Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Bewährte Methoden für die Arbeit mit Active Directory
Im Folgenden finden Sie einige Vorschläge und Richtlinien, die Sie berücksichtigen sollten, wenn Sie Amazon FSx for NetApp ONTAP SVMs zu Ihrem selbstverwalteten Microsoft Active Directory hinzufügen. Beachten Sie, dass diese als bewährte Methoden empfohlen werden, aber nicht erforderlich sind.
**Topics**
+ [Delegieren von Berechtigungen an Ihr FSx Amazon-Servicekonto](#connect_delegate_privileges)
+ [Halten Sie Ihre Active Directory-Konfiguration mit Amazon auf dem neuesten Stand FSx](#keep-ad-config-updated)
+ [Verwendung von Sicherheitsgruppen zur Begrenzung des Datenverkehrs innerhalb Ihrer VPC](#least-privilege-sg-rules)
+ [Sicherheitsgruppenregeln für ausgehende Nachrichten für die Netzwerkschnittstelle Ihres Dateisystems erstellen](#sg-rules-fsx-eni)
+ [Speichern von Active Directory-Anmeldeinformationen mit AWS Secrets Manager](#bp-store-ad-creds-using-secret-manager)
## Delegieren von Berechtigungen an Ihr FSx Amazon-Servicekonto
Stellen Sie sicher, dass Sie das Servicekonto, das Sie Amazon zur Verfügung stellen, FSx mit den erforderlichen Mindestberechtigungen konfigurieren. Trennen Sie außerdem die Organisationseinheit (OU) von anderen Aspekten des Domain-Controllers.
Um Amazon Ihrer Domain FSx SVMs hinzuzufügen, stellen Sie sicher, dass das Servicekonto über delegierte Berechtigungen verfügt. Mitglieder der Gruppe **Domain-Admins** verfügen über ausreichende Berechtigungen, um diese Aufgabe auszuführen. Es hat sich jedoch bewährt, ein Dienstkonto zu verwenden, das nur über die dafür erforderlichen Mindestberechtigungen verfügt. Das folgende Verfahren zeigt, wie Sie nur die Berechtigungen delegieren, die FSx für den Beitritt zu ONTAP SVMs an Ihre Domain erforderlich sind.
Führen Sie dieses Verfahren auf einem Computer aus, der zu Ihrem Verzeichnis hinzugefügt wurde und auf dem das MMC-Snap-In Active Directory-Benutzer und -Computer installiert ist.
**So erstellen Sie ein Dienstkonto für Ihre Microsoft Active Directory-Domäne**Erstellen Sie ein Dienstkonto für das AD
1. Stellen Sie sicher, dass Sie als Domänenadministrator für Ihre Microsoft Active Directory-Domäne angemeldet sind.
1. Öffnen Sie das MMC-Snap-In „**Active Directory-Benutzer und -Computer**“.
1. Erweitern Sie im Aufgabenbereich den Domänenknoten.
1. Suchen und öffnen Sie das Kontextmenü (mit der rechten Maustaste) für die Organisationseinheit, die Sie ändern möchten, und wählen Sie dann **Delegate Control** aus.
1. Wählen Sie auf der Seite **des Assistenten zum Delegieren der Steuerung** die Option **Weiter** aus.
1. Wählen Sie **Hinzufügen**, um einen bestimmten Benutzer oder eine bestimmte Gruppe für **Ausgewählte Benutzer und Gruppen** hinzuzufügen, und klicken Sie dann auf **Weiter**.
1. Wählen Sie auf der Seite **Zu delegierende Aufgabe** die Option **Eine zu delegierende benutzerdefinierte Aufgabe erstellen** aus und klicken Sie auf **Weiter**.
1. Wählen Sie **Nur die folgenden Objekte im Ordner** und anschließend **Computerobjekte** aus.
1. Wählen Sie **Ausgewählte Objekte in diesem Ordner erstellen** und **Ausgewählte Objekte in diesem Ordner löschen**. Klicken Sie anschließend auf **Weiter**.
1. Stellen Sie sicher, dass unter **Diese Berechtigungen anzeigen** die **Optionen Allgemein** und **Eigenschaftsspezifisch ausgewählt** sind.
1. Wählen Sie für **Berechtigungen** Folgendes aus:
+ **Passwort zurücksetzen**
+ **Kontoeinschränkungen beim Lesen und Schreiben**
+ **Validiertes Schreiben in den DNS-Hostnamen**
+ **Das Schreiben in den Dienstprinzipalnamen wurde validiert**
+ **Schreiben Sie MSDs- SupportedEncryptionTypes**
1. Wählen Sie **Next** (Weiter) und danach **Finish** (Beenden).
1. Schließen Sie das MMC-Snap-In „**Active Directory-Benutzer und -Computer**“.
**Wichtig**
Verschieben Sie keine Computerobjekte, die Amazon FSx nach Ihrer SVMs Erstellung in der Organisationseinheit erstellt. Wenn Sie das tun SVMs , werden Sie falsch konfiguriert.
## Halten Sie Ihre Active Directory-Konfiguration mit Amazon auf dem neuesten Stand FSx
Um eine ununterbrochene Verfügbarkeit Ihres Amazon zu gewährleisten FSx SVMs, aktualisieren Sie die selbstverwaltete Active Directory-Konfiguration (AD) einer SVM, wenn Sie Ihr selbstverwaltetes AD-Setup ändern.
Nehmen wir zum Beispiel an, dass Ihr AD eine zeitbasierte Richtlinie zum Zurücksetzen von Passwörtern verwendet. Stellen Sie in diesem Fall sicher, dass Sie das Passwort für das Servicekonto bei Amazon aktualisieren, sobald das Passwort zurückgesetzt wurde FSx. Verwenden Sie dazu die FSx Amazon-Konsole, die FSx Amazon-API oder AWS CLI. Wenn sich die IP-Adressen des DNS-Servers für Ihre Active Directory-Domain ändern, aktualisieren Sie die IP-Adressen der DNS-Server ebenfalls bei Amazon, sobald die Änderung erfolgt FSx.
**Wenn es ein Problem mit der aktualisierten selbstverwalteten AD-Konfiguration gibt, wechselt der SVM-Status zu Fehlkonfiguriert.** In diesem Status werden neben der SVM-Beschreibung in der Konsole, der API und der CLI eine Fehlermeldung und eine empfohlene Aktion angezeigt. Wenn ein Problem mit der AD-Konfiguration Ihrer SVM auftritt, stellen Sie sicher, dass Sie die empfohlenen Korrekturmaßnahmen für die Konfigurationseigenschaften ergreifen. **Wenn das Problem behoben ist, überprüfen Sie, ob sich der Status Ihrer SVM auf Erstellt ändert.**
Weitere Informationen erhalten Sie unter [Aktualisierung vorhandener SVM-Active-Directory-Konfigurationen mithilfe der AWS-Managementkonsole API AWS CLI, und](update-svm-ad-config.md) und [Ändern Sie eine Active Directory-Konfiguration mit der ONTAP CLI](manage-svm-ad-config-ontap-cli.md#using-ontap-cli-to-modify-ad).
## Verwendung von Sicherheitsgruppen zur Begrenzung des Datenverkehrs innerhalb Ihrer VPC
Um den Netzwerkverkehr in Ihrer Virtual Private Cloud (VPC) zu begrenzen, können Sie das Prinzip der geringsten Rechte in Ihrer VPC implementieren. Mit anderen Worten, Sie können die Berechtigungen auf das erforderliche Minimum beschränken. Verwenden Sie dazu Sicherheitsgruppenregeln. Weitere Informationen hierzu finden Sie unter [Amazon VPC-Sicherheitsgruppen](limit-access-security-groups.md#fsx-vpc-security-groups).
## Sicherheitsgruppenregeln für ausgehende Nachrichten für die Netzwerkschnittstelle Ihres Dateisystems erstellen
Für mehr Sicherheit sollten Sie erwägen, eine Sicherheitsgruppe mit Regeln für ausgehenden Datenverkehr zu konfigurieren. Diese Regeln sollten ausgehenden Datenverkehr nur zu Ihren selbstverwalteten AD-Domänencontrollern oder innerhalb des Subnetzes oder der Sicherheitsgruppe zulassen. Wenden Sie diese Sicherheitsgruppe auf die VPC an, die mit der elastic network interface Ihres FSx Amazon-Dateisystems verknüpft ist. Weitere Informationen hierzu finden Sie unter [Dateisystem-Zugriffskontrolle mit Amazon VPC](limit-access-security-groups.md).
## Speichern von Active Directory-Anmeldeinformationen mit AWS Secrets Manager
Sie können AWS Secrets Manager die Anmeldeinformationen für Ihr Microsoft Active Directory-Konto für den Domänenbeitrittsdienst sicher speichern und verwalten. Durch diesen Ansatz entfällt die Notwendigkeit, vertrauliche Anmeldeinformationen im Klartext im Anwendungscode oder in Konfigurationsdateien zu speichern, wodurch Ihr Sicherheitsstatus gestärkt wird.
Sie können auch IAM-Richtlinien konfigurieren, um den Zugriff auf Ihre Geheimnisse zu verwalten, und automatische Rotationsrichtlinien für Ihre Passwörter einrichten.
### Speichern Sie die Active Directory-Anmeldeinformationen in AWS Secrets Manager (Konsole)
#### Schritt 1: Erstellen Sie einen KMS-Schlüssel
Erstellen Sie einen KMS-Schlüssel zum Verschlüsseln und Entschlüsseln Ihrer Active Directory-Anmeldeinformationen in Secrets Manager.
**So erstellen Sie einen Schlüssel**
**Anmerkung**
Erstellen Sie für den **Verschlüsselungsschlüssel** einen neuen Schlüssel und verwenden Sie nicht den AWS Standard-KMS-Schlüssel. Achten Sie darauf, dass Sie die SVM AWS KMS key in derselben Region erstellen, in der sich auch die SVM befindet, die Sie Ihrem Active Directory hinzufügen möchten.
1. Öffnen Sie die AWS KMS Konsole unter /kms. https://console.aws.amazon.com
1. Klicken Sie auf **Create key**.
1. Wählen Sie für **Schlüsseltyp** **Symmetrisch** aus.
1. Wählen Sie für **Schlüsselnutzung** die Option **Verschlüsseln und Entschlüsseln** aus.
1. Gehen Sie für **erweiterte Optionen** wie folgt vor:
1. Wählen Sie unter **Schlüsselmaterialursprung** **KMS** aus.
1. **Wählen Sie für **Regionalität** die Option **Single-Region-Schlüssel und dann** Weiter aus.**
1. Wählen Sie **Weiter** aus.
1. Geben Sie für **Alias** einen Namen für den KMS-Schlüssel an.
1. (Optional) Geben Sie unter **Beschreibung** eine Beschreibung des KMS-Schlüssels an.
1. **(Optional) Geben Sie für **Tags** ein Tag für den KMS-Schlüssel ein und wählen Sie Weiter aus.**
1. (Optional) Geben Sie für **Schlüsseladministratoren** die IAM-Benutzer und -Rollen an, die zur Verwaltung dieses Schlüssels berechtigt sind.
1. Lassen Sie für das **Löschen von Schlüsseln** das Kontrollkästchen **Schlüsseladministratoren das Löschen dieses Schlüssels erlauben** aktiviert und wählen Sie **Weiter**.
1. (Optional) Geben Sie für **Key-Benutzer** die IAM-Benutzer und -Rollen an, die berechtigt sind, diesen Schlüssel bei kryptografischen Vorgängen zu verwenden. Wählen Sie **Weiter** aus.
1. Wählen Sie unter **Schlüsselrichtlinie** die Option **Bearbeiten** und fügen Sie der **Richtlinienerklärung** Folgendes hinzu, damit Amazon FSx den KMS-Schlüssel verwenden kann, und wählen Sie **Weiter**. Stellen Sie sicher, dass Sie das durch {{us-west-2}} den AWS-Region Ort ersetzen, an dem das Dateisystem bereitgestellt wird{{123456789012}}, und durch Ihre AWS-Konto ID.
```
{
"Sid": "Allow FSx to use the KMS key",
"Version": "2012-10-17",
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:{{us-west-2}}:{{123456789012}}:key/*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.{{us-west-2}}.amazonaws.com",
"aws:SourceAccount": "{{123456789012}}"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:fsx:{{us-west-2}}:{{123456789012}}:file-system/*",
"arn:aws:fsx:{{us-west-2}}:{{123456789012}}:storage-virtual-machine/fs-*/svm-*"
]
}
}
}
```
1. Wählen Sie **Finish** (Abschließen).
**Anmerkung**
Sie können eine detailliertere Zugriffskontrolle einrichten, indem Sie die `aws:SourceArn` Felder `Resource` und so ändern, dass sie auf bestimmte geheime Daten und Dateisysteme abzielen.
#### Schritt 2: Erstellen Sie ein Geheimnis AWS Secrets Manager
**So erstellen Sie ein Secret**
1. Öffnen Sie die Secrets Manager Manager-Konsole unter [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Wählen Sie **Store a new secret** (Ein neues Secret speichern).
1. Als **Secret-Typ** wählen Sie **Anderer Secret-Typ** aus.
1. Gehen Sie für **Schlüssel/Wert-Paare** wie folgt vor, um Ihre beiden Schlüssel hinzuzufügen:
1. Geben Sie als ersten Schlüssel `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME` ein.
1. Geben Sie als Wert für den ersten Schlüssel nur den Benutzernamen (ohne das Domain-Präfix) des AD-Benutzers ein.
1. Geben Sie als zweiten Schlüssel `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD` ein.
1. Geben Sie als Wert des zweiten Schlüssels das Passwort ein, das Sie für den AD-Benutzer in Ihrer Domain erstellt haben.
1. Geben Sie **unter Verschlüsselungsschlüssel** den ARN des KMS-Schlüssels ein, den Sie in einem vorherigen Schritt erstellt haben, und wählen Sie **Weiter**.
1. Geben Sie als **Secret-Name** einen aussagekräftigen Namen ein, anhand dessen Sie das Secret später leichter finden können.
1. (Optional) Geben Sie im Feld **Beschreibung** eine Beschreibung für den Secret-Namen ein.
1. Wählen Sie für **die Ressourcenberechtigung** die Option **Bearbeiten** aus.
Fügen Sie der Berechtigungsrichtlinie die folgende Richtlinie hinzu, damit Amazon FSx das Geheimnis verwenden kann, und wählen Sie dann **Weiter**. Stellen Sie sicher, dass Sie das durch {{us-west-2}} den AWS-Region Ort ersetzen, an dem das Dateisystem bereitgestellt wird{{123456789012}}, und durch Ihre AWS-Konto ID.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Resource": "arn:aws:secretsmanager:{{us-west-2}}:{{123456789012}}:secret:*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:fsx:{{us-west-2}}:{{123456789012}}:file-system/*",
"arn:aws:fsx:{{us-west-2}}:{{123456789012}}:storage-virtual-machine/fs-*/svm-*"
]
}
}
}
]
}
```
1. (Optional) Sie können Secrets Manager so konfigurieren, dass Ihre Anmeldeinformationen automatisch rotiert werden. Wählen Sie **Weiter** aus.
1. Wählen Sie **Finish** (Abschließen).
### Speichern Sie Active Directory-Anmeldeinformationen in AWS Secrets Manager (CLI)
#### Schritt 1: Erstellen Sie einen KMS-Schlüssel
Erstellen Sie einen KMS-Schlüssel zum Verschlüsseln und Entschlüsseln Ihrer Active Directory-Anmeldeinformationen in Secrets Manager.
[Verwenden Sie den AWS CLI Befehl create-key, um einen KMS-Schlüssel zu erstellen.](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html)
Legen Sie in diesem Befehl den `--policy` Parameter fest, um die Schlüsselrichtlinie anzugeben, die die Berechtigungen für den KMS-Schlüssel definiert. Die Richtlinie muss Folgendes beinhalten:
+ Der Service Principal für Amazon FSx, das ist`fsx.amazonaws.com`.
+ Erforderliche KMS-Aktionen: `kms:Decrypt` und`kms:DescribeKey`.
+ Ressourcen-ARN-Muster für Ihr AWS-Region AND-Konto.
+ Bedingungsschlüssel, die die Verwendung von Schlüsseln einschränken:
+ `kms:ViaService`um sicherzustellen, dass Anfragen über Secrets Manager eingehen.
+ `aws:SourceAccount`um es auf Ihr Konto zu beschränken.
+ `aws:SourceArn`um sich auf bestimmte FSx Amazon-Dateisysteme zu beschränken.
Im folgenden Beispiel wird ein KMS-Schlüssel für die symmetrische Verschlüsselung mit einer Richtlinie erstellt, die es Amazon ermöglicht, den Schlüssel für Entschlüsselungs- und Schlüsselbeschreibungsvorgänge FSx zu verwenden. Der Befehl ruft automatisch Ihre AWS-Konto ID und Region ab und konfiguriert dann die Schlüsselrichtlinie mit diesen Werten, um eine ordnungsgemäße Zugriffskontrolle zwischen Amazon FSx, Secrets Manager und dem KMS-Schlüssel sicherzustellen. Stellen Sie sicher, dass sich Ihre AWS CLI Umgebung in derselben Region befindet wie die SVM, die dem Active Directory beitreten wird.
```
# Set region and get Account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Create Key
KMS_KEY_ARN=$(aws kms create-key --policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Sid\": \"Enable IAM User Permissions\",
\"Effect\": \"Allow\",
\"Principal\": {
\"AWS\": \"arn:aws:iam::$ACCOUNT_ID:root\"
},
\"Action\": \"kms:*\",
\"Resource\": \"*\"
},
{
\"Sid\": \"Allow FSx to use the KMS key\",
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"kms:Decrypt\",
\"kms:DescribeKey\"
],
\"Resource\": \"*\",
\"Condition\": {
\"StringEquals\": {
\"kms:ViaService\": \"secretsmanager.$REGION.amazonaws.com\",
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": [
\"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\",
\"arn:aws:fsx:$REGION:$ACCOUNT_ID:storage-virtual-machine/fs-*/svm-*\"]
}
}
}
]
}" --query 'KeyMetadata.Arn' --output text)
echo "KMS Key ARN: $KMS_KEY_ARN"
```
**Anmerkung**
Sie können eine detailliertere Zugriffskontrolle einrichten, indem Sie die `aws:SourceArn` Felder `Resource` und so ändern, dass sie auf bestimmte geheime Daten und Dateisysteme abzielen.
#### Schritt 2: Erstellen Sie ein Geheimnis AWS Secrets Manager
Um ein Geheimnis für Amazon für den Zugriff auf Ihr Active Directory FSx zu erstellen, verwenden Sie den AWS CLI Befehl [create-secret](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/create-secret.html) und legen Sie die folgenden Parameter fest:
+ `--name`: Die Kennung für Ihr Geheimnis.
+ `--description`: Eine Beschreibung des Zwecks des Geheimnisses.
+ `--kms-key-id`: Der ARN des KMS-Schlüssels, den Sie in [Schritt 1](#create-kms-key-cli) für die Verschlüsselung des geheimen Schlüssels im Ruhezustand erstellt haben.
+ `--secret-string`: Eine JSON-Zeichenfolge, die Ihre AD-Anmeldeinformationen im folgenden Format enthält:
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`: Der Benutzername Ihres AD-Dienstkontos ohne das Domainpräfix, z. `svc-fsx` B. Geben **Sie nicht** das Domainpräfix an, z. `CORP\svc-fsx` B.
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`: Das Passwort Ihres AD-Dienstkontos
+ `--region`: Der AWS-Region Ort, an dem Ihre SVM erstellt wird. Dies ist standardmäßig Ihre konfigurierte Region, falls `AWS_REGION` nicht festgelegt.
Nachdem Sie das Geheimnis erstellt haben, fügen Sie mit dem [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/logs/put-resource-policy.html)Befehl eine Ressourcenrichtlinie hinzu und legen Sie die folgenden Parameter fest:
+ `--secret-id`: Der Name oder ARN des Secrets, an das die Richtlinie angehängt werden soll. Das folgende Beispiel verwendet **FSxSecret** als`--secret-id`.
+ `--region`: Das Gleiche AWS-Region wie dein Geheimnis.
+ `--resource-policy`: Ein JSON-Richtliniendokument, das Amazon die FSx Erlaubnis erteilt, auf das Geheimnis zuzugreifen. Die Richtlinie muss Folgendes beinhalten:
+ Der Service Principal für Amazon FSx, das ist**fsx.amazonaws.com**.
+ Erforderliche Secrets Manager Manager-Aktionen: `secretsmanager:GetSecretValue` und`secretsmanager:DescribeSecret`.
+ Ressourcen-ARN-Muster für Ihr AWS-Region AND-Konto.
+ Die folgenden Bedingungsschlüssel, die den Zugriff einschränken:
+ `aws:SourceAccount`um sich auf Ihr Konto zu beschränken.
+ `aws:SourceArn`um sich auf bestimmte FSx Amazon-Dateisysteme zu beschränken.
Im folgenden Beispiel wird ein Geheimnis mit dem erforderlichen Format erstellt und eine Ressourcenrichtlinie angehängt, die es Amazon ermöglicht, das Geheimnis FSx zu verwenden. In diesem Beispiel werden Ihre AWS-Konto ID und Region automatisch abgerufen und anschließend die Ressourcenrichtlinie mit diesen Werten konfiguriert, um eine ordnungsgemäße Zugriffskontrolle zwischen Amazon FSx und dem Secret sicherzustellen.
Stellen Sie sicher, dass Sie das `KMS_KEY_ARN` durch den ARN aus dem Schlüssel, den Sie in [Schritt 1](#create-kms-key-cli) erstellt haben`CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`, und `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD` durch die Anmeldeinformationen Ihres Active Directory-Dienstkontos ersetzen. Stellen Sie außerdem sicher, dass Ihre AWS CLI Umgebung für dieselbe Region konfiguriert ist wie die SVM, die dem Active Directory beitreten wird.
```
# Set region and get account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Replace with your KMS key ARN from Step 1
KMS_KEY_ARN="{{arn:aws:kms:us-east-2:123456789012:key/1234542f-d114-555b-9ade-fec3c9200d8e}}"
# Replace with your Active Directory credentials
AD_USERNAME="{{Your_Username}}"
AD_PASSWORD="{{Your_Password}}"
# Create the secret
SECRET_ARN=$(aws secretsmanager create-secret \
--name "FSxSecret" \
--description "Secret for FSx access" \
--kms-key-id "$KMS_KEY_ARN" \
--secret-string "{\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"$AD_USERNAME\",\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"$AD_PASSWORD\"}" \
--region "$REGION" \
--query 'ARN' \
--output text)
echo "Secret created with ARN: $SECRET_ARN"
# Attach the resource policy with proper formatting
aws secretsmanager put-resource-policy \
--secret-id "FSxSecret" \
--region "$REGION" \
--resource-policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"secretsmanager:GetSecretValue\",
\"secretsmanager:DescribeSecret\"
],
\"Resource\": \"$SECRET_ARN\",
\"Condition\": {
\"StringEquals\": {
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": [
\"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\",
\"arn:aws:fsx:$REGION:$ACCOUNT_ID:storage-virtual-machine/fs-*/svm-*\"]
}
}
}
]
}"
echo "Resource policy attached successfully"
```
**Anmerkung**
Sie können eine detailliertere Zugriffskontrolle einrichten, indem Sie die `aws:SourceArn` Felder `Resource` und so ändern, dass sie auf bestimmte geheime Daten und Dateisysteme abzielen.