Microsoft Active Directory 用のセルフマネージド AWS Directory Service を使用して、マルチ AZ Amazon FSx for Windows ファイルサーバー共有を作成したいと考えています。これを行うためのアクセス許可を設定する方法を教えてください。
解決方法
FSx for Windows ファイルサーバーは、シングル AZ およびマルチ AZ ファイルシステムデプロイを提供します。セルフマネージド Microsoft AD では、アクセス許可を設定しなくても、シングル AZ 1 ファイル共有を限られた回数構築できます。ただし、マルチ AZ またはシングル AZ 2 共有を作成するには、サービスアカウントを作成し、必要なアクセス許可を委任する必要があります。
前提条件
- セルフマネージド Microsoft AD 用の DNS サーバーは、ファイル共有に使用するのと同じ Virtual Private Cloud (VPC) 内で到達可能である必要があります。
- セルフマネージド Microsoft AD 内で、サービスアカウントを作成してアクセス許可を付与できる必要があります。
- セルフマネージド Microsoft AD には、完全修飾ドメイン名 (FQDN) を使用する必要があります。単一ラベルドメインはサポートされていません。
セルフマネージド Microsoft AD ユーザーを作成する
- セルフマネージド Microsoft AD でユーザーを作成するアクセス許可を持つドメインアカウントとしてサインインします。
- Active Directory ユーザーおよびコンピュータを開きます。
- サービスアカウントを作成する組織単位 (OU) のコンテキスト (右クリック) メニューを開き、[新規]、[ユーザー] の順に選択します。
注: サービスアカウントには任意の OU を使用できます。別の OU を使用して Amazon FSx オブジェクトを作成する場合、ユーザーは両方の OU への読み取りアクセス権限を持っている必要があります。
- [新しいオブジェクト - ユーザー名] フィールドと [ユーザーログオン名] フィールドに入力してから、[次へ] をクリックします。
- ユーザーのパスワードを作成してから、[次へ] をクリックします。
重要: [パスワードの有効期限なし] を選択しないことをおすすめします。これは、古いパスワードを使用するサービスアカウントでセキュリティ上のリスクが生じる可能性があるためです。[パスワードの有効期限なし] をオフにすると、アカウントにはデフォルトのドメインポリシーが適用されます。パスワードの有効期限が切れたら、必ずサービスアカウントの認証情報を更新してください。
- [終了] を選択してユーザーを作成します。
サービスアカウントにアクセス許可を委任する
- Active Directory ユーザーおよびコンピュータを開きます。
- Amazon FSx コンピュータオブジェクトを作成する OU を選択します。作成時にこれを指定しない場合は、デフォルトの Domainname\ Computers OU が使用されます。
注: デフォルトの OU を使用しない場合は、後の手順のために distinguishedName を書き留めます。[Active Directory ユーザーとコンピュータ] から、[表示]、[詳細機能] の順に選択します。使用する OU のコンテキスト (右クリック) メニューを開き、[プロパティ] を選択します。[distinguishedName] は [属性エディタ] タブで使用できます。
- Amazon FSx で使用する OU のコンテキスト (右クリック) メニューを開き、[コントロールの委任] を選択します。
- [次へ] を選択します。
- [選択したユーザーとグループ] で、上記で作成したサービスアカウントを選択し、[次へ] をクリックします。
- [委任するカスタムタスクを作成する] を選択してから、[次へ] を選択します。
- [フォルダ内の次のオブジェクトのみ] を選択してから、[コンピュータオブジェクト] をクリックします。
- [このフォルダに選択したオブジェクトを作成] と [このフォルダ内の選択したオブジェクトを削除] を選択します。
- [次へ] を選択します。
- [アクセス許可] では、以下を選択します。
パスワードのリセット
アカウントの読み取りと書き込みの制限
DNS ホスト名への検証済みの書き込み
サービスプリンシパル名への検証済みの書き込み
- [次へ] を選択してから、[完了] をクリックします。
ファイルシステムを作成します。
- Amazon FSx コンソールを開いてから、[ファイルシステムの作成] を選択します。
- [Amazon FSx for Windows ファイルサーバー] を選択し、[次へ] をクリックします。
- [ファイルシステムの詳細] で、デプロイタイプ [マルチ AZ] を選択し、必要なストレージ容量とスループット容量を指定します。
- [ネットワークとセキュリティ] で、セルフマネージド Microsoft AD 用の VPC を選択します。次に、2 つの優先サブネットを選択します。
- [Windows 認証] では、[セルフマネージド Microsoft Active Directory] を選択してから、上記で作成したサービスアカウントの詳細を入力します。
デフォルトのコンピュータ OU を使用しない場合は、サービスアカウントにアクセス許可を委任するときにメモした OU の distinguishedName を入力します。
[委任されたファイルシステム管理者グループ] で、デフォルトの Domain Admins グループを使用しない場合は、グループ名を入力します。
- [暗号化] では、デフォルト設定を使用するか、必要に応じて別の暗号化オプションを選択します。
- [バックアップとメンテナンス] では、基本設定を選択します。Amazon FSx が第 2 のサーバーにフェイルオーバーするため、デフォルト設定では、通常のメンテナンス期間中はダウンタイムがゼロになります。
- [次へ] を選択します。
- [概要] を確認します。
重要: 概要は、ファイルシステムの作成後に属性を編集できるかどうかを示します。これは、属性を変更する最後のチャンスで、作成後は編集できなくなります。
- [ファイルシステムの作成] をクリックします。
- これで、ファイルシステムの作成が開始されます。このプロセスには、共有のサイズによっては、数時間かかることがあります。完了すると、Amazon FSx コンソールの上部に緑色のバナーが表示され、ファイル共有が利用できるようになったことを示します。
関連情報
可用性と耐久性: シングル AZ およびマルチ AZ ファイルシステム