자체 관리형 Microsoft AD 다중 AZ Amazon FSx 권한을 구성하려면 어떻게 해야 합니까?

4분 분량
0

자체 관리형 AWS Directory Service for Microsoft Active Directory를 사용하여 다중 AZ Amazon FSx for Windows File Server 공유를 생성하려고 합니다. 해당 작업 권한을 구성하려면 어떻게 해야 합니까?

해결 방법

FSx for Windows File Server는 단일 AZ 및 다중 AZ 파일 시스템 배포 기능을 제공합니다. 자체 관리형 Microsoft AD를 사용하면 사용 권한을 구성하지 않고도 제한된 횟수만큼 단일 AZ 1 파일 공유를 생성할 수 있습니다. 하지만 다중 AZ 또는 단일 AZ 2 공유를 생성하려면 서비스 계정을 만들고 필요한 권한을 위임해야 합니다.

사전 요구 사항

  • 자체 관리형 Microsoft AD의 DNS 서버는 파일 공유에 사용하는 것과 동일한 Virtual Private Cloud(VPC) 내에서 연결할 수 있어야 합니다.
  • 자체 관리형 Microsoft AD 내에서 서비스 계정을 만들고 권한을 부여할 수 있어야 합니다.
  • 자체 관리형 Microsoft AD에는 FQDN(정규화된 도메인 이름)을 사용해야 합니다. 단일 레이블 도메인은 지원되지 않습니다.

자체 관리형 Microsoft AD 사용자 생성

  1. 자체 관리형 Microsoft AD에서 사용자를 생성할 권한이 있는 도메인 계정으로 로그인합니다.
  2. Active Directory 사용자 및 컴퓨터를 엽니다.
  3. 서비스 계정을 생성하려는 OU(조직 단위)의 컨텍스트 메뉴를 열고 [새로 만들기(New)], [사용자(User)]를 선택합니다.
    참고: 서비스 계정에는 어떤 OU든 사용할 수 있습니다. 다른 OU를 사용하여 Amazon FSx 객체를 생성하려면 사용자에게 두 OU에 대한 읽기 액세스 권한이 있어야 합니다.
  4. [새 객체 — 사용자(New Object – User)] 이름 및 사용자 로그온 이름 필드를 입력한 후 [다음(Next)]을 선택합니다.
  5. 사용자의 암호를 생성하고 [다음(Next)]을 선택합니다.
    중요: [암호가 만료되지 않음(Password never expires)]을 선택하지 않는 것이 좋습니다. 이렇게 하면 이전 암호를 사용하는 서비스 계정에 보안 위험이 발생할 수 있습니다. [암호가 만료되지 않음(Password never expires)]을 선택 취소하면 계정에 기본 도메인 정책이 적용됩니다. 암호가 만료되면 서비스 계정 자격 증명을 업데이트해야 합니다.
  6. [마침(Finish)]을 선택하여 사용자를 생성합니다.

서비스 계정에 사용 권한 위임

  1. Active Directory 사용자 및 컴퓨터를 엽니다.
  2. Amazon FSx 컴퓨터 객체를 생성할 OU를 선택합니다. 생성하는 동안 이 값을 지정하지 않으면 기본 Domainname\Computers OU가 사용됩니다.
    참고: 기본 OU를 사용하지 않는 경우 이후 단계를 위해 distinguishedName을 기록해 둡니다. Active Directory 사용자 및 컴퓨터에서 [보기(View)], [고급 기능(Advanced Features)]을 선택합니다. 사용할 OU의 컨텍스트 메뉴(마우스 오른쪽 단추 클릭)를 열고 [속성(Properties)]을 선택합니다. [속성 편집기(Attribute Editor)] 탭에서 distinguishedName을 확인할 수 있습니다.
  3. Amazon FSx에 사용하는 OU의 컨텍스트 메뉴(마우스 오른쪽 버튼 클릭)를 열고 [제어 위임(Delegate Control)]을 선택합니다.
  4. [다음(Next)]을 선택합니다.
  5. [선택한 사용자 및 그룹(Selected users and groups)]에서 앞서 생성한 서비스 계정을 선택한 후 **다음(Next)**을 선택합니다.
  6. [위임할 사용자 지정 태스크 생성(Create a custom task to delegate)]을 선택하고 [다음(Next)]을 선택합니다.
  7. [폴더의 다음 객체만(Only the following objects in the folder)]을 선택한 후 [컴퓨터 객체(Computer objects)]를 선택합니다.
  8. [이 폴더에서 선택한 객체 생성(Create selected objects in this folder)] 및 [이 폴더에서 선택한 객체 삭제(Delete selected objects in this folder)]를 선택합니다.
  9. [다음(Next)]을 선택합니다.
  10. [권한(Permissions)]에서 다음을 선택합니다.
    암호 재설정
    읽기 및 쓰기 계정 제한
    DNS 호스트 이름에 대한 쓰기 검증됨
    서비스 사용자 이름에 대한 쓰기 검증됨
  11. [다음(Next)]을 선택한 후 [마침(Finish)]을 선택합니다.

파일 시스템 생성

  1. Amazon FSx 콘솔을 연 다음 [파일 시스템 생성(Create file system)]을 선택합니다.
  2. [Amazon FSx for Windows File Server]를 선택하고 [다음(Next)]을 선택합니다.
  3. [파일 시스템 세부 정보(File system details)]에서 [다중 AZ(Multi-AZ)] 배포 유형을 선택한 다음 필요한 [스토리지 용량(Storage Capacity)] 및 [처리 용량(Throughput capacity)]을 지정합니다.
  4. [네트워크 및 보안(Network & security)]에서 자체 관리형 Microsoft AD의 VPC를 선택합니다. 그런 다음 2개의 기본 서브넷을 선택합니다.
  5. [Windows 인증(Windows authentication)]에서 [자체 관리형 Microsoft Active Directory(Self-managed Microsoft Active Directory)]를 선택한 다음 앞서 생성한 서비스 계정의 세부 정보를 입력합니다.
    기본 컴퓨터 OU를 사용하지 않는 경우 서비스 계정에 사용 권한을 위임할 때 기록해 둔 OU의 distinguishedName을 입력합니다.
    기본 Domain Admins 그룹을 사용하지 않는 경우 [위임된 파일 시스템 관리자 그룹(Delegated file system administrators group)]에 그룹 이름을 입력합니다.
  6. [암호화(Encryption)]에서 기본 설정을 사용하거나 필요에 따라 다른 암호화 옵션을 선택합니다.
  7. [백업 및 유지 관리(Backup and maintenance)]에서 기본 설정을 선택합니다. Amazon FSx가 두 번째 서버로 장애 조치되므로, 기본 설정을 사용하면 정상적인 유지 관리 기간 동안 가동 중지되지 않습니다.
  8. [다음(Next)]을 선택합니다.
  9. [요약(Summary)]을 검토합니다.
    중요: 요약은 파일 시스템을 생성한 후 속성을 편집할 수 있는지 여부를 나타냅니다. 이는 생성 후에는 편집할 수 없는 속성을 변경할 마지막 기회입니다.
  10. [파일 시스템 생성(Create file system)]을 선택합니다.
  11. 이제 파일 시스템 생성이 시작됩니다. 이 프로세스는 공유의 크기에 따라 몇 시간이 걸릴 수 있습니다. 완료되면 Amazon FSx 콘솔의 상단에 녹색 배너가 표시되어 파일 공유를 사용할 수 있음을 나타냅니다.

관련 정보

가용성 및 내구성: 단일 AZ 및 다중 AZ 파일 시스템

AWS 공식
AWS 공식업데이트됨 3년 전