problème d’authentification lorsque vous essayez devous authentifier sur l’instance Linux jointe au domaine à l’aide de vos informations d’identification ADapprouvées avec Winbind.
Version 1.0173
AWS Directory Service Guide d'administrationEspace de stockage disponible bientôt saturé
Errors
Jul 31 00:00:00 EC2AMAZ-LSMWqT sshd[23832]: Failed password for [email protected] fromxxx.xxx.xxx.xxx port 18309 ssh2
Jul 31 00:05:00 EC2AMAZ-LSMWqT sshd[23832]: pam_winbind(sshd:auth): getting password(0x00000390)
Jul 31 00:05:00 EC2AMAZ-LSMWqT sshd[23832]: pam_winbind(sshd:auth): pam_get_item returned apassword
Jul 31 00:05:00 EC2AMAZ-LSMWqT sshd[23832]: pam_winbind(sshd:auth): request wbcLogonUserfailed: WBC_ERR_AUTH_ERROR, PAM error: PAM_SYSTEM_ERR (4), NTSTATUS:**NT_STATUS_OBJECT_NAME_NOT_FOUND**, Error message was: The object name is not found.
Jul 31 00:05:00 EC2AMAZ-LSMWqT sshd[23832]: pam_winbind(sshd:auth): internal module error (retval =PAM_SYSTEM_ERR(4), user = 'CORP\user')
WorkaroundPour résoudre ce problème, vous devez commenter ou supprimer une directive du fichier de configurationdu module PAM (/etc/security/pam_winbind.conf) à l’aide des étapes suivantes.
1. Ouvrez le fichier /etc/security/pam_winbind.conf dans un éditeur de texte.
sudo vim /etc/security/pam_winbind.conf
2. Commentez ou supprimez la directive suivante krb5_auth = oui.
[global]
cached_login = yeskrb5_ccache_type = FILE#krb5_auth = yes
3. Arrêtez le service Winbind, puis redémarrez-le.
service winbind stop or systemctl stop winbindnet cache flush service winbind start or systemctl start winbind
Espace de stockage disponible bientôt saturé dansActive DirectorySi votre AWS Managed Microsoft AD est altéré car l’espace de stockage disponible d'Active Directory estbientôt saturé, agissez immédiatement afin que l’annuaire soit de nouveau actif. Pour connaître les deuxcauses les plus fréquentes de cette déficience, consultez les sections suivantes :
1. Le dossier SYSVOL stocke des objets de stratégie de groupe plus qu’essentiels (p. 175)2. La base de données Active Directory a atteint sa capacité maximale (p. 175)
Pour plus d'informations sur le stockage AWS Managed Microsoft AD, reportez-vous à la sectionTarification d’AWS Directory Service.
Version 1.0174
AWS Directory Service Guide d'administrationEspace de stockage disponible bientôt saturé
Le dossier SYSVOL stocke des objets de stratégie de groupeplus qu’essentielsCette déficience est souvent causée par le stockage de fichiers non essentiels dans le dossier SYSVOLdédiés au traitement de la stratégie de groupe. Ces fichiers non essentiels peuvent être EXEs, MSIsoutout autre fichier qui n’est pas essentiel pour que la stratégie de groupe traite. Les éléments de stratégiede groupe essentiels devant être traités sont les objets de stratégie de groupe, les scripts de connexionet de déconnexion, ainsi que le magasin central des objets de stratégie de groupe. Tous les fichiers nonessentiels doivent être stockés sur un ou plusieurs serveur(s) de fichiers autres que vos contrôleurs dedomaine AWS Managed Microsoft AD.
Si vous avez besoin de fichiers pour l'installation du logiciel de stratégie de groupe, stockez-les sur unserveur de fichiers. Si vous préférez ne pas vous occuper de la gestion du serveur de fichiers, AWSpropose une option permettant de le faire à votre place : Amazon FSx.
Pour supprimer des fichiers inutiles, accédez au dossier partagé SYSVOL via le chemin UNC (UniversalNaming Convention). Par exemple, si le nom complet de votre domaine est example.com, le chemin UNCde SYSVOL serait « \\example.local\SYSVOL\example.local\ ». Une fois ces objets non essentiels autraitement de l’annuaire par la stratégie de groupe localisés et supprimés, l’annuaire doit redevenir actifsous 30 minutes. S’il n’est pas actif après 30 minutes, contactez AWS Support.
En stockant seulement les fichiers de stratégie de groupe essentiels dans le dossier partagé SYSVOL,vous permettez à votre annuaire de ne pas être affecté par la distension de SYSVOL.
La base de données Active Directory a atteint sa capacitémaximaleCette déficience est souvent causée par le fait que la base de données Active Directory a atteint sacapacité maximale. Pour vérifier cela, consultez le nombre total d'objets dans votre annuaire. Nous mettonsen gras le mot total pour que vous compreniez que les objets supprimés sont toujours comptabilisés dansle nombre total d'objets d’un annuaire.
AWS Managed Microsoft AD conserve par défaut les éléments dans la corbeille pendant 180 jours avantqu'ils ne soient définitivement recyclés. Une fois un objet recyclé (désactivé), il est conservé pendant180 jours avant d'être finalement supprimé de l’annuaire. Ainsi, un objet supprimé demeure dans la basede données de l’annuaire pendant 360 jours avant d'être définitivement supprimé. C'est pourquoi vousdevez évaluer le nombre total d'objets.
Pour plus d'informations sur le nombre d'objets AWS Managed Microsoft AD pris en charge, consultez lapage Tarification d’AWS Directory Service.
Pour obtenir le nombre total d’objets dans un répertoire qui inclut les objets supprimés, vous pouvezexécuter les éléments suivants PowerShell à partir d’une instance Windows jointe à un domaine. Pourapprendre à configurer une instance de gestion, reportez-vous à la section Gérer des utilisateurs et desgroupes dans AWS Managed Microsoft AD (p. 91).
Get-ADObject -Filter * -IncludeDeletedObjects | Measure-Object -Property 'Count' | Select-Object -Property 'Count'
Voici un exemple de sortie de la commande ci-dessus :
Count10000
Si le nombre total est supérieur au nombre d'objets pouvant être pris en charge par votre annuairecomme indiqué dans la note ci-dessus, cela veut dire que votre annuaire a atteint sa capacité de stockagemaximale.
Version 1.0175
AWS Directory Service Guide d'administrationEspace de stockage disponible bientôt saturé
Voici des options permettant de résoudre cette déficience :
1. Nettoyez ADa. Supprimez tous les objets AD indésirables.b. Supprimez tous les objets indésirables de la corbeille AD. Veuillez noter que cette action est
irréversible et que vous ne pourrez récupérer ces objets supprimés qu’en restaurant l’annuaire.c. La commande suivante supprimera définitivement tous les objets se trouvant dans la corbeille AD.
Important
Procédez avec prudence car cette action est irréversible, et vous ne pourrez récupérer cesobjets supprimés qu’en restaurant l’annuaire.
$DomainInfo = Get-ADDomain$BaseDn = $DomainInfo.DistinguishedName$NetBios = $DomainInfo.NetBIOSName$ObjectsToRemove = Get-ADObject -Filter { isDeleted -eq $true } -IncludeDeletedObjects -SearchBase "CN=Deleted Objects,$BaseDn" -Properties 'LastKnownParent','DistinguishedName','msDS-LastKnownRDN' | Where-Object { ($_.LastKnownParent -Like "*OU=$NetBios,$BaseDn") -or ($_.LastKnownParent -Like '*\0ADEL:*') }ForEach ($ObjectToRemove in $ObjectsToRemove) { Remove-ADObject -Identity $ObjectToRemove.DistinguishedName -IncludeDeletedObjects }
d. Envoyez une demande à AWS Support afin de récupérer plus d'espace sur AWS Directory Service.2. Si votre annuaire est de type Standard Edition, demandez à AWS Support de mettre à niveau votre
annuaire vers Enterprise Edition. Cela augmentera également le coût de votre annuaire. Pour plusd'informations sur la tarification, reportez-vous à la section Tarification d’AWS Directory Service.
Dans AWS Managed Microsoft AD, les administrateurs AWS de cycle de vie d’objet supprimé délégués ontla possibilité de modifier le msDS-DeletedObjectLifetimenombre de jours pendant lesquels les objetssupprimés sont conservés dans la corbeille AD avant qu'ils ne soient recyclés.
Note
Il s'agit d'un sujet avancé. Si la configuration n’est pas correctement effectuée, elle peut entraînerune perte de données. Nous vous recommandons vivement de commencer par La corbeille AD :Compréhension, mise en œuvre, bonnes pratiques et dépannage pour mieux comprendre cesprocessus.
Réduire le msDS-DeletedObjectLifetimenombre d’objets pris en charge peut vous aider à ne pasdépasser le niveau de capacité maximale. La valeur de ce nombre ne peut être inférieure à 2 jours.Une fois cette limite dépassée, vous ne pourrez plus récupérer l'objet supprimé via la corbeille AD.Pour récupérer le(s) objet(s) en question, vous devrez restaurer votre annuaire à partir d'un instantané.Pour plus d'informations, consultez la section Création d'un instantané ou d'une restauration de votreannuaire (p. 122). Toute restauration à partir d'un instantané peut entraîner une perte de données car lesinstantanés correspondent à un moment donné.
Pour modifier le cycle de vie de l'objet supprimé de votre annuaire, exécutez la commande suivante :
Note
Si vous exécutez la commande telle quelle, le cycle de vie de l’objet supprimé sera défini sur30 jours. Si vous souhaitez rallonger ou raccourcir cette durée, remplacez « 30 » par le nombrecorrespondant. Cependant, nous vous recommandons de ne pas dépasser 180, le nombre pardéfaut.
$DeletedObjectLifetime = 30
Version 1.0176
AWS Directory Service Guide d'administrationErreurs d'extension de schéma
$DomainInfo = Get-ADDomain$BaseDn = $DomainInfo.DistinguishedNameSet-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,$BaseDn" -Partition "CN=Configuration,$BaseDn" -Replace:@{"msDS-DeletedObjectLifetime" = $DeletedObjectLifetime}
Erreurs d'extension de schémaLes informations suivantes peuvent vous aider à résoudre certains messages d'erreur que vous pouvezrencontrer lorsque vous étendez le schéma pour votre annuaire AWS Managed Microsoft AD.
ReferralErreur
Ajouter une erreur sur l’entrée commençant à la ligne 1 : Référencement L’erreur côté serveur est :0x202b Une référence a été renvoyée par le serveur. L’erreur de serveur étendue est : à la base :RefErr: DSID-F, données 0, 1 points d’accès \tref 1 : ‘example.com’ Nombre d’objets modifiés : 0
Dépannage
Veillez à ce que tous les champs de nom uniques disposent d'un nom de domaine correct. Dansl'exemple ci-dessus, DC=example,dc=com doit être remplacé par le code DistinguishedNameaffiché par l'applet de commande Get-ADDomain.
Impossible de lire le fichier d'importationErreur
Impossible de lire le fichier d’importation. Nombre d’objets modifiés : 0Dépannage
Le fichier LDIF importé est vide (0 octets). Vérifiez que le bon fichier a été chargé.
Erreur de syntaxeErreur
Il y a une erreur de syntaxe dans le fichier d’entrée Échec à la ligne 21. Le dernier jeton commence par« q ». Nombre d’objets modifiés : 0
Dépannage
Le texte sur la ligne 21 n'a pas été formaté correctement. La première lettre du texte non valide est A.Mettez à jour la ligne 21 avec une syntaxe LDIF valide. Pour plus d'informations sur le formatage d'unfichier LDIF, consultez Étape 1 : Créez votre fichier LDIF (p. 116).
L'attribut ou la valeur existeErreur
Ajouter une erreur sur l’entrée commençant à la ligne 1 : L’attribut ou la valeur existe L’erreur côtéserveur est : 0x2083 La valeur spécifiée existe déjà. L’erreur de serveur étendue est : -Étiquettes :AtrErr: DSID, n° 1 : \t0 : -Étiquettes : du DSID, problème 1006 (ATT_OR_VALUE_EXISTS), données 0,Att 20019 (peut contenir) :len 4 Nombre d’objets modifiés : 0
Version 1.0177
AWS Directory Service Guide d'administrationRaisons liées aux statuts de
création d'une relation d'approbation
Dépannage
La modification du schéma a déjà été appliquée.
Aucun attribut de ce typeErreur
Ajouter une erreur sur l’entrée commençant à la ligne 1 : Aucun attribut de ce type L’erreur côtéserveur est : 0x2085 La valeur de l’attribut ne peut pas être supprimée car elle n’est pas présente surl’objet. L’erreur de serveur étendue est : -Étiquettes : AtrErr: DSID, n° 1 : \t0 : -Étiquettes : du DSID,problème 1001 (NO_ATTRIBUTE_OR_VAL), données 0, Att 20019 (peut contenir) :len 4 Nombred’objets modifiés : 0
Dépannage
Le fichier LDIF essaie de supprimer un attribut d'une classe, mais cet attribut n'est actuellement pasattaché à la classe. La modification du schéma a probablement déjà été appliquée.
Erreur
Ajouter une erreur sur l’entrée commençant à la ligne 41 : Aucun attribut de ce type 0x57 Le paramètreest incorrect. L'erreur de serveur étendue est : 0x208d Objet de l'annuaire introuvable. L’erreur deserveur étendue est : « , » : LdapErr: DSID-0C090D8A, commentaire : Erreur dans l’opération deconversion d’attribut, données 0, v2580" Nombre d’objets modifiés : 0
Dépannage
L'attribut répertorié à la ligne 41 est incorrect. Revérifiez l'orthographe.
Aucun objet de ce typeErreur
Ajouter une erreur sur l’entrée commençant à la ligne 1 : Aucun objet de ce type L’erreur côté serveurest : 0x208d Objet de répertoire introuvable. L’erreur de serveur étendue est : à l’aide de la fonction-D : NameErr: du DSID, problème 2001 (NO_OBJECT), données 0, meilleure correspondance de :’CN=Schema,CN=Configuration,DC=exemple,DC=com’ Nombre d’objets modifiés : 0
Dépannage
L'objet référencé par le nom unique (DN) n'existe pas.
Raisons liées aux statuts de création d'une relationd'approbationSi la création d'une relation d'approbation échoue, le message de statut contient des informationssupplémentaires. Voici comment interpréter ces messages.
Access is deniedAccès refusé lorsque vous essayez de créer la relation d'approbation. Le mot de passe de la relationd'approbation est incorrect ou les paramètres de sécurité du domaine distant n'autorisent pas laconfiguration d'une relation d'approbation. Pour résoudre ce problème, essayez ce qui suit :
• Vérifiez que vous utilisez le même mot de passe de relation d'approbation que celui que vous avez utilisélors de la création de la relation d'approbation correspondante sur le domaine distant.
Version 1.0178
AWS Directory Service Guide d'administrationRaisons liées aux statuts de
création d'une relation d'approbation
• Vérifiez que les paramètres de sécurité de votre domaine permettent la création de la relationd'approbation.
• Vérifiez que votre stratégie de sécurité locale est définie correctement. En particulier, vérifiez LocalSecurity Policy > Local Policies > Security Options > Network access: NamedPipes that can be accessed anonymously et assurez-vous que ce paramètre contient au moinsles trois canaux nommés suivants :• netlogon• samr• lsarpc
Note
Par défaut, Network access: Named Pipes that can be accessed anonymously n’estpas défini et affichera Not Defined. Ceci est normal, car les paramètres par défaut effectifs ducontrôleur de domaine pour Network access: Named Pipes that can be accessedanonymously est netlogon, samr, lsarpc.
The specified domain name does not exist or could not becontactedPour résoudre ce problème, vérifiez que les paramètres du groupe de sécurité de votre nom de domaine,ainsi que la liste de contrôle d'accès (ACL) de votre VPC sont corrects, et que vous avez fourni avecprécision les informations relatives à votre redirecteur conditionnel. Pour plus d'informations sur lesconditions de sécurité, consultez Quand créer une relation d'approbation (p. 95).
Si le problème n'est pas résolu, il est possible que les informations fournies pour un redirecteur conditionnelcréé précédemment soient mises en cache et empêchent la création d'une nouvelle approbation. Veuillezpatienter plusieurs minutes et essayez à nouveau de créer la confiance et un redirecteur conditionnel.
Outil général utilisé pour tester les approbationsLe DirectoryServicePortTest de test peut être utile lors du dépannage des problèmes de créationd’approbation entre AWS Managed Microsoft AD et Active Directory sur site. Pour obtenir un exemple de lamanière dont l'outil peut être utilisé, consultez Test de votre connecteur AD Connector (p. 185).
Version 1.0179
AWS Directory Service Guide d'administrationDémarrer
Connecteur Active DirectoryAD Connector est une passerelle d'annuaire grâce à laquelle vous pouvez rediriger des demandesd'annuaire vers votre annuaire Microsoft Active Directory sur site sans mettre d'informations en cachedans le cloud. AD Connector est disponible en deux tailles, petite et large. Vous pouvez répartir lescharges d'application sur plusieurs connecteurs AD Connector en fonction de vos besoins en matière deperformances. Aucune limite de connexions ou d'utilisateurs n'est appliquée.
Une fois configuré, AD Connector offre les avantages suivants :
• Vos utilisateurs finaux et administrateurs informatiques peuvent utiliser leurs informations d'identificationd'entreprise existantes pour se connecter aux applications AWS, telles qu'Amazon WorkSpaces, AmazonWorkDocs ou Amazon WorkMail.
• Vous pouvez gérer des ressources AWS telles que des instances Amazon EC2 ou des compartimentsAmazon S3 via l'accès basé sur les rôles IAM à l'AWS Management Console.
• Vous pouvez appliquer de manière cohérente des stratégies de sécurité existantes (telles que l'expirationdes mots de passe, l'historique des mots de passe et les verrouillages de compte) que les utilisateurs oules administrateurs informatiques accèdent aux ressources de votre infrastructure sur site ou du cloudAWS.
• Vous pouvez utiliser AD Connector pour activer Multi-Factor Authentication en l'intégrant à votreinfrastructure MFA RADIUS existante afin de fournir une couche de sécurité supplémentaire lorsque desutilisateurs accèdent à des applications AWS.
Poursuivez la lecture des rubriques de cette section pour savoir comment vous connecter à un annuaire etutiliser au mieux les fonctionnalités d'AD Connector.
Rubriques• Prise en main d'AD Connector (p. 180)• Comment administrer AD Connector (p. 192)• Bonnes pratiques pour AD Connector (p. 210)• Limites pour AD Connector (p. 212)• Stratégie de compatibilité des applications pour AD Connector (p. 213)• Dépannage de AD Connector (p. 214)
Prise en main d'AD ConnectorAD Connector vous permet de connecter AWS Directory Service à votre annuaire d'entreprise existant.Lorsqu'il est connecté à votre annuaire existant toutes les données de votre annuaire restent sur voscontrôleurs de domaine. AWS Directory Service ne réplique aucune de vos données d'annuaire.
Rubriques• Conditions préalables requises AD Connector (p. 180)• Créer un AD Connector (p. 191)• Ce qui est créé ? (p. 192)
Conditions préalables requises AD ConnectorPour vous connecter à votre annuaire existant avec AD Connector, les éléments suivants sont requis :
Version 1.0180
AWS Directory Service Guide d'administrationConditions préalables requises AD Connector
VPC
Configurez un VPC avec les éléments suivants :• Au moins deux sous-réseaux. Chaque sous-réseau doit disposer d'une zone de disponibilité
différente.• Le VPC doit être connecté à votre réseau existant via une connexion réseau privé virtuel (VPN) ou
AWS Direct Connect.• Le VPC doit avoir la location matérielle par défaut.
AWS Directory Service uses a two VPC structure. The EC2 instances which make up your directoryrun outside of your AWS account, and are managed by AWS. They have two network adapters, ETH0and ETH1. ETH0 is the management adapter, and exists outside of your account. ETH1 is createdwithin your account.
The management IP range of your directory's ETH0 network is chosen programmatically to ensure itdoes not conflict with the VPC where your directory is deployed. This IP range can be in either of thefollowing pairs (as Directories run in two subnets):• 10.0.1.0/24 & 10.0.2.0/24• 192.168.1.0/24 & 192.168.2.0/24
We avoid conflicts by checking the first octet of the ETH1 CIDR. If it starts with a 10, then we choose a192.168.0.0/16 VPC with 192.168.1.0/24 and 192.168.2.0/24 subnets. If the first octet is anything elseother than a 10 we choose a 10.0.0.0/16 VPC with 10.0.1.0/24 and 10.0.2.0/24 subnets.
The selection algorithm does not include routes on your VPC. It is therefore possible to have an IProuting conflict result from this scenario.
Pour de plus amples informations, consultez les rubriques suivantes dans le Amazon VPC Guide del'utilisateur :• Qu'est-ce qu'Amazon VPC ?• Sous-réseaux dans votre VPC• Ajout d'une passerelle réseau privé virtuel Hardware à votre VPC
Pour de plus amples informations sur AWS Direct Connect, veuillez consulter le Guide de l'utilisateurAWS Direct Connect.
Active Directory existant
Vous aurez besoin de vous connecter à un réseau existant avec un domaine Active Directory.
Note
AD Connector ne prend pas en charge les approbations avec domaines à étiquette unique.
Le niveau fonctionnel de ce domaine doit correspondre à Windows Server 2003 ou toute versionsupérieure. AD Connector prend également en charge la connexion à un domaine hébergé sur uneinstance Amazon EC2.
Note
AD Connector ne prend pas en charge les contrôleurs de domaine en lecture seule (RODC)en association avec la fonctionnalité de jonction de domaine Amazon EC2.
Compte de service
Vous devez disposer des informations d'identification d'un compte de service dans l'annuaire existantauquel les privilèges suivants ont été délégués :• Utilisateurs et groupes en lecture - Obligatoire
Version 1.0181
AWS Directory Service Guide d'administrationConditions préalables requises AD Connector
• Joindre des ordinateurs au domaine - Obligatoire uniquement lors de l'utilisation de Liaison dedomaine en toute transparence et Amazon WorkSpaces
• Créer des objets ordinateur - Obligatoire uniquement lors de l'utilisation de la liaison de domaines entoute transparence et de Amazon WorkSpaces
Pour plus d'informations, consultez la section Délégation de privilèges à votre compte deservice (p. 183).
Autorisations des utilisateurs
Tous les utilisateurs Active Directory doit disposer des autorisations nécessaires pour lire leurs propresattributs. Il s’agit plus précisément des attributs suivants :• GivenName• SurName• Mail• SamAccountName• UserPrincipalName• UserAccountControl• MemberOf
Par défaut, les utilisateurs Active Directory ont l'autorisation de lire ces attributs. Toutefois, lesadministrateurs peuvent modifier ces autorisations au fil du temps. Pensez donc peut-être à vérifiersi vos utilisateurs disposent des autorisations en lecture avant de configurer AD Connector pour lapremière fois.
Adresses IP
Obtenez les adresses IP de deux contrôleurs de domaine ou serveurs DNS dans votre annuaireexistant.
AD Connector permet d’obtenir le _ldap._tcp.<DnsDomainName> et_kerberos._tcp.<DnsDomainName> Les enregistrements SRV à partir de ces serveurs lors dela connexion à votre annuaire, ces serveurs doivent donc contenir ces enregistrements SRV. Le ADConnector tente de trouver un contrôleur de domaine commun qui fournira à la fois les services LDAPet les services Kerberos. Ces enregistrements SRV doivent donc inclure au moins un contrôleur dedomaine commun. Pour plus d’informations sur les enregistrements SRV, consultez Dossiers deressources SRV sur Microsoft TechNet.
Ports pour les sous-réseaux
Pour AD Connector pour rediriger les requêtes d’annuaire vers vos contrôleurs de domaine ActiveDirectory existants, le pare-feu de votre réseau existant doit avoir les ports suivants ouverts sur leCIDRs pour les deux sous-réseaux de votre Amazon VPC.• TCP/UDP 53 - DNS• TCP/UDP 88 - Kerberos authentication• TCP/UDP 389 - LDAP
Il s'agit des ports minimum requis pour qu'AD Connector puisse se connecter à votre annuaire. Votreconfiguration spécifique peut nécessiter l'ouverture de ports supplémentaires.
Note
Si les serveurs DNS ou les serveurs de contrôleur de domaine de votre domaine ActiveDirectory existant se trouvent dans le VPC, les groupes de sécurité associés à ces serveursdoivent avoir les ports ci-dessus ouverts sur le CIDRs pour les deux sous-réseaux dans leVPC.
Pour connaître les exigences supplémentaires relatives aux ports, voir Exigences des ports AD et ADDS sur Microsoft TechNet.
Version 1.0182
AWS Directory Service Guide d'administrationConditions préalables requises AD Connector
Pré-authentification Kerberos
Vos comptes d'utilisateur doivent avoir une pré-authentification Kerberos activée. Pour obtenir desinstructions détaillées sur la façon d'activer ce paramètre, consultez Vérification de l'activation del'authentification préalable Kerberos (p. 105). Pour des informations générales sur ce paramètre,consultez Pré-authentification sur Microsoft TechNet.
Types de chiffrement
AD Connector prend en charge les types de chiffrement suivants lors de l'authentification à voscontrôleurs de domaine Active Directory via Kerberos :• AES-256-HMAC• AES-128-HMAC• RC4-HMAC
Conditions préalables requises Authentification unique AWSSi vous envisagez d'utiliser Authentification unique AWS (AWS SSO) avec AD Connector, vous devez vousassurer que ce qui suit est vrai :
• Votre AD Connector est configuré dans votre AWS organisation compte de gestion.• Votre instance de AWS SSO se trouve dans la même région que celle où votre AD Connector est
configuré.
Pour de plus amples informations, veuillez consulter Conditions préalables pour AWS SSO dans le Guidede l'utilisateur Authentification unique AWS.
Prérequis pour l’authentification multi-facteursPour prendre en charge Multi-Factor Authentication avec votre annuaire AD Connector, les élémentssuivants sont requis :
• Un serveur Remote Authentication Dial In User Service (RADIUS) sur votre réseau existant disposant dedeux points de terminaison client. Les points de terminaison client RADIUS ont les critères suivants :• Pour créer les points de terminaison, les adresses IP des serveurs AWS Directory Service sont
requises. Ces adresses IP peuvent être obtenues à partir du champ Directory IP Address figurant dansles détails de votre annuaire.
• Les deux points de terminaison RADIUS doivent utiliser le même code secret partagé.• Votre réseau existant doit autoriser le trafic entrant par le port serveur RADIUS par défaut (1812) depuis
vos serveurs AWS Directory Service.• Les noms d'utilisateur entre votre serveur RADIUS et votre annuaire existant doivent être identiques.
Pour plus d'informations sur l'utilisation de AD Connector avec MFA, consultez Activer l'authentificationmulti-facteurs pour AD Connector (p. 193).
Délégation de privilèges à votre compte de servicePour vous connecter à votre annuaire existant, vous devez disposer des informations d'identificationpour votre compte de service AD Connector dans l'annuaire existant, auquel certains privilèges ont étédélégués. Alors que les membres du groupe Administrateurs du domaine doivent avoir des privilègessuffisants pour se connecter à l'annuaire, en tant que bonne pratique, vous devez utiliser un comptede service disposant uniquement des privilèges minimum nécessaires pour la connexion à l'annuaire.La procédure suivante montre comment créer un nouveau groupe appelé Connectors, déléguer les
Version 1.0183
AWS Directory Service Guide d'administrationConditions préalables requises AD Connector
privilèges nécessaires pour connecter AWS Directory Service à ce groupe, puis ajouter un nouveau comptede service à ce groupe.
Cette procédure doit être effectuée sur un ordinateur qui est joint à votre annuaire et qui dispose ducomposant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Vous devez également êtreconnecté en tant qu'administrateur de domaine.
Pour déléguer des privilèges à votre compte de service
1. Ouvrez Utilisateurs et ordinateurs Active Directory, puis sélectionnez votre domaine dansl'arborescence de navigation.
2. Dans la liste du volet de gauche, effectuez un clic droit sur Utilisateurs, sélectionnez Nouveau, puisGroupe.
3. Dans la boîte de dialogue Nouvel objet - groupe, entrez la commande suivante, puis cliquez sur OK.
Field Valeur/sélection
Nom du groupe Connectors
Étendue du groupe Solution internationale
Type de groupe Sécurité
4. Dans l'arborescence de navigation Utilisateurs et ordinateurs Active Directory, sélectionnez laracine de votre domaine. Dans le menu, sélectionnez Action, puis Déléguer le contrôle. Si votreAD Connector est connecté à AWS Managed Microsoft AD, vous n’aurez pas accès au contrôledélégué au niveau racine du domaine. Dans ce cas, pour déléguer le contrôle, sélectionnez l’unitéd’organisation sous l’unité d’organisation de votre répertoire où les objets de votre ordinateur serontcréés.
5. Sur la page Assistant Délégation de contrôle, cliquez sur Suivant, puis cliquez sur Ajouter.6. Dans la boîte de dialogue Sélectionner les utilisateurs, ordinateurs ou groupes, entrez Connectors,
puis cliquez sur OK. Si vous trouvez plusieurs objets, sélectionnez le groupe Connectors crééprécédemment. Cliquez sur Suivant.
7. Sur la page Tâches à déléguer, sélectionnez Créer une tâche personnalisée à déléguer, puischoisissez Suivant.
8. Sélectionnez Seulement des objets suivants dans le dossier, puis sélectionnez Objets ordinateur etObjets utilisateur.
9. Sélectionnez Créer les objets sélectionnés dans ce dossier et Supprimer les objets sélectionnés dansce dossier. Sélectionnez ensuite Next (Suivant).
Version 1.0184
AWS Directory Service Guide d'administrationConditions préalables requises AD Connector
10. Sélectionnez Lecture, puis choisissez Suivant.
Note
Si vous avez l'intention d'utiliser la liaison de domaines en toute transparence ou AmazonWorkSpaces, vous devez également activer les autorisations d'Écriture afin que AWSManaged Microsoft AD puisse créer des objets informatiques.
11. Vérifiez les informations de la page Fin de l'Assistant Délégation de contrôle, puis cliquez surTerminer.
12. Créez un compte utilisateur avec un mot de passe fort et ajoutez-le au groupe Connectors. Cetutilisateur tient lieu de votre compte de service AD Connector et comme il est désormais membre dugroupe Connectors, il dispose maintenant de privilèges suffisants connecter AWS Directory Serviceà l'annuaire.
Test de votre connecteur AD ConnectorPour AD Connector pour vous connecter à votre répertoire existant, le pare-feu de votre réseau existantdoit avoir certains ports ouverts sur le CIDRs pour les deux sous-réseaux dans le VPC. Pour vérifier si cesconditions sont satisfaites, exécutez les étapes suivantes :
Pour tester la connexion
1. Lancez une instance Windows dans le VPC et connectez-vous à celle-ci via RDP. L'instance doit êtreun membre de votre domaine existant. Les étapes restantes sont exécutées sur cette instance VPC.
2. Téléchargez et décompressez le DirectoryServicePortTest test de l’application. Le code source et lesfichiers de projet Visual Studio sont inclus. Vous pouvez donc modifier l'application de test si vous lesouhaitez.
Note
Ce script n'est pas pris en charge sur Windows Server 2003 ni les systèmes d'exploitation deversion antérieure.
3. A partir d'une invite de commande Windows, exécutez l'application de test DirectoryServicePortTestavec les options suivantes :
Note
Le DirectoryServicePortTest peut uniquement être utilisé lorsque les niveaux fonctionnels dudomaine et de la forêt sont définis sur Windows Server 2012 R2 et versions antérieures.
Version 1.0185
AWS Directory Service Guide d'administrationConditions préalables requises AD Connector
DirectoryServicePortTest.exe -d <domain_name> -ip <server_IP_address> -tcp "53,88,389" -udp "53,88,389"
<domain_name>
Nom de domaine entièrement qualifié. Il permet de tester les niveaux fonctionnels des forêts etdes domaines. Si vous excluez le nom de domaine, les niveaux fonctionnels ne seront pas testés.
<server_IP_address>
Adresse IP d'un contrôleur de domaine dans votre domaine existant. Les ports seront testés surcette adresse IP. Si vous excluez l'adresse IP, les ports ne seront pas testés.
Cette application de test détermine si les ports nécessaires sont disponibles sur le VPC de votredomaine, et vérifie également les niveaux fonctionnels minimum des forêts et des domaines.
La sortie est similaire à ce qui suit :
Testing forest functional level.Forest Functional Level = Windows2008R2Forest : PASSED
Testing domain functional level.Domain Functional Level = Windows2008R2Domain : PASSED
Testing required TCP ports to <server_IP_address>:Checking TCP port 53: PASSEDChecking TCP port 88: PASSEDChecking TCP port 389: PASSED
Testing required UDP ports to <server_IP_address>:Checking UDP port 53: PASSEDChecking UDP port 88: PASSEDChecking UDP port 389: PASSED
Utilisez le code d'application suivant pour l'application DirectoryServicePortTest.
/* Copyright 2010-2019 Amazon.com, Inc. or its affiliates. All Rights Reserved.
This file is licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance with the License. A copy of the License is located at
http://aws.amazon.com/apache2.0/
This file is distributed on an "AS IS" BASIS, WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. See the License for the specific language governing permissions and limitations under the License.*/using System;using System.Collections.Generic;using System.IO;using System.Linq;using System.Net;using System.Net.Sockets;using System.Text;using System.Threading.Tasks;using System.DirectoryServices.ActiveDirectory;using System.Threading;
Version 1.0186
AWS Directory Service Guide d'administrationConditions préalables requises AD Connector
using System.DirectoryServices.AccountManagement;using System.DirectoryServices;using System.Security.Authentication;using System.Security.AccessControl;using System.Security.Principal;
namespace DirectoryServicePortTest{ class Program { private static List<int> _tcpPorts; private static List<int> _udpPorts;
private static string _domain = ""; private static IPAddress _ipAddr = null;
static void Main(string[] args) { if (ParseArgs(args)) { try { if (_domain.Length > 0) { try { TestForestFunctionalLevel();
TestDomainFunctionalLevel(); } catch (ActiveDirectoryObjectNotFoundException) { Console.WriteLine("The domain {0} could not be found.\n", _domain); } }
if (null != _ipAddr) { if (_tcpPorts.Count > 0) { TestTcpPorts(_tcpPorts); }
if (_udpPorts.Count > 0) { TestUdpPorts(_udpPorts); } } } catch (AuthenticationException ex) { Console.WriteLine(ex.Message); } } else { PrintUsage(); }
Console.Write("Press <enter> to continue."); Console.ReadLine(); }
static void PrintUsage() {
Version 1.0187
AWS Directory Service Guide d'administrationConditions préalables requises AD Connector
string currentApp = Path.GetFileName(System.Reflection.Assembly.GetExecutingAssembly().Location); Console.WriteLine("Usage: {0} \n-d <domain> \n-ip \"<server IP address>\" \n[-tcp \"<tcp_port1>,<tcp_port2>,etc\"] \n[-udp \"<udp_port1>,<udp_port2>,etc\"]", currentApp); }
static bool ParseArgs(string[] args) { bool fReturn = false; string ipAddress = "";
try { _tcpPorts = new List<int>(); _udpPorts = new List<int>();
for (int i = 0; i < args.Length; i++) { string arg = args[i];
if ("-tcp" == arg | "/tcp" == arg) { i++; string portList = args[i]; _tcpPorts = ParsePortList(portList); }
if ("-udp" == arg | "/udp" == arg) { i++; string portList = args[i]; _udpPorts = ParsePortList(portList); }
if ("-d" == arg | "/d" == arg) { i++; _domain = args[i]; }
if ("-ip" == arg | "/ip" == arg) { i++; ipAddress = args[i]; } } } catch (ArgumentOutOfRangeException) { return false; }
if (_domain.Length > 0 || ipAddress.Length > 0) { fReturn = true; }
if (ipAddress.Length > 0) { _ipAddr = IPAddress.Parse(ipAddress); } return fReturn; }
Version 1.0188
AWS Directory Service Guide d'administrationConditions préalables requises AD Connector
static List<int> ParsePortList(string portList) { List<int> ports = new List<int>();
char[] separators = {',', ';', ':'};
string[] portStrings = portList.Split(separators); foreach (string portString in portStrings) { try { ports.Add(Convert.ToInt32(portString)); } catch (FormatException) { } }
return ports; }
static void TestForestFunctionalLevel() { Console.WriteLine("Testing forest functional level.");
DirectoryContext dirContext = new DirectoryContext(DirectoryContextType.Forest, _domain, null, null); Forest forestContext = Forest.GetForest(dirContext);
Console.Write("Forest Functional Level = {0} : ", forestContext.ForestMode);
if (forestContext.ForestMode >= ForestMode.Windows2003Forest) { Console.WriteLine("PASSED"); } else { Console.WriteLine("FAILED"); }
Console.WriteLine(); }
static void TestDomainFunctionalLevel() { Console.WriteLine("Testing domain functional level.");
DirectoryContext dirContext = new DirectoryContext(DirectoryContextType.Domain, _domain, null, null); Domain domainObject = Domain.GetDomain(dirContext);
Console.Write("Domain Functional Level = {0} : ", domainObject.DomainMode);
if (domainObject.DomainMode >= DomainMode.Windows2003Domain) { Console.WriteLine("PASSED"); } else { Console.WriteLine("FAILED"); }
Console.WriteLine(); }
static List<int> TestTcpPorts(List<int> portList)
Version 1.0189
AWS Directory Service Guide d'administrationConditions préalables requises AD Connector
{ Console.WriteLine("Testing TCP ports to {0}:", _ipAddr.ToString());
List<int> failedPorts = new List<int>();
foreach (int port in portList) { Console.Write("Checking TCP port {0}: ", port);
TcpClient tcpClient = new TcpClient();
try { tcpClient.Connect(_ipAddr, port);
tcpClient.Close(); Console.WriteLine("PASSED"); } catch (SocketException) { failedPorts.Add(port); Console.WriteLine("FAILED"); } }
Console.WriteLine();
return failedPorts; }
static List<int> TestUdpPorts(List<int> portList) { Console.WriteLine("Testing UDP ports to {0}:", _ipAddr.ToString());
List<int> failedPorts = new List<int>();
foreach (int port in portList) { Console.Write("Checking UDP port {0}: ", port);
UdpClient udpClient = new UdpClient();
try { udpClient.Connect(_ipAddr, port); udpClient.Close(); Console.WriteLine("PASSED"); } catch (SocketException) { failedPorts.Add(port); Console.WriteLine("FAILED"); } }
Console.WriteLine();
return failedPorts; } }}
Version 1.0190
AWS Directory Service Guide d'administrationCréer un AD Connector
Créer un AD ConnectorPour vous connecter à votre annuaire existant avec AD Connector, effectuez les opérations suivantes.Avant de commencer cette procédure, assurez-vous que vous avez terminé les prérequis identifiés dansConditions préalables requises AD Connector (p. 180).
Pour se connecter avec AD Connector
1. Dans le volet de navigation AWS Directory Service console, choisissez Directories (Annuaires), puisSet up directory (Configurer l'annuaire).
2. Sur la page Select directory type (Sélectionner un type d'annuaire), choisissez AD Connector, puischoisissez Next (Suivant).
3. Sur la page Enter AD Connector information (Saisir les informations AD Connector), renseignez lesinformations suivantes :
Taille de l'annuaire
Faites votre choix parmi les options de taille Petit ou Large. Pour en savoir plus sur les tailles,consultez Connecteur Active Directory (p. 180).
Description de l'annuaire
Description facultative de l'annuaire.4. Sur la page Choose VPC and subnets (Choisir un VPC et des sous-réseaux), indiquez les informations
suivantes, puis choisissez Next (Suivant).
VPC
VPC de l'annuaire.Sous-réseaux
Choisissez les sous-réseaux pour les contrôleurs de domaine. Les deux sous-réseaux doivent êtredans des zones de disponibilité différentes.
5. Sur la page Connect to AD (Connecter à AD), fournissez les informations suivantes :
Nom de DNS de l'annuaire
Nom complet de votre annuaire existant, par exemple corp.example.com.Répertoire NetBIOS nom
Nom court de votre annuaire existant, tel que CORP.DNS IP addresses (Adresses IP DNS)
Adresse IP d'au moins un serveur DNS dans votre annuaire existant. Ces serveurs doivent êtreaccessibles à partir de chaque sous-réseau spécifié dans la section suivante.
Nom d'utilisateur du compte de service
Nom d'utilisateur d'un utilisateur figurant dans l'annuaire existant. Pour plus d'informations sur cecompte, consultez le Conditions préalables requises AD Connector (p. 180).
Mot de passe du compte de service
Mot de passe du compte utilisateur existant.Confirmer le mot de passe
Saisissez à nouveau le mot de passe du compte utilisateur existant.6. Sur la page Review & create (Vérifier et créer), vérifiez les informations concernant l'annuaire et
effectuez les modifications nécessaires. Lorsque les informations sont correctes, choisissez Create
Version 1.0191
AWS Directory Service Guide d'administrationCe qui est créé ?
directory (Créer l'annuaire). La création de l'annuaire prend plusieurs minutes. Une fois l'annuaire créé,le champ Statut prend la valeur Actif.
Ce qui est créé ?Lorsque vous créez un AD Connector, AWS Directory Service creates and associates an elastic networkinterface (ENI) with each of your domain controllers. Each of these ENIs are essential for connectivitybetween your VPC and AWS Directory Service domain controllers and should never be deleted. Youcan identify all network interfaces reserved for use with AWS Directory Service by the description: "AWScreated network interface for directory directory-id". For more information, see Elastic Network Interfaces inthe Amazon EC2 Guide de l'utilisateur pour les instances Windows. automatiquement
Comment administrer AD ConnectorCette section répertorie toutes les procédures de fonctionnement et de maintenance d'un environnementAD Connector.
Rubriques• Sécurisation de votre annuaire AD Connector (p. 192)• Surveillance de votre annuaire AD Connector (p. 198)• Jonction d'une instance EC2 à votre annuaire AD Connector (p. 201)• Maintenance de votre annuaire AD Connector (p. 208)• Mise à jour de l'adresse DNS pour votre AD Connector (p. 209)
Sécurisation de votre annuaire AD ConnectorCette section décrit les éléments à prendre en compte pour sécuriser votre environnement AD Connector.
Rubriques• Mise à jour des informations d'identification du compte de service AD Connector dans AWS Directory
Service (p. 192)• Activer l'authentification multi-facteurs pour AD Connector (p. 193)• Activation de LDAPS côté client à l'aide d'AD Connector (p. 194)
Mise à jour des informations d'identification du compte de serviceAD Connector dans AWS Directory ServiceLes informations d'identification AD Connector que vous fournissez dans AWS Directory Servicereprésentent le compte de service utilisé pour accéder à votre annuaire local existant. Vous pouvezmodifier les informations d'identification du compte de service dans AWS Directory Service en effectuantles opérations suivantes.
Note
Si l'authentification unique est activée pour l'annuaire, AWS Directory Service doit transférer leSPN à partir du compte de service actuel vers le nouveau compte de service. Si le compte deservice actuel n'a pas l'autorisation de supprimer le SPN ou que le nouveau compte de servicen'a pas l'autorisation d'ajouter le SPN, vous serez invité à fournir les informations d'identification
Version 1.0192
AWS Directory Service Guide d'administrationSécurisation de votre annuaire
d'un compte d'annuaire disposant de l'autorisation d'effectuer les deux actions. Ces informationsd'identification ne sont pas utilisées pour transférer le SPN et ne sont pas stockées par le service.
Pour mettre à jour les informations d'identification de votre compte de service AD Connector dansAWS Directory Service
1. Dans le volet de navigation AWS Directory Service console, sélectionnez Annuaires.2. Choisissez le lien de l'ID correspondant à votre annuaire .3. Sur la page Détails de l'annuaire, choisissez l'onglet Mise en réseau et sécurité.4. Dans la section Informations d'identification du compte de service choisissez Mettre à jour.5. Dans la boîte de dialogue Update service account credentials (Mettre à jour les informations
d'identification du compte de service), tapez le nouveau nom d’utilisateur et le mot de passe, puissélectionnez Update Directory (Mettre à jour l’annuaire).
Activer l'authentification multi-facteurs pour AD ConnectorVous pouvez activer l'authentification multi-facteurs pour AD Connector lorsqu'Active Directory s'exécutesur site ou dans des instances EC2. Pour plus d'informations sur l'utilisation de Multi-Factor Authenticationavec AWS Directory Service, consultez Conditions préalables requises AD Connector (p. 180).
Note
L'authentification multi-facteurs n'est pas disponible pour Simple AD. Toutefois, MFA peut êtreactivé pour votre annuaire AWS Managed Microsoft AD. Pour plus d'informations, consultez lasection Activer l'authentification multi-facteurs pour AWS Managed Microsoft AD (p. 33).
Pour activer l'authentification multi-facteurs pour AD Connector
1. Dans le volet de navigation AWS Directory Service console, sélectionnez Annuaires.2. Choisissez le lien de l'ID correspondant à votre annuaire AD Connector.3. Sur la page Directory details (Détails de l'annuaire), sélectionnez l'onglet Networking & security (Mise
en réseau et sécurité).4. Dans la section Authentification multi-facteurs, choisissez Actions, puis sélectionnez Activer.5. Dans la page Activer l'authentification multi-facteurs, indiquez les valeurs suivantes :
Afficher l'étiquette
Indiquez un nom d'étiquette.Nom DNS ou adresses IP du serveur RADIUS
Adresses IP des points de terminaison de votre serveur RADIUS ou adresse IP de l'équilibreur decharge de votre serveur RADIUS. Vous pouvez entrer plusieurs adresses IP en les séparant parune virgule (par exemple, 192.0.0.0,192.0.0.12).
Note
RADIUS MFA est applicable uniquement pour authentifier l'accès à AWS ManagementConsole, ou à des applications et services d'entreprise Amazon comme AmazonWorkSpaces, Amazon QuickSight ou Amazon Chime. Il ne fournit pas la fonction MFAaux charges de travail Windows s’exécutant sur des instances EC2 ou pour la connexionà une instance EC2. AWS Directory Service ne prend pas en charge l’authentification parsimulation/réponse RADIUS.Les utilisateurs doivent disposer de leur code MFA au moment d'entrer leur nomd'utilisateur et leur mot de passe. Sinon, vous pouvez utiliser une solution qui effectueune authentification MFA hors bande comme une vérification par SMS pour l'utilisateur.
Version 1.0193
AWS Directory Service Guide d'administrationSécurisation de votre annuaire
Dans les solutions MFA hors bande, vous devez veiller à définir la valeur de délaid’attente RADIUS de manière adéquate en fonction de votre solution. Lorsque vousutilisez une solution MFA hors bande, la page de connexion invite l’utilisateur à saisir uncode MFA. Dans ce cas, la bonne pratique consiste à entrer son mot de passe dans lazone de mot de passe et dans la zone MFA.
Port
Port que votre serveur RADIUS utilise pour les communications. Votre réseau sur site doitautoriser le trafic entrant par le port serveur RADIUS par défaut (UDP : 1812) depuis vos serveursAWS Directory Service.
Code secret partagé
Code secret partagé qui a été spécifié lorsque vos points de terminaison RADIUS ont été créés.Confirmer le code secret partagé
Confirmez le code secret partagé pour vos points de terminaison RADIUS.Protocole
Sélectionnez le protocole qui a été spécifié lorsque vos points de terminaison RADIUS ont étécréés.
Délai d'attente du serveur (en secondes)
Durée, en secondes, d'attente de la réponse du serveur RADIUS. La valeur doit être compriseentre 1 et 50.
Nombre maximal de tentatives RADIUS
Nombre de tentatives de communication avec le serveur RADIUS. La valeur doit être compriseentre 0 et 10.
Multi-Factor Authentication est disponible lorsque le paramètre Statut RADIUS passe à l'état Activé.6. Choisissez Activer.
Activation de LDAPS côté client à l'aide d'AD ConnectorLa prise en charge de LDAPS côté client dans le AD Connector chiffre les communications entre lesapplications Microsoft Active Directory (AD) et AWS. Exemples de ces applications : Amazon WorkSpaces,AWS SSO, Amazon QuickSight et Amazon Chime. Ce chiffrement vous aide à mieux protéger les donnéesd'identité de votre organisation et répondre à vos exigences de sécurité.
Prerequisites
Avant d'activer LDAPS côté client, vous devez satisfaire les exigences suivantes.
Rubriques• Déploiement des certificats de serveur dans Active Directory (p. 194)• Exigences relatives aux certificats de CA (p. 195)• Exigences liées à la mise en réseau (p. 195)
Déploiement des certificats de serveur dans Active Directory
Afin d'activer LDAPS côté client, vous devez obtenir et installer des certificats de serveur pour chaquecontrôleur de domaine dans Active Directory. Ces certificats seront utilisés par le service LDAP pourécouter et accepter automatiquement les connexions SSL provenant de clients LDAP. Vous pouvez
Version 1.0194
AWS Directory Service Guide d'administrationSécurisation de votre annuaire
utiliser des certificats SSL émis par un déploiement ADCS (services de certificat Active Directory) interneou achetés auprès d'un émetteur commercial. Pour plus d'informations sur les exigences relatives auxcertificats de serveur Active Directory, consultez LDAP over SSL (LDAPS) Certificate sur le site web deMicrosoft.
Exigences relatives aux certificats de CA
Un certificat d'autorité de certification (CA), qui représente l'émetteur de vos certificats de serveur, estrequis pour le fonctionnement de LDAPS côté client. Les certificats d'une autorité de certification sontmis en correspondance avec les certificats de serveur présentés par vos contrôleurs de domaine ActiveDirectory pour chiffrer les communications LDAP. Notez les exigences suivantes relatives aux certificatsd'autorité de certification :
• Pour que vous puissiez enregistrer un certificat, celui-ci doit expirer dans plus de 90 jours.• Les certificats doivent être au format PEM (Privacy-Enhanced Mail). Si vous exportez des certificats
d'autorité de certification à partir d'Active Directory, choisissez X.509 codé en base64 (.CER) commeformat de fichier d'exportation.
• Cinq (5) certificats d'une autorité de certification au maximum peuvent être stockés par l'annuaire ADConnector.
• Les certificats utilisant l'algorithme de signature RSASSA-PSS ne sont pas pris en charge.
Exigences liées à la mise en réseau
Le trafic LDAP d'application AWS doit s'exécuter exclusivement sur le port TCP 636, sans basculementsur le port LDAP 389. Toutefois, les communications LDAP Windows prenant en charge la réplication, lesapprobations, etc. continueront d'utiliser le port LDAP 389 avec une sécurité native Windows. Configurezdes pare-feu et des groupes de sécurité AWS pour autoriser les communications TCP sur le port 636 dansAD Connector (en sortie) et Active Directory autogérées (en entrée).
Activation de LDAPS côté client
Pour activer LDAPS côté client, vous importez votre certificat d'une autorité de certification dans ADConnector, puis vous activez LDAPS sur votre annuaire. Lors de l'activation, tout le trafic LDAP entre lesapplications AWS et votre Active Directory autogéré est transmis avec le chiffrement de canal SecureSockets Layer (SSL).
Vous pouvez utiliser deux méthodes différentes pour activer LDAPS côté client pour votre annuaire.Vous pouvez utiliser la méthode de l'AWS Management Console ou la méthode de l'interface de ligne decommande AWS.
Rubriques• Étape 1 : Enregistrer le certificat dans AWS Directory Service (p. 195)• Étape 2 : Vérifier le statut d’inscription (p. 196)• Étape 3 : Activation de LDAPS côté client (p. 196)• Étape 4 : Vérifier l’état LDAPS (p. 197)
Étape 1 : Enregistrer le certificat dans AWS Directory Service
Utilisez l'une des méthodes suivantes pour enregistrer un certificat dans AWS Directory Service.
Méthode 1 : Pour enregistrer votre certificat dans AWS Directory Service (AWS ManagementConsole)
1. Dans le volet de navigation AWS Directory Service console, sélectionnez Annuaires.
Version 1.0195
AWS Directory Service Guide d'administrationSécurisation de votre annuaire
2. Choisissez le lien de l'ID correspondant à votre annuaire .3. Sur la page Détails de l'annuaire, choisissez l'onglet Mise en réseau et sécurité.4. Dans la section LDAPS côté client sélectionnez le menu Actions, puis Enregistrer le certificat.5. Dans la boîte de dialogue Enregistrer un certificat d'une autorité de certification, sélectionnez
Parcourir, puis le certificat et choisissez Ouvrir.6. Choisissez Enregistrer le certificat.
Méthode 2 : Pour enregistrer votre certificat dans AWS Directory Service (AWS CLI)
• Exécutez la commande suivante . Pour les données de certificat, pointez vers l'emplacement de votrefichier de certificat de CA. Un ID de certificat sera fourni dans la réponse.
aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
Étape 2 : Vérifier le statut d’inscription
Pour afficher l'état d'un enregistrement de certificat ou d'une liste de certificats enregistrés, utilisez l'une desméthodes suivantes.
Méthode 1 : Pour vérifier l’état d’enregistrement du certificat dans AWS Directory Service (AWSManagement Console)
1. Accédez à la section LDAPS côté client sur la page Détails de l'annuaire.2. Vérifiez l'état de l'enregistrement de certificat actuel qui s'affiche sous la colonne État de
l'enregistrement. Lorsque la valeur de l'état de l'enregistrement passe à Registered (Enregistré), celasignifie que votre certificat a été enregistré avec succès.
Méthode 2 : Pour vérifier l’état d’enregistrement du certificat dans AWS Directory Service (AWSCLI)
• Exécutez la commande suivante . Si la valeur de l'état renvoie Registered, cela signifie que votrecertificat a été enregistré avec succès.
aws ds list-certificates --directory-id your_directory_id
Étape 3 : Activation de LDAPS côté client
Utilisez l'une des méthodes suivantes pour activer LDAPS côté client dans AWS Directory Service.
Note
Avant de pouvoir activer LDAPS côté client, vous devez avoir enregistré avec succès au moins uncertificat.
Méthode 1 : Pour activer LDAPS côté client dans AWS Directory Service (AWS ManagementConsole)
1. Accédez à la section LDAPS côté client sur la page Détails de l'annuaire.2. Choisissez Enable (Activer). Si cette option n'est pas disponible, vérifiez qu'un certificat valide a bien
été enregistré, puis réessayez.3. Dans la boîte de dialogue Activer LDAPS côté client choisissez Activer.
Version 1.0196
AWS Directory Service Guide d'administrationSécurisation de votre annuaire
Méthode 2 : Pour activer LDAPS côté client dans AWS Directory Service (AWS CLI)
• Exécutez la commande suivante .
aws ds enable-ldaps --directory-id your_directory_id --type Client
Étape 4 : Vérifier l’état LDAPS
Utilisez l'une des méthodes suivantes pour vérifier l'état LDAPS dans AWS Directory Service.
Méthode 1 : Pour vérifier l’état LDAPS dans AWS Directory Service (AWS Management Console)
1. Accédez à la section LDAPS côté client sur la page Détails de l'annuaire.2. Si la valeur d'état est affichée en tant que Enabled (Activé), cela signifie que LDAPS a été configuré
avec succès.
Méthode 2 : Pour vérifier l’état LDAPS dans AWS Directory Service (AWS CLI)
• Exécutez la commande suivante . Si la valeur d'état renvoie Enabled, cela signifie que LDAPS a étéconfiguré avec succès.
aws ds describe-ldaps-settings –directory-id your_directory_id
Gestion de LDAPS côté client
Utilisez ces commandes pour gérer votre configuration LDAPS.
Vous pouvez utiliser deux méthodes différentes pour gérer les paramètres LDAPS côté client. Vous pouvezutiliser la méthode de l'AWS Management Console ou la méthode de l'interface de ligne de commandeAWS.
Afficher les détails du certificat
Utilisez l'une des méthodes suivantes pour voir lorsqu'un certificat est défini pour expirer.
Méthode 1 : Pour afficher les détails du certificat dans AWS Directory Service (AWS ManagementConsole)
1. Dans le volet de navigation AWS Directory Service console, sélectionnez Annuaires.2. Choisissez le lien de l'ID correspondant à votre annuaire .3. Sur la page Détails de l'annuaire, choisissez l'onglet Mise en réseau et sécurité.4. Les informations relatives au certificat sont affichées dans la section LDAPS côté client sous Certificats
d'une autorité de certification.
Méthode 2 : Pour afficher les détails du certificat dans AWS Directory Service (AWS CLI)
• Exécutez la commande suivante . Pour l'ID de certificat, utilisez l'identifiant renvoyé par register-certificate ou list-certificates.
aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
Version 1.0197
AWS Directory Service Guide d'administrationSurveillance de votre annuaire
Annuler l'enregistrement d'un certificat
Utilisez l'une des méthodes suivantes pour annuler l'enregistrement d'un certificat.
Note
Si un seul certificat est enregistré, vous devez d'abord désactiver LDAPS avant de pouvoir annulerl'enregistrement d'un certificat.
Méthode 1 : Pour annuler l’enregistrement d’un certificat dans AWS Directory Service (AWSManagement Console)
1. Dans le volet de navigation AWS Directory Service console, sélectionnez Annuaires.2. Choisissez le lien de l'ID correspondant à votre annuaire .3. Sur la page Détails de l'annuaire, choisissez l'onglet Mise en réseau et sécurité.4. Dans la section LDAPS côté client choisissez Actions, puis Annuler l'enregistrement du certificat.5. Dans la boîte de dialogue Annuler l'enregistrement d'un certificat d'une autorité de certification,
choisissez Annuler l'enregistrement.
Méthode 2 : Pour annuler l’enregistrement d’un certificat dans AWS Directory Service (AWS CLI)
• Exécutez la commande suivante . Pour l'ID de certificat, utilisez l'identifiant renvoyé par register-certificate ou list-certificates.
aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
Désactiver LDAPS côté client
Utilisez l'une des méthodes suivantes pour désactiver LDAPS côté client.
Méthode 1 : Pour désactiver LDAPS côté client dans AWS Directory Service (AWS ManagementConsole)
1. Dans le volet de navigation AWS Directory Service console, sélectionnez Annuaires.2. Choisissez le lien de l'ID correspondant à votre annuaire .3. Sur la page Détails de l'annuaire, choisissez l'onglet Mise en réseau et sécurité.4. Dans la section LDAPS côté client choisissez Désactiver.5. Dans la boîte de dialogue Désactiver LDAPS côté client, choisissez Désactiver.
Méthode 2 : Pour désactiver LDAPS côté client dans AWS Directory Service (AWS CLI)
• Exécutez la commande suivante .
aws ds disable-ldaps --directory-id your_directory_id --type Client
Surveillance de votre annuaire AD ConnectorVous pouvez surveiller l'annuaire AD Connector en procédant comme suit :
Rubriques
Version 1.0198
AWS Directory Service Guide d'administrationSurveillance de votre annuaire
• Comprendre le statut de votre annuaire (p. 199)• Configuration des notifications de statut de l'annuaire (p. 200)
Comprendre le statut de votre annuaireThe following are the various statuses for a directory.
Active
The directory is operating normally. No issues have been detected by the AWS Directory Service foryour directory.
Creating
The directory is currently being created. Directory creation typically takes between 20 to 45 minutes butmay vary depending on the system load.
Deleted
The directory has been deleted. All resources for the directory have been released. Once a directoryenters this state, it cannot be recovered.
Deleting
The directory is currently being deleted. The directory will remain in this state until it has beencompletely deleted. Once a directory enters this state, the delete operation cannot be cancelled, andthe directory cannot be recovered.
Failed
The directory could not be created. Please delete this directory. If this problem persists, please contactthe AWS Support Center.
Impaired
The directory is running in a degraded state. One or more issues have been detected, and not alldirectory operations may be working at full operational capacity. There are many potential reasonsfor the directory being in this state. These include normal operational maintenance activity such aspatching or EC2 instance rotation, temporary hot spotting by an application on one of your domaincontrollers, or changes you made to your network that inadvertently disrupt directory communications.For more information, see either Dépannage de AWS Managed Microsoft AD (p. 171), Dépannagede AD Connector (p. 214), Dépannage de Simple AD (p. 268). For normal maintenance relatedissues, AWS resolves these issues within 40 minutes. If after reviewing the troubleshooting topic, yourdirectory is in an Impaired state longer than 40 minutes, we recommend that you contact the AWSSupport Center.
Important
Do not restore a snapshot while a directory is in an Impaired state. It is rare that snapshotrestore is necessary to resolve impairments. For more information, see Création d'uninstantané ou d'une restauration de votre annuaire (p. 122).
Inoperable
The directory is not functional. All directory endpoints have reported issues.Requested
A request to create your directory is currently pending.RestoreFailed
Restoring the directory from a snapshot failed. Please retry the restore operation. If this continues, try adifferent snapshot, or contact the AWS Support Center.
Version 1.0199
AWS Directory Service Guide d'administrationSurveillance de votre annuaire
Restoring
The directory is currently being restored from an automatic or manual snapshot. Restoring from asnapshot typically takes several minutes, depending on the size of the directory data in the snapshot.
For more information, see Motifs de statut d'annuaire Simple AD (p. 270).
Configuration des notifications de statut de l'annuaireAvec Amazon Simple Notification Service (Amazon SNS), vous pouvez recevoir des e-mails ou desmessages texte (SMS) lorsque le statut de votre annuaire change. Vous êtes averti lorsque votre annuairepasse du statut Actif au statut Dégradé ou Inopérable. Vous recevez également une notification lorsquel'annuaire renvoie un statut Active.
Fonctionnement
Amazon SNS utilise des « rubriques » pour collecter et distribuer les messages. Chaque rubrique possèdeun ou plusieurs abonnés qui reçoivent les messages ayant été publiés dans cette rubrique. En suivant lesétapes ci-dessous, vous pouvez ajouter AWS Directory Service en tant qu'éditeur à une rubrique AmazonSNS. Lorsque AWS Directory Service détecte un changement de statut dans votre annuaire, il publie unmessage dans cette rubrique, qui est ensuite envoyée aux abonnés de la rubrique.
Vous pouvez associer plusieurs annuaires en tant qu'éditeurs à une seule rubrique. Vous pouvezégalement ajouter des messages de statut d'annuaire créés précédemment dans Amazon SNS. Vous avezla possibilité de contrôler qui peut publier dans une rubrique ou s'y abonner. Pour obtenir des informationsdétaillées sur Amazon SNS, veuillez consulter Qu'est-ce qu'Amazon SNS ?.
Pour activer la messagerie SNS pour votre annuaire
1. Connectez-vous à AWS Management Console et ouvrez la console AWS Directory Service à l'adressehttps://console.aws.amazon.com/directoryservicev2/.
2. Sur la page Directories (Annuaires), choisissez l'ID de votre annuaire.3. Sélectionnez l'onglet Maintenance.4. Dans la section Surveillance de l'annuaire, choisissez Actions, puis sélectionnez Créer une notification.5. Sur la page Créer une notification, sélectionnez Choisir un type notification, puis Créer une nouvelle
notification. Sinon, si vous avez déjà une rubrique SNS existante, vous pouvez choisir Associer unerubrique SNS existante pour envoyer des messages de statut de cet annuaire vers cette rubrique.
Note
Si vous choisissez Créer une nouvelle notification, mais que vous utilisez le même nomde rubrique pour une rubrique SNS qui existe déjà, Amazon SNS ne crée pas de nouvellerubrique, mais ajoute les nouvelles informations d'abonnement à la rubrique existante.Si vous choisissez Associer à une rubrique SNS existante, vous pourrez choisir uniquementune rubrique SNS qui se trouve dans la même région que l'annuaire.
6. Choisissez le type de destinataire, puis entrez les informations de contact du destinataire. Si vousentrez un numéro de téléphone pour les SMS, utilisez uniquement des nombres. N'utilisez pas detirets, d'espaces ou de parenthèses.
7. (Facultatif) Indiquez un nom pour votre rubrique et un nom d'affichage SNS. Le nom d'affichage estcourt (10 caractères maximum) et inclus dans tous les SMS de cette rubrique. Lorsque vous utilisezl'option SMS, le nom d'affichage est obligatoire.
Note
Si vous êtes connecté sous le nom d'un utilisateur ou d'un rôle IAM associé uniquement àla stratégie gérée DirectoryServiceFullAccess, le nom de votre rubrique doit commencer par
Version 1.0200
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
« DirectoryMonitoring ». Si vous souhaitez personnaliser votre nom de rubrique, vous aurezbesoin de privilèges supplémentaires pour SNS.
8. Sélectionnez Create.
Si vous souhaitez désigner d'autres abonnés SNS, par exemple une adresse e-mail supplémentaire, desfiles d'attente Amazon SQS ou AWS Lambda, vous pouvez pour cela utiliser la console Amazon SNS àl'adresse https://console.aws.amazon.com/sns/v3/home.
Pour supprimer les messages de statut d'annuaire à partir d'une rubrique
1. Connectez-vous à AWS Management Console et ouvrez la console AWS Directory Service à l'adressehttps://console.aws.amazon.com/directoryservicev2/.
2. Sur la page Directories (Annuaires), choisissez l'ID de votre annuaire.3. Sélectionnez l'onglet Maintenance.4. Dans la section Surveillance de l'annuaire, sélectionnez un nom de rubrique SNS dans la liste,
choisissez Actions, puis sélectionnez Supprimer.5. Choisissez Supprimer.
Cela supprime votre annuaire en tant qu'éditeur pour la rubrique SNS sélectionnée. Si vous souhaitezsupprimer la rubrique entière, vous pouvez le faire à partir de la console Amazon SNS à l'adresse https://console.aws.amazon.com/sns/v3/home.
Note
Avant de supprimer une rubrique Amazon SNS à l'aide de la console SNS, vous devez vousassurer qu'aucun annuaire n'enverra de messages de statut vers cette rubrique.Si vous supprimez une rubrique Amazon SNS à l'aide de la console SNS, ce changement nefigurera pas immédiatement dans la console des services d'annuaire. Vous en serez notifiéseulement la prochaine fois qu'un annuaire publiera une notification dans la rubrique supprimée,auquel cas vous verrez le statut mis à jour dans l'onglet Surveillance de l'annuaire indiquant que larubrique est introuvable.Par conséquent, pour éviter de manquer des messages de statut d'annuaire importants, avant desupprimer une rubrique recevant des messages d'AWS Directory Service, associez votre annuaireà une autre rubrique Amazon SNS.
Jonction d'une instance EC2 à votre annuaire ADConnectorVous pouvez joindre en toute transparence une instance EC2 à votre domaine d'annuaire lorsque l'instanceest lancée à l'aide d'AWS Systems Manager. Pour plus d'informations, consultez Jonction facile d'uneinstance Windows à un domaine AWS Directory Service dans le Amazon EC2 Guide de l'utilisateur pourles instances Windows.
Si vous devez joindre une instance EC2 manuellement à votre domaine, lancez l'instance dans la région etle sous-réseau ou le groupe de sécurité appropriés, puis joignez l'instance au domaine.
Pour vous connecter à ces instances à distance, vous devez disposer d'une connectivité IP aux instancesdu réseau à partir desquelles vous vous connectez. Dans la plupart des cas, cela nécessite qu'unepasserelle internet soit attachée à votre VPC et que l'instance ait une adresse IP publique.
Rubriques• Jonction facile d'une instance EC2 Windows (p. 202)• Joignez de manière transparente une instance EC2 Linux à votre AD Connector Répertoire (p. 203)
Version 1.0201
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
Jonction facile d'une instance EC2 WindowsCette procédure joint de façon transparente une instances EC2 Windows à votre annuaire AD Connector.
Pour joindre une instance EC2 Windows de façon transparente
1. Connectez-vous à AWS Management Console et ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.
2. Dans le sélecteur de région de la barre de navigation, choisissez la même région que l'annuaireexistant.
3. Choisissez Launch Instances.4. Sur la page Étape 1, choisissez Sélectionner pour l'AMI appropriée.5. Sur la page Étape 2, sélectionnez le type d'instance approprié, puis choisissez Suivant : Configurer les
détails d'instance.6. Sur la page Étape 3, effectuez les étapes suivantes, puis choisissez Suivant : Ajouter le stockage :
1. Pour Réseau, choisissez le VPC dans lequel votre annuaire a été créé.2. Pour Sous-réseau, choisissez l'un des sous-réseaux publics dans votre VPC. Le sous-réseau
que vous choisissez doit avoir tout le trafic externe acheminé vers une passerelle Internet. Le caséchéant, vous ne pourrez pas vous connecter à l'instance à distance.
3. Pour Attribuer automatiquement l'adresse IP publique, choisissez Activer.
Pour plus d'informations sur les adresses IP publiques et privées, consultez Adressage IP desinstances Amazon EC2 dans le Amazon EC2 Guide de l'utilisateur pour les instances Windows.
4. Pour Répertoire de jonction de domaines, choisissez votre domaine dans la liste.Note
Cette option est uniquement disponible pour les instances Windows. Les instances Linuxdoivent être jointes manuellement à l'annuaire comme indiqué dans Jonction manuelled'une instance Linux (p. 78).
5. Pour Rôle IAM, effectuez l'une des opérations suivantes :
Sélectionnez un rôle IAM auquel les stratégies gérées AWS AmazonSSMManagedInstanceCore etAmazonSSMDirectoryServiceAccess sont attachées.
-ou-
Si vous n'avez pas créé de rôle IAM auquel les stratégies géréesAmazonSSMManagedInstanceCore et AmazonSSMDirectoryServiceAccess sont attachées,choisissez le lien Créer un nouveau rôle IAM, puis procédez comme suit :a. Sélectionnez Créer un rôle.b. Sous Select type of trusted entity (Sélectionner le type d'entité de confiance), choisissez AWS
service (Service AWS).c. Sous Choose the service that this role will use (Choisir le service que ce rôle utilisera), dans la
liste complète des services, choisissez EC2.d. Sous Select your use case (Sélectionner votre cas d'utilisation), choisissez EC2, puis Suivant :
Autorisations.e. Dans la liste des stratégies, sélectionnez les stratégies AmazonSSMManagedInstanceCore et
AmazonSSMDirectoryServiceAccess. (Pour filtrer la liste, entrez SSM dans la zone de recherche.)Note
La stratégie AmazonSSMDirectoryServiceAccess fournit les autorisations nécessairespour joindre des instances à un domaine Active Directory géré par AWS DirectoryService. La stratégie AmazonSSMManagedInstanceCore fournit les autorisations
Version 1.0202
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
minimales nécessaires pour pouvoir utiliser le service Systems Manager. Pour plusd'informations sur la création d'un rôle avec ces autorisations, et sur les autresautorisations et stratégies que vous pouvez affecter à votre rôle IAM, consultez Créer unprofil d'instance IAM pour Systems Manager dans le Guide de l'utilisateur AWS SystemsManager.
f. Choisissez Next: Tags (Suivant : Balises).g. (Facultatif) Ajoutez une ou plusieurs paires clé-valeur de balise afin d'organiser, de suivre ou de
contrôler l'accès pour ce rôle, puis choisissez Suivant : Vérifier.h. Pour Nom du rôle, entrez un nom pour votre nouveau rôle, par exemple EC2DomainJoin ou
autre, en fonction de vos préférences.i. (Facultatif) Pour Description du rôle, entrez une description.j. Sélectionnez Créer un rôle.k. Revenez à la page Étape 3. Pour le rôle IAM, choisissez l'icône d'actualisation à côté du champ
rôle IAM. Votre nouveau rôle devrait apparaître dans le menu déroulant. Choisissez-le etconservez les autres paramètres par défaut sur cette page, puis choisissez Suivant : Ajouter lestockage.
7. Sur les pages Étape 4 et Étape 5, conservez les paramètres par défaut ou modifiez-les si nécessaire,puis choisissez les boutons Suivant.
8. Sur la page Étape 6, sélectionnez un groupe de sécurité pour l'instance qui a été configurée pourautoriser l'accès à distance à l'instance à partir de votre réseau, puis choisissez Vérifier et lancer.
9. Sur la page Étape 7, choisissez Lancer, sélectionnez une paire de clés, puis choisissez Lancer uneinstance.
Joignez de manière transparente une instance EC2 Linux à votreAD Connector RépertoireCette procédure joint de manière transparente une instance EC2 Linux à votre AD Connector répertoire.
Les distributions et les versions d'instance Linux suivantes sont prises en charge :
• AMI Amazon Linux 2018.03.0• Amazon Linux 2 (64 bits x86)• Red Hat Enterprise Linux 8 (HVM) (64 bits x86)• Ubuntu Server 18.04 LTS et Ubuntu Server 16.04 LTS• CentOS 7 x86-64• SUSE Linux Enterprise Server 15 SP1
Note
Les distributions antérieures à Ubuntu 14 et Red Hat Enterprise Linux 7 ne prennent pas encharge la fonction de jonction de domaines en toute transparence.
PrerequisitesPour pouvoir configurer la jointure transparente de domaine à une instance EC2 Linux, vous devezeffectuer les procédures décrites dans cette section.
Sélectionnez votre compte de service de jointure de domaine transparent
Vous pouvez joindre de manière transparente des ordinateurs Linux à votre domaine Active Directory sursite via AD Connector. Pour ce faire, vous devez créer un compte utilisateur avec les autorisations de créerun compte d’ordinateur pour joindre les ordinateurs au domaine. Vous pouvez utiliser votre AD Connectorcompte de service si vous préférez. Vous pouvez également utiliser n’importe quel autre compte disposant
Version 1.0203
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
de privilèges suffisants pour joindre des ordinateurs au domaine. Bien que les membres du Administrateursde domaine ou d’autres groupes peuvent avoir des privilèges suffisants pour joindre des ordinateurs audomaine, nous ne recommandons pas ces. À titre de bonne pratique, nous vous recommandons d’utiliserun compte de service qui dispose des privilèges minimum nécessaires pour joindre des ordinateurs audomaine.
Pour déléguer un compte avec les privilèges minimum nécessaires pour joindre des ordinateurs audomaine, vous pouvez exécuter les éléments suivants PowerShell aux commandes. Vous devez exécuterces commandes à partir d’un ordinateur Windows joint à un domaine avec l’ Installation des outilsd'administration Active Directory (p. 92) installé. En outre, vous devez utiliser un compte qui a l’autorisationde modifier les autorisations sur l’unité d’organisation ou le conteneur de votre ordinateur. Le PowerShelldéfinit les autorisations qui permettent au compte de service de créer des objets d’ordinateur dans leconteneur d’ordinateurs par défaut de votre domaine. Si vous préférez utiliser une interface utilisateurgraphique (GUI), vous pouvez utiliser le processus manuel décrit dans Délégation de privilèges à votrecompte de service (p. 183).
$AccountName = 'awsSeamlessDomain'# DO NOT modify anything below this comment.# Getting Active Directory information.Import-Module 'ActiveDirectory'$Domain = Get-ADDomain -ErrorAction Stop$BaseDn = $Domain.DistinguishedName$ComputersContainer = $Domain.ComputersContainer$SchemaNamingContext = Get-ADRootDSE | Select-Object -ExpandProperty 'schemaNamingContext'[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $SchemaNamingContext -Filter { lDAPDisplayName -eq 'Computer' } -Properties 'schemaIDGUID').schemaIDGUID# Getting Service account Information.$AccountProperties = Get-ADUser -Identity $AccountName$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value# Getting ACL settings for the Computers container.$ObjectAcl = Get-ACL -Path "AD:\$ComputersContainer" # Setting ACL allowing the service account the ability to create child computer objects in the Computers container.$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'CreateChild', 'Allow', $ServicePrincipalNameGUID, 'All'$ObjectAcl.AddAccessRule($AddAccessRule)Set-ACL -AclObject $ObjectAcl -Path "AD:\$ComputersContainer"
Si vous préférez utiliser une interface utilisateur graphique (GUI), vous pouvez utiliser le processus manueldécrit dans Délégation de privilèges à votre compte de service (p. 183).
Créer les secrets pour stocker le compte de service de domaine
Vous pouvez utiliser AWS Secrets Manager pour stocker le compte de service de domaine.
Pour créer des secrets et stocker les informations du compte de service de domaine
1. Connectez-vous à AWS Management Console et ouvrez la console AWS Secrets Manager à l'adressehttps://console.aws.amazon.com/secretsmanager/.
2. Choisissez Store a new secret (Stocker un nouveau secret).3. Sur la page Stocker un nouveau secret, procédez comme suit :
a. Pour Select secret type (Sélectionner un type de secret), choisissez Other type of secrets (Autretype de secrets).
b. Sous Specify the key/value pairs to be stored in the secret (Spécifier les paires clé/valeur àstocker dans le secret), procédez comme suit :
i. Dans la première zone, saisissez awsSeamlessDomainUsername. Sur la même ligne, dansla zone suivante, entrez le nom d'utilisateur de votre compte de service. Par exemple, si vous
Version 1.0204
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
avez précédemment utilisé la commande PowerShell, le nom du compte de service seraitawsSeamlessDomain.
Note
Vous devez entrer exactement awsSeamlessDomainUsername. Assurez-vousde ne pas insérer d'espaces de début ou de fin. Sinon, la jonction de domaineéchouera.
ii. Choisissez Add row (Ajouter une ligne).iii. Sur la nouvelle ligne, dans la première zone, entrez awsSeamlessDomainPassword. Sur la
même ligne, dans la zone suivante, entrez le mot de passe de votre compte de service.
Note
Vous devez entrer exactement awsSeamlessDomainPassword. Assurez-vousde ne pas insérer d'espaces de début ou de fin. Sinon, la jonction de domaineéchouera.
iv. Sous Sélectionner la clé de chiffrement, choisissez DefaultenCryptionKey dans le menu.Secrets Manager chiffre toujours le secret lorsque vous choisissez cette option, et vous lefournit sans frais supplémentaires. Vous pouvez également choisir une clé que vous avezcréée.
v. Choisissez Suivant.4. Sous Nom secret, entrez un nom secret qui inclut votre ID de répertoire au format aws/directory-
services/d-xxxxxxxxx/seamless-domain-join. Cela sera utilisé pour récupérer des secretsdans l'application.
Note
Vous devez entrer exactement aws/directory-services/d-xxxxxxxxx/seamless-domain-join, mais remplacez d-xxxxxxxxxx par votre ID de répertoire. Assurez-vous dene pas insérer d'espaces de début ou de fin. Sinon, la jonction de domaine échouera.
5. Laissez tout le reste défini sur les valeurs par défaut, puis choisissez Suivant.6. Sous Configurer la rotation automatique, choisissez Désactiver la rotation automatique, puis choisissez
Suivant.7. Passez en revue les paramètres, puis choisissez Enregistrer pour enregistrer vos modifications. La
console Secrets Manager revient à la liste des secrets de votre compte. Votre nouveau secret estdésormais inclus dans la liste.
8. Choisissez votre nom secret nouvellement créé dans la liste et prenez note de la valeur de ARN dusecret. Vous en aurez besoin à la section suivante.
Créez la stratégie et le rôle IAM requis.
Utilisez les étapes préalables suivantes pour créer une stratégie personnalisée autorisant l'accès en lectureseule à votre secret de jonction de domaine Secrets Manager en toute transparence (créé précédemment)et créer un nouveau rôle IAM LinuxEC2DomainJoin.
Créer la stratégie de lecture IAM Secrets Manager
Utilisez la console IAM pour créer une stratégie qui accorde un accès en lecture seule à votre secretSecrets Manager.
Pour créer la stratégie de lecture IAM Secrets Manager
1. Connectez-vous à AWS Management Console en tant qu'utilisateur autorisé à créer des stratégiesIAM. Ouvrez ensuite la console IAM à l'adresse https://console.aws.amazon.com/iam/.
2. Dans le panneau de navigation, choisissez Stratégies.
Version 1.0205
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
3. Choisissez Créer une stratégie.4. Choisissez l'onglet JSON et copiez le texte du document de stratégie JSON suivant. Ensuite, collez-le
dans la zone de texte JSON.
Note
Assurez-vous de remplacer l'ARN de Resource par l'ARN réel du secret que vous avez crééprécédemment.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Resource": [ "arn:aws:secretsmanager:us-east-1:############:secret:aws/directory-service/d-xxxxxxxxxx/seamless-domain-join-example" ] } ]}
5. Lorsque vous avez terminé, choisissez Examiner une stratégie. Le programme de validation desstratégies signale les éventuelles erreurs de syntaxe.
6. Sur la page Vérifier la stratégie entrez un nom de stratégie, tel que SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read. Consultez la section Récapitulatif pour voir les autorisations accordées par votrestratégie. Sélectionnez ensuite Créer une stratégie pour enregistrer vos modifications. La nouvellestratégie s'affiche dans la liste des stratégies gérées et est désormais prête à être attachée à uneidentité.
Note
Nous vous recommandons de créer une stratégie par secret. Cela garantit que les instances n'ontaccès qu'au secret approprié et minimise l'impact si une instance est compromise.
Créer le rôle LinuxEC2DomainJoin
Vous utilisez la console IAM pour créer le rôle que vous utiliserez pour joindre le domaine à votre instanceLinux EC2.
Pour créer le rôle LinuxEC2DomainJoin
1. Connectez-vous à AWS Management Console en tant qu'utilisateur autorisé à créer des stratégiesIAM. Ouvrez ensuite la console IAM à l'adresse https://console.aws.amazon.com/iam/.
2. Dans le panneau de navigation, choisissez Rôles.3. Dans le volet de contenu, choisissez Create role (Créer un rôle).4. Sous Select type of trusted entity (Sélectionner un type d'entité de confiance), choisissez AWS service
(Service AWS).5. Sous Choose a use case (Choisir un cas d'utilisation), sélectionnez EC2, puis Next: Permissions
(Suivant : Autorisations).6. Pour Filtrer les stratégies, procédez comme suit :
a. Saisissez AmazonSSMManagedInstanceCore. Sélectionnez ensuite la case à cochercorrespondant à cet élément dans la liste.
Version 1.0206
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
b. Saisissez AmazonSSMDirectoryServiceAccess. Sélectionnez ensuite la case à cochercorrespondant à cet élément dans la liste.
c. Entrez SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read (ou le nom de la stratégie que vous avezcréée au cours de la procédure précédente). Sélectionnez ensuite la case à cocher correspondantà cet élément dans la liste.
Note
AmazonSSMDirectoryServiceAccess fournit les autorisations nécessaires pourjoindre des instances à un domaine Active Directory géré par AWS Directory Service.AmazonSSMManagedInstanceCore fournit les autorisations minimales nécessaires pourpouvoir utiliser le service AWS Systems Manager. Pour plus d'informations sur la créationd'un rôle avec ces autorisations, et sur les autres autorisations et stratégies que vous pouvezaffecter à votre rôle IAM, veuillez consulter Créer un profil d'instance IAM pour SystemsManager dans le Guide de l'utilisateur AWS Systems Manager.
7. Choisissez Next: Tags (Suivant : Balises).8. (Facultatif) Ajoutez une ou plusieurs paires clé-valeur de balise afin d'organiser, de suivre ou de
contrôler l'accès pour ce rôle. Choisissez ensuite Next: Review.9. En regarde de Nom du rôle, entrez un nom pour votre nouveau rôle, par exemple
LinuxEC2DomainJoin ou autre, en fonction de vos préférences.10. (Facultatif) Pour Description du rôle, entrez une description.11. Sélectionnez Créer un rôle.
Rejoignez votre instance EC2 Linux en toute transparence
Maintenant que vous avez configuré toutes les tâches préalables, vous pouvez utiliser la procéduresuivante pour rejoindre en toute transparente votre instance Linux EC2.
Pour rejoindre en toute transparence votre instance Linux EC2
1. Connectez-vous à AWS Management Console et ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.
2. Dans le sélecteur de région de la barre de navigation, choisissez la même région que l'annuaireexistant.
3. Choisissez Launch Instances.4. Sur la page Étape 1 choisissez Sélectionner pour l'image Amazon Machine (AMI) appropriée.
Note
L'AMI utilisée doit disposer de l'agent SSM AWS Systems Manager version 2.3.1644.0 ouultérieure. Pour vérifier la version de l'agent SSM installée dans votre AMI en lançant uneinstance à partir de cette AMI, consultez Pour obtenir la version de l'agent SSM actuellementinstallée. Si vous devez mettre à niveau l'agent SSM, veuillez consulter Installation etconfiguration de l'agent SSM sur des instances EC2 pour Linux.
5. Sur la page Étape 2, sélectionnez le type d'instance approprié, puis choisissez Suivant : Configurer lesdétails d'instance.
6. Sur la page Étape 3, effectuez les étapes suivantes, puis choisissez Suivant : Ajouter le stockage :
a. Pour Réseau, choisissez le VPC dans lequel votre annuaire a été créé.b. Pour Sous-réseau, choisissez l'un des sous-réseaux publics dans votre VPC. Le sous-réseau
que vous choisissez doit avoir tout le trafic externe acheminé vers une passerelle Internet. Le caséchéant, vous ne pourrez pas vous connecter à l'instance à distance.
Version 1.0207
AWS Directory Service Guide d'administrationMaintenance de votre annuaire
c. Pour Attribuer automatiquement l'adresse IP publique, choisissez Activer. Pour plus d'informationssur les adresses IP publiques et privées, veuillez consulter Adressage IP des instances AmazonEC2 dans le Guide de l'utilisateur Amazon EC2 pour les instances Windows.
d. Pour Répertoire de jonction de domaines, choisissez votre domaine dans la liste.e. Pour Rôle IAM, choisissez le rôle IAM que vous avez précédemment créé dans la section des
conditions préalables Étape 2 : Créer le rôle LinuxEC2DomainJoin.7. Sur les pages Étape 4 et Étape 5, conservez les paramètres par défaut ou modifiez-les si nécessaire.
Choisissez Suivant sur chacune d'elles.8. Dans la page Étape 6 sélectionnez un groupe de sécurité qui a été configuré pour autoriser l'accès
distant à l'instance à partir de votre réseau. Ensuite, choisissez Vérifier et lancer.9. Sur la page Étape 7, choisissez Lancer, sélectionnez une paire de clés, puis choisissez Lancer une
instance.
Note
Si vous effectuez une jonction de domaines en toute transparence avec SUSE Linux, unredémarrage est nécessaire avant que les authentifications ne fonctionnent. Pour redémarrerSUSE à partir du terminal Linux, tapez sudo reboot.
Maintenance de votre annuaire AD ConnectorCette section décrit comment assurer la gestion des tâches administratives courantes pour votreenvironnement AD Connector.
Rubriques• Suppression de votre annuaire (p. 208)• Affichage des informations d'annuaire (p. 209)
Suppression de votre annuaireWhen a Simple AD or AWS Directory Service for Microsoft Active Directory directory is deleted, all ofthe directory data and snapshots are deleted and cannot be recovered. After the directory is deleted, allinstances that are joined to the directory remain intact. You cannot, however, use your directory credentialsto log in to these instances. You need to log in to these instances with a user account that is local to theinstance.
When an AD Connector directory is deleted, your on-premises directory remains intact. All instances thatare joined to the directory also remain intact and remain joined to your on-premises directory. You can stilluse your directory credentials to log in to these instances.
To delete a directory
1. In the AWS Directory Service console navigation pane, select Directories.2. Ensure that no AWS applications are enabled for the directory.
a. On the Directories page, choose your directory ID.b. On the Directory details page, select the Application management tab. In the AWS apps &
services section, you see which AWS applications are enabled for your directory.
• To disable Amazon WorkSpaces, you must deregister the service from the directory in theAmazon WorkSpaces console. For more information, see Deregistering From a Directory in theAmazon WorkSpaces Administration Guide.
Version 1.0208
AWS Directory Service Guide d'administrationMise à jour de l'adresse DNS pour votre AD Connector
• To disable Amazon WorkSpaces Application Manager, you must remove all applicationassignments in the Amazon WAM console. For more information, see Removing All ApplicationAssignments in the Amazon WAM Administration Guide.
• To disable Amazon WorkDocs, you must delete the Amazon WorkDocs site in the AmazonWorkDocs console. For more information, see Delete a Site in the Amazon WorkDocs Guided'administration.
• To disable Amazon WorkMail, you must remove the Amazon WorkMail organization in theAmazon WorkMail console. For more information, see Remove an Organization in the AmazonWorkMail Administrator Guide.
• Disable AWS Management Console access.• To disable Amazon Relational Database Service, you must remove the Amazon RDS instance
from the domain. For more information, see Managing a DB Instance in a Domain in theAmazon RDS Guide de l'utilisateur.
• To disable Amazon QuickSight, you must unsubscribe from Amazon QuickSight. For moreinformation, see Closing Your Amazon QuickSight Account in the Amazon QuickSight UserGuide.
• To disable Amazon Connect, you must delete the Amazon Connect Instance. For moreinformation, see Deleting an Amazon Connect Instance in the Amazon Connect AdministrationGuide.
• To disable Amazon FSx for Windows File Server, you must remove the Amazon FSx file systemfrom the domain. For more information, see Working with Active Directory in Amazon FSx forWindows File Server in the Guide de l'utilisateur Amazon FSx for Windows File Server.
Note
If you are using AWS Single Sign-On and have previously connected it to the AWSManaged Microsoft AD directory you plan to delete, you must first disconnect thedirectory from AWS SSO before you can delete it. For more information, see Disconnecta Directory in the AWS SSO User Guide.
3. In the navigation pane, choose Directories.4. Select only the directory to be deleted and click Delete. It takes several minutes for the directory to be
deleted. When the directory has been deleted, it is removed from your directory list.
Affichage des informations d'annuaireYou can view detailed information about a directory.
To view detailed directory information
1. In the AWS Directory Service console navigation pane, select Directories.2. Click the directory ID link for your directory. Information about the directory is displayed in the Directory
details page.
For more information about the Status field, see Comprendre le statut de votre annuaire (p. 54).
Mise à jour de l'adresse DNS pour votre AD ConnectorUtilisez les étapes suivantes pour mettre à jour les adresses DNS vers lesquelles votre AD Connectorpointe.
Version 1.0209
AWS Directory Service Guide d'administrationBonnes pratiques
Note
Si vous avez une mise à jour en cours, vous devez attendre la fin de son exécution avant desoumettre une nouvelle mise à jour.
Note
Si vous utilisez Amazon WorkSpaces avec votre AD Connector, assurez-vous que votreWorkSpace Les adresses DNS sont également mises à jour. Pour plus d’informations, consultezMettre à jour les serveurs DNS pour WorkSpaces.
Pour mettre à jour vos paramètres DNS pour AD Connector
1. Dans le volet de navigation AWS Directory Service console, choisissez Annuaires.2. Choisissez le lien de l'ID correspondant à votre annuaire .3. Sur la page Directory details (Détails de l’annuaire), choisissez Network & security (Réseau et
sécurité).4. Dans la section Existing DNS settings (Paramètres DNS existants), choisissez Update (Mettre à jour).5. Dans la boîte de dialogue Update existing DNS addresses (Mettre à jour les adresses DNS existantes)
saisissez les adresses IP DNS mises à jour, puis sélectionnez Update (Mettre à jour).
Bonnes pratiques pour AD ConnectorVoici quelques suggestions et directives que vous devez prendre en compte pour éviter de rencontrer desproblèmes et tirer le meilleur parti d'AD Connector.
Configuration : Conditions préalables requisesPensez à utiliser ces consignes avant de créer votre annuaire.
Verify You Have the Right Directory TypeAWS Directory Service provides multiple ways to use Microsoft Active Directory with other AWS services.You can choose the directory service with the features you need at a cost that fits your budget:
• AWS Directory Service for Microsoft Active Directory is a feature-rich managed Microsoft Active Directoryhosted on the AWS cloud. AWS Managed Microsoft AD is your best choice if you have more than 5,000users and need a trust relationship set up between an AWS hosted directory and your on-premisesdirectories.
• AD Connector simply connects your existing on-premises Active Directory to AWS. AD Connector is yourbest choice when you want to use your existing on-premises directory with AWS services.
• Simple AD is an inexpensive Active Directory–compatible service with the common directory features.In most cases, Simple AD is the least expensive option and your best choice if you have 5,000 or fewerusers and don’t need the more advanced Microsoft Active Directory features.
For a more detailed comparison of AWS Directory Service options, see Que choisir ? (p. 1).
Ensure Your VPCs and Instances are Configured CorrectlyIn order to connect to, manage, and use your directories, you must properly configure the VPCs thatthe directories are associated with. See either Conditions préalables requises AWS Managed MicrosoftAD (p. 10), Conditions préalables requises AD Connector (p. 180), or Conditions préalables requisesSimple AD (p. 218) for information about the VPC security and networking requirements.
Version 1.0210
AWS Directory Service Guide d'administrationConfiguration : Conditions préalables requises
If you are adding an instance to your domain, ensure that you have connectivity and remote access to yourinstance as described in Jonction d'une instance EC2 à votre annuaire AWS Managed Microsoft AD (p. 69).
Be Aware of Your LimitsLearn about the various limits for your specific directory type. The available storage and the aggregate sizeof your objects are the only limitations on the number of objects you may store in your directory. See eitherLimites pour AWS Managed Microsoft AD (p. 147), Limites pour AD Connector (p. 212), or Limites pourSimple AD (p. 267) for details about your chosen directory.
Comprendre l'utilisation et la configuration du groupe de sécuritéAWS de votre annuaireAWS crée un groupe de sécurité et l’attache à votre annuaire interfaces réseau Elastic qui sont accessiblesà partir de votre appairage ou redimensionné VPCs. AWS configure le groupe de sécurité pour bloquer letrafic inutile vers l’annuaire et autorise le trafic nécessaire.
Modification du groupe de sécurité de l'annuaireSi vous souhaitez modifier la sécurité des groupes de sécurité des annuaires, vous pouvez le faire.Effectuez ces modifications uniquement si vous avez entièrement compris le fonctionnement du filtragedes groupes de sécurité. Pour plus d'informations, consultez la section Groupes de sécurité Amazon EC2pour les instances Linux du Guide de l'utilisateur Amazon EC2. Des modifications inappropriées peuvententraîner une perte de communication vers les ordinateurs et les instances visés. AWS vous recommandede ne pas tenter d'ouvrir des ports supplémentaires vers votre annuaire car cette action réduirait le niveaude sécurité de votre annuaire. Lisez attentivement le Modèle de responsabilité partagée AWS.
Warning
Vous êtes techniquement en mesure d'associer le groupe de sécurité de l'annuaire à d'autresinstances EC2 que vous créez. Cependant, AWS recommande de ne pas faire appel à cettepratique. AWS peut avoir des raisons de modifier le groupe de sécurité sans préavis pourrépondre aux besoins fonctionnels ou de sécurité de l'annuaire géré. Ces modifications affectenttous les instances auxquelles vous associez le groupe de sécurité d'annuaire et peuventinterrompre le fonctionnement des instances associées. De plus, l'association du groupe desécurité de l'annuaire avec vos instances EC2 peut créer un risque de sécurité potentiel pour vosinstances EC2.
Configuration appropriée des sites locaux et des sous-réseauxdans le cadre de l'utilisation de AD ConnectorSi votre réseau local comporte des sites Active Directory définis, vous devez vous assurer que les sous-réseaux du VPC sur lequel votre AD Connector réside sont définis dans un site Active Directory, et qu'il n'ya pas de conflits entre les sous-réseaux de votre VPC et les sous-réseaux de vos autres sites.
Pour découvrir les contrôleurs de domaine, AD Connector utilise le site Active Directory dont les plagesd'adresses IP de sous-réseau sont proches de celles du VPC contenant le AD Connector. Si vous avez unsite comportant des sous-réseaux avec les mêmes plages d'adresses IP que votre VPC, le AD Connectordécouvre les contrôleurs de domaine présents sur ce site, qui ne sont peut-être pas physiquement prochesde votre région.
Comprendre les restrictions de nom d'utilisateur pour lesapplications AWSAWS Directory Service prend en charge la plupart des formats de caractères pouvant être utilisés dansla création d'un nom d'utilisateur. Toutefois, certaines restrictions de caractères s'appliquent aux noms
Version 1.0211
AWS Directory Service Guide d'administrationProgrammation de vos applications
d'utilisateur qui seront utilisés pour se connecter aux applications AWS telles que Amazon WorkSpaces,Amazon WorkDocs, Amazon WorkMail ou Amazon QuickSight. Ces restrictions empêchent l'utilisation descaractères suivants :
• Espaces• !"#$%&'()*+,/:;<=>?@[\]^`{|}~
Note
Le symbole @ est autorisé s'il précède un suffixe UPN.
Programmation de vos applicationsAvant de programmer vos applications, prenez en compte les éléments suivants :
Testez la charge avant de lancer la productionAssurez-vous de procéder à des tests avec des applications et des requêtes représentatifs de votre chargede travail de production afin de confirmer que l'annuaire s'adapte à la charge de travail de votre application.Si vous avez besoin de capacité supplémentaire, répartissez votre charge parmi plusieurs répertoires duconnecteur AD.
Utilisation de votre annuaireVoici quelques suggestions à garder à l'esprit lorsque vous utilisez votre annuaire.
Effectuer une rotation régulière des informations d'identificationadministrateurModifiez régulièrement votre mot de passe administrateur de compte de service AD Connector et assurez-vous que celui-ci est conforme à vos stratégies de gestion des mots de passe Active Directory existantes.Pour obtenir des instructions sur la façon de modifier le mot de passe du compte de service, consultezMise à jour des informations d'identification du compte de service AD Connector dans AWS DirectoryService (p. 192).
Utilisation de AD Connectors pour chaque domaineLes AD Connectors et vos domaines AD sur site ont une relation 1-à-1. En d'autres termes, pour chaquedomaine sur site, y compris les domaines enfants dans une forêt AD par rapport à laquelle vous souhaitezvous authentifier, vous devez créer un unique AD Connector. Chaque AD Connector que vous créez doitutiliser un compte de service différent, même s'ils sont connectés dans le même annuaire.
Vérifiez la compatibilitéLors de l'utilisation de AD Connector, vous devez vous assurer que votre annuaire sur site est et restecompatible avec AWS Directory Services. Pour plus d'informations sur vos responsabilités, consultez notremodèle de responsabilité partagée.
Limites pour AD ConnectorVoici les limites par défaut pour AD Connector. Chaque limite est définie par région, sauf mention contraire.
Version 1.0212
AWS Directory Service Guide d'administrationAugmenter votre limite
Limites pour AD Connector
Resource Limite par défaut
AD Connector annuaires 10
Nombre maximal de certificats d'autorité decertification enregistrés par annuaire
5
Augmenter votre limiteEffectuez les opérations suivantes afin d'augmenter votre limite pour une région.
Pour demander une augmentation de limite pour une région
1. Accédez à la page Centre AWS Support, connectez-vous si nécessaire, puis cliquez sur Open a newcase (Ouvrir un nouveau cas).
2. Sous Regarding, sélectionnez Service Limit Increase (Augmentation de limite de service).3. Sous Limit Type (Type de limite), sélectionnez AWS Directory Service.4. Remplissez tous les champs nécessaires de l'écran, puis cliquez sur le bouton en bas de la page pour
définir le mode de contact souhaité.
Stratégie de compatibilité des applications pour ADConnector
Solution alternative à AWS Directory Service for Microsoft Active Directory (AWS Managed MicrosoftAD (p. 9)), AD Connector est un proxy Active Directory dédié exclusivement aux applications et servicescréés par AWS. Vous configurez le proxy de manière à ce qu'il utilise un domaine Active Directoryspécifié. Lorsque l'application doit rechercher un utilisateur ou à un groupe dans Active Directory, ADConnector relaie la demande à l'annuaire. De même, lorsqu'un utilisateur se connecte à l'application, ADConnector relaie la demande d'authentification à l'annuaire. Aucune application tierce ne fonctionne avecAD Connector.
Voici une liste des applications et des services AWS compatibles :
• Amazon Chime - Pour obtenir des instructions détaillées, consultez la section Connexion à votre ActiveDirectory.
• Amazon Connect - Pour plus d'informations, consultez la section Fonctionnement de Amazon Connect• Amazon EC2 pour Windows ou Linux – Vous pouvez utiliser la fonction de jointure de domaine
transparente de Amazon EC2 pour joindre votre instance à votre Active Directory autogéré (sur site).Une fois jointe, l'instance communique directement avec votre Active Directory et contourne ADConnector. Pour plus d'informations, consultez la section Jonction d'une instance EC2 à votre annuaireAD Connector (p. 201).
• AWS Management Console – Vous pouvez utiliser AD Connector pour authentifier les utilisateurs AWSManagement Console au moyen de leurs informations d'identification Active Directory sans avoir àconfigurer l'infrastructure SAML. Pour plus d'informations, consultez la section Activation de l'accès àAWS Management Console avec les informations d'identification AD (p. 137).
• Amazon QuickSight - Pour plus d'informations, consultez Gestion des comptes d'utilisateur dan AmazonQuickSight Enterprise Edition.
• AWS Single Sign-On - Pour obtenir des instructions détaillées, consultez la section Connexion SSO AWSà un annuaire Active Directory sur site.
Version 1.0213
AWS Directory Service Guide d'administrationDépannage
• Amazon WorkDocs - Pour obtenir des instructions détaillées, consultez la section Connexion à votreannuaire sur site avec AD Connector.
• Amazon WorkMail - Pour obtenir des instructions détaillées, consultez la section Intégration d'AmazonWorkMail à un annuaire existant (configuration standard).
• Amazon WorkSpaces -Pour des instructions détaillées, voir Lancer un WorkSpace Utilisation de ADConnector.
Note
Amazon RDS est compatible avec AWS Managed Microsoft AD uniquement et n'est pascompatible avec AD Connector. Pour plus d’informations, consultez le AWS section Microsoft ADdans le AWS Directory Service FAQs page.
Dépannage de AD ConnectorLes sections suivantes peuvent vous aider à résoudre certains problèmes courants que vous pourriezrencontrer lors de la création ou de l'utilisation de votre annuaire.
Voici quelques problèmes courants avec AD Connector.
La liaison de domaines transparente d'instances EC2ne fonctionne plusSi une liaison de domaine transparente pour les instances EC2 était en cours puis a été interrompuependant qu'AD Connector était actif, cela peut indiquer que les informations d'identification de votre comptede service AD Connector ont expiré. Les informations d'identification ayant expiré peuvent empêcher ADConnector de créer des objets ordinateur dans votre Active Directory.
Pour résoudre ce problème, mettez à jour le mot de passe du compte de service dans l'ordre suivant afinque les mots de passe soient identiques :
1. Mettez à jour le mot de passe pour le compte de service dans votre Active Directory2. Mettez à jour le mot de passe pour le compte de service dans votre AD Connector dans AWS Directory
Service
La mise à jour du mot de passe uniquement dans AWS Directory Service ne pousse PAS la modificationdu mot de passe dans votre Active Directory sur site existant. Il est donc important de le faire dans l'ordreindiqué.
J'ai reçu une erreur « Impossible d'authentifier » lorsde l'utilisation d'applications AWS pour rechercher desutilisateurs ou des groupesDes erreurs peuvent se produire lors de la recherche des utilisateurs pendant l'utilisation des applicationsAWS, comme Amazon WorkSpaces ou Amazon QuickSight, même lorsque l'état AD Connector est actif.Les informations d'identification ayant expiré peuvent empêcher AD Connector d'exécuter des requêtes surles objets dans votre Active Directory. Mettez à jour le mot de passe pour le compte de service en suivantles étapes dans l'ordre indiqué ci-dessus.
Version 1.0214
AWS Directory Service Guide d'administrationL'erreur « DNS unavailable » s'affiche lorsque
j'essaie de me connecter à mon annuaire sur site
L'erreur « DNS unavailable » s'affiche lorsque j'essaiede me connecter à mon annuaire sur siteUn message d'erreur similaire à ce qui suit s'affiche lors de la connexion à votre annuaire sur site :
DNS unavailable (TCP port 53) for IP: <DNS IP address>
AD Connector doit être capable de communiquer avec vos serveurs DNS sur site via les protocoles TCP etUDP sur le port 53. Vérifiez que vos groupes de sécurité et pare-feu sur site autorisent la communicationTCP et UDP sur ce port. Pour plus d'informations, consultez la section Conditions préalables requises ADConnector (p. 180).
L'erreur « Connectivity issues detected » s'affichelorsque je tente de me connecter à mon annuaire sursiteUn message d'erreur similaire à ce qui suit s'affiche lors de la connexion à votre annuaire sur site :
Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP address>Kerberos/authentication unavailable (TCP port 88) for IP: <IP address>Please ensure that the listed ports are available and retry the operation.
AD Connector doit être capable de communiquer avec vos contrôleurs de domaine sur site via lesprotocoles TCP et UDP sur les ports suivants. Vérifiez que vos groupes de sécurité et pare-feu sur siteautorisent la communication TCP et UDP sur ces ports. Pour plus d'informations, consultez la sectionConditions préalables requises AD Connector (p. 180).
• 88 (Kerberos)• 389 (LDAP)
L'erreur « SRV record » s'affiche lorsque je tente deme connecter à mon annuaire sur siteUn message d'erreur similaire à un ou plusieurs des messages suivants s'affiche lors de la connexion àvotre annuaire sur site :
SRV record for LDAP does not exist for IP: <DNS IP address>
SRV record for Kerberos does not exist for IP: <DNS IP address>
AD Connector doit obtenir les enregistrements SRV _ldap._tcp.<DnsDomainName> et_kerberos._tcp.<DnsDomainName> lors de la connexion à votre annuaire. Cette erreur s'affiche si leservice ne peut pas obtenir ces enregistrements auprès des serveurs DNS que vous avez spécifiés lorsde la connexion à votre annuaire. Pour plus d'informations sur ces enregistrements SRV, consultez SRVrecord requirements (p. 182).
Mon annuaire est bloqué à l'état « Demandé »Si vous avez un annuaire qui se trouve à l'état « Demandé » depuis plus de cinq minutes, essayez desupprimer l'annuaire et de le recréer. Si le problème persiste, contactez le AWS Support Center.
Version 1.0215
AWS Directory Service Guide d'administrationL'erreur « AZ Constrained »
s'affiche lorsque je crée un annuaire
L'erreur « AZ Constrained » s'affiche lorsque je créeun annuaireCertains comptes AWS créés avant 2012 peuvent avoir accès à des zones de disponibilité dans la régionUSA Est (Virginie du Nord), USA Ouest (Californie du Nord) ou Asie-Pacifique (Tokyo) qui ne prend pas encharge les annuaires AWS Directory Service. Si vous voyez une erreur comme celle-ci lors de la créationd'un annuaire, choisissez un sous-réseau dans une autre zone de disponibilité et essayez de recréerl'annuaire.
Certains de mes utilisateurs ne peuvent pass'authentifier avec mon annuaireVos comptes d'utilisateur doivent avoir une pré-authentification Kerberos activée. Il s'agit du paramètre pardéfaut pour les nouveaux comptes d'utilisateur, mais il ne doit pas être modifié. Pour plus d’informations surce paramètre, consultez Pré-authentification sur Microsoft TechNet.
L'erreur « Invalid Credentials » s'affiche lorsque lecompte de service utilisé par AD Connector tente uneauthentificationCela peut se produire si le disque dur de votre contrôleur de domaine manque d'espace libre. Assurez-vousque les disques durs de votre contrôleur de domaine ne sont pas pleins.
Version 1.0216
AWS Directory Service Guide d'administration
Simple Active DirectorySimple AD est un annuaire géré et autonome alimenté par un serveur compatible Active Directory avecSamba 4. Il est disponible en deux formats.
• Small : prend en charge 500 utilisateurs maximum (environ 2 000 objets parmi lesquels des utilisateurs,des groupes et des ordinateurs).
• Large : prend en charge 5 000 utilisateurs maximum (environ 20 000 objets parmi lesquels desutilisateurs, des groupes et des ordinateurs).
Simple AD fournit un sous-ensemble des avantages offerts par AWS Managed Microsoft AD, parmilesquels la capacité à gérer des comptes d'utilisateur et des appartenance aux groupes, à créer et àappliquer des stratégies de groupe, à se connecter en toute sécurité aux instances Amazon EC2, età fournir une authentification unique (SSO) basée sur Kerberos. Cependant, notez que Simple AD neprend pas en charge les fonctionnalités telles que l’authentification multi-facteurs (MFA), les relationsd’approbation avec d’autres domaines, le centre administratif Active Directory, PowerShell prise encharge, corbeille Active Directory, comptes de services gérés de groupe et extensions de schéma pour lesapplications POSIX et Microsoft.
Simple AD offre de nombreux avantages :
• Simple AD facilite encore davantage la gestion des instances Amazon EC2 qui exécutent Linux etWindows et le déploiement d'applications Windows dans le cloud AWS.
• Un grand nombre des applications et outils utilisés aujourd'hui et qui requièrent la prise en charge deMicrosoft Active Directory peuvent être utilisés avec Simple AD.
• Les comptes d'utilisateur de Simple AD permettent d'accéder aux applications AWS telles que AmazonWorkSpaces, Amazon WorkDocs ou Amazon WorkMail.
• Vous pouvez gérer les ressources AWS via l'accès basé sur les rôles IAM à l'.• Des instantanés automatiques quotidiens permettent la récupération à un moment donné.
Simple AD ne prend en charge aucun des éléments suivants :
• Amazon AppStream 2.0• Amazon Chime• Amazon RDS pour SQL Server• Authentification unique AWS• Relations d'approbation avec d'autres domaines• Centre d'administration Active Directory• PowerShell• Corbeille Active Directory• Comptes de service gérés de groupe• Extensions de schéma pour les applications POSIX et Microsoft
Poursuivez la lecture des rubriques de cette section pour savoir comment créer votre propre Simple AD.
Rubriques• Prise en main d'Simple AD (p. 218)• Comment administrer Simple AD (p. 221)
Version 1.0217
AWS Directory Service Guide d'administrationDémarrer
• Tutoriel : Création d'un annuaire Simple AD (p. 261)• Bonnes pratiques pour Simple AD (p. 264)• Limites pour Simple AD (p. 267)• Stratégie de compatibilité des applications pour Simple AD (p. 267)• Dépannage de Simple AD (p. 268)
Prise en main d'Simple ADSimple AD est un annuaire Samba entièrement géré depuis le cloud AWS. Lorsque vous créez un annuaireavec Simple AD, AWS Directory Service crée deux contrôleurs de domaine et serveurs DNS en votre nom.Les contrôleurs de domaine sont créés dans différents sous-réseaux d'un VPC ; cette redondance permetde garantir l'accessibilité de votre annuaire même en cas de défaillance.
Rubriques• Conditions préalables requises Simple AD (p. 218)• Création d'un annuaire Simple AD (p. 219)• Ce qui est créé ? (p. 220)• Configurer DNS (p. 220)
Conditions préalables requises Simple ADPour créer un annuaire Simple AD, un VPC avec les éléments suivants est nécessaire :
• Au moins deux sous-réseaux. Pour que Simple AD s'installe correctement, vous devez installer vosdeux contrôleurs de domaine dans des sous-réseaux distincts qui doivent être situés dans une zone dedisponibilité différente. En outre, les sous-réseaux doivent se trouver dans la plage d'adresses CIDR(Classless Inter-Domain Routing). Si vous souhaitez étendre ou redimensionner le VPC pour votreannuaire, assurez-vous de sélectionner les deux sous-réseaux de contrôleur de domaine pour la plaged'adresses CIDR de VPC étendu.
• Le VPC doit avoir la location matérielle par défaut.• Le VPC ne doit pas être configuré avec le ou les points de terminaison de VPC suivants :
• CloudWatch Point de terminaison VPC• Pour prendre en charge LDAPS avec Simple AD, nous vous recommandons d'effectuer la configuration à
l'aide d'un Elastic Load Balancer et d'un proxy haute disponibilité s'exécutant sur des instances EC2. Cemodèle vous permet d'utiliser un certificat fort pour la connexion LDAPS, de simplifier l'accès à LDAPSpar le biais d'une seule adresse IP ELB et de définir un basculement automatique avec le proxy hautedisponibilité. Pour plus d'informations sur la configuration de LDAPS avec Simple AD, reportez-vousà la section How to Configure an LDAPS Endpoint for Simple AD (Comment configurer un point determinaison LDAPS pour Simple AD) dans le blog sur la sécurité AWS.
• Les types de chiffrement suivants doivent être activés dans l'annuaire :• RC4_HMAC_MD5• AES128_HMAC_SHA1• AES256_HMAC_SHA1• Futurs types de chiffrement
Note
Si vous désactivez ces types de chiffrement, cela risque d'engendrer des problèmes decommunication avec les outils d'administration de serveur distant (RSAT) et de nuire à ladisponibilité ou à votre annuaire.
Version 1.0218
AWS Directory Service Guide d'administrationCréation d'un annuaire Simple AD
AWS Directory Service uses a two VPC structure. The EC2 instances which make up your directory runoutside of your AWS account, and are managed by AWS. They have two network adapters, ETH0 andETH1. ETH0 is the management adapter, and exists outside of your account. ETH1 is created within youraccount.
The management IP range of your directory's ETH0 network is chosen programmatically to ensure it doesnot conflict with the VPC where your directory is deployed. This IP range can be in either of the followingpairs (as Directories run in two subnets):
• 10.0.1.0/24 & 10.0.2.0/24• 192.168.1.0/24 & 192.168.2.0/24
We avoid conflicts by checking the first octet of the ETH1 CIDR. If it starts with a 10, then we choose a192.168.0.0/16 VPC with 192.168.1.0/24 and 192.168.2.0/24 subnets. If the first octet is anything else otherthan a 10 we choose a 10.0.0.0/16 VPC with 10.0.1.0/24 and 10.0.2.0/24 subnets.
The selection algorithm does not include routes on your VPC. It is therefore possible to have an IP routingconflict result from this scenario.
Création d'un annuaire Simple ADTo create a new directory, perform the following steps. Before starting this procedure, make sure you havecompleted the prerequisites identified in Conditions préalables requises Simple AD (p. 218).
To create a Simple AD directory
1. In the AWS Directory Service console navigation pane, choose Directories and then choose Set updirectory.
2. On the Select directory type page, choose Simple AD, and then choose Next.3. On the Enter directory information page, provide the following information:
Directory size
Choose from either the Small or Large size option. For more information about sizes, see SimpleActive Directory (p. 217).
Organization name
A unique organization name for your directory that will be used to register client devices.
This field is only available if you are creating your directory as part of launching AmazonWorkSpaces.
Directory DNS name
The fully qualified name for the directory, such as corp.example.com.Directory NetBIOS name
The short name for the directory, such as CORP.Administrator password
The password for the directory administrator. The directory creation process creates anadministrator account with the user name Administrator and this password.
The directory administrator password is case-sensitive and must be between 8 and 64 charactersin length, inclusive. It must also contain at least one character from three of the following fourcategories:• Lowercase letters (a-z)
Version 1.0219
AWS Directory Service Guide d'administrationCe qui est créé ?
• Uppercase letters (A-Z)• Numbers (0-9)• Non-alphanumeric characters (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
Confirm password
Retype the administrator password.Directory description
An optional description for the directory.4. On the Choose VPC and subnets page, provide the following information, and then choose Next.
VPC
The VPC for the directory.Subnets
Choose the subnets for the domain controllers. The two subnets must be in different AvailabilityZones.
5. On the Review & create page, review the directory information and make any necessary changes.When the information is correct, choose Create directory. It takes several minutes for the directory tobe created. Once created, the Status value changes to Active.
Ce qui est créé ?Lorsque vous créez un annuaire Simple AD, AWS Directory Service effectue les tâches suivantes en votrenom :
• Configure un annuaire basé sur Samba dans le VPC.• Création d'un compte d'administrateur d'annuaire avec le nom d'utilisateur Administrator et le mot de
passe spécifié. Ce compte est utilisé pour gérer votre annuaire.
Important
Veillez à enregistrer ce mot de passe. AWS Directory Service ne stocke pas ce mot de passe etil ne peut pas être récupéré. Cependant, vous pouvez réinitialiser un mot de passe à partir duAWS Directory Service console ou à l’aide de l’ ResetUserPassword de l’API.
• Création d'un groupe de sécurité pour les contrôleurs de l'annuaire.• Crée un compte avec le nom AWSAdminD-xxxxxxxx qui dispose des privilèges d'administration de
domaine. Ce compte est utilisé par AWS Directory Service pour effectuer des opérations automatiséesde maintenance des annuaires, telles que prendre des instantanés d'annuaire et réaliser des transfertsde rôles FSMO. Les informations d'identification pour ce compte sont stockées en toute sécurité parAWS Directory Service.
• Automatiquement creates and associates an elastic network interface (ENI) with each of your domaincontrollers. Each of these ENIs are essential for connectivity between your VPC and AWS DirectoryService domain controllers and should never be deleted. You can identify all network interfaces reservedfor use with AWS Directory Service by the description: "AWS created network interface for directorydirectory-id". For more information, see Elastic Network Interfaces in the Amazon EC2 Guide del'utilisateur pour les instances Windows.
Configurer DNSSimple AD transfère les demandes DNS à l'adresse IP des serveurs DNS fournis par Amazon pour votreVPC. Ces serveurs DNS résolvent les noms configurés dans vos zones hébergées privées Route 53. En
Version 1.0220
AWS Directory Service Guide d'administrationProcédures...
pointant vos ordinateurs sur site vers votre Simple AD, vous pouvez désormais résoudre les demandesDNS dans la zone privée hébergée.
Notez que pour activer votre Simple AD pour répondre aux demandes DNS externes, la liste de contrôled'accès (ACL) réseau pour le VPC contenant votre Simple AD doit être configurée pour autoriser le traficdepuis l'extérieur du VPC.
Si vous n'utilisez pas les zones hébergées privées Route 53, vos demandes DNS seront transmises auxserveurs DNS publics.
Si vous utilisez des serveurs DNS personnalisés situés en dehors de votre VPC et si vous souhaitezutiliser un DNS privé, vous devez procéder à une nouvelle configuration pour utiliser des serveurs DNSpersonnalisés sur des instances EC2 au sein de votre VPC. Pour de plus amples informations, consultezUtilisation des zones hébergées privées.
Si vous voulez que votre Simple AD résolve les noms à l'aide des serveurs DNS au sein de votre VPC etdes serveurs DNS privés en dehors de votre VPC, vous pouvez le faire à l'aide d'un jeu d'options DHCP.Pour obtenir un exemple détaillé, consultez cet article.
Note
Les mises à jour dynamiques DNS ne sont pas prises en charge dans les domaines Simple AD.En revanche, vous pouvez effectuer les modifications directement en connectant votre annuaire àl'aide du Gestionnaire DNS sur une instance qui est jointe à votre domaine.
Pour plus d'informations sur Route 53, consultez Présentation de Route 53.
Comment administrer Simple ADCette section répertorie toutes les procédures de fonctionnement et de maintenance d'un environnementSimple AD.
Rubriques• Gérer des utilisateurs et des groupes dans Simple AD (p. 221)• Surveillance de votre annuaire Simple AD (p. 225)• Jonction d'une instance EC2 à votre annuaire Simple AD (p. 228)• Maintenance de votre annuaire Simple AD (p. 247)• Activation de l'accès aux applications et services AWS (p. 250)• Activation de l'accès à AWS Management Console avec les informations d'identification AD (p. 259)
Gérer des utilisateurs et des groupes dans Simple ADUsers represent individual people or entities that have access to your directory. Groups are very usefulfor giving or denying privileges to groups of users, rather than having to apply those privileges to eachindividual user. If a user moves to a different organization, you move that user to a different group and theyautomatically receive the privileges needed for the new organization.
To create users and groups in an AWS Directory Service directory, you must use any instance (from eitheron-premises or EC2) that has been joined to your AWS Directory Service directory, and be logged in asa user that has privileges to create users and groups. You will also need to install the Active DirectoryTools on your EC2 instance so you can add your users and groups with the Active Directory Users andComputers snap-in. For more information about how to set up an EC2 instance and install the necessarytools, see Étape 3 : Déploiement d’une instance EC2 à gérer AWS Managed Microsoft AD (p. 159).
Version 1.0221
AWS Directory Service Guide d'administrationGérer des utilisateurs et des groupes
Note
Your user accounts must have Kerberos preauthentication enabled. This is the default setting fornew user accounts, but it should not be modified. For more information about this setting, go toPreauthentication on Microsoft TechNet.
The following topics include instructions on how to create and manage users and groups.
Rubriques• Installation des outils d'administration Active Directory (p. 222)• créer un utilisateur ; (p. 222)• Réinitialiser un mot de passe utilisateur (p. 223)• Création d'un groupe (p. 224)• Ajouter un utilisateur à un groupe (p. 225)
Installation des outils d'administration Active DirectoryTo manage your directory from an EC2 Windows instance, you need to install the Active Directory DomainServices and Active Directory Lightweight Directory Services Tools on the instance. Use the followingprocedure to install these tools on either Windows Server 2012, Windows Server 2016, or Windows Server2019.
You can optionally choose to install the Active Directory administration tools using Windows PowerShell.For example, you can install the Active Directory remote administration tools from a PowerShell promptusing Install-WindowsFeature RSAT-ADDS. For more information, see Install-WindowsFeature on theMicrosoft Website.
Install the Active Directory Administration Tools on Windows Server 2012 throughWindows Server 2019
To install the Active Directory administration tools on Windows Server 2012 through WindowsServer 2019
1. Open Server Manager from the Start screen by choosing Server Manager.2. In the Server Manager Dashboard, choose Add roles and features,3. In the Add Roles and Features Wizard choose Installation Type, select Role-based or feature-based
installation, and choose Next.4. Under Server Selection, make sure the local server is selected, and choose Features in the left
navigation pane.5. In the Features tree, open Remote Server Administration Tools, Role Administration Tools, select AD
DS and AD LDS Tools, scroll down and select DNS Server Tools, and then choose Next.6. Review the information and choose Install. When the feature installation is finished, the Active
Directory Domain Services and Active Directory Lightweight Directory Services Tools are available onthe Start screen in the Administrative Tools folder.
créer un utilisateur ;Note
Lorsque vous utilisez Simple AD, si vous créez un compte d’utilisateur sur une instance Linuxavec l’option « Forcer l’utilisateur à modifier le mot de passe lors de la première connexion », cetutilisateur ne sera pas en mesure de modifier initialement son mot de passe à l’aide de kpasswd.Pour modifier le mot de passe la première fois, un administrateur de domaine doit mettre à jour lemot de passe utilisateur à l’aide des outils de gestion Active Directory.
Version 1.0222
AWS Directory Service Guide d'administrationGérer des utilisateurs et des groupes
Utilisez la procédure suivante pour créer un utilisateur avec une instance EC2 qui est jointe à votreannuaire Simple AD.
To create a user
1. Open the Active Directory Users and Computers tool. There is a shortcut to this tool in theAdministrative Tools folder.
Tip
You can run the following from a command prompt on the instance to open the ActiveDirectory Users and Computers tool box directly.
%SystemRoot%\system32\dsa.msc
2. In the directory tree, select an OU under your directory's NetBIOS name OU where you want to storeyour user (for example, Corp\Users). For more information about the OU structure used by directoriesin AWS, see Ce qui est créé ? (p. 13).
3. On the Action menu, click New, and then click User to open the new user wizard.4. On the first page of the wizard, enter the values for the following fields, and then click Next.
• First name• Last name• User logon name
5. On the second page of the wizard, type a temporary password in Password and Confirm Password.Make sure the User must change password at next logon option is selected. None of the other optionsshould be selected. Click Next.
6. On the third page of the wizard, verify that the new user information is correct and click Finish. The newuser will appear in the Users folder.
Réinitialiser un mot de passe utilisateurLes utilisateurs doivent respecter les stratégies de mot de passe définies dans l'annuaire. Parfois, mêmeles utilisateurs les plus avancés, y compris l'administrateur de l'annuaire, perdent leur mot de passe. Dansce cas, vous devez réinitialiser rapidement le mot de passe utilisateur à l'aide d'AWS Directory Service sil'utilisateur en question figure dans un annuaire Simple AD ou AWS Managed Microsoft AD.
Vous pouvez réinitialiser le mot de passe de n'importe quel utilisateur de votre annuaire, sauf dans les cassuivants :
• Pour Simple AD, vous ne pouvez pas réinitialiser le mot de passe d'un utilisateur qui est membre dugroupe Administrateurs du domaine ou Administrateurs d'entreprise, sauf pour l'utilisateur Administrateur.
• Pour AWS Managed Microsoft AD, vous ne pouvez pas réinitialiser le mot de passe d'un utilisateur quise trouve dans une autre unité d'organisation (UO) que celle basée sur le nom NetBIOS que vous avezentré au moment de créer votre annuaire. Par exemple, vous ne pouvez pas réinitialiser le mot de passed'un utilisateur qui se trouve dans l'UO AWS Reserved. Pour plus d'informations sur la structure desunités d'organisation d'un annuaire AWS Managed Microsoft AD, consultez Ce qui est créé ? (p. 13).
Vous pouvez utiliser l'une des méthodes ci-dessous pour réinitialiser le mot de passe d'un utilisateur.
Méthode 1 : pour réinitialiser le mot de passe d'un utilisateur avec AWS Management Console
1. Dans le volet de navigation de la console AWS Directory Service, sous Active Directory, choisissezAnnuaires, puis sélectionnez l'annuaire dans la liste où figure l'utilisateur dont vous souhaitezréinitialiser le mot de passe.
Version 1.0223
AWS Directory Service Guide d'administrationGérer des utilisateurs et des groupes
2. Dans la page Directory details (Détails de l'annuaire) choisissez Réinitialiser le mot de passeutilisateur.
3. Dans la boîte de dialogue Réinitialiser le mot de passe utilisateur, dans Nom d'utilisateur, entrez lenom d'utilisateur de l'utilisateur dont le mot de passe doit être modifié.
4. Entrez un mot de passe dans Nouveau mot de passe et Confirmer le mot de passe, puis choisissezRéinitialiser le mot de passe.
Méthode 2 : pour réinitialiser un mot de passe utilisateur avec Windows PowerShell
1. Ouvrez Windows PowerShell.2. Entrez la commande suivante et remplacez le nom d'utilisateur « joebob » et le mot de passe
« P@ssw0rd » par les informations d'identification souhaitées. Pour plus d'informations, consultezReset-DSUserPassword Cmdlet.
Reset-DSUserPassword -UserName joebob -DirectoryId d-1234567890 -NewPasswordP@ssw0rd
Méthode 3 : pour réinitialiser le mot de passe d'un utilisateur avec l'AWS CLI
1. Ouvrez l'AWS CLI.2. Entrez la commande suivante et remplacez le nom d'utilisateur « joebob » et le mot de passe
« P@ssw0rd » par les informations d'identification souhaitées. Pour plus d'informations, consultezreset-user-password dans le document Référence sur les commandes AWS CLI.
aws ds reset-user-password --directory-id d-1234567890 --user-name joebob --new-password P@ssw0rd
Création d'un groupeUtilisez la procédure suivante pour créer un groupe de sécurité avec une instance EC2 qui est jointe à votreannuaire Simple AD.
To create a group
1. Open the Active Directory Users and Computers tool. There is a shortcut to this tool in theAdministrative Tools folder.
Tip
You can run the following from a command prompt on the instance to open the ActiveDirectory Users and Computers tool box directly.
%SystemRoot%\system32\dsa.msc
2. In the directory tree, select an OU under your directory's NetBIOS name OU where you want to storeyour group (for example, Corp\Users). For more information about the OU structure used by directoriesin AWS, see Ce qui est créé ? (p. 13).
3. On the Action menu, click New, and then click Group to open the new group wizard.4. Type a name for the group in Group name, select a Group scope, and select Security for the Group
type.5. Click OK. The new security group will appear in the Users folder.
Version 1.0224
AWS Directory Service Guide d'administrationSurveillance de votre annuaire
Ajouter un utilisateur à un groupeUtilisez la procédure suivante pour ajouter un utilisateur à un groupe de sécurité avec une instance EC2 quiest jointe à votre annuaire Simple AD.
Pour ajouter un utilisateur à un groupe
1. Ouvrez l'outil Utilisateurs et ordinateurs Active Directory. Il existe un raccourci vers cet outil dans ledossier Outils d'administration.
Tip
Vous pouvez exécuter l'élément suivant à partir d'une invite de commande sur l'instance pourouvrir directement l'outil Utilisateurs et ordinateurs Active Directory.
%SystemRoot%\system32\dsa.msc
2. Dans l'arborescence de l'annuaire, sélectionnez l'unité d'organisation en dessous de l'unitéd'organisation qui porte le nom NetBIOS de votre annuaire et dans laquelle vous avez stocké votregroupe, puis sélectionnez le groupe auquel vous voulez ajouter un utilisateur comme membre.
3. Dans le menu Action, cliquez sur Propriétés pour ouvrir la boîte de dialogue des propriétés du groupe.4. Sélectionnez l'onglet Membres, puis cliquez sur Ajouter.5. Dans Entrez les noms des objets à sélectionner, entrez le nom d'utilisateur à ajouter, puis cliquez
sur OK. Le nom s'affiche dans la liste Membres. Cliquez à nouveau sur OK pour mettre à jour lesmembres du groupe.
6. Vérifiez que l'utilisateur est maintenant membre du groupe en sélectionnant son nom dans le dossierUtilisateurs, puis cliquez sur Propriétés dans le menu Action pour ouvrir la boîte de dialogue despropriétés. Sélectionnez l'onglet Membre de. Le nom du groupe doit figurer dans la liste des groupesauxquels appartient l'utilisateur.
Surveillance de votre annuaire Simple ADVous pouvez surveiller l'annuaire Simple AD en procédant comme suit :
Rubriques• Comprendre le statut de votre annuaire (p. 225)• Configuration des notifications de statut de l'annuaire (p. 226)
Comprendre le statut de votre annuaireThe following are the various statuses for a directory.
Active
The directory is operating normally. No issues have been detected by the AWS Directory Service foryour directory.
Creating
The directory is currently being created. Directory creation typically takes between 20 to 45 minutes butmay vary depending on the system load.
Deleted
The directory has been deleted. All resources for the directory have been released. Once a directoryenters this state, it cannot be recovered.
Version 1.0225
AWS Directory Service Guide d'administrationSurveillance de votre annuaire
Deleting
The directory is currently being deleted. The directory will remain in this state until it has beencompletely deleted. Once a directory enters this state, the delete operation cannot be cancelled, andthe directory cannot be recovered.
Failed
The directory could not be created. Please delete this directory. If this problem persists, please contactthe AWS Support Center.
Impaired
The directory is running in a degraded state. One or more issues have been detected, and not alldirectory operations may be working at full operational capacity. There are many potential reasonsfor the directory being in this state. These include normal operational maintenance activity such aspatching or EC2 instance rotation, temporary hot spotting by an application on one of your domaincontrollers, or changes you made to your network that inadvertently disrupt directory communications.For more information, see either Dépannage de AWS Managed Microsoft AD (p. 171), Dépannagede AD Connector (p. 214), Dépannage de Simple AD (p. 268). For normal maintenance relatedissues, AWS resolves these issues within 40 minutes. If after reviewing the troubleshooting topic, yourdirectory is in an Impaired state longer than 40 minutes, we recommend that you contact the AWSSupport Center.
Important
Do not restore a snapshot while a directory is in an Impaired state. It is rare that snapshotrestore is necessary to resolve impairments. For more information, see Création d'uninstantané ou d'une restauration de votre annuaire (p. 122).
Inoperable
The directory is not functional. All directory endpoints have reported issues.Requested
A request to create your directory is currently pending.RestoreFailed
Restoring the directory from a snapshot failed. Please retry the restore operation. If this continues, try adifferent snapshot, or contact the AWS Support Center.
Restoring
The directory is currently being restored from an automatic or manual snapshot. Restoring from asnapshot typically takes several minutes, depending on the size of the directory data in the snapshot.
For more information, see Motifs de statut d'annuaire Simple AD (p. 270).
Configuration des notifications de statut de l'annuaireAvec Amazon Simple Notification Service (Amazon SNS), vous pouvez recevoir des e-mails ou desmessages texte (SMS) lorsque le statut de votre annuaire change. Vous êtes averti lorsque votre annuairepasse du statut Actif au statut Dégradé ou Inopérable. Vous recevez également une notification lorsquel'annuaire renvoie un statut Active.
Fonctionnement
Amazon SNS utilise des « rubriques » pour collecter et distribuer les messages. Chaque rubrique possèdeun ou plusieurs abonnés qui reçoivent les messages ayant été publiés dans cette rubrique. En suivant les
Version 1.0226
AWS Directory Service Guide d'administrationSurveillance de votre annuaire
étapes ci-dessous, vous pouvez ajouter AWS Directory Service en tant qu'éditeur à une rubrique AmazonSNS. Lorsque AWS Directory Service détecte un changement de statut dans votre annuaire, il publie unmessage dans cette rubrique, qui est ensuite envoyée aux abonnés de la rubrique.
Vous pouvez associer plusieurs annuaires en tant qu'éditeurs à une seule rubrique. Vous pouvezégalement ajouter des messages de statut d'annuaire créés précédemment dans Amazon SNS. Vous avezla possibilité de contrôler qui peut publier dans une rubrique ou s'y abonner. Pour obtenir des informationsdétaillées sur Amazon SNS, veuillez consulter Qu'est-ce qu'Amazon SNS ?.
Pour activer la messagerie SNS pour votre annuaire
1. Connectez-vous à AWS Management Console et ouvrez la console AWS Directory Service à l'adressehttps://console.aws.amazon.com/directoryservicev2/.
2. Sur la page Directories (Annuaires), choisissez l'ID de votre annuaire.3. Sélectionnez l'onglet Maintenance.4. Dans la section Surveillance de l'annuaire, choisissez Actions, puis sélectionnez Créer une notification.5. Sur la page Créer une notification, sélectionnez Choisir un type notification, puis Créer une nouvelle
notification. Sinon, si vous avez déjà une rubrique SNS existante, vous pouvez choisir Associer unerubrique SNS existante pour envoyer des messages de statut de cet annuaire vers cette rubrique.
Note
Si vous choisissez Créer une nouvelle notification, mais que vous utilisez le même nomde rubrique pour une rubrique SNS qui existe déjà, Amazon SNS ne crée pas de nouvellerubrique, mais ajoute les nouvelles informations d'abonnement à la rubrique existante.Si vous choisissez Associer à une rubrique SNS existante, vous pourrez choisir uniquementune rubrique SNS qui se trouve dans la même région que l'annuaire.
6. Choisissez le type de destinataire, puis entrez les informations de contact du destinataire. Si vousentrez un numéro de téléphone pour les SMS, utilisez uniquement des nombres. N'utilisez pas detirets, d'espaces ou de parenthèses.
7. (Facultatif) Indiquez un nom pour votre rubrique et un nom d'affichage SNS. Le nom d'affichage estcourt (10 caractères maximum) et inclus dans tous les SMS de cette rubrique. Lorsque vous utilisezl'option SMS, le nom d'affichage est obligatoire.
Note
Si vous êtes connecté sous le nom d'un utilisateur ou d'un rôle IAM associé uniquement àla stratégie gérée DirectoryServiceFullAccess, le nom de votre rubrique doit commencer par« DirectoryMonitoring ». Si vous souhaitez personnaliser votre nom de rubrique, vous aurezbesoin de privilèges supplémentaires pour SNS.
8. Sélectionnez Create.
Si vous souhaitez désigner d'autres abonnés SNS, par exemple une adresse e-mail supplémentaire, desfiles d'attente Amazon SQS ou AWS Lambda, vous pouvez pour cela utiliser la console Amazon SNS àl'adresse https://console.aws.amazon.com/sns/v3/home.
Pour supprimer les messages de statut d'annuaire à partir d'une rubrique
1. Connectez-vous à AWS Management Console et ouvrez la console AWS Directory Service à l'adressehttps://console.aws.amazon.com/directoryservicev2/.
2. Sur la page Directories (Annuaires), choisissez l'ID de votre annuaire.3. Sélectionnez l'onglet Maintenance.4. Dans la section Surveillance de l'annuaire, sélectionnez un nom de rubrique SNS dans la liste,
choisissez Actions, puis sélectionnez Supprimer.Version 1.0
227
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
5. Choisissez Supprimer.
Cela supprime votre annuaire en tant qu'éditeur pour la rubrique SNS sélectionnée. Si vous souhaitezsupprimer la rubrique entière, vous pouvez le faire à partir de la console Amazon SNS à l'adresse https://console.aws.amazon.com/sns/v3/home.
Note
Avant de supprimer une rubrique Amazon SNS à l'aide de la console SNS, vous devez vousassurer qu'aucun annuaire n'enverra de messages de statut vers cette rubrique.Si vous supprimez une rubrique Amazon SNS à l'aide de la console SNS, ce changement nefigurera pas immédiatement dans la console des services d'annuaire. Vous en serez notifiéseulement la prochaine fois qu'un annuaire publiera une notification dans la rubrique supprimée,auquel cas vous verrez le statut mis à jour dans l'onglet Surveillance de l'annuaire indiquant que larubrique est introuvable.Par conséquent, pour éviter de manquer des messages de statut d'annuaire importants, avant desupprimer une rubrique recevant des messages d'AWS Directory Service, associez votre annuaireà une autre rubrique Amazon SNS.
Jonction d'une instance EC2 à votre annuaire SimpleADVous pouvez joindre en toute transparence une instance EC2 à votre domaine d'annuaire lorsque l'instanceest lancée à l'aide d'AWS Systems Manager. Pour plus d'informations, consultez Jonction facile d'uneinstance Windows à un domaine AWS Directory Service dans le Amazon EC2 Guide de l'utilisateur pourles instances Windows.
Si vous devez joindre une instance EC2 manuellement à votre domaine, lancez l'instance dans la région etle sous-réseau ou le groupe de sécurité appropriés, puis joignez l'instance au domaine.
Pour vous connecter à ces instances à distance, vous devez disposer d'une connectivité IP aux instancesdu réseau à partir desquelles vous vous connectez. Dans la plupart des cas, cela nécessite qu'unepasserelle internet soit attachée à votre VPC et que l'instance ait une adresse IP publique.
Rubriques• Jonction facile d'une instance EC2 Windows (p. 228)• Jonction manuelle d'une instance Windows (p. 230)• Joignez de manière transparente une instance EC2 Linux à votre Simple AD Répertoire (p. 232)• Jonction manuelle d'une instance Linux (p. 236)• Délégation des privilèges de jonction d'annuaire pour Simple AD (p. 245)• Création d'un jeu d'options DHCP (p. 246)
Jonction facile d'une instance EC2 WindowsCette procédure joint de façon transparente une instances EC2 Windows à votre annuaire Simple AD.
Pour joindre une instance EC2 Windows de façon transparente
1. Connectez-vous à AWS Management Console et ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.
2. Dans le sélecteur de région de la barre de navigation, choisissez la même région que l'annuaireexistant.
3. Choisissez Launch Instances.
Version 1.0228
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
4. Sur la page Étape 1, choisissez Sélectionner pour l'AMI appropriée.5. Sur la page Étape 2, sélectionnez le type d'instance approprié, puis choisissez Suivant : Configurer les
détails d'instance.6. Sur la page Étape 3, effectuez les étapes suivantes, puis choisissez Suivant : Ajouter le stockage :
1. Pour Réseau, choisissez le VPC dans lequel votre annuaire a été créé.2. Pour Sous-réseau, choisissez l'un des sous-réseaux publics dans votre VPC. Le sous-réseau
que vous choisissez doit avoir tout le trafic externe acheminé vers une passerelle Internet. Le caséchéant, vous ne pourrez pas vous connecter à l'instance à distance.
3. Pour Attribuer automatiquement l'adresse IP publique, choisissez Activer.
Pour plus d'informations sur les adresses IP publiques et privées, consultez Adressage IP desinstances Amazon EC2 dans le Amazon EC2 Guide de l'utilisateur pour les instances Windows.
4. Pour Répertoire de jonction de domaines, choisissez votre domaine dans la liste.
Note
Cette option est uniquement disponible pour les instances Windows. Les instances Linuxdoivent être jointes manuellement à l'annuaire comme indiqué dans Jonction manuelled'une instance Linux (p. 78).
5. Pour Rôle IAM, effectuez l'une des opérations suivantes :
Sélectionnez un rôle IAM auquel les stratégies gérées AWS AmazonSSMManagedInstanceCore etAmazonSSMDirectoryServiceAccess sont attachées.
-ou-
Si vous n'avez pas créé de rôle IAM auquel les stratégies géréesAmazonSSMManagedInstanceCore et AmazonSSMDirectoryServiceAccess sont attachées,choisissez le lien Créer un nouveau rôle IAM, puis procédez comme suit :a. Sélectionnez Créer un rôle.b. Sous Select type of trusted entity (Sélectionner le type d'entité de confiance), choisissez AWS
service (Service AWS).c. Sous Choose the service that this role will use (Choisir le service que ce rôle utilisera), dans la
liste complète des services, choisissez EC2.d. Sous Select your use case (Sélectionner votre cas d'utilisation), choisissez EC2, puis Suivant :
Autorisations.e. Dans la liste des stratégies, sélectionnez les stratégies AmazonSSMManagedInstanceCore et
AmazonSSMDirectoryServiceAccess. (Pour filtrer la liste, entrez SSM dans la zone de recherche.)
Note
La stratégie AmazonSSMDirectoryServiceAccess fournit les autorisations nécessairespour joindre des instances à un domaine Active Directory géré par AWS DirectoryService. La stratégie AmazonSSMManagedInstanceCore fournit les autorisationsminimales nécessaires pour pouvoir utiliser le service Systems Manager. Pour plusd'informations sur la création d'un rôle avec ces autorisations, et sur les autresautorisations et stratégies que vous pouvez affecter à votre rôle IAM, consultez Créer unprofil d'instance IAM pour Systems Manager dans le Guide de l'utilisateur AWS SystemsManager.
f. Choisissez Next: Tags (Suivant : Balises).g. (Facultatif) Ajoutez une ou plusieurs paires clé-valeur de balise afin d'organiser, de suivre ou de
contrôler l'accès pour ce rôle, puis choisissez Suivant : Vérifier.h. Pour Nom du rôle, entrez un nom pour votre nouveau rôle, par exemple EC2DomainJoin ou
autre, en fonction de vos préférences.Version 1.0
229
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
i. (Facultatif) Pour Description du rôle, entrez une description.j. Sélectionnez Créer un rôle.k. Revenez à la page Étape 3. Pour le rôle IAM, choisissez l'icône d'actualisation à côté du champ
rôle IAM. Votre nouveau rôle devrait apparaître dans le menu déroulant. Choisissez-le etconservez les autres paramètres par défaut sur cette page, puis choisissez Suivant : Ajouter lestockage.
7. Sur les pages Étape 4 et Étape 5, conservez les paramètres par défaut ou modifiez-les si nécessaire,puis choisissez les boutons Suivant.
8. Sur la page Étape 6, sélectionnez un groupe de sécurité pour l'instance qui a été configurée pourautoriser l'accès à distance à l'instance à partir de votre réseau, puis choisissez Vérifier et lancer.
9. Sur la page Étape 7, choisissez Lancer, sélectionnez une paire de clés, puis choisissez Lancer uneinstance.
Jonction manuelle d'une instance WindowsPour joindre manuellement une instance existante de Windows Amazon EC2 à un annuaire Simple ADou AWS Directory Service for Microsoft Active Directory, l'instance doit être lancée comme indiqué dansJonction facile d'une instance EC2 Windows (p. 70).
Pour joindre une instance Windows à un annuaire Simple AD ou AWS Managed Microsoft AD
1. Connectez-vous à l'instance à l'aide d'un client de protocole RDP (Remote Desktop Protocol).2. Ouvrez la boîte de dialogue Propriétés TCP/IPv4 sur l'instance.
a. Ouvrez Connexions réseau.
Tip
Vous pouvez ouvrir les connexions réseau directement en exécutant les opérationssuivantes à partir d'une invite de commande sur l'instance.
%SystemRoot%\system32\control.exe ncpa.cpl
b. Ouvrez le menu contextuel (clic droit) d'une connexion réseau activée, puis choisissez Propriétés.c. Dans la boîte de dialogue Propriétés de connexion, ouvrez (double-cliquez sur) Protocole Internet
version 4.3. Sélectionnez Use the following DNS server addresses (Utiliser les adresses du serveur DNS
suivantes), remplacez les adresses Preferred DNS server (Serveur DNS préféré) et Alternate DNSserver (Serveur DNS auxiliaire) par les adresses IP des serveurs DNS fournies par AWS DirectoryService, puis sélectionnez OK.
Version 1.0230
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
4. Ouvrez la boîte de dialogue Propriétés système de l'instance, sélectionnez l'onglet Nom del'ordinateur, puis choisissez Modifier.
Tip
Vous pouvez ouvrir la boîte de dialogue Propriétés système directement en exécutant lesopérations suivantes à partir d'une invite de commande sur l'instance.
%SystemRoot%\system32\control.exe sysdm.cpl
5. Dans le champ Member of (Membre de), sélectionnez Domain (Domaine), saisissez le nom complet devotre annuaire AWS Directory Service, puis choisissez OK.
6. Lorsque vous êtes invité à fournir le nom et le mot de passe de l'administrateur de domaine, entrez lenom d'utilisateur et le mot de passe d'un compte disposant des privilèges de jonction de domaine. Pourobtenir plus d'informations sur la délégation de ces privilèges, consultez Délégation des privilèges dejonction d'annuaire pour AWS Managed Microsoft AD (p. 89).
Note
Vous pouvez entrer le nom complet de votre domaine ou le nom NetBios, suivi d'une barreoblique inverse (\), puis le nom d'utilisateur.Si vous utilisez AWS Managed Microsoft AD, le nom d'utilisateur est Admin. Par exemple,corp.example.com\admin ou corp\admin.Si vous utilisez Simple AD, le nom d'utilisateur est Administrator (Administrateur). Parexemple, corp.example.com\administrator ou corp\administrator.
7. Dès que le message d'accueil relatif au domaine s'affiche, redémarrez l'instance pour que lesmodifications prennent effet.
Maintenant que votre instance a été jointe au domaine, vous pouvez vous connecter à cette instance àdistance et installer les utilitaires pour gérer l'annuaire, comme ajouter des utilisateurs et des groupes.
Version 1.0231
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
Joignez de manière transparente une instance EC2 Linux à votreSimple AD RépertoireCette procédure joint de manière transparente une instance EC2 Linux à votre Simple AD répertoire.
Les distributions et les versions d'instance Linux suivantes sont prises en charge :
• AMI Amazon Linux 2018.03.0• Amazon Linux 2 (64 bits x86)• Red Hat Enterprise Linux 8 (HVM) (64 bits x86)• Ubuntu Server 18.04 LTS et Ubuntu Server 16.04 LTS• CentOS 7 x86-64• SUSE Linux Enterprise Server 15 SP1
Note
Les distributions antérieures à Ubuntu 14 et Red Hat Enterprise Linux 7 ne prennent pas encharge la fonction de jonction de domaines en toute transparence.
Prerequisites
Pour pouvoir configurer la jointure transparente de domaine à une instance EC2 Linux, vous devezeffectuer les procédures décrites dans cette section.
Sélectionnez votre compte de service de jointure de domaine transparent
Vous pouvez facilement joindre des ordinateurs Linux à votre Simple AD domaine. Pour ce faire, vousdevez créer un compte utilisateur avec les autorisations de créer un compte d’ordinateur pour joindreles ordinateurs au domaine. Bien que les membres du Administrateurs de domaine ou d’autres groupespeuvent avoir des privilèges suffisants pour joindre des ordinateurs au domaine, nous ne recommandonspas ce. À titre de bonne pratique, nous vous recommandons d’utiliser un compte de service qui disposedes privilèges minimum nécessaires pour joindre les ordinateurs au domaine.
Pour plus d’informations sur la façon de traiter et de déléguer des autorisations à votre compte deservice pour la création d’un compte d’ordinateur, consultez Délégation de privilèges à votre compte deservice (p. 183).
Créer les secrets pour stocker le compte de service de domaine
Vous pouvez utiliser AWS Secrets Manager pour stocker le compte de service de domaine.
Pour créer des secrets et stocker les informations du compte de service de domaine
1. Connectez-vous à AWS Management Console et ouvrez la console AWS Secrets Manager à l'adressehttps://console.aws.amazon.com/secretsmanager/.
2. Choisissez Store a new secret (Stocker un nouveau secret).3. Sur la page Stocker un nouveau secret, procédez comme suit :
a. Pour Select secret type (Sélectionner un type de secret), choisissez Other type of secrets (Autretype de secrets).
b. Sous Specify the key/value pairs to be stored in the secret (Spécifier les paires clé/valeur àstocker dans le secret), procédez comme suit :
i. Dans la première zone, saisissez awsSeamlessDomainUsername. Sur la même ligne, dansla zone suivante, entrez le nom d'utilisateur de votre compte de service. Par exemple, si vous
Version 1.0232
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
avez précédemment utilisé la commande PowerShell, le nom du compte de service seraitawsSeamlessDomain.
Note
Vous devez entrer exactement awsSeamlessDomainUsername. Assurez-vousde ne pas insérer d'espaces de début ou de fin. Sinon, la jonction de domaineéchouera.
ii. Choisissez Add row (Ajouter une ligne).iii. Sur la nouvelle ligne, dans la première zone, entrez awsSeamlessDomainPassword. Sur la
même ligne, dans la zone suivante, entrez le mot de passe de votre compte de service.
Note
Vous devez entrer exactement awsSeamlessDomainPassword. Assurez-vousde ne pas insérer d'espaces de début ou de fin. Sinon, la jonction de domaineéchouera.
iv. Sous Sélectionner la clé de chiffrement, choisissez DefaultenCryptionKey dans le menu.Secrets Manager chiffre toujours le secret lorsque vous choisissez cette option, et vous lefournit sans frais supplémentaires. Vous pouvez également choisir une clé que vous avezcréée.
v. Choisissez Suivant.4. Sous Nom secret, entrez un nom secret qui inclut votre ID de répertoire au format aws/directory-
services/d-xxxxxxxxx/seamless-domain-join. Cela sera utilisé pour récupérer des secretsdans l'application.
Note
Vous devez entrer exactement aws/directory-services/d-xxxxxxxxx/seamless-domain-join, mais remplacez d-xxxxxxxxxx par votre ID de répertoire. Assurez-vous dene pas insérer d'espaces de début ou de fin. Sinon, la jonction de domaine échouera.
5. Laissez tout le reste défini sur les valeurs par défaut, puis choisissez Suivant.6. Sous Configurer la rotation automatique, choisissez Désactiver la rotation automatique, puis choisissez
Suivant.7. Passez en revue les paramètres, puis choisissez Enregistrer pour enregistrer vos modifications. La
console Secrets Manager revient à la liste des secrets de votre compte. Votre nouveau secret estdésormais inclus dans la liste.
8. Choisissez votre nom secret nouvellement créé dans la liste et prenez note de la valeur de ARN dusecret. Vous en aurez besoin à la section suivante.
Créez la stratégie et le rôle IAM requis.
Utilisez les étapes préalables suivantes pour créer une stratégie personnalisée autorisant l'accès en lectureseule à votre secret de jonction de domaine Secrets Manager en toute transparence (créé précédemment)et créer un nouveau rôle IAM LinuxEC2DomainJoin.
Créer la stratégie de lecture IAM Secrets Manager
Utilisez la console IAM pour créer une stratégie qui accorde un accès en lecture seule à votre secretSecrets Manager.
Pour créer la stratégie de lecture IAM Secrets Manager
1. Connectez-vous à AWS Management Console en tant qu'utilisateur autorisé à créer des stratégiesIAM. Ouvrez ensuite la console IAM à l'adresse https://console.aws.amazon.com/iam/.
2. Dans le panneau de navigation, choisissez Stratégies.
Version 1.0233
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
3. Choisissez Créer une stratégie.4. Choisissez l'onglet JSON et copiez le texte du document de stratégie JSON suivant. Ensuite, collez-le
dans la zone de texte JSON.
Note
Assurez-vous de remplacer l'ARN de Resource par l'ARN réel du secret que vous avez crééprécédemment.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Resource": [ "arn:aws:secretsmanager:us-east-1:############:secret:aws/directory-service/d-xxxxxxxxxx/seamless-domain-join-example" ] } ]}
5. Lorsque vous avez terminé, choisissez Examiner une stratégie. Le programme de validation desstratégies signale les éventuelles erreurs de syntaxe.
6. Sur la page Vérifier la stratégie entrez un nom de stratégie, tel que SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read. Consultez la section Récapitulatif pour voir les autorisations accordées par votrestratégie. Sélectionnez ensuite Créer une stratégie pour enregistrer vos modifications. La nouvellestratégie s'affiche dans la liste des stratégies gérées et est désormais prête à être attachée à uneidentité.
Note
Nous vous recommandons de créer une stratégie par secret. Cela garantit que les instances n'ontaccès qu'au secret approprié et minimise l'impact si une instance est compromise.
Créer le rôle LinuxEC2DomainJoin
Vous utilisez la console IAM pour créer le rôle que vous utiliserez pour joindre le domaine à votre instanceLinux EC2.
Pour créer le rôle LinuxEC2DomainJoin
1. Connectez-vous à AWS Management Console en tant qu'utilisateur autorisé à créer des stratégiesIAM. Ouvrez ensuite la console IAM à l'adresse https://console.aws.amazon.com/iam/.
2. Dans le panneau de navigation, choisissez Rôles.3. Dans le volet de contenu, choisissez Create role (Créer un rôle).4. Sous Select type of trusted entity (Sélectionner un type d'entité de confiance), choisissez AWS service
(Service AWS).5. Sous Choose a use case (Choisir un cas d'utilisation), sélectionnez EC2, puis Next: Permissions
(Suivant : Autorisations).6. Pour Filtrer les stratégies, procédez comme suit :
a. Saisissez AmazonSSMManagedInstanceCore. Sélectionnez ensuite la case à cochercorrespondant à cet élément dans la liste.
Version 1.0234
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
b. Saisissez AmazonSSMDirectoryServiceAccess. Sélectionnez ensuite la case à cochercorrespondant à cet élément dans la liste.
c. Entrez SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read (ou le nom de la stratégie que vous avezcréée au cours de la procédure précédente). Sélectionnez ensuite la case à cocher correspondantà cet élément dans la liste.
Note
AmazonSSMDirectoryServiceAccess fournit les autorisations nécessaires pourjoindre des instances à un domaine Active Directory géré par AWS Directory Service.AmazonSSMManagedInstanceCore fournit les autorisations minimales nécessaires pourpouvoir utiliser le service AWS Systems Manager. Pour plus d'informations sur la créationd'un rôle avec ces autorisations, et sur les autres autorisations et stratégies que vous pouvezaffecter à votre rôle IAM, veuillez consulter Créer un profil d'instance IAM pour SystemsManager dans le Guide de l'utilisateur AWS Systems Manager.
7. Choisissez Next: Tags (Suivant : Balises).8. (Facultatif) Ajoutez une ou plusieurs paires clé-valeur de balise afin d'organiser, de suivre ou de
contrôler l'accès pour ce rôle. Choisissez ensuite Next: Review.9. En regarde de Nom du rôle, entrez un nom pour votre nouveau rôle, par exemple
LinuxEC2DomainJoin ou autre, en fonction de vos préférences.10. (Facultatif) Pour Description du rôle, entrez une description.11. Sélectionnez Créer un rôle.
Rejoignez votre instance EC2 Linux en toute transparence
Maintenant que vous avez configuré toutes les tâches préalables, vous pouvez utiliser la procéduresuivante pour rejoindre en toute transparente votre instance Linux EC2.
Pour rejoindre en toute transparence votre instance Linux EC2
1. Connectez-vous à AWS Management Console et ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.
2. Dans le sélecteur de région de la barre de navigation, choisissez la même région que l'annuaireexistant.
3. Choisissez Launch Instances.4. Sur la page Étape 1 choisissez Sélectionner pour l'image Amazon Machine (AMI) appropriée.
Note
L'AMI utilisée doit disposer de l'agent SSM AWS Systems Manager version 2.3.1644.0 ouultérieure. Pour vérifier la version de l'agent SSM installée dans votre AMI en lançant uneinstance à partir de cette AMI, consultez Pour obtenir la version de l'agent SSM actuellementinstallée. Si vous devez mettre à niveau l'agent SSM, veuillez consulter Installation etconfiguration de l'agent SSM sur des instances EC2 pour Linux.
5. Sur la page Étape 2, sélectionnez le type d'instance approprié, puis choisissez Suivant : Configurer lesdétails d'instance.
6. Sur la page Étape 3, effectuez les étapes suivantes, puis choisissez Suivant : Ajouter le stockage :
a. Pour Réseau, choisissez le VPC dans lequel votre annuaire a été créé.b. Pour Sous-réseau, choisissez l'un des sous-réseaux publics dans votre VPC. Le sous-réseau
que vous choisissez doit avoir tout le trafic externe acheminé vers une passerelle Internet. Le caséchéant, vous ne pourrez pas vous connecter à l'instance à distance.
Version 1.0235
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
c. Pour Attribuer automatiquement l'adresse IP publique, choisissez Activer. Pour plus d'informationssur les adresses IP publiques et privées, veuillez consulter Adressage IP des instances AmazonEC2 dans le Guide de l'utilisateur Amazon EC2 pour les instances Windows.
d. Pour Répertoire de jonction de domaines, choisissez votre domaine dans la liste.e. Pour Rôle IAM, choisissez le rôle IAM que vous avez précédemment créé dans la section des
conditions préalables Étape 2 : Créer le rôle LinuxEC2DomainJoin.7. Sur les pages Étape 4 et Étape 5, conservez les paramètres par défaut ou modifiez-les si nécessaire.
Choisissez Suivant sur chacune d'elles.8. Dans la page Étape 6 sélectionnez un groupe de sécurité qui a été configuré pour autoriser l'accès
distant à l'instance à partir de votre réseau. Ensuite, choisissez Vérifier et lancer.9. Sur la page Étape 7, choisissez Lancer, sélectionnez une paire de clés, puis choisissez Lancer une
instance.
Note
Si vous effectuez une jonction de domaines en toute transparence avec SUSE Linux, unredémarrage est nécessaire avant que les authentifications ne fonctionnent. Pour redémarrerSUSE à partir du terminal Linux, tapez sudo reboot.
Jonction manuelle d'une instance LinuxOutre les instances Windows Amazon EC2 , vous pouvez également joindre certaines instances LinuxAmazon EC2 à votre annuaire Simple AD. Les distributions et les versions d'instance Linux suivantes sontprises en charge :
• Amazon Linux AMI 2018.03.0• Amazon Linux 2 (64-bit x86)• Red Hat Enterprise Linux 8 (HVM) (64-bit x86)• Ubuntu Server 18.04 LTS & Ubuntu Server 16.04 LTS• CentOS 7 x86-64• SUSE Linux Enterprise Server 15 SP1
Note
Other Linux distributions and versions may work but have not been tested.
Joindre une instance à votre annuaire
Before you can join either an Amazon Linux, CentOS, Red Hat, or Ubuntu instance to your directory, theinstance must first be launched as specified in Jonction facile d'une instance EC2 Windows (p. 70).
Important
Some of the following procedures, if not performed correctly, can render your instanceunreachable or unusable. Therefore, we strongly suggest you make a backup or take a snapshotof your instance before performing these procedures.
Pour joindre une instance Linux à votre annuaire
Suivez les étapes pour votre instance Linux spécifique à l'aide de l'un des onglets suivants :
Amazon Linux
Version 1.0236
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
1. Connectez-vous à l'instance à l'aide d'un client SSH.2. Configurez l'instance Linux pour utiliser les adresses IP de serveur DNS des serveurs DNS fournis
par AWS Directory Service. Pour cela, vous pouvez la configurer dans le jeu d'options DHCP lié auVPC ou la définir manuellement sur l'instance. Si vous souhaitez la définir manuellement, consultezComment attribuer un serveur DNS statique à une instance privée Amazon EC2 dans le Centre deconnaissances AWS pour obtenir des conseils sur la configuration du serveur DNS persistant pourvotre distribution et votre version particulières de Linux.
3. Assurez-vous que l'instance Amazon Linux - 64 bits est à jour.
sudo yum -y update
4. Installez les packages Amazon Linux obligatoires sur votre instance Linux.
Note
Certains de ces packages peuvent être déjà installés.Au fur et à mesure que vous installez les packages, plusieurs fenêtres de configurationcontextuelles peuvent apparaître. Vous pouvez généralement laisser les champs de cesécrans vides.
Amazon Linux 1
sudo yum -y install sssd realmd krb5-workstation
Amazon Linux 2
sudo yum -y install sssd realmd krb5-workstation samba-common-tools
Note
Pour obtenir de l'aide pour déterminer la version d'Amazon Linux que vous utilisez,consultez Identification des images Amazon Linux dans le Guide de l'utilisateur pour lesinstances Linux Amazon EC2.
5. Joignez l'instance à l'annuaire avec la commande suivante.
sudo realm join -U [email protected] example.com --verbose
Compte du domaine example.com disposant des privilèges de jonction de domaine. À l'invite,saisissez le mot de passe du compte. Pour obtenir plus d'informations sur la délégation deces privilèges, consultez Délégation des privilèges de jonction d'annuaire pour AWS ManagedMicrosoft AD (p. 89).
example.com
Nom DNS complet de votre annuaire.
... * Successfully enrolled machine in realm
6. Définissez le service SSH pour permettre l'authentification du mot de passe.a. Ouvrez le fichier /etc/ssh/sshd_config dans un éditeur de texte.
sudo vi /etc/ssh/sshd_config
b. Définissez le paramètre PasswordAuthentication sur yes.Version 1.0
237
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
PasswordAuthentication yes
c. Redémarrez le service SSH.
sudo systemctl restart sshd.service
Autrement :
sudo service sshd restart
7. After the instance has restarted, connect to it with any SSH client and add the domain admins groupto the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
## Add the "Domain Admins" group from the example.com domain.%Domain\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
CentOS
1. Connectez-vous à l'instance à l'aide d'un client SSH.2. Configurez l'instance Linux pour utiliser les adresses IP de serveur DNS des serveurs DNS fournis
par AWS Directory Service. Pour cela, vous pouvez la configurer dans le jeu d'options DHCP lié auVPC ou la définir manuellement sur l'instance. Si vous souhaitez la définir manuellement, consultezComment attribuer un serveur DNS statique à une instance privée Amazon EC2 dans le Centre deconnaissances AWS pour obtenir des conseils sur la configuration du serveur DNS persistant pourvotre distribution et votre version particulières de Linux.
3. Assurez-vous que l'instance CentOS 7 est à jour.
sudo yum -y update
4. Installez les packages CentOS 7 obligatoires sur votre instance Linux.
Note
Certains de ces packages peuvent être déjà installés.Au fur et à mesure que vous installez les packages, plusieurs fenêtres de configurationcontextuelles peuvent apparaître. Vous pouvez généralement laisser les champs de cesécrans vides.
sudo yum -y install sssd realmd krb5-workstation samba-common-tools
5. Joignez l'instance à l'annuaire avec la commande suivante.
sudo realm join -U [email protected] example.com --verbose
Version 1.0238
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
Compte du domaine example.com disposant des privilèges de jonction de domaine. À l'invite,saisissez le mot de passe du compte. Pour obtenir plus d'informations sur la délégation deces privilèges, consultez Délégation des privilèges de jonction d'annuaire pour AWS ManagedMicrosoft AD (p. 89).
example.com
Nom DNS complet de votre annuaire.
... * Successfully enrolled machine in realm
6. Définissez le service SSH pour permettre l'authentification du mot de passe.a. Ouvrez le fichier /etc/ssh/sshd_config dans un éditeur de texte.
sudo vi /etc/ssh/sshd_config
b. Définissez le paramètre PasswordAuthentication sur yes.
PasswordAuthentication yes
c. Redémarrez le service SSH.
sudo systemctl restart sshd.service
Autrement :
sudo service sshd restart
7. After the instance has restarted, connect to it with any SSH client and add the domain admins groupto the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
## Add the "Domain Admins" group from the example.com domain.%Domain\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
Red Hat
1. Connectez-vous à l'instance à l'aide d'un client SSH.2. Configurez l'instance Linux pour utiliser les adresses IP de serveur DNS des serveurs DNS fournis
par AWS Directory Service. Pour cela, vous pouvez la configurer dans le jeu d'options DHCP lié auVPC ou la définir manuellement sur l'instance. Si vous souhaitez la définir manuellement, consultezComment attribuer un serveur DNS statique à une instance privée Amazon EC2 dans le Centre deconnaissances AWS pour obtenir des conseils sur la configuration du serveur DNS persistant pourvotre distribution et votre version particulières de Linux.Version 1.0
239
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
3. Assurez-vous que l'instance Red Hat - 64 bits est à jour.
sudo yum -y update
4. Installez les packages Red Hat obligatoires sur votre instance Linux.
Note
Certains de ces packages peuvent être déjà installés.Au fur et à mesure que vous installez les packages, plusieurs fenêtres de configurationcontextuelles peuvent apparaître. Vous pouvez généralement laisser les champs de cesécrans vides.
sudo yum -y install sssd realmd krb5-workstation samba-common-tools
5. Joignez l'instance à l'annuaire avec la commande suivante.
sudo realm join -v -U join_account example.com --install=/
join_account
Le sAMAccountName d'un compte dans le domaine example.com qui dispose de privilègesde jointure de domaine. À l'invite, saisissez le mot de passe du compte. Pour obtenir plusd'informations sur la délégation de ces privilèges, consultez Délégation des privilèges dejonction d'annuaire pour AWS Managed Microsoft AD (p. 89).
example.com
Nom DNS complet de votre annuaire.
... * Successfully enrolled machine in realm
6. Définissez le service SSH pour permettre l'authentification du mot de passe.a. Ouvrez le fichier /etc/ssh/sshd_config dans un éditeur de texte.
sudo vi /etc/ssh/sshd_config
b. Définissez le paramètre PasswordAuthentication sur yes.
PasswordAuthentication yes
c. Redémarrez le service SSH.
sudo systemctl restart sshd.service
Autrement :
sudo service sshd restart
7. After the instance has restarted, connect to it with any SSH client and add the domain admins groupto the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
sudo visudo
b. Add the following to the bottom of the sudoers file and save it.Version 1.0240
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
## Add the "Domain Admins" group from the example.com domain.%Domain\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
Ubuntu
1. Connectez-vous à l'instance à l'aide d'un client SSH.2. Configurez l'instance Linux pour utiliser les adresses IP de serveur DNS des serveurs DNS fournis
par AWS Directory Service. Pour cela, vous pouvez la configurer dans le jeu d'options DHCP lié auVPC ou la définir manuellement sur l'instance. Si vous souhaitez la définir manuellement, consultezComment attribuer un serveur DNS statique à une instance privée Amazon EC2 dans le Centre deconnaissances AWS pour obtenir des conseils sur la configuration du serveur DNS persistant pourvotre distribution et votre version particulières de Linux.
3. Assurez-vous que l'instance Ubuntu - 64 bits est à jour.
sudo apt-get updatesudo apt-get -y upgrade
4. Installez les packages Ubuntu obligatoires sur votre instance Linux.
Note
Certains de ces packages peuvent être déjà installés.Au fur et à mesure que vous installez les packages, plusieurs fenêtres de configurationcontextuelles peuvent apparaître. Vous pouvez généralement laisser les champs de cesécrans vides.
sudo apt-get -y install sssd realmd krb5-user samba-common packagekit adcli
5. Désactivez la résolution DNS inversée et définissez le domaine par défaut sur le nom de domainecomplet de votre domaine. Les instances Ubuntu doivent pouvoir faire l'objet d'une résolutioninverse dans le DNS pour qu'un domaine puisse fonctionner. Sinon, vous devez désactiver larésolutions DNS inverse dans /etc/krb5.conf de la façon suivante :
sudo vi /etc/krb5.conf
[libdefaults] default_realm = EXAMPLE.COM rdns = false
6. Joignez l'instance à l'annuaire avec la commande suivante.
sudo realm join -U join_account example.com --verbose
Le sAMAccountName d'un compte dans le domaine example.com qui dispose de privilègesde jointure de domaine. À l'invite, saisissez le mot de passe du compte. Pour obtenir plusd'informations sur la délégation de ces privilèges, consultez Délégation des privilèges dejonction d'annuaire pour AWS Managed Microsoft AD (p. 89).
Version 1.0241
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
example.com
Nom DNS complet de votre annuaire.
... * Successfully enrolled machine in realm
7. Définissez le service SSH pour permettre l'authentification du mot de passe.a. Ouvrez le fichier /etc/ssh/sshd_config dans un éditeur de texte.
sudo vi /etc/ssh/sshd_config
b. Définissez le paramètre PasswordAuthentication sur yes.
PasswordAuthentication yes
c. Redémarrez le service SSH.
sudo systemctl restart sshd.service
Autrement :
sudo service sshd restart
8. After the instance has restarted, connect to it with any SSH client and add the domain admins groupto the sudoers list by performing the following steps:a. Open the sudoers file with the following command:
sudo visudo
b. Add the following to the bottom of the sudoers file and save it.
## Add the "Domain Admins" group from the example.com domain.%Domain\ [email protected] ALL=(ALL:ALL) ALL
(The above example uses "\<space>" to create the Linux space character.)
Note
Lorsque vous utilisez Simple AD, si vous créez un compte d’utilisateur sur une instance Linuxavec l’option « Forcer l’utilisateur à modifier le mot de passe lors de la première connexion », cetutilisateur ne sera pas en mesure de modifier initialement son mot de passe à l’aide de kpasswd.Pour modifier le mot de passe la première fois, un administrateur de domaine doit mettre à jour lemot de passe utilisateur à l’aide des outils de gestion Active Directory.
Gérer des comptes à partir d'une instance LinuxPour gérer des comptes dans Simple AD à partir d'une instance Linux, vous devez mettre à jour desfichiers de configuration spécifiques sur votre instance Linux comme suit :
1. Définissez krb5_use_kdcinfo sur False dans le fichier /etc/sssd/sssd.conf. Exemple :
[domain/example.com] krb5_use_kdcinfo = False
Version 1.0242
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
2. Pour que la configuration soit appliquée, vous devez redémarrer le service sssd :
$ sudo systemctl restart sssd.service
Vous pouvez également utiliser :
$ sudo service sssd start
3. Si vous allez gérer des utilisateurs à partir d’un CentOS une instance Linux, vous devez égalementmodifier le fichier /etc/smb.conf pour inclure :
[global] workgroup = EXAMPLE.COM realm = EXAMPLE.COM netbios name = EXAMPLE security = ads
Restriction de l'accès de connexion à un compte
Comme tous les comptes sont définis dans Active Directory, par défaut, tous les utilisateurs de l'annuairepeuvent se connecter à l'instance. Vous pouvez autoriser uniquement certains utilisateurs à se connecter àl'instance à l'aide de la commande ad_access_filterdans sssd.conf. Par exemple :
ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
memberOf
Indique que les utilisateurs ne peuvent accéder qu'à l'instance s'ils sont membres d'un groupespécifique.
cn
Nom canonique du groupe disposant d'un accès. Dans cet exemple, le nom du groupe est admins.ou
Il s'agit de l'unité d'organisation dans laquelle se trouve le groupe ci-dessus. Dans cet exemple, l'unitéd'organisation est Testou.
dc
Il s'agit du composant de domaine de votre domaine. Dans cet exemple, example.dc
Il s'agit d'un composant de domaine supplémentaire. Dans cet exemple, com.
Vous devez ajouter manuellement ad_access_filter à votre /etc/sssd/sssd.conf.
Ouvrez le fichier /etc/sssd/sssd.conf dans un éditeur de texte.
sudo vi /etc/sssd/sssd.conf
Une fois l'opération effectuée, votre commande sssd.conf pourrait ressembler à ce qui suit :
[sssd]
Version 1.0243
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
domains = example.comconfig_file_version = 2 services = nss, pam
[domain/example.com] ad_domain = example.com krb5_realm = EXAMPLE.COM realmd_tags = manages-system joined-with-samba cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True use_fully_qualified_names = True fallback_homedir = /home/%u@%d access_provider = ad ad_access_filter = (memberOf=cn=admins,ou=Testou,dc=example,dc=com)
Pour que la configuration soit appliquée, vous devez redémarrer le service sssd :
sudo systemctl restart sssd.service
Vous pouvez également utiliser :
sudo service sssd start
Connexion à l'instance
Lorsqu'un utilisateur se connecte à l'instance à l'aide d'un client SSH, il est invité à indiquer son nomd'utilisateur. L'utilisateur peut entrer le nom d'utilisateur au format [email protected] ou au formatEXAMPLE\username. La réponse apparaîtra similaire à la suivante, selon la distribution Linux que vousutilisez :
Amazon Linux, Red Hat Enterprise Linux et CentOS Linux
login as: [email protected]@example.com's password:Last login: Thu Jun 25 16:26:28 2015 from XX.XX.XX.XX
SUSE Linux
SUSE Linux Enterprise Server 15 SP1 x86_64 (64-bit) As "root" (sudo or sudo -i) use the: - zypper command for package management - yast command for configuration management Management and Config: https://www.suse.com/suse-in-the-cloud-basicsDocumentation: https://www.suse.com/documentation/sles-15/Forum: https://forums.suse.com/forumdisplay.php?93-SUSE-Public-Cloud Have a lot of fun...
Ubuntu Linux
login as: [email protected]@[email protected]'s password:
Version 1.0244
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
Welcome to Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-1057-aws x86_64) * Documentation: https://help.ubuntu.com* Management: https://landscape.canonical.com* Support: https://ubuntu.com/advantage System information as of Sat Apr 18 22:03:35 UTC 2020 System load: 0.01 Processes: 102 Usage of /: 18.6% of 7.69GB Users logged in: 2 Memory usage: 16% IP address for eth0: 10.24.34.1 Swap usage: 0%
Délégation des privilèges de jonction d'annuaire pour Simple ADPour joindre un ordinateur à votre annuaire, vous devez disposer d'un compte doté des privilèges dejonction des ordinateurs à l'annuaire.
Avec Simple AD, les membres du groupe Domain Adminsont les privilèges nécessaires pour joindre lesordinateurs à l'annuaire.
Cependant, en tant que bonne pratique, vous devez utiliser un compte disposant uniquement des privilègesminimum nécessaires. La procédure suivante montre comment créer un nouveau groupe appelé Joinerset déléguer les privilèges à ce groupe qui sont nécessaires pour joindre des ordinateurs à l'annuaire.
Vous devez effectuer cette procédure sur un ordinateur qui est joint à votre annuaire et qui a le Utilisateurset ordinateurs Active Directory Encliquetage MMC installé. Vous devez également être connecté en tantqu'administrateur de domaine.
Pour déléguer les privilèges de jonction pour Simple AD
1. Ouvrez Utilisateurs et ordinateurs Active Directory, puis sélectionnez votre domaine dansl'arborescence de navigation.
2. Dans l'arborescence de navigation de gauche, ouvrez le menu contextuel (clic droit) Utilisateurs,choisissez Nouveau, puis Groupe.
3. Dans la zone Nouvel objet - groupe, saisissez ce qui suit et choisissez OK.
• Pour Nom du groupe, tapez Joiners.• Pour Étendue du groupe, choisissez Global.• Pour Type de groupe, choisissez Sécurité.
4. Dans l'arborescence de navigation, sélectionnez la racine de votre domaine. A partir du menu Action,choisissez Déléguer le contrôle.
5. Sur la page Delegation of Control Wizard, choisissez Next, puis choisissez Add.6. Dans la zone Select Users, Computers, or Groups, saisissez Joiners, puis choisissez OK. Si vous
trouvez plusieurs objets, sélectionnez le groupe Joiners créé précédemment. Choisissez Next(Suivant).
7. Sur la page Tâches à déléguer, sélectionnez Créer une tâche personnalisée à déléguer, puischoisissez Suivant.
8. Sélectionnez Only the following objects in the folder, puis Computer objects.9. Sélectionnez Créer les objets sélectionnés dans ce dossier et Supprimer les objets sélectionnés dans
ce dossier. Sélectionnez ensuite Next (Suivant).
Version 1.0245
AWS Directory Service Guide d'administrationJonction d'une instance EC2 à votre annuaire
10. Sélectionnez Lecture et Ecriture, puis choisissez Suivant.
11. Vérifiez les informations de la page Fin de l'Assistant Délégation de contrôle, puis choisissez Terminer.12. Créez un utilisateur avec un mot de passe fort et ajoutez-le au groupe Joiners. L'utilisateur aura
alors les privilèges nécessaires pour connecter AWS Directory Service à l'annuaire.
Création d'un jeu d'options DHCPAWS recommande de créer un jeu d'options DHCP pour votre annuaire AWS Directory Service et del'affecter au VPC dans lequel figure votre annuaire. Cela permet à toutes les instances de ce VPC depointer vers le domaine et les serveurs DNS spécifiés pour résoudre leurs noms de domaine.
Pour plus d'informations sur les jeux d'options DHCP, consultez Jeux d'options DHCP dans le AmazonVPC Guide de l'utilisateur.
Pour créer un jeu d'options DHCP défini pour votre annuaire
1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le panneau de navigation, choisissez DHCP Options Sets, puis sélectionnez Create DHCP
options set.3. Sur la page Créer un jeu d'options DHCP, entrez les valeurs suivantes pour votre annuaire :
Version 1.0246
AWS Directory Service Guide d'administrationMaintenance de votre annuaire
Nom
Balise facultative pour le jeu d'options.Nom de domaine
Nom complet de votre annuaire, par exemple corp.example.com.Serveurs de noms de domaine
Adresses IP des serveurs DNS de l'annuaire fourni par AWS.
Note
Vous pouvez trouver ces adresses en accédant au panneau de navigation de la AWSDirectory Service console, en sélectionnant Directories (Annuaires), puis en choisissantl'ID de l'annuaire approprié.
Serveurs NTP
Laissez ce champ vide.Serveurs de noms NetBIOS
Laissez ce champ vide.Type de nœud NetBIOS
Laissez ce champ vide.4. Choisissez Créer un jeu d'options DHCP. Le nouveau jeu d'options DHCP apparaît dans votre liste
d'options DHCP.5. Notez l'ID du nouveau jeu d'options DHCP (dopt-xxxxxxxx). Vous l'utiliserez pour associer le
nouveau jeu d'options à votre VPC.
Modifier le jeu d'options DHCP associé à un VPC
Vous ne pouvez pas modifier un jeu d'options DHCP après l'avoir créé. Si vous voulez que votre VPCutilise un jeu différent d'options DHCP, vous devez créer un nouveau jeu et l'associer à votre VPC. Vouspouvez également configurer votre VPC pour ne pas utiliser d'options DHCP du tout.
1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le panneau de navigation, choisissez Vos VPC.3. Sélectionnez le VPC, puis choisissez Actions, Modifier le jeu d'options DHCP.4. Pour Jeu d'options DHCP, sélectionnez un jeu d'options ou choisissez Pas de jeu d'options DHCP,
puis Enregistrer.
Maintenance de votre annuaire Simple ADCette section décrit comment assurer la gestion des tâches administratives courantes pour votreenvironnement Simple AD.
Rubriques• Suppression de votre annuaire (p. 248)• Création d'un instantané ou d'une restauration de votre annuaire (p. 249)• Affichage des informations d'annuaire (p. 250)
Version 1.0247
AWS Directory Service Guide d'administrationMaintenance de votre annuaire
Suppression de votre annuaireWhen a Simple AD or AWS Directory Service for Microsoft Active Directory directory is deleted, all ofthe directory data and snapshots are deleted and cannot be recovered. After the directory is deleted, allinstances that are joined to the directory remain intact. You cannot, however, use your directory credentialsto log in to these instances. You need to log in to these instances with a user account that is local to theinstance.
When an AD Connector directory is deleted, your on-premises directory remains intact. All instances thatare joined to the directory also remain intact and remain joined to your on-premises directory. You can stilluse your directory credentials to log in to these instances.
To delete a directory
1. In the AWS Directory Service console navigation pane, select Directories.2. Ensure that no AWS applications are enabled for the directory.
a. On the Directories page, choose your directory ID.b. On the Directory details page, select the Application management tab. In the AWS apps &
services section, you see which AWS applications are enabled for your directory.
• To disable Amazon WorkSpaces, you must deregister the service from the directory in theAmazon WorkSpaces console. For more information, see Deregistering From a Directory in theAmazon WorkSpaces Administration Guide.
• To disable Amazon WorkSpaces Application Manager, you must remove all applicationassignments in the Amazon WAM console. For more information, see Removing All ApplicationAssignments in the Amazon WAM Administration Guide.
• To disable Amazon WorkDocs, you must delete the Amazon WorkDocs site in the AmazonWorkDocs console. For more information, see Delete a Site in the Amazon WorkDocs Guided'administration.
• To disable Amazon WorkMail, you must remove the Amazon WorkMail organization in theAmazon WorkMail console. For more information, see Remove an Organization in the AmazonWorkMail Administrator Guide.
• Disable AWS Management Console access.• To disable Amazon Relational Database Service, you must remove the Amazon RDS instance
from the domain. For more information, see Managing a DB Instance in a Domain in theAmazon RDS Guide de l'utilisateur.
• To disable Amazon QuickSight, you must unsubscribe from Amazon QuickSight. For moreinformation, see Closing Your Amazon QuickSight Account in the Amazon QuickSight UserGuide.
• To disable Amazon Connect, you must delete the Amazon Connect Instance. For moreinformation, see Deleting an Amazon Connect Instance in the Amazon Connect AdministrationGuide.
• To disable Amazon FSx for Windows File Server, you must remove the Amazon FSx file systemfrom the domain. For more information, see Working with Active Directory in Amazon FSx forWindows File Server in the Guide de l'utilisateur Amazon FSx for Windows File Server.
Note
If you are using AWS Single Sign-On and have previously connected it to the AWSManaged Microsoft AD directory you plan to delete, you must first disconnect thedirectory from AWS SSO before you can delete it. For more information, see Disconnecta Directory in the AWS SSO User Guide.
3. In the navigation pane, choose Directories.
Version 1.0248
AWS Directory Service Guide d'administrationMaintenance de votre annuaire
4. Select only the directory to be deleted and click Delete. It takes several minutes for the directory to bedeleted. When the directory has been deleted, it is removed from your directory list.
Création d'un instantané ou d'une restauration de votre annuaireAWS Directory Service provides the ability to take manual snapshots of data for a Simple AD or AWSDirectory Service for Microsoft Active Directory directory. These snapshots can be used to perform a point-in-time restore for your directory.
Note
You cannot take snapshots of AD Connector directories.
Rubriques• Creating a Snapshot of Your Directory (p. 122)• Restoring Your Directory from a Snapshot (p. 123)• Deleting a Snapshot (p. 123)
Creating a Snapshot of Your Directory
A snapshot can be used to restore your directory to what it was at the point in time that the snapshot wastaken. To create a manual snapshot of your directory, perform the following steps.
Note
You are limited to 5 manual snapshots for each directory. If you have already reached this limit,you must delete one of your existing manual snapshots before you can create another.
To create a manual snapshot
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Maintenance tab.4. In the Snapshots section, choose Actions, and then select Create snapshot.5. In the Create directory snapshot dialog box, provide a name for the snapshot, if desired. When ready,
choose Create.
Depending on the size of your directory, it may take several minutes to create the snapshot. When thesnapshot is ready, the Status value changes to Completed.
Restoring Your Directory from a Snapshot
Restoring a directory from a snapshot is equivalent to moving the directory back in time. Directorysnapshots are unique to the directory they were created from. A snapshot can only be restored to thedirectory from which it was created. In addition, the maximum supported age of a manual snapshot is180 days. For more information, see Useful shelf life of a system-state backup of Active Directory on theMicrosoft website.
Warning
We recommend that you contact the AWS Support Center before any snapshot restore; we maybe able to help you avoid the need to do a snapshot restore. Any restore from snapshot can resultin data loss as they are a point in time. It is important you understand that all of the DCs and DNSservers associated with the directory will be offline until the restore operation has been completed.
Version 1.0249
AWS Directory Service Guide d'administrationActivation de l'accès aux applications et services AWS
To restore your directory from a snapshot, perform the following steps.
To restore a directory from a snapshot
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Maintenance tab.4. In the Snapshots section, select a snapshot in the list, choose Actions, and then select Restore
snapshot.5. Review the information in the Restore directory snapshot dialog box, and choose Restore.
For a Simple AD directory, it may take several minutes for the directory to be restored. For a AWSManaged Microsoft AD directory, it can take from two to three hours. When it has been successfullyrestored, the Status value of the directory changes to Active. Any changes made to the directory after thesnapshot date are overwritten.
Deleting a Snapshot
To delete a snapshot
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Maintenance tab.4. In the Snapshots section, choose Actions, and then select Delete snapshot.5. Verify that you want to delete the snapshot, and then choose Delete.
Affichage des informations d'annuaireYou can view detailed information about a directory.
To view detailed directory information
1. In the AWS Directory Service console navigation pane, select Directories.2. Click the directory ID link for your directory. Information about the directory is displayed in the Directory
details page.
For more information about the Status field, see Comprendre le statut de votre annuaire (p. 54).
Activation de l'accès aux applications et services AWSAWS Directory Service can give other AWS applications and services, such as Amazon WorkSpaces,access to your directory users. The following AWS applications and services can be enabled or disabled towork with AWS Directory Service.
AWS application / service More information...
Amazon Chime For more information, see the Amazon ChimeAdministration Guide.
Amazon Connect For more information, see the Amazon ConnectAdministration Guide.
Version 1.0250
AWS Directory Service Guide d'administrationActivation de l'accès aux applications et services AWS
AWS application / service More information...
Amazon FSx for Windows File Server For more information, see Using AmazonFSx with AWS Directory Service for MicrosoftActive Directory in the Amazon FSx forWindows File Server User Guide.
Amazon QuickSight For more information, see the Amazon QuickSightUser Guide.
Amazon Relational Database Service For more information, see the Amazon RDS Guidede l'utilisateur.
Amazon WorkDocs For more information, see the Amazon WorkDocsGuide d'administration.
Amazon WorkMail For more information, see the Amazon WorkMailAdministrator Guide.
Amazon WorkSpaces You can create a Simple AD, AWS ManagedMicrosoft AD, or AD Connector directly fromAmazon WorkSpaces. Simply launch AdvancedSetup when creating your Workspace.
For more information, see the AmazonWorkSpaces Administration Guide.
Amazon WorkSpaces Application Manager For more information, see the Amazon WAMAdministration Guide.
AWS Management Console For more information, see Activation de l'accès àAWS Management Console avec les informationsd'identification AD (p. 137).
Once enabled, you manage access to your directories in the console of the application or service that youwant to give access to your directory. To find the AWS applications and services links described above inthe AWS Directory Service console, perform the following steps.
To display the applications and services for a directory
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. Review the list under the AWS apps & services section.
Rubriques• Création d'une URL d'accès (p. 251)• Authentification unique (p. 252)
Création d'une URL d'accèsAn access URL is used with AWS applications and services, such as Amazon WorkSpaces, to reach alogin page that is associated with your directory. The URL must be unique globally. You can create anaccess URL for your directory by performing the following steps.
Version 1.0251
AWS Directory Service Guide d'administrationActivation de l'accès aux applications et services AWS
Warning
Once you create an application access URL for this directory, it cannot be changed. After anaccess URL is created, it cannot be used by others. If you delete your directory, the access URL isalso deleted and can then be used by any other account.
To create an access URL
1. In the AWS Directory Service console navigation pane, select Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. In the Application access URL section, if an access URL has not been assigned to the directory, the
Create button is displayed. Enter a directory alias and choose Create. If an Entity Already Exists erroris returned, the specified directory alias has already been allocated. Choose another alias and repeatthis procedure.
Your access URL is displayed in the format <alias>.awsapps.com.
Authentification uniqueAWS Directory Service vous donne la possibilité d'accorder à vos utilisateurs un accès à AmazonWorkDocs à partir d'un ordinateur joint à l'annuaire sans avoir à entrer leurs informations d'identificationséparément.
Avant d'activer l'authentification unique, vous devez prendre des mesures supplémentaires pour permettreaux navigateurs Web de vos utilisateurs de prendre en charge l'authentification unique. Les utilisateurspeuvent avoir besoin de modifier les paramètres de leur navigateur web pour activer l'authentificationunique.
Note
L'authentification unique fonctionne uniquement lorsqu'elle est utilisée sur un ordinateur qui estassocié à l'annuaire AWS Directory Service. Elle ne peut pas être utilisée sur les ordinateurs quine sont pas joints à l'annuaire.
Si votre annuaire est un annuaire AD Connector et que le compte de service AD Connector ne dispose pasde l'autorisation d'ajouter ou de supprimer son attribut de nom principal de service, vous disposez de deuxoptions pour les étapes 5 et 6 ci-dessous :
1. Vous pouvez continuer et vous serez invité à saisir le nom d'utilisateur et le mot de passe d'un utilisateurd'annuaire qui dispose de cette autorisation pour ajouter ou supprimer l'attribut de nom principal deservice sur le compte de service AD Connector. Ces informations d'identification ne sont utilisées quepour activer l'authentification unique et ne sont pas stockées par le service. Les autorisations du comptede service AD Connector ne sont pas modifiées.
2. Vous pouvez déléguer des autorisations pour autoriser le compte de service AD Connector à ajouter ousupprimer l'attribut de nom principal de service pour lui-même, vous pouvez exécuter les commandesPowerShell ci-dessous à partir d'un ordinateur joint à un domaine à l'aide d'un compte disposant desautorisations pour modifier celles sur le compte de service AD Connector. La commande ci-dessousdonnera au compte de service AD Connector la possibilité d'ajouter et de supprimer un attribut de nomprincipal de service uniquement pour lui-même.
$AccountName = 'ConnectorAccountName'# DO NOT modify anything below this comment.# Getting Active Directory information.
Version 1.0252
AWS Directory Service Guide d'administrationActivation de l'accès aux applications et services AWS
Import-Module 'ActiveDirectory'$RootDse = Get-ADRootDSE [System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID# Getting AD Connector service account Information.$AccountProperties = Get-ADUser -Identity $AccountName$AclPath = $AccountProperties.DistinguishedName$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value# Getting ACL settings for AD Connector service account.$ObjectAcl = Get-ACL -Path "AD:\$AclPath" # Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None'$ObjectAcl.AddAccessRule($AddAccessRule)Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
Pour activer ou désactiver l'authentification unique avec Amazon WorkDocs
1. Dans le volet de navigation AWS Directory Service console, sélectionnez Annuaires.2. Sur la page Directories (Annuaires), choisissez l'ID de votre annuaire.3. Sur la page Directory details (Détails de l'annuaire), sélectionnez l'onglet Application management
(Gestion d'applications).4. Dans la section Application access URL (URL d'accès à l'application), choisissez Activer pour activer
l'authentification unique pour Amazon WorkDocs.
Si vous ne voyez pas le bouton Activer, vous devez d'abord créer une URL d'accès pour pouvoirafficher cette option. Pour plus d'informations sur la création d'une URL d'accès, consultez Créationd'une URL d'accès (p. 129).
5. Dans la boîte de dialogue Enable Single Sign-On for this directory (Activer l'authentification uniquepour cet annuaire), choisissez Activer. L'authentification unique est activée pour l'annuaire.
6. Si vous souhaitez désactiver l'authentification unique avec Amazon WorkDocs, choisissez Désactiverpuis, dans la boîte de dialogue Disable Single Sign-On for this directory (Désactiver l'authentificationunique pour cet annuaire), choisissez à nouveau Désactiver.
Rubriques• Authentification unique pour IE et Chrome (p. 130)• Authentification unique pour Firefox (p. 136)
Authentification unique pour IE et Chrome
Pour permettre aux navigateurs Microsoft Internet Explorer (IE) et Google Chrome de prendre en chargel'authentification unique, les tâches suivantes doivent être exécutées sur l'ordinateur client :
• Ajoutez votre URL d'accès (par exemple, https://<alias>.awsapps.com) à la liste des sites approuvéspour l'authentification unique.
• Activez les scripts ASP (JavaScript).• Autorisez l'ouverture de session automatique.• Activez l'authentification intégrée.
Vous ou vos utilisateurs pouvez réaliser ces tâches manuellement ou vous pouvez modifier ces paramètresà l'aide des paramètres de stratégie de groupe.
Version 1.0253
AWS Directory Service Guide d'administrationActivation de l'accès aux applications et services AWS
Rubriques• Mise à jour manuelle pour l'authentification unique sous Windows (p. 131)• Mise à jour manuelle pour l'authentification unique sous OS X (p. 133)• Paramètres de stratégie de groupe pour l'authentification unique (p. 133)
Mise à jour manuelle pour l'authentification unique sous Windows
Pour autoriser manuellement l'authentification unique sur un ordinateur Windows, effectuez les opérationssuivantes sur l'ordinateur client. Certains de ces paramètres peuvent déjà être configurés correctement.
Pour activer manuellement l'authentification unique pour Internet Explorer et Chrome sousWindows
1. Pour ouvrir la boîte de dialogue Propriétés Internet, choisissez le menu Démarrer, tapez InternetOptions dans la zone de recherche, puis choisissez Options Internet.
2. Ajoutez votre URL d'accès à la liste des sites approuvés pour l'authentification unique en effectuant lesétapes suivantes :
a. Dans la boîte de dialogue Propriétés Internet, sélectionnez l'onglet Sécurité.b. Sélectionnez Intranet local, puis choisissez Sites.c. Dans la boîte de dialogue Intranet local, choisissez Avancé.d. Ajoutez votre URL d'accès à la liste des sites web et choisissez Fermer.e. Dans la boîte de dialogue Intranet local, choisissez OK.
3. Pour activer le script actif, effectuez les opérations suivantes :
a. Dans l'onglet Sécurité de la boîte de dialogue Propriétés Internet, choisissez Personnaliser leniveau.
b. Dans la boîte de dialogue Paramètres de sécurité - Zone intranet local, faites défiler l'écran jusqu'àScript, puis sélectionnez Activer sous Scripts ASP.
c. Dans la boîte de dialogue Paramètres de sécurité - Zone intranet local, choisissez OK.4. Pour activer la connexion automatique, effectuez les opérations suivantes :
a. Dans l'onglet Sécurité de la boîte de dialogue Propriétés Internet, choisissez Personnaliser leniveau.
Version 1.0254
AWS Directory Service Guide d'administrationActivation de l'accès aux applications et services AWS
b. Dans la boîte de dialogue Paramètres de sécurité - Zone intranet local, faites défiler l'écran jusqu'àAuthentification utilisateur, puis sélectionnez Connexion automatique uniquement dans la zoneintranet sous Connexion.
c. Dans la boîte de dialogue Paramètres de sécurité - Zone intranet local, choisissez OK.d. Dans la boîte de dialogue Paramètres de sécurité - Zone intranet local, choisissez OK.
5. Pour activer l'authentification intégrée, effectuez les étapes suivantes :
a. Dans la boîte de dialogue Propriétés Internet, sélectionnez l'onglet Avancé.b. Faites défiler l'écran jusqu'à Sécurité, puis sélectionnez Activer l'authentification Windows
intégrée.
c. Dans la boîte de dialogue Propriétés Internet, choisissez OK.6. Fermez et rouvrez votre navigateur pour que ces modifications prennent effet.
Version 1.0255
AWS Directory Service Guide d'administrationActivation de l'accès aux applications et services AWS
Mise à jour manuelle pour l'authentification unique sous OS X
Pour activer manuellement l'authentification unique pour Chrome sous OS X, effectuez les opérationssuivantes sur l'ordinateur client. Vous aurez besoin des droits d'administrateur sur votre ordinateur pourréaliser ces étapes.
Pour activer manuellement l'authentification unique pour Chrome sous OS X
1. Ajoutez votre URL d'accès à la stratégie AuthServerWhitelist en exécutant la commande suivante :
defaults write com.google.Chrome AuthServerWhitelist "https://<alias>.awsapps.com"
2. Ouvrez Préférences système, accédez au panneau Profils et supprimez le profil Chrome KerberosConfiguration.
3. Redémarrez Chrome et ouvrez chrome://policy dans Chrome afin de confirmer que les nouveauxparamètres sont activés.
Paramètres de stratégie de groupe pour l'authentification unique
L'administrateur de domaine peut implémenter des paramètres de stratégie de groupe pour appliquer lesmodifications d'authentification unique sur les ordinateurs clients qui sont joints au domaine.
Note
Si vous gérez les navigateurs web Chrome sur les ordinateurs de votre domaine avec desstratégies Chrome, vous devez ajouter votre URL d'accès à la stratégie AuthServerWhitelist. Pourde plus amples informations sur la définition des stratégies Chrome, veuillez consulter PolicySettings in Chrome.
Pour activer l'authentification unique pour Internet Explorer et Chrome à l'aide des paramètres destratégie de groupe
1. Créez un nouvel objet de stratégie de groupe en effectuant les étapes suivantes :
a. Ouvrez l'outil de gestion des stratégies de groupe, accédez à votre domaine et sélectionnezObjets de stratégie de groupe.
b. Dans le menu principal, choisissez Action, puis sélectionnez Nouveau.c. Dans la boîte de dialogue Nouvel objet GPO, entrez un nom descriptif pour l'objet de stratégie de
groupe, tel que SSO Policy, et laissez Objet GPO Starter source défini sur (aucun). Cliquez surOK.
2. Ajoutez l'URL d'accès à la liste des sites approuvés pour l'authentification unique en effectuant lesétapes suivantes :
a. Dans l'outil de gestion des stratégies de groupe, accédez à votre domaine, sélectionnez Objetsde stratégie de groupe, ouvrez le menu contextuel (clic droit) de votre stratégie d'authentificationunique, puis choisissez Modifier.
b. Dans l'arborescence de la stratégie, accédez à Configuration utilisateur > Préférences >Paramètres Windows.
c. Dans la liste Paramètres Windows, ouvrez le menu contextuel (clic droit) pour Registre, puischoisissez Nouvel élément Registre.
d. Dans la boîte de dialogue Nouvelles propriétés de Registre, entrez les paramètres suivants etchoisissez OK :
Action
Update
Version 1.0256
AWS Directory Service Guide d'administrationActivation de l'accès aux applications et services AWS
Hive
HKEY_CURRENT_USER
Chemin
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>
La valeur pour <alias> est dérivée de votre URL d'accès. Si votre URL d'accès esthttps://examplecorp.awsapps.com, l'alias correspond à examplecorp et la clé deRegistre correspond à Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\awsapps.com\examplecorp.
Nom de la valeur
https
Type de la valeur
REG_DWORD
Données de la valeur
1
3. Pour activer le script actif, effectuez les opérations suivantes :
a. Dans l'outil de gestion des stratégies de groupe, accédez à votre domaine, sélectionnez Objetsde stratégie de groupe, ouvrez le menu contextuel (clic droit) de votre stratégie d'authentificationunique, puis choisissez Modifier.
b. Dans l'arborescence de la stratégie, accédez à Configuration de l'ordinateur > Stratégies >Modèles d'administration > Composants Windows > Internet Explorer > Panneau de configurationInternet > Onglet Sécurité > Zone intranet.
c. Dans la liste Zone intranet, ouvrez le menu contextuel (clic droit) pour Autoriser les scripts actifs,puis choisissez Modifier.
d. Dans la boîte de dialogue Autoriser les scripts actifs, entrez les paramètres suivants et choisissezOK :
• Sélectionnez la case d'option Activé.• Sous Options, définissez Autoriser les scripts actifs sur Activer.
4. Pour activer la connexion automatique, effectuez les opérations suivantes :
a. Dans l'outil de gestion des stratégies de groupe, accédez à votre domaine, sélectionnez Objetsde stratégie de groupe, ouvrez le menu contextuel (clic droit) de votre stratégie d'authentificationunique, puis choisissez Modifier.
b. Dans l'arborescence de la stratégie, accédez à Configuration de l'ordinateur > Stratégies >Modèles d'administration > Composants Windows > Internet Explorer > Panneau de configurationInternet > Onglet Sécurité > Zone intranet.
c. Dans la liste Zone intranet, ouvrez le menu contextuel (clic droit) pour Options d'ouverture desession, puis choisissez Modifier.
d. Dans la boîte de dialogue Options d'ouverture de session, entrez les paramètres suivants etchoisissez OK :
• Sélectionnez la case d'option Activé.• Sous Options, définissez Options d'ouverture de session sur Connexion automatique
uniquement dans la zone Intranet.5. Pour activer l'authentification intégrée, effectuez les étapes suivantes :
Version 1.0257
AWS Directory Service Guide d'administrationActivation de l'accès aux applications et services AWS
a. Dans l'outil de gestion des stratégies de groupe, accédez à votre domaine, sélectionnez Objetsde stratégie de groupe, ouvrez le menu contextuel (clic droit) de votre stratégie d'authentificationunique, puis choisissez Modifier.
b. Dans l'arborescence de la stratégie, accédez à Configuration utilisateur > Préférences >Paramètres Windows.
c. Dans la liste Paramètres Windows, ouvrez le menu contextuel (clic droit) pour Registre, puischoisissez Nouvel élément Registre.
d. Dans la boîte de dialogue Nouvelles propriétés de Registre, entrez les paramètres suivants etchoisissez OK :
Action
Update
Hive
HKEY_CURRENT_USER
Chemin
Software\Microsoft\Windows\CurrentVersion\Internet Settings
Nom de la valeur
EnableNegotiate
Type de la valeur
REG_DWORD
Données de la valeur
1
6. Fermez la fenêtre Éditeur de gestion des stratégies de groupe si elle est toujours ouverte.7. Attribuez la nouvelle stratégie à votre domaine en suivant les étapes suivantes :
a. Dans l'arborescence de gestion des stratégies de groupe, ouvrez le menu contextuel (clic droit)pour votre domaine et choisissez Lier un objet de stratégie de groupe existant.
b. Dans la liste Objets de stratégie de groupe, sélectionnez votre stratégie d'authentification uniqueet choisissez OK.
Ces modifications prennent effet après la prochaine mise à jour de la stratégie de groupe sur le client ou àla prochaine connexion de l'utilisateur.
Authentification unique pour Firefox
Pour permettre au navigateur Mozilla Firefox de prendre en charge l'authentification unique, ajoutezvotre URL d'accès (par exemple, https://<alias>.awsapps.com) à la liste des sites approuvés pourl'authentification unique. Cela peut être effectué manuellement ou de manière automatisée avec un script.
Rubriques• Mise à jour manuelle pour l'authentification unique (p. 136)• Mise à jour automatique pour l'authentification unique (p. 137)
Mise à jour manuelle pour l'authentification unique
Pour ajouter manuellement votre URL d'accès à la liste des sites approuvés dans Firefox, effectuez lesopérations suivantes sur l'ordinateur client.
Version 1.0258
AWS Directory Service Guide d'administrationActivation de l'accès à la AWS Management Console
Pour ajouter manuellement votre URL d'accès à la liste des sites approuvés dans Firefox
1. Ouvrez Firefox et ouvrez la page about:config.2. Ouvrez la préférence network.negotiate-auth.trusted-uris et ajoutez votre URL d'accès à la
liste des sites. Utilisez une virgule (,) pour séparer plusieurs entrées.
Mise à jour automatique pour l'authentification unique
En tant qu'administrateur de domaine, vous pouvez utiliser un script pour ajouter votre URL d'accès auxpréférences utilisateur Firefox network.negotiate-auth.trusted-uris sur tous les ordinateursde votre réseau. Pour de plus amples informations, veuillez consulter https://support.mozilla.org/en-US/questions/939037.
Activation de l'accès à AWS Management Consoleavec les informations d'identification ADAWS Directory Service allows you to grant members of your directory access to the AWS ManagementConsole. By default, your directory members do not have access to any AWS resources. You assign IAMroles to your directory members to give them access to the various AWS services and resources. The IAMrole defines the services, resources, and level of access that your directory members have.
Before you can grant console access to your directory members, your directory must have an access URL.For more information about how to view directory details and get your access URL, see Affichage desinformations d'annuaire (p. 123). For more information about how to create an access URL, see Créationd'une URL d'accès (p. 129).
Version 1.0259
AWS Directory Service Guide d'administrationActivation de l'accès à la AWS Management Console
For more information about how to create and assign IAM roles to your directory members, see Accorderl'accès aux ressources AWS (p. 124).
Rubriques• Enable AWS Management Console Access (p. 138)• Disable AWS Management Console Access (p. 138)• Set Login Session Length (p. 138)
Related AWS Security Blog Article
• How to Access the AWS Management Console Using AWS Managed Microsoft AD and Your On-Premises Credentials
Enable AWS Management Console AccessBy default, console access is not enabled for any directory. To enable console access for your directoryusers and groups, perform the following steps:
To enable console access
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. Under the AWS Management Console section, choose Enable. Console access is now enabled for
your directory.
Before users can sign-in to the console with your access URL, you must first add your users to the role.For general information about assigning users to IAM roles, see Attribution d'utilisateurs et de groupesà un rôle existant (p. 126). After the IAM roles have been assigned, users can then access the consoleusing your access URL. For example, if your directory access URL is example-corp.awsapps.com, theURL to access the console is https://example-corp.awsapps.com/console/.
Disable AWS Management Console AccessTo disable console access for your directory users and groups, perform the following steps:
To disable console access
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. Under the AWS Management Console section, choose Disable. Console access is now disabled for
your directory.5. If any IAM roles have been assigned to users or groups in the directory, the Disable button may
be unavailable. In this case, you must remove all IAM role assignments for the directory beforeproceeding, including assignments for users or groups in your directory that have been deleted, whichwill show as Deleted User or Deleted Group.
After all IAM role assignments have been removed, repeat the steps above.
Version 1.0260
AWS Directory Service Guide d'administrationTutoriel : Création d'un annuaire Simple AD
Set Login Session LengthBy default, users have 1 hour to use their session after successfully signing in to the console before theyare logged out. After that, users must sign in again to start the next 1 hour session before being logged offagain. You can use the following procedure to change the length of time to up to 12 hours per session.
To set login session length
1. In the AWS Directory Service console navigation pane, choose Directories.2. On the Directories page, choose your directory ID.3. On the Directory details page, select the Application management tab.4. Under the AWS apps & services section, choose AWS Management Console.5. In the Manage Access to AWS Resource dialog box, choose Continue.6. In the Assign users and groups to IAM roles page, under Set login session length, edit the numbered
value, and then choose Save.
Tutoriel : Création d'un annuaire Simple ADLe didacticiel suivant vous guide à travers toutes les étapes nécessaires pour mettre en place un annuaireAWS Directory Service Simple AD. Il a pour but de vous permettre de débuter avec AWS Directory Servicerapidement et facilement, mais n'est pas destiné à être utilisé dans un environnement de production àgrande échelle.
Rubriques• Prerequisites (p. 261)• Étape 1 : Création et configuration de votre VPC (p. 261)• Étape 2 : Créez votre Simple AD Répertoire (p. 263)
PrerequisitesCe didacticiel suppose ce qui suit :
• Vous disposez d'un compte AWS actif.• Votre compte n’a pas atteint sa limite de VPCs pour la région dans laquelle vous souhaitez utiliser AWS
Directory Service. Pour plus d'informations sur Amazon VPC, consultez Qu'est-ce qu'Amazon VPC ? etSous-réseaux dans votre VPC dans le Amazon VPC Guide de l'utilisateur.
• Vous ne disposez pas d'un VPC existant dans la région avec une adresse CIDR 10.0.0.0/16.
Étape 1 : Création et configuration de votre VPCLes sections suivantes montrent comment créer et configurer un VPC à utiliser avec AWS DirectoryService.
Rubriques• Création d'un VPC (p. 262)• Ajout d'un second sous-réseau (p. 262)
Version 1.0261
AWS Directory Service Guide d'administrationÉtape 1 : Création et configuration de votre VPC
Création d'un VPCCe didacticiel utilise l'un des assistants de création de VPC pour créer les éléments suivants :
• Le VPC• L'un des sous-réseaux• Une passerelle Internet
Pour créer votre VPC à l'aide de l'assistant VPC
1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le panneau de navigation, cliquez sur VPC Dashboard (Tableau de bord du VPC). Si vous n'avez
pas encore de ressources VPC, identifiez la partie Your Virtual Private Cloud (Votre cloud privé virtuel)du tableau de bord, puis cliquez sur Get started creating a VPC (Commencer à créer un VPC). Sinon,cliquez sur Start VPC Wizard (Démarrer l'assistant VPC).
3. Sélectionnez la deuxième option, VPC with a Single Public Subnet (VPC avec un seul sous-réseaupublic), puis cliquez sur Select (Sélectionner).
4. Saisissez les informations suivantes dans l'assistant, puis cliquez sur Create VPC (Créer VPC).
IP CIDR block (Bloc d'adresse CIDR IP)
10.0.0.0/16
VPC name
ADS VPC
Public subnet (Sous-réseau public)
10.0.0.0/24
Zone de disponibilité
No Preference (Aucune préférence)Subnet name (Nom du sous-réseau)
ADS Subnet 1
Enable DNS hostnames
Conserver la sélection par défautHardware tenancy
Valeur par défaut5. La création du VPC prend quelques minutes. Une fois que le VPC est créé, passez à la section
suivante pour ajouter un second sous-réseau.
Ajout d'un second sous-réseauAWS Directory Service nécessite deux sous-réseaux dans votre VPC, et chaque sous-réseau doit setrouver dans une zone de disponibilité différente. L'assistant VPC crée uniquement un sous-réseau, vousdevez donc créer manuellement le second sous-réseau et spécifier une autre zone de disponibilité que lepremier sous-réseau. Créez le second sous-réseau en exécutant les étapes suivantes.
Pour créer un sous-réseau
1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.Version 1.0
262
AWS Directory Service Guide d'administrationÉtape 2 : Créez votre Simple AD Répertoire
2. Dans le panneau de navigation, sélectionnez Subnets (Sous-réseaux), puis le sous-réseau portant lenom ADS Subnet 1. Sélectionnez l'onglet Summary (Résumé) en bas de la page. Notez la zone dedisponibilité de ce sous-réseau.
3. Cliquez sur Create Subnet (Créer le sous-réseau), saisissez les informations suivantes dans la boîtede dialogue Create Subnet (Créer le sous-réseau), puis sélectionnez Yes, Create (Oui, créer).
Name tag
ADS Subnet 2
VPC
Sélectionnez votre VPC. Il s'agit du VPC portant le nom ADS VPC.Zone de disponibilité
Sélectionnez une zone de disponibilité autre que celle notée à l'étape 2. Les deux sous-réseauxutilisés par AWS Directory Service doivent résider dans des zones de disponibilité différentes.
CIDR Block (Bloc d'adresse CIDR)
10.0.1.0/24
Étape 2 : Créez votre Simple AD RépertoireTo create a new directory, perform the following steps. Before starting this procedure, make sure you havecompleted the prerequisites identified in Conditions préalables requises Simple AD (p. 218).
To create a Simple AD directory
1. In the AWS Directory Service console navigation pane, choose Directories and then choose Set updirectory.
2. On the Select directory type page, choose Simple AD, and then choose Next.3. On the Enter directory information page, provide the following information:
Directory size
Choose from either the Small or Large size option. For more information about sizes, see SimpleActive Directory (p. 217).
Organization name
A unique organization name for your directory that will be used to register client devices.
This field is only available if you are creating your directory as part of launching AmazonWorkSpaces.
Directory DNS name
The fully qualified name for the directory, such as corp.example.com.Directory NetBIOS name
The short name for the directory, such as CORP.Administrator password
The password for the directory administrator. The directory creation process creates anadministrator account with the user name Administrator and this password.
The directory administrator password is case-sensitive and must be between 8 and 64 charactersin length, inclusive. It must also contain at least one character from three of the following fourcategories:
Version 1.0263
AWS Directory Service Guide d'administrationBonnes pratiques
• Lowercase letters (a-z)• Uppercase letters (A-Z)• Numbers (0-9)• Non-alphanumeric characters (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
Confirm password
Retype the administrator password.Directory description
An optional description for the directory.4. On the Choose VPC and subnets page, provide the following information, and then choose Next.
VPC
The VPC for the directory.Subnets
Choose the subnets for the domain controllers. The two subnets must be in different AvailabilityZones.
5. On the Review & create page, review the directory information and make any necessary changes.When the information is correct, choose Create directory. It takes several minutes for the directory tobe created. Once created, the Status value changes to Active.
Bonnes pratiques pour Simple ADVoici quelques suggestions et directives que vous devez prendre en compte pour éviter de rencontrer desproblèmes et tirer le meilleur parti d'AWS Managed Microsoft AD.
Configuration : Conditions préalables requisesPensez à utiliser ces consignes avant de créer votre annuaire.
Verify You Have the Right Directory TypeAWS Directory Service provides multiple ways to use Microsoft Active Directory with other AWS services.You can choose the directory service with the features you need at a cost that fits your budget:
• AWS Directory Service for Microsoft Active Directory is a feature-rich managed Microsoft Active Directoryhosted on the AWS cloud. AWS Managed Microsoft AD is your best choice if you have more than 5,000users and need a trust relationship set up between an AWS hosted directory and your on-premisesdirectories.
• AD Connector simply connects your existing on-premises Active Directory to AWS. AD Connector is yourbest choice when you want to use your existing on-premises directory with AWS services.
• Simple AD is an inexpensive Active Directory–compatible service with the common directory features.In most cases, Simple AD is the least expensive option and your best choice if you have 5,000 or fewerusers and don’t need the more advanced Microsoft Active Directory features.
For a more detailed comparison of AWS Directory Service options, see Que choisir ? (p. 1).
Ensure Your VPCs and Instances are Configured CorrectlyIn order to connect to, manage, and use your directories, you must properly configure the VPCs thatthe directories are associated with. See either Conditions préalables requises AWS Managed Microsoft
Version 1.0264
AWS Directory Service Guide d'administrationConfiguration : Création de votre annuaire
AD (p. 10), Conditions préalables requises AD Connector (p. 180), or Conditions préalables requisesSimple AD (p. 218) for information about the VPC security and networking requirements.
If you are adding an instance to your domain, ensure that you have connectivity and remote access to yourinstance as described in Jonction d'une instance EC2 à votre annuaire AWS Managed Microsoft AD (p. 69).
Be Aware of Your LimitsLearn about the various limits for your specific directory type. The available storage and the aggregate sizeof your objects are the only limitations on the number of objects you may store in your directory. See eitherLimites pour AWS Managed Microsoft AD (p. 147), Limites pour AD Connector (p. 212), or Limites pourSimple AD (p. 267) for details about your chosen directory.
Comprendre l'utilisation et la configuration du groupe de sécuritéAWS de votre annuaireAWS crée un groupe de sécurité et l'associe aux interfaces réseau Elastic du contrôleur de domaine devotre annuaire. AWS configure le groupe de sécurité de façon à bloquer le trafic inutile pour l'annuaire et àautoriser le trafic nécessaire.
Modification du groupe de sécurité de l'annuaireSi vous souhaitez modifier la sécurité des groupes de sécurité des annuaires, vous pouvez le faire.Effectuez ces modifications uniquement si vous avez entièrement compris le fonctionnement du filtragedes groupes de sécurité. Pour plus d'informations, consultez la section Groupes de sécurité Amazon EC2pour les instances Linux du Guide de l'utilisateur Amazon EC2. Des modifications inappropriées peuvententraîner une perte de communication vers les ordinateurs et les instances visés. AWS vous recommandede ne pas tenter d'ouvrir des ports supplémentaires vers votre annuaire car cette action réduirait le niveaude sécurité de votre annuaire. Lisez attentivement le Modèle de responsabilité partagée AWS.
Warning
Vous êtes techniquement en mesure d'associer le groupe de sécurité de l'annuaire à d'autresinstances EC2 que vous créez. Cependant, AWS recommande de ne pas faire appel à cettepratique. AWS peut avoir des raisons de modifier le groupe de sécurité sans préavis pourrépondre aux besoins fonctionnels ou de sécurité de l'annuaire géré. Ces modifications affectenttous les instances auxquelles vous associez le groupe de sécurité d'annuaire et peuventinterrompre le fonctionnement des instances associées. De plus, l'association du groupe desécurité de l'annuaire avec vos instances EC2 peut créer un risque de sécurité potentiel pour vosinstances EC2.
Utilisation de AWS Managed Microsoft AD si des approbationssont requisesSimple AD ne prend pas en charge des relations d'approbation. Si vous avez besoin d'établir une relationd'approbation entre votre annuaire AWS Directory Service et un autre annuaire, vous devez utiliser AWSDirectory Service for Microsoft Active Directory.
Configuration : Création de votre annuaireVoici quelques suggestions à prendre en compte lorsque vous créez votre annuaire.
Rétention de vos ID et mot de passe d'administrateurLorsque vous configurez votre annuaire, vous fournissez un mot de passe pour le compte d'administrateur.Cet ID de compte est un Administrateur pour Simple AD. Retenez le mot de passe créé pour ce compte,sinon vous ne serez pas en mesure d'ajouter des objets à votre annuaire.
Version 1.0265
AWS Directory Service Guide d'administrationProgrammation de vos applications
Comprendre les restrictions de nom d'utilisateur pour lesapplications AWSAWS Directory Service prend en charge la plupart des formats de caractères pouvant être utilisés dansla création d'un nom d'utilisateur. Toutefois, certaines restrictions de caractères s'appliquent aux nomsd'utilisateur qui seront utilisés pour se connecter aux applications AWS telles que Amazon WorkSpaces,Amazon WorkDocs, Amazon WorkMail ou Amazon QuickSight. Ces restrictions empêchent l'utilisation descaractères suivants :
• Espaces• !"#$%&'()*+,/:;<=>?@[\]^`{|}~
Note
Le symbole @ est autorisé s'il précède un suffixe UPN.
Programmation de vos applicationsAvant de programmer vos applications, prenez en compte les éléments suivants :
Utilisez le service de localisation des contrôleurs de domaine deWindowsLors du développement des applications, utilisez le service de localisation des contrôleurs de domainede Windows ou le service DNS dynamique (DDNS) de votre AWS Managed Microsoft AD pour localiserles contrôleurs de domaine (DC). Ne codez pas en dur les applications avec l'adresse d'un contrôleurde domaine. Le service de localisation des contrôleurs de domaine permet de garantir que l'annuaire estdistribué et vous permet de tirer parti de la mise à l'échelle horizontale en ajoutant des contrôleurs dedomaine à votre déploiement. Si vous liez votre application à un DC fixe et que le DC subit un correctif ouune récupération, votre application perdra l’accès au DC au lieu d’utiliser l’un des autres DCs. En outre, lecodage en dur du CC peut entraîner un hot spotting sur un seul CC. Dans des cas extrêmes, la création dece point chaud peut entraîner une absence de réponse de votre contrôleur de domaine. Ces cas peuventégalement entraîner le marquage automatique de l'annuaire AWS comme « Impaired » (dégradé) et ledéclenchement des processus de récupération pour remplacer le contrôleur de domaine qui ne répond pas.
Testez la charge avant de lancer la productionAssurez-vous de procéder à des tests avec des objets et des requêtes représentatifs de votre chargede travail de production afin de confirmer que l'annuaire s'adapte à la charge de travail de votreapplication. Si vous avez besoin de capacité supplémentaire, vous devez utiliser AWS Directory Servicepour Microsoft Active Directory, ce qui vous permet d'ajouter des contrôleurs de domaine pour desperformances élevées. Pour plus d'informations, consultez la section Déploiement de contrôleurs dedomaine supplémentaires (p. 139).
Utilisez des requêtes LDAP efficacesDe vastes requêtes LDAP effectuées dans un contrôleur de domaine sur des milliers d'objets peuventconsommer des cycles de processeur considérables sur un seul contrôleur de domaine, ce qui se traduitpar la création de points chauds. Ces points chauds peuvent affecter les applications qui partagent lemême contrôleur de domaine lors de la requête.
Version 1.0266
AWS Directory Service Guide d'administrationLimits
Limites pour Simple ADEn général, vous ne devez pas ajouter plus de 500 utilisateurs à un petit annuaire Simple AD et pas plusde 5 000 à un grand annuaire Simple AD. Pour bénéficier d'options de mise à l'échelle plus flexibles etd'autres fonctionnalités Active Directory, envisagez d'utiliser plutôt AWS Directory Service for MicrosoftActive Directory (Standard Edition ou Enterprise Edition).
Voici les limites par défaut pour Simple AD. Chaque limite est définie par région, sauf mention contraire.
Limites pour Simple AD
Resource Limite par défaut
Simple AD annuaires 10
Instantanés manuels * 5 par Simple AD
* La limite d'instantané manuel ne peut pas être modifiée.Note
Vous ne pouvez pas attacher une adresse IP publique à votre interface réseau Elastic (ENI) AWS.
Augmenter votre limiteEffectuez les opérations suivantes afin d'augmenter votre limite pour une région.
Pour demander une augmentation de limite pour une région
1. Accédez à la page Centre AWS Support, connectez-vous si nécessaire, puis cliquez sur Open a newcase (Ouvrir un nouveau cas).
2. Sous Regarding, sélectionnez Service Limit Increase (Augmentation de limite de service).3. Sous Limit Type (Type de limite), sélectionnez AWS Directory Service.4. Remplissez tous les champs nécessaires de l'écran, puis cliquez sur le bouton en bas de la page pour
définir le mode de contact souhaité.
Stratégie de compatibilité des applications pourSimple AD
Simple AD est une implémentation de Samba qui fournit la plupart des fonctionnalités de base d'ActiveDirectory. En raison du grand nombre d'applications commerciales et personnalisées prêtes à l'emploi quiutilisent Active Directory, AWS n'est pas en mesure de vérifier formellement ou de manière systématique lacompatibilité des applications tierces avec Simple AD. Bien qu'AWS travaille aux côtés de ses clients pourtenter de surmonter les éventuels défis d'installation d'applications qu'ils sont susceptibles de rencontrer,nous ne pouvons pas garantir la compatibilité présente ou future de chaque application avec Simple AD.
Les applications tierces suivantes sont compatibles avec Simple AD :
• Microsoft Internet Information Services (IIS) sur les plateformes suivantes :• Windows Server 2003 R2• Windows Server 2008 R1• Windows Server 2008 R2
Version 1.0267
AWS Directory Service Guide d'administrationDépannage
• Windows Server 2012• Windows Server 2012 R2
• Microsoft SQL Server:• SQL Server 2005 R2 (éditions Express, Web et Standard)• SQL Server 2008 R2 (éditions Express, Web et Standard)• SQL Server 2012 (éditions Express, Web et Standard)• SQL Server 2014 (éditions Express, Web et Standard)
• à Microsoft SharePoint:• SharePoint Fondation 2010• SharePoint Entreprise 2010• SharePoint Entreprise 2013
Les clients peuvent choisir d'utiliser AWS Directory Service for Microsoft Active Directory (AWS ManagedMicrosoft AD (p. 9)) pour bénéficier d'un niveau de compatibilité supérieur basé sur Active Directory.
Dépannage de Simple ADLes sections suivantes peuvent vous aider à résoudre certains problèmes courants que vous pourriezrencontrer lors de la création ou de l'utilisation de votre annuaire.
Rubriques• Récupération d'un mot de passe (p. 268)• Je reçois une erreur « KDC ne peut pas traiter l'option demandée » lors de l'ajout d'un utilisateur
Simple AD (p. 268)• Je ne parviens pas à mettre à jour le nom DNS ou l'adresse IP d'une instance jointe à mon domaine
(mise à jour dynamique DNS) (p. 269)• Je ne peux pas me connecter à SQL Server à l'aide d'un compte SQL Server (p. 269)• Mon annuaire est bloqué à l'état « Demandé » (p. 269)• L'erreur « AZ Constrained » s'affiche lorsque je crée un annuaire (p. 269)• Certains de mes utilisateurs ne peuvent pas s'authentifier avec mon annuaire (p. 269)• Motifs de statut d'annuaire Simple AD (p. 270)
Récupération d'un mot de passeSi un utilisateur oublie un mot de passe ou rencontre des difficultés pour se connecter à votre SimpleAD ou AWS Managed Microsoft AD , vous pouvez réinitialiser leur mot de passe à l’aide de la AWSManagement Console, fenêtres PowerShell ou le AWS Interface de ligne de commande.
Pour plus d'informations, consultez la section Réinitialiser un mot de passe utilisateur (p. 223).
Je reçois une erreur « KDC ne peut pas traiter l'optiondemandée » lors de l'ajout d'un utilisateur Simple ADCela peut se produire lorsque le client Samba CLI n'envoie pas correctement les commandes « net » àtous les contrôleurs de domaine. Si ce message d'erreur s'affiche lors de l'utilisation de la commande « netads » pour ajouter un utilisateur à votre annuaire Simple AD, utilisez l'argument -S et spécifiez l'adresseIP de l'un de vos contrôleurs de domaine. Si l'erreur persiste, essayez l'autre contrôleur de domaine.
Version 1.0268
AWS Directory Service Guide d'administrationJe ne parviens pas à mettre à jour le nom
DNS ou l'adresse IP d'une instance jointe àmon domaine (mise à jour dynamique DNS)
Vous pouvez également utiliser les outils d'administration d'Active Directory pour ajouter des utilisateurs àvotre annuaire. Pour plus d'informations, consultez la section Installation des outils d'administration ActiveDirectory (p. 222).
Je ne parviens pas à mettre à jour le nom DNS oul'adresse IP d'une instance jointe à mon domaine(mise à jour dynamique DNS)Les mises à jour dynamiques DNS ne sont pas prises en charge dans les domaines Simple AD. Enrevanche, vous pouvez effectuer les modifications directement en connectant votre annuaire à l'aide duGestionnaire DNS sur une instance qui est jointe à votre domaine.
Je ne peux pas me connecter à SQL Server à l'aided'un compte SQL ServerUne erreur peut être générée si vous tentez d'utiliser SQL Server Management Studio (SSMS) avec uncompte SQL Server pour vous connecter à SQL Server exécuté sur une instance EC2 Windows 2012R2 ou dans Amazon RDS. Le problème se produit lorsque SSMS est exécuté en tant qu'utilisateurde domaine et peut se traduire par l'erreur « Échec de la connexion pour l'utilisateur », même si lesinformations d'identification valides sont fournies. C'est un problème connu et AWS travaille activementpour le résoudre.
Pour contourner ce problème, vous pouvez vous connecter à SQL Server avec l'authentification Windowsau lieu de l'authentification SQL. Vous pouvez également lancer SSMS en tant qu'utilisateur local et nonutilisateur de domaine Simple AD.
Mon annuaire est bloqué à l'état « Demandé »Si vous avez un annuaire qui se trouve à l'état « Demandé » depuis plus de cinq minutes, essayez desupprimer l'annuaire et de le recréer. Si le problème persiste, contactez le AWS Support Center.
L'erreur « AZ Constrained » s'affiche lorsque je créeun annuaireCertains comptes AWS créés avant 2012 peuvent avoir accès à des zones de disponibilité dans la régionUSA Est (Virginie du Nord), USA Ouest (Californie du Nord) ou Asie-Pacifique (Tokyo) qui ne prend pas encharge les annuaires AWS Directory Service. Si vous voyez une erreur comme celle-ci lors de la créationd'un annuaire, choisissez un sous-réseau dans une autre zone de disponibilité et essayez de recréerl'annuaire.
Certains de mes utilisateurs ne peuvent pass'authentifier avec mon annuaireVos comptes d'utilisateur doivent avoir une pré-authentification Kerberos activée. Il s'agit du paramètre pardéfaut pour les nouveaux comptes d'utilisateur, et il ne doit pas être modifié. Pour plus d’informations surce paramètre, consultez Pré-authentification sur Microsoft TechNet.
Rubriques• Motifs de statut d'annuaire Simple AD (p. 270)
Version 1.0269
AWS Directory Service Guide d'administrationMotifs de statut d'annuaire
Motifs de statut d'annuaire Simple ADLorsqu'un annuaire est dégradé ou ne fonctionne pas, le message de statut de l'annuaire contientdes informations supplémentaires. Le message de statut s'affiche dans la console AWS DirectoryService ou est retourné dans le membre DirectoryDescription.StageReason par l'APIDescribeDirectories. Pour plus d'informations sur le statut de l'annuaire, consultez Comprendre lestatut de votre annuaire (p. 54).
Voici les messages de statut d'un annuaire Simple AD :
Rubriques• The directory service's elastic network interface is not attached (p. 270)• Issue(s) detected by instance (p. 270)• The critical AWS Directory Service reserved user is missing from the directory (p. 270)• The critical AWS Directory Service reserved user needs to belong to the Domain Admins AD
group (p. 271)• The critical AWS Directory Service reserved user is disabled (p. 271)• The main domain controller does not have all FSMO roles (p. 271)• Domain controller replication failures (p. 272)
The directory service's elastic network interface is not attachedDescription
The critical elastic network interface (ENI) that was created on your behalf during directory creationto establish network connectivity with your VPC is not attached to the directory instance. AWSapplications backed by this directory will not be functional. Your directory cannot connect to your on-premises network.
Troubleshooting
If the ENI is detached but still exists, contact AWS Support. If the ENI is deleted, there is no way toresolve the issue and your directory is permanently unusable. You must delete the directory and createa new one.
Issue(s) detected by instanceDescription
An internal error was detected by the instance. This usually signifies that the monitoring service isactively attempting to recover the impaired instances.
Troubleshooting
In most cases, this is a transient issue, and the directory eventually returns to the Active state. If theproblem persists, contact AWS Support for more assistance.
The critical AWS Directory Service reserved user is missing fromthe directory Description
Lorsqu’un Simple AD est créé, AWS Directory Service crée un compte de service dans l’annuaireavec le nom AWSAdminD-xxxxxxxxx. Cette erreur est reçue lorsque ce compte de service est
Version 1.0270
AWS Directory Service Guide d'administrationMotifs de statut d'annuaire
introuvable. Sans ce compte, AWS Directory Service ne peut pas exécuter de fonctions administrativessur l'annuaire, ce qui rend l'annuaire inutilisable.
Dépannage
Pour résoudre ce problème, restaurez l'annuaire pour revenir à un instantané précédent ayant été crééavant la suppression du compte de service. Des instantanés automatiques de votre annuaire SimpleAD sont pris une fois par jour. Si l'instantané a été pris plus de cinq jours après la suppression de cecompte, vous ne pourrez pas restaurer l'annuaire à l'état d'existence du compte. Si vous n'êtes pasen mesure de restaurer l'annuaire à partir d'un instantané où le compte existait, votre annuaire peutdevenir définitivement hors d'usage. Si tel est le cas, vous devez supprimer votre annuaire et en créerun nouveau.
The critical AWS Directory Service reserved user needs to belongto the Domain Admins AD group Description
Lorsqu’un Simple AD est créé, AWS Directory Service crée un compte de service dans l’annuaireavec le nom AWSAdminD-xxxxxxxxx. Cette erreur est reçue lorsque ce compte de service n’estpas membre du Domain Admins groupe. L'adhésion à ce groupe est nécessaire pour accorder àAWS Directory Service les privilèges nécessaires pour effectuer des opérations de maintenance et derécupération, telles que le transfert des rôles FSMO, la jonction de nouveaux contrôleurs d'annuaire etla restauration à partir d'instantanés.
Dépannage
Utilisez l'outil Utilisateurs et ordinateurs Active Directory pour ajouter à nouveau le compte de serviceau groupe Domain Admins.
The critical AWS Directory Service reserved user is disabled Description
Lorsqu’un Simple AD est créé, AWS Directory Service crée un compte de service dans l’annuaireavec le nom AWSAdminD-xxxxxxxxx. Cette erreur est reçue lorsque ce compte de service estdésactivé. Ce compte doit être activé afin que AWS Directory Service puisse effectuer des opérationsde maintenance et de récupération dans l'annuaire.
Dépannage
Utilisez l'outil Utilisateurs et ordinateurs Active Directory pour réactiver le compte de service.
The main domain controller does not have all FSMO roles Description
Tous les rôles FSMO ne sont pas détenus par le contrôleur d'annuaire Simple AD. AWS DirectoryService ne peut pas garantir le comportement et la fonctionnalité si les rôles FSMO ne font pas partiedu contrôleur d'annuaire Simple AD approprié.
Dépannage
Utilisez les outils Active Directory pour redéplacer les rôles FSMO vers le contrôleur de l'annuaireactif original. Pour plus d'informations sur le déplacement des rôles FSMO, accédez à la page https://support.microsoft.com/en-us/kb/324801. Si cela ne résout pas le problème, veuillez contacter le AWSSupport pour obtenir de l'aide.
Version 1.0271
AWS Directory Service Guide d'administrationMotifs de statut d'annuaire
Domain controller replication failures Description
Les contrôleurs d'annuaire Simple AD n'effectuent pas de réplication entre eux. Cela peut être causépar un ou plusieurs des problèmes suivants :• Les groupes de sécurité des contrôleurs d'annuaire n'ont pas les ports corrects ouverts.• Le réseau ACLs sont trop restrictifs.• La table de routage du VPC n'achemine pas correctement le trafic réseau entre les contrôleurs
d'annuaire.• Une autre instance a été promue à un contrôleur de domaine dans l'annuaire.
Dépannage
Pour plus d'informations sur vos besoins en matière de réseau VPC, consultez AWS ManagedMicrosoft AD Conditions préalables requises AWS Managed Microsoft AD (p. 10), AD ConnectorConditions préalables requises AD Connector (p. 180)ou Simple AD Conditions préalables requisesSimple AD (p. 218). Si votre annuaire comporte un contrôleur de domaine inconnu, vous devez lerétrograder. Si la configuration réseau de votre VPC est correcte, mais que l'erreur persiste, veuillezcontacter le AWS Support pour obtenir de l'aide.
Version 1.0272
AWS Directory Service Guide d'administration
Sécurité dans AWS Directory ServiceChez AWS, la sécurité dans le cloud est notre priorité numéro 1. En tant que client AWS, vousbénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences desorganisations les plus pointilleuses en termes de sécurité.
La sécurité est une responsabilité partagée entre AWS et vous-même. Le modèle de responsabilitépartagée décrit ceci comme la sécurité du cloud et la sécurité dans le cloud :
• La sécurité du cloud – AWS est responsable de la protection de l'infrastructure qui exécute des servicesAWS dans le cloud AWS. AWS vous fournit également les services que vous pouvez utiliser en toutesécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans lecadre des programmes de conformité AWS. Pour en savoir plus sur les programmes de conformitéqui s'appliquent à AWS Directory Service, consultez Services AWS concernés par le programme deconformité.
• Sécurité dans le cloud – Votre responsabilité est déterminée par le service AWS que vous utilisez. Vousêtes également responsable d'autres facteurs, y compris la sensibilité de vos données, les exigences devotre entreprise,et la législation et la réglementation applicables.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagéelors de l'utilisation de AWS Directory Service. Les rubriques suivantes montrent comment configurer AWSDirectory Service pour répondre à vos objectifs de sécurité et de conformité. Vous apprendrez également àutiliser d'autres services AWS pour surveiller et sécuriser vos ressources AWS Directory Service.
Rubriques de sécurité
Les rubriques de sécurité suivantes sont disponibles dans cette section :
• Identity and Access Management pour AWS Directory Service (p. 274)• Journalisation et surveillance dans AWS Directory Service (p. 286)• Validation de la conformité pour AWS Directory Service (p. 286)• Résilience dans AWS Directory Service (p. 287)• Sécurité de l'infrastructure dans AWS Directory Service (p. 287)
Rubriques de sécurité supplémentaires
Les rubriques de sécurité supplémentaires suivantes sont disponibles dans ce guide :
Comptes, approbations et accès aux ressources AWS
• Compte administrateur (p. 18)• Comptes de service administrés de groupe (p. 21)• Quand créer une relation d'approbation (p. 95)• Délégation Kerberos contrainte (p. 22)• Accorder l'accès aux ressources AWS (p. 124)• Activation de l'accès aux applications et services AWS (p. 128)
Sécurisation de votre annuaire
• Sécurisation de votre annuaire AWS Managed Microsoft AD (p. 30)• Sécurisation de votre annuaire AD Connector (p. 192)
Version 1.0273
AWS Directory Service Guide d'administrationIdentity and Access Management
Consignation et surveillance
• Surveillance de votre AWS Managed Microsoft AD (p. 54)• Surveillance de votre annuaire AD Connector (p. 198)
Résilience
• Application de correctifs et maintenance pour AWS Managed Microsoft AD (p. 21)
Identity and Access Management pour AWSDirectory Service
L'accès à AWS Directory Service requiert des informations d'identification qu'AWS peut utiliser pourauthentifier vos demandes. Ces informations d'identification doivent avoir des autorisations pour accéderaux ressources AWS telles qu'un annuaire AWS Directory Service. Les sections suivantes fournissentdes détails sur la façon dont vous pouvez utiliser AWS Identity and Access Management (IAM) et AWSDirectory Service pour contribuer à sécuriser vos ressources en contrôlant qui peut y accéder :
• Authentification (p. 274)• Contrôle d'accès (p. 275)
AuthentificationVous pouvez utiliser les types d'identité suivants pour accéder à AWS :
• Utilisateur racine d'un compte AWS – Lorsque vous créez un compte AWS, vous commencez avecune seule identité de connexion disposant d'un accès complet à tous les services et ressources AWSdu compte. Cette identité est appelée la utilisateur racinedu compte AWS et elle est accessible aprèsconnexion à l'aide de l'adresse e-mail et du mot de passe utilisés pour la création du compte. Il estvivement recommandé de ne pas utiliser l'utilisateur racine pour vos tâches quotidiennes, y comprispour les tâches administratives. Au lieu de cela, respectez la bonne pratique qui consiste à avoir recoursà l'utilisateur racine uniquement pour créer le premier utilisateurIAM. Ensuite, mettez en sécurité lesinformations d'identification de l'utilisateur racine et utilisez-les pour effectuer uniquement certainestâches de gestion des comptes et des services.
• Utilisateur IAM– Un utilisateur IAM est une identité au sein de votre compte AWS qui disposed'autorisations personnalisées spécifiques (par exemple, des autorisations pour créer a directory dansAWS Directory Service). Vous pouvez utiliser un nom d'utilisateur et un mot de passe IAM pour vousconnecter aux pages web AWS sécurisées telles que AWS Management Console, les forums dediscussion AWS et le AWS Support Center.
En plus d'un nom d'utilisateur et d'un mot de passe, vous pouvez générer des clés d'accès pour chaqueutilisateur. Vous pouvez utiliser ces clés lorsque vous accédez aux services AWS par programmation,soit par le biais d'un kit SDK soit à l'aide d'AWS Command Line Interface (CLI). Les outils de l'interfacede ligne de commande et les kits SDK utilisent les clés d'accès pour signer de façon cryptographiquevotre demande. Si vous n'utilisez pas les outils AWS, vous devez signer la demande vous-même. AWSDirectory Service supports Signature Version 4, protocole permettant l'authentification des demandesd'API entrantes. Pour plus d'informations sur l'authentification des demandes, consultez Processus designature Signature Version 4 dans le document AWS General Reference.
Version 1.0274
AWS Directory Service Guide d'administrationContrôle d'accès
• Rôle IAM – Un rôle IAM est une identité IAM que vous pouvez créer dans votre compte et qui disposed'autorisations spécifiques. Un rôle IAM est similaire à un utilisateur IAM, car il s'agit d'une identitéAWS avec des stratégies d'autorisation qui déterminent ce que l'identité peut et ne peut pas fairedans AWS. En revanche, au lieu d'être associé de manière unique à une personne, un rôle est conçupour être assumé par tout utilisateur qui en a besoin. En outre, un rôle ne dispose pas d'informationsd'identification standard à long-terme comme un mot de passe ou des clés d'accès associées. Au lieu decela, lorsque vous adoptez un rôle, il vous fournit des informations d'identification de sécurité temporairespour votre session de rôle. Les rôles IAM avec des informations d'identification temporaires sont utilesdans les cas suivants :
• Accès d'utilisateurs fédérés – Au lieu de créer un utilisateur IAM, vous pouvez utiliser des identités
d'utilisateur préexistantes provenant d'AWS Directory Service, de l'annuaire d'utilisateurs de votreentreprise ou d'un fournisseur d'identité web. On parle alors d'utilisateurs fédérés. AWS attribueun rôle à un utilisateur fédéré lorsque l'accès est demandé via un fournisseur d'identité. Pour plusd'informations sur les utilisateurs fédérés, consultez Utilisateurs fédérés et rôles dans le IAM Guide del'utilisateur.
• Accès à un service AWS – Un rôle de service est un rôle IAM qu'un service assume pour effectuer
des actions dans votre compte en votre nom. Lorsque vous configurez certains environnementsde services AWS, vous devez définir un rôle que ce service devra assumer. Ce rôle de service doitcomprendre toutes les autorisations nécessaires pour que le service puisse accéder aux ressourcesAWS dont il a besoin. Les rôles de service varient d'un service à un service, mais nombre d'entre euxvous permettent de choisir vos autorisations, tant que vous respectez les exigences documentéespour le service en question. Les rôles de service fournissent un accès uniquement au sein de votrecompte et ne peuvent pas être utilisés pour accorder l'accès à des services dans d'autres comptes.Vous créez, modifiez et supprimez un rôle de service à partir d'IAM. Par exemple, vous pouvez créerun rôle qui permet à Amazon Redshift d'accéder à un compartiment Amazon S3 en votre nom, puisde charger les données stockées dans ce compartiment dans un cluster Amazon Redshift. Pour plusd'informations, consultez Création d'un rôle pour déléguer des autorisations à un service AWS dans leIAM Guide de l'utilisateur.
• Applications qui s'exécutent sur Amazon EC2 – Vous pouvez utiliser un rôle IAM pour gérer des
informations d'identification temporaires pour les applications qui s'exécutent sur une instance EC2et effectuent des demandes d'API AWS CLI ou AWS. Cette solution est préférable au stockage desclés d'accès au sein de l'instance EC2. Pour attribuer un rôle AWS à une instance EC2 et le rendredisponible à toutes les applications associées, vous pouvez créer un profil d'instance attaché àl'instance. Un profil d'instance contient le rôle et permet aux programmes qui s'exécutent sur l'instanceEC2 d'obtenir des informations d'identification temporaires. Pour plus d'informations, consultezUtilisation d'un rôle IAM pour accorder des autorisations à des applications s'exécutant sur desinstances Amazon EC2 dans le IAM Guide de l'utilisateur.
Contrôle d'accèsVous pouvez avoir des informations d'identification valides pour authentifier vos demandes, mais à moinsd'avoir les autorisations requises, vous ne pouvez pas créer de ressources AWS Directory Service ni yaccéder. Par exemple, vous devez disposer d'autorisations pour créer un annuaire AWS Directory Serviceou créer un instantané de l'annuaire.
Les sections suivantes décrivent comment gérer les autorisations pour AWS Directory Service. Nous vousrecommandons de commencer par lire la présentation.
• Présentation de la gestion des autorisations d'accès à vos ressources AWS Directory Service (p. 276)• Utilisation des stratégies basées sur une identité (stratégies IAM) pour AWS Directory Service (p. 279)
Version 1.0275
AWS Directory Service Guide d'administrationPrésentation de la gestion des autorisations d'accès
• AWS Directory Service Autorisations d’API : Actions, ressources et référence des conditions (p. 285)
Présentation de la gestion des autorisations d'accès àvos ressources AWS Directory ServiceChaque ressource AWS appartient à un compte AWS et les autorisations permettant de créer desressources et d'y accéder sont régies par les stratégies d'autorisation. Un administrateur de compte peutattacher des stratégies d'autorisation aux identités IAM (c'est-à-dire aux utilisateurs, groupes et rôles),et certains services (tels que AWS Lambda) prennent également en charge l'attachement de stratégiesd'autorisation aux ressources.
Note
Un administrateur de compte (ou utilisateur administrateur) est un utilisateur doté des privilègesd'administrateur. Pour plus d'informations, consultez Bonnes pratiques IAM dans le IAM Guide del'utilisateur.
Lorsque vous accordez des autorisations, vous décidez qui doit les obtenir, à quelles ressources cesautorisations s'appliquent et les actions spécifiques que vous souhaitez autoriser sur ces ressources.
Rubriques• Ressources et opérations AWS Directory Service (p. 276)• Présentation de la propriété des ressources (p. 276)• Gestion de l'accès aux ressources (p. 277)• Spécification des éléments de stratégie : Actions, effets, ressources et mandataires (p. 278)• Spécification des conditions dans une stratégie (p. 279)
Ressources et opérations AWS Directory ServiceDans AWS Directory Service, la ressource principale est un annuaire. AWS Directory Service prendégalement en charge les ressources des instantanés d'annuaire. Cependant, vous pouvez créer desinstantanés uniquement dans le cadre d'un annuaire existant. Par conséquent, un instantané est appelésous-ressource.
Ces ressources ont des noms ARN (Amazon Resource Name) uniques qui leur sont associés, comme celaest illustré dans la table suivante.
Type de ressource Format ARN
Répertoire arn:aws:ds:region:account-id:directory/external-directory-id
Instantané arn:aws:ds:region:account-id:snapshot/external-snapshot-id
AWS Directory Service fournit un ensemble d'opérations à utiliser avec les ressources appropriées. Pourobtenir la liste des opérations disponibles, consultez Actions Directory Service.
Présentation de la propriété des ressourcesUn propriétaire de ressource est le compte AWS qui a créé une ressource. En d'autres termes, lepropriétaire de la ressource est le compte AWS de l'entité mandataire (le compte racine, un utilisateur
Version 1.0276
AWS Directory Service Guide d'administrationPrésentation de la gestion des autorisations d'accès
IAM ou un rôle IAM) qui authentifie la demande créatrice de la ressource. Les exemples suivants illustrentcomment cela fonctionne :
• Si vous utilisez les informations d'identification du compte racine de votre compte AWS pour créer uneressource AWS Directory Service, telle qu'un annuaire, votre compte AWS est le propriétaire de cetteressource.
• Si vous créez un utilisateur IAM dans votre compte AWS et autorisez cet utilisateur à créer desressources AWS Directory Service il peut aussi créer une ressource AWS Directory Service. Toutefois,votre compte AWS auquel appartient l'utilisateur, détient ces ressources .
• Si vous créez un rôle IAM dans votre compte AWS et que vous l'autorisez à créer des ressources AWSDirectory Service, toute personne capable d'assumer le rôle peut créer des ressources AWS DirectoryService. Toutefois, votre compte AWS, auquel ce rôle appartient, reste le propriétaire des ressourcesAWS Directory Service.
Gestion de l'accès aux ressourcesUne stratégie d'autorisation décrit qui a accès à quoi. La section suivante explique les options disponiblespour créer des stratégies d'autorisation.
Note
Cette section décrit l'utilisation de l'IAM dans le contexte d'AWS Directory Service. Elle nefournissent pas d'informations détaillées sur le service IAM. Pour accéder à la documentationcomplète d'IAM, consultez Qu'est-ce qu'IAM ? dans le IAM Guide de l'utilisateur. Pour de plusamples informations sur la syntaxe des stratégies IAM et des descriptions, veuillez consulterRéférence de stratégie IAM JSON dans le IAM Guide de l'utilisateur.
Les stratégies attachées à une identité IAM sont qualifiées de stratégies basées sur une entité (stratégiesIAM) et les stratégies attachées à une ressource sont qualifiées de stratégies basées sur une ressource.AWS Directory Service prend uniquement en charge les stratégies IAM basées sur une identité.
Rubriques• Stratégies basées sur une identité (stratégies IAM) (p. 277)• Stratégies basées sur une ressource (p. 278)
Stratégies basées sur une identité (stratégies IAM)Vous pouvez attacher des stratégies à des identités IAM. Par exemple, vous pouvez effectuer lesopérations suivantes :
• Attacher une stratégie d'autorisation à un utilisateur ou à un groupe dans votre compte – Unadministrateur de compte peut utiliser une stratégie d'autorisation associée à un utilisateur particulierpour autoriser cet utilisateur à créer une ressource AWS Directory Service, comme un nouvel annuaire.
• Attacher une stratégie d'autorisation à un rôle (accorder des autorisations entre comptes) – Vous pouvezattacher une stratégie d'autorisation basée sur une identité à un rôle IAM pour accorder des autorisationsentre comptes. Par exemple, l'administrateur du Compte A peut créer un rôle afin d'accorder desautorisations inter-comptes à un autre compte AWS (par exemple, le Compte B) ou à un service AWScomme suit :1. L'administrateur du Compte A crée un rôle IAM et attache une stratégie d'autorisation à ce rôle qui
accorde des autorisations sur les ressources dans le Compte A.2. L'administrateur du Compte A attache une stratégie d'approbation au rôle identifiant le Compte B
comme mandataire pouvant assumer ce rôle.3. L'administrateur du Compte B peut alors déléguer des autorisations pour assumer le rôle à tous
les utilisateurs figurant dans le Compte B. Cela autorise les utilisateurs du Compte B à créer desressources ou à y accéder dans le Compte A. Le mandataire dans la stratégie d'approbation peut
Version 1.0277
AWS Directory Service Guide d'administrationPrésentation de la gestion des autorisations d'accès
également être un mandataire de service AWS si vous souhaitez accorder à un service AWS desautorisations pour assumer ce rôle.
Pour de plus amples informations sur l'utilisation d'IAM pour déléguer des autorisations, veuillezconsulter Gestion d'accès dans le IAM Guide de l'utilisateur.
La stratégie d’autorisations suivante accorde des autorisations à un utilisateur pour exécuter toutes lesactions qui commencent par Describe. Ces actions affichent des informations sur un AWS DirectoryService comme un annuaire ou un instantané. Notez que le caractère générique (*) figurant dans l'élémentResource indique que les actions sont autorisées pour toutes les ressources AWS Directory Servicedétenues par le compte.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ds:Describe*", "Resource":"*" } ]}
Pour de plus amples informations sur l'utilisation des stratégies basées sur une identité avec AWSDirectory Service, veuillez consulter Utilisation des stratégies basées sur une identité (stratégies IAM) pourAWS Directory Service (p. 279). Pour plus d'informations sur les utilisateurs, les groupes, les rôles et lesautorisations, consultez Identités (utilisateurs, groupes et rôles) dans le IAM Guide de l'utilisateur.
Stratégies basées sur une ressourceD'autres services, tels qu'Amazon S3, prennent également en charge les stratégies d'autorisation baséessur une ressource. Par exemple, vous pouvez attacher une stratégie à un compartiment S3 pour gérer lesautorisations d'accès à ce compartiment. AWS Directory Service ne prend pas en charge les stratégiesbasées sur une ressource.
Spécification des éléments de stratégie : Actions, effets,ressources et mandatairesPour chaque ressource AWS Directory Service, le service définit un ensemble d'opérations d'API. Pourplus d'informations, consultez la section Ressources et opérations AWS Directory Service (p. 276). Pourobtenir la liste des opérations d'API disponibles, consultez Actions Directory Service.
Pour l'octroi d'autorisations pour ces opérations d'API, AWS Directory Service définit un ensemble d'actionsque vous pouvez spécifier dans une stratégie. Notez que l'exécution d'une opération d'API peut exiger desautorisations pour plusieurs actions.
Voici les éléments de base d'une stratégie :
• Ressource – Dans une stratégie, vous utilisez un Amazon Resource Name (ARN) pour identifier laressource à laquelle la stratégie s'applique. Pour des ressources AWS Directory Service, vous deveztoujours utiliser le caractère générique (*) dans les stratégies IAM. Pour plus d'informations, consultez lasection Ressources et opérations AWS Directory Service (p. 276).
• Action – Vous utilisez des mots clés d'action pour identifier les opérations de ressource que vous voulezaccorder ou refuser. Par exemple, l'autorisation ds:DescribeDirectories permet à l'utilisateurd'effectuer l'opération DescribeDirectories de AWS Directory Service.
• Effet – Vous spécifiez l'effet produit lorsque l'utilisateur demande l'action spécifique. Il peut s'agir d'unaccord ou d'un refus. Si vous n'accordez pas explicitement l'accès pour (autoriser) une ressource, l'accès
Version 1.0278
AWS Directory Service Guide d'administrationUtilisation des stratégies baséessur une identité (stratégies IAM)
est implicitement refusé. Vous pouvez aussi explicitement refuser l'accès à une ressource, ce que vouspouvez faire afin de vous assurer qu'un utilisateur n'y a pas accès, même si une stratégie différenteaccorde l'accès.
• Mandataire – Dans les stratégies basées sur l'identité (stratégies IAM), l'utilisateur auquel la stratégieest attachée est le mandataire implicite. Pour les stratégies basées sur une ressource, vous spécifiezl'utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations (s'appliqueuniquement aux stratégies basées sur une ressource). AWS Directory Service ne prend pas en chargeles stratégies basées sur une ressource.
Pour en savoir plus sur la syntaxe et les descriptions des stratégies IAM, veuillez consulter Référence destratégie JSON IAM dans le IAM Guide de l'utilisateur.
Pour visualiser un tableau répertoriant toutes les actions d'API AWS Directory Service, ainsi que lesressources auxquelles elles s'appliquent, consultez AWS Directory Service Autorisations d’API : Actions,ressources et référence des conditions (p. 285).
Spécification des conditions dans une stratégieLorsque vous accordez des autorisations, vous pouvez utiliser le langage d'access policy pour spécifier lesconditions définissant quand une stratégie doit prendre effet. Par exemple, il est possible d'appliquer unestratégie après seulement une date spécifique. Pour plus d'informations sur la spécification de conditionsdans un langage de stratégie, consultez Condition dans le IAM Guide de l'utilisateur.
Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Il n'existe pas de clés decondition spécifiques à AWS Directory Service. Il existe, toutefois, des clés de condition AWS que vouspouvez utiliser selon vos besoins. Pour obtenir la liste complète des clés AWS, consultez Clés de conditionglobale disponibles dans le IAM Guide de l'utilisateur.
Utilisation des stratégies basées sur une identité(stratégies IAM) pour AWS Directory ServiceCette rubrique fournit des exemples de stratégies basées sur une identité dans lesquelles un administrateurde compte peut attacher des stratégies d'autorisation aux identités IAM (c'est-à-dire aux utilisateurs,groupes et rôles).
Important
Nous vous recommandons de commencer par lire les rubriques de présentation qui détaillent lesconcepts de base et les options disponibles pour gérer l'accès à vos ressources AWS DirectoryService. Pour plus d'informations, consultez la section Présentation de la gestion des autorisationsd'accès à vos ressources AWS Directory Service (p. 276).
Les sections de cette rubrique couvrent les sujets suivants :
• Autorisations requises pour utiliser la console AWS Directory Service (p. 281)• Stratégies gérées (prédéfinies) par AWS pour AWS Directory Service (p. 281)• Exemples de stratégies gérées par le client (p. 282)• Utilisation des balises avec les stratégies IAM (p. 283)
Un exemple de stratégie d'autorisation est exposé ci-dessous.
{ "Version" : "2012-10-17",
Version 1.0279
AWS Directory Service Guide d'administrationUtilisation des stratégies baséessur une identité (stratégies IAM)
"Statement" : [ { "Action" : [ "ds:CreateDirectory" ], "Effect" : "Allow", "Resource" : "*" }, { "Action" : [ "iam:PassRole", "iam:GetRole", "iam:CreateRole", "iam:PutRolePolicy" ], "Effect" : "Allow", "Resource" : "*" }, { "Action" : [ "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:CreateSecurityGroup", "ec2:DeleteSecurityGroup", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress" ], "Effect" : "Allow", "Resource" : "*" } ]}
La stratégie comprend les éléments suivants :
• La première instruction accorde l'autorisation de créer un annuaire AWS Directory Service. AWSDirectory Service ne prend pas en charge les autorisations pour cette action particulière au niveau desressources. Par conséquent, la stratégie spécifie un caractère générique (*) comme étant la valeurResource.
• La deuxième instruction accorde des autorisations à certaines actions IAM. L'accès aux actions IAMest nécessaire pour qu'AWS Directory Service puisse lire et créer des rôles IAM en votre nom. Lecaractère générique (*) à la fin de la valeur Resource signifie que l'instruction autorise les actions IAMsur n'importe quel rôle IAM. Pour limiter cette autorisation à un rôle spécifique, remplacez le caractèregénérique (*) dans la ressource ARN par un nom de rôle spécifique. Pour plus d'informations, consultezActions IAM.
• La troisième instruction accorde des autorisations à un jeu spécifique de ressources Amazon EC2requises pour permettre à AWS Directory Service de créer, configurer et détruire ses annuaires. Lecaractère générique (*) à la fin de la valeur Resource signifie que l'instruction accepte les autorisationspour les actions EC2 sur n'importe quelle ressource ou sous-ressource EC2. Pour limiter cetteautorisation à un rôle spécifique, remplacez le caractère générique (*) dans la ressource ARN par uneressource ou sous-ressource. Pour plus d'informations, consultez Actions Amazon EC2.
La stratégie ne spécifie pas l'élément Principal car, dans une stratégie basée sur une identité, vous nespécifiez pas le mandataire qui obtient l'autorisation. Quand vous attachez une stratégie à un utilisateur,
Version 1.0280
AWS Directory Service Guide d'administrationUtilisation des stratégies baséessur une identité (stratégies IAM)
l'utilisateur est le mandataire implicite. Lorsque vous attachez une stratégie d'autorisations à un rôle IAM, lemandataire identifié dans la stratégie d'approbation de ce rôle obtient les autorisations.
Pour visualiser un tableau répertoriant toutes les actions d'API AWS Directory Service, ainsi que lesressources auxquelles elles s'appliquent, consultez AWS Directory Service Autorisations d’API : Actions,ressources et référence des conditions (p. 285).
Autorisations requises pour utiliser la console AWS DirectoryServicePour qu'un utilisateur puisse utiliser la console AWS Directory Service, il doit disposer des autorisationsindiquées dans la stratégie ci-dessus ou les autorisations accordées par le rôle Accès complet au serviced'annuaire ou le rôle Lecture seule d'un service d'annuaire, décrites dans Stratégies gérées (prédéfinies)par AWS pour AWS Directory Service (p. 281).
Si vous créez une stratégie IAM plus restrictive que les autorisations minimales requises, la console nefonctionnera pas comme prévu pour les utilisateurs dotés de cette stratégie IAM.
Stratégies gérées (prédéfinies) par AWS pour AWS DirectoryServiceAWS est adapté à de nombreux cas d'utilisation courants et fournit des stratégies IAM autonomes quisont créées et administrées par AWS. Les stratégies gérées octroient les autorisations requises dans lescas d'utilisation courants et vous évitent d'avoir à réfléchir aux autorisations qui sont requises. Pour plusd'informations, consultez Stratégies gérées par AWS dans le IAM Guide de l'utilisateur.
Les stratégies gérées par AWS suivantes, que vous pouvez attacher aux utilisateurs de votre compte, sontpropres à AWS Directory Service :
• AWSDirectoryServiceReadOnlyAccess – Accorde à un utilisateur ou à un groupe un accès en lectureseule à tous AWS Directory Service ressources, sous-réseaux EC2, interfaces réseau EC2 et AmazonSimple Notification Service (Amazon SNS) Rubriques et abonnements pour la racine AWS compte.Pour plus d'informations, consultez la section Utilisation des stratégies gérées AWS avec AWS DirectoryService (p. 127).
• AWSDirectoryServiceFullAccess – Accorde à un utilisateur ou à un groupe les autorisations suivantes :• Accès complet à AWS Directory Service.• Accès aux principaux services Amazon EC2 requis pour utiliser AWS Directory Service• Possibilité de répertorier les rubriques Amazon SNS• Possibilité de créer, gérer et supprimer des rubriques Amazon SNS avec un nom commençant par
« DirectoryMonitoring »
Pour plus d'informations, consultez la section Utilisation des stratégies gérées AWS avec AWS DirectoryService (p. 127).
En outre, il existe d'autres stratégies gérées par AWS qui peuvent être utilisées avec d'autres rôles IAM.Ces stratégies sont affectées aux rôles associés aux utilisateurs de votre annuaire AWS Directory Service.Ces stratégies sont requises pour que ces utilisateurs aient accès à d'autres ressources AWS, commeAmazon EC2. Pour plus d'informations, consultez la section Accorder l'accès aux ressources AWS (p. 124).
Vous pouvez également créer des stratégies IAM personnalisées qui autorisent les utilisateurs à accéderaux ressources et actions d'API requises. Vous pouvez attacher ces stratégies personnalisées auxutilisateurs ou groupes IAM qui nécessitent ces autorisations.
Version 1.0281
AWS Directory Service Guide d'administrationUtilisation des stratégies baséessur une identité (stratégies IAM)
Exemples de stratégies gérées par le clientDans cette section, vous trouverez des exemples de stratégies utilisateur qui accordent des autorisationspour diverses actions AWS Directory Service.
Note
Tous les exemples utilisent le Région USA Ouest (Oregon) (us-west-2) et contenir un comptefictif IDs.
Exemples• Exemple 1 : Autoriser un utilisateur à effectuer n’importe quelle action de description sur n’importe quel
AWS Directory Service Ressource (p. 282)• Exemple 2 : Autoriser un utilisateur à créer un annuaire (p. 282)
Exemple 1 : Autoriser un utilisateur à effectuer n’importe quelle action dedescription sur n’importe quel AWS Directory Service Ressource
La stratégie d’autorisations suivante accorde des autorisations à un utilisateur pour exécuter toutes lesactions qui commencent par Describe. Ces actions affichent des informations sur un AWS DirectoryService comme un annuaire ou un instantané. Notez que le caractère générique (*) figurant dans l'élémentResource indique que les actions sont autorisées pour toutes les ressources AWS Directory Servicedétenues par le compte.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ds:Describe*", "Resource":"*" } ]}
Exemple 2 : Autoriser un utilisateur à créer un annuaire
La stratégie d'autorisations suivante accorde des autorisations pour permettre à un utilisateur de créer unannuaire et toutes les autres ressources connexes, telles que les instantanés et les approbations. Pour cefaire, les autorisations sur certains services Amazon EC2 sont également requises.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": [ "ds:Create*", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateNetworkInterface", "ec2:CreateSecurityGroup", "ec2:DeleteNetworkInterface", "ec2:DeleteSecurityGroup", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:RevokeSecurityGroupEgress",
Version 1.0282
AWS Directory Service Guide d'administrationUtilisation des stratégies baséessur une identité (stratégies IAM)
"ec2:RevokeSecurityGroupIngress" ], "Resource":"*" ] } ]}
Utilisation des balises avec les stratégies IAMVous pouvez appliquer des autorisations au niveau des ressources basées sur des balises dans lesstratégies IAM que vous utilisez pour la plupart des actions d'API AWS Directory Service. Vous bénéficiezainsi d'un meilleur contrôle sur les ressources qu'un utilisateur peut créer, modifier ou utiliser. Vous pouvezutiliser l'élément Condition (également appelé bloc Condition) avec les clés et valeurs de contexte decondition suivantes dans une stratégie IAM pour contrôler l'accès des utilisateurs (autorisations) en fonctiondes balises d'une ressource :
• Utilisation aws:ResourceTag/tag-key: tag-value pour autoriser ou refuser des actions utilisateur surdes ressources avec des balises spécifiques.
• Utilisation aws:ResourceTag/tag-key: tag-value pour exiger qu’une balise spécifique soit utilisée(ou n’est pas utilisée) lors d’une demande d’API pour créer ou modifier une ressource qui autorise lesbalises.
• Utilisation aws:TagKeys: [tag-key,...] pour exiger qu’un ensemble spécifique de clés de balise soitutilisé (ou ne soit pas utilisé) lors d’une demande d’API pour créer ou modifier une ressource qui autoriseles balises.
Note
Les clés et les valeurs de contexte de condition d'une stratégie IAM s'appliquent uniquement auxactions AWS Directory Service dans lesquelles un identifiant pour une ressource pouvant êtrebalisée est un paramètre obligatoire.
Contrôler l'accès à l'aide de balises dans le IAM Guide de l'utilisateur contient des informationssupplémentaires sur l'utilisation des balises. La section Référence de stratégie JSON IAM de ce guidefournit la syntaxe détaillée, des descriptions, ainsi que des exemples des éléments, des variables et de lalogique d'évaluation des stratégies JSON dans IAM.
L'exemple de stratégie de balise suivant autorise tous les appels ds tant qu'ils contiennent la paire de clésde balise « fooKey »:« fooValue ».
{ "Version":"2012-10-17", "Statement":[ { "Sid":"VisualEditor0", "Effect":"Allow", "Action":[ "ds:*" ], "Resource":"*", "Condition":{ "StringEquals":{ "aws:ResourceTag/fooKey":"fooValue" } } }, { "Effect":"Allow", "Action":[
Version 1.0283
AWS Directory Service Guide d'administrationUtilisation des stratégies baséessur une identité (stratégies IAM)
"ec2:*" ], "Resource":"*" } ]}
L'exemple de stratégie de ressource suivant autorise tous les appels ds tant que la ressource contient l'IDd'annuaire « d-1234567890 ».
{ "Version":"2012-10-17", "Statement":[ { "Sid":"VisualEditor0", "Effect":"Allow", "Action":[ "ds:*" ], "Resource":"arn:aws:ds:us-east-1:123456789012:directory/d-1234567890" }, { "Effect":"Allow", "Action":[ "ec2:*" ], "Resource":"*" } ]}
Pour plus d’informations sur ARNs, voir Noms de ressources Amazon (ARN) et AWS Espaces de noms deservice.
La liste suivante d'opérations d'API AWS Directory Service prend en charge les autorisations au niveau desressources basées sur les balises :
• AcceptSharedDirectory• AddIpRoutes• AddTagsToResource• CancelSchemaExtension• CreateAlias• CreateComputer• CreateConditionalForwarder• CreateSnapshot• CreateLogSubscription• CreateTrust• DeleteConditionalForwarder• DeleteDirectory• DeleteLogSubscription• DeleteSnapshot• DeleteTrust• DeregisterEventTopic• DescribeConditionalForwarders• DescribeDomainControllers
Version 1.0284
AWS Directory Service Guide d'administrationRéférence des autorisations d'API AWS Directory Service
• DescribeEventTopics• DescribeSharedDirectories• DescribeSnapshots• DescribeTrusts• DisableRadius• DisableSso• EnableRadius• EnableSso• GetSnapshotLimits• ListIpRoutes• ListSchemaExtensions• ListTagsForResource• RegisterEventTopic• RejectSharedDirectory• RemoveIpRoutes• RemoveTagsFromResource• ResetUserPassword• RestoreFromSnapshot• ShareDirectory• StartSchemaExtension• UnshareDirectory• UpdateConditionalForwarder• UpdateNumberOfDomainControllers• UpdateRadius• UpdateTrust• VerifyTrust
AWS Directory Service Autorisations d’API : Actions,ressources et référence des conditionsLorsque vous configurez Contrôle d'accès (p. 275) et les stratégies d'autorisation d'écriture que vouspouvez attacher à une identité IAM (stratégies basées sur une identité), vous pouvez utiliser le tableau ci-dessous comme référence. La liste des comprend les éléments suivants :
• Chaque opération d'API AWS Directory Service• Actions correspondantes pour lesquelles vous pouvez accorder des autorisations pour effectuer l'action• Ressource AWS pour laquelle vous pouvez accorder les autorisations
Vous spécifiez les actions dans le champ Action de la stratégie, ainsi que la valeur des ressources dansle champ Resource de la stratégie.
Note
Certaines applications AWS peuvent nécessiter l'utilisation d'opérations d'API AWS DirectoryService non publiques telles que ds:AuthorizeApplication, ds:CheckAlias,ds:CreateIdentityPoolDirectory et ds:UnauthorizeApplication dans leursstratégies.
Version 1.0285
AWS Directory Service Guide d'administrationConsignation et surveillance
Pour exprimer des conditions, vous pouvez utiliser des clés de condition globale AWS dans les stratégiesAWS Directory Service. Pour obtenir la liste complète des clés AWS, consultez Clés de condition globaledisponibles dans le IAM Guide de l'utilisateur.
Note
Pour spécifier une action, utilisez le préfixe ds: suivi du nom de l'opération d'API (par exemple,ds:CreateDirectory).
Rubriques connexes• Contrôle d'accès (p. 275)
Journalisation et surveillance dans AWS DirectoryService
La bonne pratique consiste à surveiller votre organisation pour vous assurer que les modifications sontjournalisées. Vous pouvez ainsi vous assurer que toutes les modifications inattendues peuvent êtrevérifiées et que les modifications non désirées peuvent être annulées. AWS Directory Service prendactuellement en charge deux services AWS qui vous permettent de surveiller votre organisation et sonactivité.
• Amazon CloudWatch Events - Vous pouvez utiliser CloudWatch Events avec le type d'annuaireAWS Managed Microsoft AD. Pour plus d'informations, consultez la section Activer le transfert dejournaux (p. 58).
• AWS CloudTrail - Vous pouvez utiliser CloudTrail avec tous les types d'annuaire AWS Directory Service.Pour plus d'informations, consultez Journalisation des appels d'API AWS Directory Service avecCloudTrail.
Validation de la conformité pour AWS DirectoryService
Des auditeurs tiers évaluent la sécurité et la conformité d'AWS Directory Service dans le cadre de plusieursprogrammes de conformité AWS. avec AWS Managed Microsoft AD, notamment SOC, PCI, FedRAMP,HIPAA et autres. Pour plus d'informations, consultez la section Gestion de la conformité pour AWSManaged Microsoft AD (p. 43).
Pour obtenir la liste des services AWS dans le cadre de programmes de conformité spécifiques, consultezServices AWS concernés par le programme de conformité. Pour obtenir des informations générales,consultez Programmes de conformité AWS.
Vous pouvez utiliser AWS Artifact pour télécharger les rapports d'audit tiers. Pour de plus amplesinformations, veuillez consulter Téléchargement des rapports dans AWS Artifact.
Votre responsabilité en matière de conformité lorsque vous utilisez AWS Directory Service est déterminéepar la sensibilité de vos données, les objectifs de conformité de l'entreprise, ainsi que la législation et laréglementation applicables. AWS fournit les ressources suivantes pour faciliter le respect de la conformité :
• Guides de démarrage rapide de la sécurité et de la conformité – Ces guides de déploiement proposentdes considérations architecturales et indiquent les étapes à suivre pour déployer des environnements deréférence centrés sur la sécurité et la conformité sur AWS.
Version 1.0286
AWS Directory Service Guide d'administrationRésilience
• Livre blanc Création d'une architecture pour la sécurité et la conformité HIPAA. Ce livre blanc décritcomment les entreprises peuvent utiliser AWS pour créer des applications conformes à la loi HIPAA.
• Ressources de conformité AWS – Cet ensemble de manuels et de guides peut s'appliquer à votresecteur et à votre emplacement.
• AWS Config – Ce service AWS permet d'évaluer le degré de conformité de vos configurations deressources par rapport aux pratiques internes, aux normes et aux directives industrielles.
• AWS Security Hub. Ce service AWS fournit une vue complète de votre état de sécurité au sein d'AWSqui vous permet de vérifier votre conformité aux normes sectorielles et aux bonnes pratiques de sécurité.
Résilience dans AWS Directory ServiceLe AWS de l’infrastructure mondiale est construite autour AWS Régions et zones de disponibilité. AWS Lesrégions fournissent plusieurs zones de disponibilité physiquement séparées et isolées, qui sont connectéesavec une mise en réseau à faible latence, à haut débit et hautement redondante. Avec les zones dedisponibilité, vous pouvez concevoir et exploiter des applications et des bases de données qui basculentautomatiquement d'une zone de disponibilité à l'autre sans interruption. Les zones de disponibilité sont plushautement disponibles, tolérantes aux pannes et évolutives que les infrastructures traditionnelles à un ouplusieurs centres de données.
Pour de plus amples d'informations sur les régions et les zones de disponibilité AWS, veuillez consulterInfrastructure mondiale d'AWS .
En plus de l'infrastructure AWS mondiale, AWS Directory Service offre la possibilité de prendre desinstantanés manuels des données à tout moment pour vous aider à répondre à vos besoins de résilienceet de sauvegarde des données. Pour plus d'informations, consultez la section Création d'un instantané oud'une restauration de votre annuaire (p. 122).
Sécurité de l'infrastructure dans AWS DirectoryService
En tant que service géré, AWS Directory Service est protégé par le AWS des procédures de sécurité duréseau global qui sont décrites dans le Amazon Web Services: Présentation des processus de sécurité livreblanc.
Vous utilisez les appels d'API publiés dans AWS pour accéder à AWS Directory Service via le réseau. Lesclients doivent prendre en charge Transport Layer Security (TLS). Nous recommandons TLS 1.2 ou versionultérieure. Les clients doivent également prendre en charge les suites de chiffrement PFS (Perfect ForwardSecrecy) comme Ephemeral Diffie-Hellman (DHE) ou Elliptic Curve Ephemeral Diffie-Hellman (ECDHE) Laplupart des systèmes modernes telles que Java 7 et versions ultérieures prennent en charge ces modes.
Si vous avez besoin de modules cryptographiques validés FIPS 140-2 lors de l’accès AWS via uneinterface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informationssur les points de terminaison FIPS disponibles, consultez Norme fédérale de traitement des informations(FIPS) 140-2.
En outre, les demandes doivent être signées à l'aide d'un ID de clé d'accès et d'une clé d'accès secrèteassociée à un mandataire IAM. Vous pouvez également utiliser AWS Security Token Service (AWS STS)pour générer des informations d'identification de sécurité temporaires et signer les demandes.
Version 1.0287
AWS Directory Service Guide d'administration
Contrat de niveau de service pourAWS Directory Service
AWS Directory Service est un service hautement disponible, qui repose sur une infrastructure gérée parAWS. Il est soutenu par un accord de niveau de service qui définit la stratégie de disponibilité de notreservice.
Pour plus d'informations, consultez l'accord de niveau de service pour AWS Directory Service.
Version 1.0288
AWS Directory Service Guide d'administration
Disponibilité dans la région pour AWSDirectory Service
Le tableau suivant propose une liste décrivant les points de terminaison spécifiques à la région pris encharge par type d'annuaire.
Nom dela région
Région Endpoint Protocol AWSManagedMicrosoftAD
ADConnector
SimpleAD
USA Est(Ohio)
us-east-2
ds.us-east-2.amazonaws.com HTTPS X X S/O
USA Est(VirginieduNord)
us-east-1
ds.us-east-1.amazonaws.com HTTPS X X X
USAOuest(CalifornieduNord)
us-west-1
ds.us-west-1.amazonaws.com HTTPS X X S/O
USA Ouest(Oregon)
us-west-2
ds.us-west-2.amazonaws.com HTTPS X X X
Afrique(LeCap) *
af-south-1
ds.af-south-1.amazonaws.com HTTPS X X S/O
Asie-Pacifique(HongKong) *
ap us-east-1
ds.ap-east-1.amazonaws.com HTTPS X X S/O
Asie-Pacifique(Mumbai)
ap-south-1
ds.ap-south-1.amazonaws.com HTTPS X X S/O
Asie-Pacifique(Séoul)
ap-northeast-2
ds.ap-northeast-2.amazonaws.com HTTPS X X S/O
Asie-Pacifique(Singapour)
ap-southeast-1
ds.ap-southeast-1.amazonaws.com HTTPS X X X
Asie-Pacifique(Sydney)
ap-southeast-2
ds.ap-southeast-2.amazonaws.com HTTPS X X X
Version 1.0289
AWS Directory Service Guide d'administration
Nom dela région
Région Endpoint Protocol AWSManagedMicrosoftAD
ADConnector
SimpleAD
Asie-Pacifique(Tokyo)
ap-northeast-1
ds.ap-northeast-1.amazonaws.com HTTPS X X X
Canada(Centre)
ca-central-1
ds.ca-central-1.amazonaws.com HTTPS X X S/O
Chine(Pékin)
cn-north-1
ds.cn-north-1.amazonaws.com.cn HTTPS X X S/O
Chine(Ningxia)
cn-northwest-1
ds.cn-northwest-1.amazonaws.com.cn HTTPS X X S/O
Europe(Francfort)
eu-central-1
ds.eu-central-1.amazonaws.com HTTPS X X S/O
Europe(Irlande)
eu-west-1
ds.eu-west-1.amazonaws.com HTTPS X X X
Europe(Londres)
eu-west-2
ds.eu-west-2.amazonaws.com HTTPS X X S/O
Europe(Paris)
eu-west-3
ds.eu-west-3.amazonaws.com HTTPS X X S/O
Europe(Stockholm)
eu-north-1
ds.eu-north-1.amazonaws.com HTTPS X X S/O
UE(Milan) *
eu-south-1
ds.eu-south-1.amazonaws.com HTTPS X X S/O
Moyen-Orient(Bahreïn)*
me-south-1
ds.me-south-1.amazonaws.com HTTPS X X S/O
Amériquedu Sud(SãoPaulo)
sa-east-1
ds.sa-east-1.amazonaws.com HTTPS X X S/O
AWSGovCloud(US-West)
us-gov-west-1
ds.us-gov-west-1.amazonaws.com HTTPS X X S/O
AWSGovCloud(US-East)
us-gov-east-1
ds.us-gov-east-1.amazonaws.com HTTPS X X S/O
* Les AWS Managed Microsoft AD fonctions suivantes ne sont actuellement pas prises en charge dans lesAsie-Pacifique (Hong Kong) régions Moyen-Orient (Bahreïn) , Afrique (Le Cap) , et :UE (Milan)
Version 1.0290
AWS Directory Service Guide d'administration
• URL d'accès pour le répertoire• Mappage des utilisateurs aux rôles IAM pour l'accès à AWS Management Console
Pour plus d'informations sur l'utilisation du service AWS Directory Service dans la région AWS GovCloud(US-West), consultez Points de terminaison AWS GovCloud (US-West).
Pour plus d'informations sur l'utilisation du service AWS Directory Service dans la région Chine (Pékin),consultez la page Points de terminaison Chine (Pékin).
Version 1.0291
AWS Directory Service Guide d'administration
Compatibilité des navigateursLes applications et services AWS tels que Amazon WorkSpaces, Amazon WorkMail, Amazon Connect,Amazon Chime, Amazon WorkDocs et Authentification unique AWS requièrent des informationsd'identification de connexion valides à partir d’un navigateur compatible avant de pouvoir y accéder. Letableau suivant décrit uniquement les navigateurs et les versions de navigateur compatibles pour lesconnexions.
Navigateur Version Compatibilité
Internet Explorer versions 7 et antérieures(bureau)
Non compatible
Desktop Internet Explorer versions 8, 9 et 10 Compatible uniquementavec Windows 7 ou versionultérieure et TLS 1.1 activé.Pour de plus amplesinformations, veuillezconsulter Qu'est-ce queTLS ? (p. 293).
Internet Explorer versions 11 et ultérieures(bureau)
Compatible
Internet Explorer versions 10 et ultérieures(mobile)
Non compatible
Microsoft Internet Explorer
Internet Explorer versions 11 et ultérieures(mobile)
Compatible
Microsoft Edge Toutes les versions Compatible
Firefox 23 et versions antérieures Non compatible
Firefox 24 à 26 Compatible, mais pas pardéfaut.
Mozilla Firefox
Firefox 27 et versions ultérieures Compatible
Google Chrome 21 et version antérieures Non compatible
Google Chrome 22 à 37 Compatible, mais pas pardéfaut.
Google Chrome
Google Chrome 38 et versions ultérieures Compatible
Safari versions 6 et antérieures (bureau)pour OS X 10.8 (Mountain Lion) et versionsantérieures
Non compatible
Safari versions 7 et ultérieures (bureau)pour OS X 10.9 (Mavericks) et versionsultérieures
Compatible
Apple Safari
Mobile Safari pour iOS 4 et versionsantérieures
Non compatible
Version 1.0292
AWS Directory Service Guide d'administrationQu'est-ce que TLS ?
Navigateur Version Compatibilité
Safari versions 5 et ultérieures (mobile) pouriOS 5 et versions ultérieures
Compatible
Maintenant que vous avez vérifié que vous utilisez une version prise en charge de votre navigateur, nousvous recommandons également de consulter la section ci-dessous pour vérifier que votre navigateur a étéconfiguré pour utiliser le protocole TLS (Transport Layer Security) requis par AWS.
Qu'est-ce que TLS ?TLS est un protocole utilisé par des navigateurs Web et d'autres applications pour échanger des donnéesen toute sécurité sur un réseau. TLS permet de s’assurer qu'une connexion à un point de terminaisondistant correspond au point de terminaison prévu via le chiffrement et la vérification d'identité du point determinaison. À ce jour, les versions de TLS disponibles sont TLS 1.0, 1.1, 1.2 et 1.3.
Versions TLS prises en charge par AWS SSOLes applications et services AWS prennent en charge TLS 1.1, 1.2 et 1.3 pour les connexions sécurisées.À compter du 30 octobre 2019, TLS 1.0 n'est plus pris en charge. Il est donc important que tous lesnavigateurs soient configurés pour prendre en charge TLS 1.1 ou version ultérieure. En d'autrestermes, vous ne serez pas en mesure de vous connecter à des applications et services AWS si vous yaccéder alors que TLS 1.0 est activé. Pour obtenir de l'aide relative à cette modification, contactez votreadministrateur.
Comment puis-je activer les versions de TLS prisesen charge dans mon navigateur
Cela dépend de votre navigateur. Généralement, vous devez accéder aux paramètres avancés dans lesparamètres de votre navigateur. Par exemple, dans Internet Explorer, vous trouverez diverses optionsTLS sous Propriétés Internet, l'onglet Paramètres avancés, puis la section Sécurité. Consultez le site Webd’assistance du fournisseur de votre navigateur pour obtenir des instructions spécifiques.
Version 1.0293
AWS Directory Service Guide d'administration
Historique du documentLe tableau suivant décrit les modifications significatives apportées depuis la publication du Guide del'administrateur AWS Directory Service.
• Dernière mise à jour de la documentation : 2 janvier 2019
update-history-change update-history-description update-history-date
Réinitialisation de mot de passe Ajout de contenu sur laréinitialisation des mots de passeutilisateur à l’aide de l’ AWSManagement Console, fenêtresPowerShell et AWS Interface deligne de commande.
January 2, 2019
Partage d'annuaire Ajout de documentation pour lepartage d'annuaire avec AWSManaged Microsoft AD.
September 25, 2018
Migration de contenu vers unnouveau manuel du développeurAmazon Cloud Directory
Le contenu Amazon CloudDirectory figurant précédemmentdans ce guide a été déplacévers le nouveau manuel dudéveloppeur Amazon CloudDirectory.
June 21, 2018
Révision de la table des matièresdu Guide de l'administrateurterminée
Réorganisation du contenu pourcorrespondre plus directementaux besoins du client et ajout denouveau contenu lorsque c'étaitnécessaire.
April 5, 2018
Groupes déléguées AWS Ajout de la liste des groupesdéléguées AWS qui peuvent êtreattribués aux utilisateurs sur site.
March 8, 2018
Stratégies de mot de passeaffinées
Ajout de nouveau contenu sur lesstratégies de mot de passe.
July 5, 2017
Contrôleurs de domainesupplémentaires
Ajout d'informations pour l'ajoutde contrôleurs de domainesupplémentaires à votre AWSManaged Microsoft AD.
June 30, 2017
Tutorials Ajout de nouveaux didacticielssur le test d'un environnementd'atelier AWS Managed MicrosoftAD.
June 21, 2017
MFA avec AWS ManagedMicrosoft AD
Ajout de documentation relativeà l'utilisation de MFA avec AWSManaged Microsoft AD.
February 13, 2017
Version 1.0294
AWS Directory Service Guide d'administration
Amazon Cloud Directory Introduction d'un nouveau typed'annuaire.
January 26, 2017
Réorganisation majeure du guidede l'administrateur DirectoryService
Contenu réorganisé pourcorrespondre plus directementaux besoins du client.
November 14, 2016
Extensions de schéma Ajout de la documentation pourles extensions de schéma avecAWS Directory Service forMicrosoft Active Directory.
November 14, 2016
Notifications SNS Ajout de documentation relativeaux notifications SNS.
February 25, 2016
Autorisation et authentification Ajout de documentationsupplémentaire pour l'utilisationd'IAM avec Directory Services.
February 25, 2016
AWS Managed Microsoft AD Ajout de documentation pourAWS Managed Microsoft AD etrelatives aux manuels combinésen un seul manuel.
November 17, 2015
Permettre aux instances Linuxd'être jointes à un annuaireSimple AD
Ajout de documentation relative àla jonction d'une instance Linux àun annuaire Simple AD.
July 23, 2015
Séparation de manuel Le guide de l'administration AWSDirectory Service est divisé enguides distincts, le guide del'annuaire Simple AD et le guidedu Connecteur AD.
July 14, 2015
Prise en charge del'authentification unique
Ajout de documentation relative àl'authentification unique.
March 31, 2015
Nouveau guide Il s'agit de la première version dumanuel AWS Directory ServiceAdministration Guide.
October 21, 2014
Version 1.0295
AWS Directory Service Guide d'administration
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenud'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Version 1.0ccxcvi
