Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Autorité de certification privée AWS Connecteur pour Active Directory
AWS CA privée peut émettre et gérer les certificats requis par AWS Managed Microsoft AD. À l'aide du Autorité de certification privée AWS connecteur pour Active Directory (connecteur pour AD), vous pouvez remplacer une entreprise locale ou un autre tiers CAs par une autorité de certification privée gérée dont vous êtes le propriétaire, en fournissant l'inscription de certificats aux utilisateurs, aux groupes et aux machines gérés par votre AD.
Vous pouvez utiliser le Connector for AD AWS Managed Microsoft AD pour éliminer l'infrastructure sur site en faisant migrer votre infrastructure AD et votre infrastructure à clé publique vers le cloud. Pour les clients qui souhaitent l'utiliser AWS CA privée avec leur AD sur site, cette fonctionnalité s'intègre également à AWS Managed Microsoft AD Connector.
**Topics**
+ [Êtes-vous un utilisateur de Connector for AD pour la première fois ?](#first-time-user)
+ [Configurer Connecteur pour AD](connector-for-ad-getting-started-prerequisites.md)
+ [Commencez à utiliser AWS CA privée Connector pour Active Directory](connector-for-ad-getting-started.md)
+ [AWS CA privée connecteurs pour Active Directory](connector-for-ad-procedures.md)
+ [Intégration de Connector for AD dans des applications pilotées par des événements à l'aide d'Amazon EventBridge](eventbridge-integration.md)
+ [Résoudre les problèmes liés au AWS CA privée Connector for Active Directory](troubleshoot-connector-ad.md)
## Êtes-vous un utilisateur de Connector for AD pour la première fois ?
Si vous utilisez Connector for AD pour la première fois, nous vous recommandons de commencer par lire les sections suivantes :
+ [Qu'est-ce que c'est Autorité de certification privée AWS ?](PcaWelcome.md)
+ [Présentation de Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html)
### Connecteur d'accès pour AD
Vous pouvez accéder à Connector for AD via la console AWS CLI, et APIs. Vous pouvez accéder au connecteur dans la console depuis la AWS CA privée console, depuis votre Directory Service console ou en recherchant Connector for AD dans la barre AWS Management Console de recherche.
### Tarification
Connector for AD est proposé en tant que fonctionnalité sans frais supplémentaires. Autorité de certification privée AWS Vous ne payez que pour les autorités de certification privées et les certificats que vous émettez par leur intermédiaire.
Pour obtenir les dernières informations sur Autorité de certification privée AWS les prix, consultez la section [AWS Autorité de certification privée Tarification](https://aws.amazon.com/private-ca/pricing/). Vous pouvez également utiliser le [calculateur de AWS prix](https://calculator.aws/#/createCalculator/certificateManager) pour estimer les coûts.
# Configurer Connecteur pour AD
Les étapes décrites dans cette section sont des conditions préalables à l'utilisation de Connector for AD. Cela suppose que vous avez déjà créé un AWS compte. Une fois les étapes décrites sur cette page, vous pouvez commencer à créer un connecteur pour AD.
## Étape 1 : créer une autorité de certification privée à l'aide de AWS CA privée
Configurez une autorité de certification (CA) privée pour délivrer des certificats aux objets de votre répertoire. Pour de plus amples informations, veuillez consulter [Autorités de certification en AWS CA privée](creating-managing.md).
L'autorité de certification privée doit être dans l'`Active`état requis pour créer un connecteur pour AD. Le nom de sujet de l'autorité de certification privée doit inclure un nom commun. La création d'un connecteur échouera si vous essayez de créer un connecteur à l'aide d'une autorité de certification privée sans nom commun.
## Étape 2 : configurer un Active Directory
Outre une autorité de certification privée, vous avez besoin d'un Active Directory dans un cloud privé virtuel (VPC). Connector for AD prend en charge les types de répertoires suivants proposés par Directory Service :
+ [AWS Microsoft Active Directory géré](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad) : Directory Service vous pouvez exécuter Microsoft Active Directory (AD) en tant que service géré. AWS Directory Service for Microsoft Active Directory également appelé AWS Managed Microsoft AD, est alimenté par Windows Server 2019. Avec AWS Managed Microsoft AD, vous pouvez exécuter des charges de travail sensibles aux annuaires dans le, AWS Cloud notamment Microsoft Sharepoint et des applications personnalisées basées sur .Net et SQL Server.
+ [Connecteur Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector) : AD Connector est une passerelle d'annuaire qui peut rediriger les demandes d'annuaire vers votre Microsoft Active Directory local, sans mettre en cache aucune information dans le cloud. AD Connector prend en charge la connexion à un domaine hébergé sur Amazon EC2
## (Connecteur Active Directory uniquement) Étape 3 : déléguer les autorisations au compte de service
**Note**
Si vous utilisez AWS Managed Microsoft AD les autorisations supplémentaires, elles sont déléguées automatiquement lorsque vous autorisez le service Connector for AD avec votre annuaire. Vous pouvez ignorer cette étape préalable.
Lorsque vous utilisez le Directory Service AD Connector, vous devez déléguer des autorisations supplémentaires au compte de service. Définissez une liste de contrôle d'accès (ACL) sur le compte de service pour permettre de :
+ Ajouter et supprimer un nom principal de service (SPN) à lui-même
+ Créez et mettez à jour les autorités de certification dans les conteneurs suivants :
```
#containers
CN=Public Key Services,CN=Services,CN=Configuration
CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration
CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration
```
+ Créez et mettez à jour un objet d'autorité de certification des NTAuth certificats (CA). Remarque : si l'objet NTAuth Certificates CA existe, vous devez lui déléguer des autorisations. Si l'objet n'existe pas, vous devez déléguer la possibilité de créer des objets enfants dans le conteneur Public Key Services.
```
#objects
CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration
```
Le PowerShell script disponible dans le [référentiel officiel du Connector for Active Directory](https://github.com/aws-samples/sample-aws-privateca-connector-for-active-directory) peut être utilisé pour déléguer les autorisations supplémentaires requises pour le compte de service Directory Service AD Connector.
Ce script crée l'objet Autorité de certification NTAuth Certificates.
Pour obtenir la dernière version du script et les détails d'utilisation, reportez-vous au fichier README du [GitHub référentiel](https://github.com/aws-samples/sample-aws-privateca-connector-for-active-directory).
## Étape 4 : Création d'une politique IAM
Pour créer un connecteur pour AD, vous avez besoin d'une politique IAM qui vous permet de créer des ressources de connecteur, de partager votre autorité de certification privée avec le service Connector for AD et d'autoriser le service Connector for AD avec votre annuaire.
Voici un exemple de politique gérée par l'utilisateur :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "pca-connector-ad:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"acm-pca:DescribeCertificateAuthority",
"acm-pca:GetCertificate",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:ListCertificateAuthorities",
"acm-pca:ListTags",
"acm-pca:PutPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "acm-pca:IssueCertificate",
"Resource": "*",
"Condition": {
"ArnLike": {
"acm-pca:TemplateArn": "arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V*"
},
"ForAnyValue:StringEquals": {
"aws:CalledVia": "pca-connector-ad.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:DescribeDirectories",
"ds:ListTagsForResource",
"ds:UnauthorizeApplication",
"ds:UpdateAuthorizedApplication"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ec2:DeleteVpcEndpoints"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeTags",
"ec2:DeleteTags",
"ec2:CreateTags"
],
"Resource": "arn:*:ec2:*:*:vpc-endpoint/*"
}
]
}
```
------
Connector for AD nécessite des AWS RAM autorisations supplémentaires, à la fois pour une utilisation en console et en ligne de commande.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ram:CreateResourceShare",
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"ram:Principal": "pca-connector-ad.amazonaws.com",
"ram:RequestedResourceType": "acm-pca:CertificateAuthority"
}
}
},
{
"Effect": "Allow",
"Action": [
"ram:GetResourcePolicies",
"ram:GetResourceShareAssociations",
"ram:GetResourceShares",
"ram:ListPrincipals",
"ram:ListResources",
"ram:ListResourceSharePermissions",
"ram:ListResourceTypes"
],
"Resource": "*"
}
]
}
```
------
## Étape 5 : partager votre autorité de certification privée avec Connector for AD
Vous devrez partager votre autorité de certification privée avec le service Connectors en utilisant le partage principal du AWS Resource Access Manager service.
Lorsque vous créez un connecteur dans la AWS console, le partage de ressources est automatiquement créé pour vous.
Lorsque vous créez un partage de ressources à l'aide de AWS CLI, vous utiliserez la AWS RAM **create-resource-share** commande.
La commande suivante crée un partage de ressources :
```
$ aws ram create-resource-share \
--region us-east-1 \
--name MyPcaConnectorAdResourceShare \
--permission-arns arn:aws:ram::aws:permission/AWSRAMBlankEndEntityCertificateAPIPassthroughIssuanceCertificateAuthority \
--resource-arns arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
--principals pca-connector-ad.amazonaws.com \
--sources account
```
Le principal de service qui appelle CreateConnector dispose des autorisations d'émission de certificats sur le PCA. Pour empêcher les responsables de service qui utilisent Connector for AD d'avoir un accès général à vos Autorité de certification privée AWS ressources, limitez leurs autorisations à l'aide `CalledVia` de.
## Étape 6 : Création d'un enregistrement dans le répertoire
Vous autorisez le service Connector for AD avec votre annuaire afin que le connecteur puisse communiquer avec votre annuaire. Pour autoriser le service Connector for AD, vous devez créer un enregistrement d'annuaire. Pour plus d'informations sur la création d'un enregistrement dans un annuaire, voir [Gérer les inscriptions à l'annuaire](directory-registration.md)
## Étape 7 : Configuration des groupes de sécurité
La communication entre votre VPC et le connecteur Connector for AD est directe AWS PrivateLink, ce qui nécessite un ou plusieurs groupes de sécurité dotés de règles entrantes qui ouvrent le port 443 TCP sur votre VPC. Ce groupe de sécurité vous sera demandé lorsque vous créerez un connecteur. Vous pouvez spécifier la source comme personnalisée et sélectionner le bloc CIDR de votre VPC. Vous pouvez choisir de restreindre davantage cette option (adresse IP, CIDR et ID de groupe de sécurité).
## Étape 8 : Configuration de l'accès réseau pour les objets du répertoire
Les objets de répertoire nécessitent un accès public à Internet pour valider le protocole OCSP (Online Certificate Status Protocol) et les listes de révocation de certificats (CRLs) des domaines suivants :
```
*.windowsupdate.com
*.amazontrust.com
```
Règles d'accès minimales requises :
+ Nécessaire pour les communications OCSP et CRL :
```
TCP 80: (HTTP) to 0.0.0.0/0
```
+ Nécessaire pour Connector for AD :
```
TCP 443: (HTTPS) to 0.0.0.0/0
```
+ Nécessaire pour Active Directory :
```
TCP 88: (Kerberos) to Domain Controller IP range
TCP/UDP 389/636: (LDAP/LDAPS) to Domain Controller IP range, depending on Domain Controller configuration
TCP/UDP 53: (DNS) to 0.0.0.0/0
```
Si les appareils ne disposent pas d'un accès public à Internet, l'émission du certificat échouera par intermittence avec le code d'erreur ` WS_E_OPERATION_TIMED_OUT. `
**Note**
Si vous configurez un groupe de sécurité pour une instance Amazon EC2, il n'est pas nécessaire qu'il s'agisse du même groupe à l'étape 7.
# Commencez à utiliser AWS CA privée Connector pour Active Directory
Avec AWS CA privée Connector for Active Directory, vous pouvez délivrer des certificats de votre autorité de certification privée à vos objets Active Directory à des fins d'authentification et de chiffrement. Lorsque vous créez un connecteur, vous AWS Autorité de certification privée créez un point de terminaison dans votre VPC pour que les objets de votre répertoire puissent demander des certificats.
Pour émettre des certificats, vous devez créer un connecteur et des modèles compatibles AD pour le connecteur. Lorsque vous créez un modèle, vous pouvez définir les autorisations d'inscription pour vos groupes AD.
**Topics**
+ [Avant de commencer](#connector-for-ad-before-you-begin)
+ [Étape 1 : Création d'un connecteur](#connector-for-ad-getting-started-step1)
+ [Étape 2 : Configuration des politiques Microsoft Active Directory](#connector-for-ad-getting-started-step2)
+ [Étape 3 : Création d'un modèle](#connector-for-ad-getting-started-step3)
+ [Étape 4 : Configuration des autorisations de groupe Microsoft](#connector-for-ad-getting-started-step4)
## Avant de commencer
Le didacticiel suivant vous guide tout au long du processus de création d'un connecteur pour AD et d'un modèle de connecteur. Pour suivre ce didacticiel, vous devez d'abord remplir les prérequis listés dans la section.
## Étape 1 : Création d'un connecteur
Pour créer un connecteur, voir[Création d'un connecteur pour Active Directory](create-connector-for-ad.md).
## Étape 2 : Configuration des politiques Microsoft Active Directory
Connector for AD n'est pas en mesure de visualiser ou de gérer la configuration de l'objet de politique de groupe (GPO) du client. Le GPO contrôle le routage des demandes AD vers le serveur du client Autorité de certification privée AWS ou vers d'autres serveurs d'authentification ou de distribution de certificats. Une configuration GPO non valide peut entraîner un routage incorrect de vos demandes. Il appartient aux clients de configurer et de tester la configuration du Connector for AD.
Les politiques de groupe sont associées à un connecteur, et vous pouvez choisir de créer plusieurs connecteurs pour un même AD. C'est à vous de gérer le contrôle d'accès à chaque connecteur si ses configurations de politique de groupe sont différentes.
La sécurité des appels du plan de données dépend de Kerberos et de la configuration de votre VPC. Toute personne ayant accès au VPC peut passer des appels sur le plan de données à condition d'être authentifiée auprès de l'AD correspondant. Cela existe en dehors des limites AWSAuth et la gestion des autorisations et de l'authentification dépend de vous, le client.
Lors de l'utilisation AWS Managed Microsoft AD, utilisez la Directory Service **enable-ca-enrollment-policy** commande pour configurer GPOs sur le contrôleur de domaine de l' AWS Managed Microsoft AD instance.
La commande suivante permet d'inscrire des contrôleurs de domaine :
```
$ aws ds enable-ca-enrollment-policy \
--pca-connector-arn MyPcaConnectorAdArn \
--directory-id MyDirectoryId
```
Lorsque vous utilisez AD Connector, suivez les étapes ci-dessous pour créer un GPO pointant vers l'URI généré lors de la création d'un connecteur. Cette étape est *requise* pour utiliser Connector for AD à partir de la console ou de la ligne de commande.
Configurez GPOs.
1. Ouvrez le **gestionnaire de serveur** sur le DC
1. Accédez à **Outils** et choisissez **Gestion des politiques de groupe** dans le coin supérieur droit de la console.
1. Accédez à **Forêt > Domaines**. Sélectionnez votre nom de domaine et cliquez avec le bouton droit de la souris sur votre domaine. Sélectionnez *Créer un GPO dans ce domaine, liez-le ici...* et entrez `PCA GPO` le nom.
1. Le GPO nouvellement créé sera désormais répertorié sous votre nom de domaine.
1. **Choisissez **PCA GPO**, puis sélectionnez Modifier.** Si une boîte de dialogue s'ouvre avec le message d'alerte « *Ceci est un lien » et que les modifications seront propagées dans le monde entier*, accusez réception du message pour continuer. L'**éditeur de gestion des politiques de groupe** devrait s'ouvrir.
1. Dans l'**éditeur de gestion des stratégies de groupe**, accédez à **Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Politiques de clé publique (choisissez le dossier)**.
1. Accédez au **type d'objet** et choisissez **Certificate Services Client - Certificate Enrollment Policy**
1. Dans les options, remplacez le **modèle de configuration** par **Activé**.
1. Vérifiez que la **politique d'inscription Active Directory** est **cochée** et **activée**. Choisissez **Ajouter**.
1. La fenêtre du **serveur de politique d'inscription aux certificats** devrait s'ouvrir.
1. Entrez le point de terminaison du serveur de politique d'inscription des certificats qui a été généré lorsque vous avez créé votre connecteur dans le champ **Entrez l'URI de la politique du serveur d'inscription**.
1. Laissez le **type d'authentification** **Windows intégré**.
1. Choisissez **Valider**. Une fois la validation réussie, sélectionnez **Ajouter**. La boîte de dialogue se ferme.
1. Revenez à **Certificate Services Client - Politique d'inscription des certificats** et cochez la case à côté du connecteur nouvellement créé pour vous assurer que le connecteur est la politique d'inscription par défaut
1. Choisissez la **politique d'inscription Active Directory**, puis sélectionnez **Supprimer**.
1. Dans la boîte de dialogue de confirmation, choisissez **Oui** pour supprimer l'authentification basée sur LDAP.
1. Choisissez **Appliquer** et **OK** dans la fenêtre **Client des services de certificats > Politique d'inscription** des certificats et fermez-la.
1. Accédez au dossier **Public Key Policies** et choisissez **Certificate Services Client - Auto-Enrollment**.
1. Modifiez l'option **Modèle de configuration** sur **Activé**.
1. Vérifiez que les cases **Renouveler les certificats expirés** et **Mettre à jour les certificats** sont toutes deux cochées. Laissez les autres paramètres tels quels.
1. Choisissez **Appliquer**, puis **OK**, puis fermez la boîte de dialogue.
Configurez ensuite les politiques de clé publique pour la configuration utilisateur. Accédez à **Configuration utilisateur > Politiques > Paramètres Windows > Paramètres de sécurité > Politiques relatives aux clés publiques**. Suivez les procédures décrites aux étapes 6 à 21 pour configurer les politiques de clé publique pour la configuration utilisateur.
Une fois que vous avez terminé la configuration GPOs et les politiques relatives aux clés publiques, les objets du domaine demanderont des certificats à Autorité de certification privée AWS Connector for AD et recevront des certificats émis par Autorité de certification privée AWS.
## Étape 3 : Création d'un modèle
Pour créer un modèle, voir[Création d'un modèle de connecteur](create-ad-template.md).
## Étape 4 : Configuration des autorisations de groupe Microsoft
Pour configurer les autorisations de groupe Microsoft, consultez[Gérer les entrées de contrôle d'accès du modèle Connector for AD](ad-groups-permissions.md).
# AWS CA privée connecteurs pour Active Directory
Les procédures décrites dans cette section décrivent comment créer des connecteurs Active Directory (AD), configurer des modèles Autorité de certification privée AWS et intégrer Active Directory. Vous pouvez effectuer ces opérations à partir de la console Autorité de certification privée AWS Connector for AD, en utilisant la section Connector for AD de l' AWS CLI API Connector for AD ou en utilisant l'API Autorité de certification privée AWS Connector for AD.
**Note**
Bien que Autorité de certification privée AWS Connector for AD soit étroitement intégré Autorité de certification privée AWS, les deux services sont distincts APIs. Pour plus d'informations, consultez la [référence AWS Autorité de certification privée d'API](https://docs.aws.amazon.com/privateca/latest/APIReference/) et la [référence d'API du Autorité de certification privée AWS connecteur pour Active Directory](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/).
# Création d'un connecteur pour Active Directory
Utilisez les procédures suivantes pour créer un connecteur à l'aide de la console, de la ligne de commande ou de l'API AWS CA privée du Connector for Active Directory.
------
#### [ Console ]
**Pour créer un connecteur à l'aide de la console**
Connectez-vous à votre AWS compte et ouvrez la console AWS CA privée Connector for Active Directory à l'adresse**[https://console.aws.amazon.com/pca-connector-ad/home](https://console.aws.amazon.com/pca-connector-ad/home)**.
1. Sur la page d'accueil du premier service ou sur la page **Connecteurs pour Active Directory**, choisissez **Create connector**.
1. Sur la page **Créer un connecteur CA privé pour Active Directory**, fournissez des informations dans la section **Active Directory**.
+ Sous **Sélectionnez votre type Active Directory**, choisissez l'un des deux types disponibles :
+ **AWS Directory Service for Microsoft Active Directory**— Spécifie un Active Directory géré par Directory Service.
+ **Active Directory sur site avec AWS AD Connector** : utilise AD Connector pour accéder à un Active Directory que vous hébergez sur site.
+ Sous **Sélectionnez votre répertoire**, choisissez votre répertoire dans la liste.
Vous pouvez également choisir **Créer un répertoire**, qui ouvre la Directory Service console dans une nouvelle fenêtre. Lorsque vous avez fini de créer un nouveau répertoire, revenez à la console AWS CA privée Connector for Active Directory et actualisez la liste des répertoires. Votre nouveau répertoire devrait être disponible pour la sélection.
**Note**
Lorsque vous créez un répertoire, notez que Connector for AD ne prend en charge que les types de répertoires suivants proposés dans la Directory Service console :
**AWS Microsoft AD géré**
**Connecteur AD**
+ Sous **Sélectionner les groupes de sécurité pour le point de terminaison VPC**, choisissez un groupe de sécurité dans la liste.
Vous pouvez également choisir **Create security group**, qui ouvre la EC2 console Amazon sur la page Create security group (**Créer un groupe de sécurité**) dans une nouvelle fenêtre. Lorsque vous avez fini de créer un groupe de sécurité, revenez à la console AWS CA privée Connector for Active Directory et actualisez la liste des groupes de sécurité. Votre nouveau groupe de sécurité doit être disponible pour la sélection.
1. Dans la section **Type d'adresse IP**, choisissez l'une des options suivantes :
+ **IPv4**- Permet IPv4 la connectivité au service. Choisissez cette option uniquement si tous les sous-réseaux hébergeant votre répertoire comportent des plages d' IPv4 adresses.
+ **Dualstack** - Active à la fois IPv4 la IPv6 connectivité au service. Choisissez cette option uniquement si tous les sous-réseaux hébergeant votre répertoire possèdent à la fois des plages d' IPv6 adresses IPv4 et des plages d'adresses.
1. Dans la section **Autorité de certification privée**, choisissez une autorité de certification privée dans la liste.
Vous pouvez également choisir **Create Private CA**, qui ouvre la Autorité de certification privée AWS console sur la page des **autorités de certification privées** dans une nouvelle fenêtre. Lorsque vous avez fini de créer une autorité de certification, retournez à la console AWS CA privée Connector for Active Directory et actualisez la liste des CAs. Votre nouvelle autorité de certification devrait être disponible pour la sélection.
1. Dans le volet **Tags — facultatif**, vous pouvez appliquer et supprimer des métadonnées sur votre ressource AD. Les balises sont des paires de chaînes clé-valeur dans lesquelles la clé doit être unique à la ressource et la valeur est facultative. Le volet affiche toutes les balises existantes pour la ressource dans un tableau. Les actions suivantes sont prises en charge.
+ Choisissez **Gérer les balises** pour ouvrir la page **Gérer les balises**.
+ Choisissez Ajouter un nouveau tag pour créer un tag. Renseignez le champ **Clé** et, éventuellement, le champ **Valeur**. Choisissez **Enregistrer les modifications** pour appliquer le tag.
+ Cliquez sur le bouton **Supprimer** situé à côté d'une étiquette pour la marquer pour suppression, puis sélectionnez **Enregistrer les modifications** pour confirmer.
1. Après avoir fourni les informations requises et passé en revue vos choix, choisissez **Create connector**. Cela ouvre la page de détails **des connecteurs pour Active Directory** où vous pouvez voir la progression de votre connecteur au fur et à mesure de sa création.
Une fois le processus de création d'un connecteur terminé, attribuez-lui un nom principal de service.
------
#### [ API ]
**Pour créer un connecteur à l'aide de l'API**
Pour créer un connecteur pour Active Directory avec l'API, utilisez l'[ CreateConnector](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateConnector.html)action de l'API AWS CA privée Connector for Active Directory.
------
#### [ CLI ]
**Pour créer un connecteur à l'aide du AWS CLI**
Pour créer un connecteur pour Active Directory à l'aide de la CLI, utilisez la commande [create-connector](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/create-connector.html) dans la section AWS CA privée Connecteur pour Active Directory du. AWS CLI
------
# Création d'un modèle de connecteur
Un modèle est une liste de configurations indiquant à quoi doit ressembler le certificat une fois émis et comment le client doit gérer les certificats. Les procédures suivantes expliquent comment créer un modèle.
------
#### [ Console ]
**Pour créer un modèle à l'aide de la console**
1. Connectez-vous à votre AWS compte et ouvrez la console AWS CA privée Connector for Active Directory à l'adresse**[https://console.aws.amazon.com/pca-connector-ad/home](https://console.aws.amazon.com/pca-connector-ad/home)**.
1. Choisissez un connecteur dans la liste **Connecteurs pour Active Directory**, puis sélectionnez **Afficher les détails**.
1. Sur la page de détails du connecteur, recherchez la section **Modèles**, puis choisissez **Créer un modèle**.
1. Sur la page **Créer un modèle**, dans la section **Méthode de création du modèle**, choisissez l'une des options de méthode.
+ **Commencez par un modèle prédéfini** (par défaut) : choisissez parmi une liste de modèles prédéfinis pour les applications AD :
+ **Signature de code**
+ **Ordinateur**
+ **Authentification du contrôleur de domaine**
+ **Agent de restauration EFS**
+ **Agent d'inscription**
+ **Agent d'inscription (ordinateur)**
+ **IPSec**
+ **Authentification Kerberos**
+ **Serveur RAS et IAS**
+ **Connexion par carte à puce**
+ **Signature d'une liste de confiance**
+ **Signature de l'utilisateur**
+ **Authentification du poste**
+ **Commencez par un modèle existant que vous avez créé** : choisissez parmi une liste de modèles personnalisés que vous avez créés précédemment.
+ **Partir d'un modèle vierge** : choisissez cette option pour commencer à créer un tout nouveau modèle.
1. Dans la section **Paramètres des certificats**, définissez les paramètres suivants pour les certificats basés sur ce modèle.
+ **Type de certificat** — Spécifiez s'il faut créer des certificats **utilisateur** ou **informatique**.
+ **Inscription automatique** : choisissez d'activer ou non l'inscription automatique pour les certificats basés sur ce modèle.
+ **Période de validité** : spécifiez la période de validité du certificat sous la forme d'une valeur entière en heures, jours, semaines, mois ou années. La valeur minimale est de 2 heures.
+ **Période de renouvellement** — Spécifiez une période de renouvellement de certificat sous la forme d'une valeur entière en heures, jours, semaines, mois ou années. La période de renouvellement ne doit pas dépasser 75 % de la période de validité.
+ **Nom du sujet** : choisissez une ou plusieurs options à inclure dans le nom du sujet en fonction des informations contenues dans Active Directory.
**Note**
Au moins un nom de sujet ou une autre option de nom de sujet doit être spécifié.
+ **Nom commun**
+ **DNS en tant que nom commun**
+ **Chemin du répertoire**
+ **E-mail**
+ **Nom alternatif du sujet** : choisissez une ou plusieurs options à inclure dans le nom alternatif du sujet en fonction des informations contenues dans Active Directory.
**Note**
Au moins un nom de sujet ou une autre option de nom de sujet doit être spécifié.
+ **GUID du répertoire**
+ **nom DNS**
+ **DNS de domaine**
+ **E-mail**
+ **Nom principal du service (SPN)**
+ **Nom d'utilisateur principal (UPN)**
1. Dans la section **Gestion des demandes de certificats et options d'inscription**, spécifiez l'objectif des certificats en fonction du modèle, en choisissant l'une des options suivantes.
+ **Signature**
+ **Chiffrement**
+ **Signature et chiffrement**
+ **Signature et connexion par carte à puce**
Choisissez ensuite laquelle des fonctionnalités suivantes vous souhaitez activer. Les options varient en fonction de l'objectif du certificat.
+ **Supprimer les certificats non valides (ne pas archiver)**
+ **Inclure des algorithmes symétriques**
+ **Clé privée exportable**
Enfin, choisissez une option d'inscription au certificat. Les options varient en fonction de l'objectif du certificat.
+ **Aucune saisie de la part de l'utilisateur requise**
+ **Inviter l'utilisateur lors de l'inscription**
+ **Inviter l'utilisateur lors de l'inscription et lui demander de saisir des informations**
1. Dans la section **Politiques d'application**, choisissez toutes les politiques d'application qui s'appliquent. Les politiques disponibles sont répertoriées sur plusieurs pages. Certaines politiques peuvent être présélectionnées en raison des paramètres précédents.
1. Dans la section **Politiques d'application personnalisées**, vous pouvez ajouter une OIDs touche personnalisée au modèle et spécifier si les extensions de politiques d'application sont essentielles.
1. Dans la section **Paramètres de chiffrement**, choisissez les catégories suivantes de paramètres de cryptographie pour les certificats basés sur ce modèle.
1. Dans la section **Groupes et autorisations**, vous pouvez consulter les modèles de groupes existants et les autorisations d'inscription, ou vous pouvez cliquer sur le bouton **Ajouter de nouveaux groupes et autorisations** pour en ajouter de nouveaux. Le bouton ouvre un formulaire nécessitant les informations suivantes :
+ **Display name (Nom d'affichage)**
+ **Identifiant de sécurité** (SID)
+ **S'inscrire**, avec les options AUTORISER \$1 REFUSER \$1 NON DÉFINI
+ **Inscription automatique**, avec les options AUTORISER \$1 REFUSER \$1 NON DÉFINI
1. Dans la section **Remplacer les modèles**, vous pouvez indiquer à Active Directory que le modèle actuel remplace un ou plusieurs modèles créés dans AD. Appliquez le modèle de remplacement en choisissant **Ajouter un modèle depuis Active Directory à remplacer** et en spécifiant le nom commun du modèle de remplacement.
1. Dans le volet **Tags — facultatif**, vous pouvez appliquer et supprimer des métadonnées sur votre ressource AD. Les balises sont des paires de chaînes clé-valeur dans lesquelles la clé doit être unique à la ressource et la valeur est facultative. Le volet affiche toutes les balises existantes pour la ressource dans un tableau. Les actions suivantes sont prises en charge.
+ Choisissez **Gérer les balises** pour ouvrir la page **Gérer les balises**.
+ Choisissez Ajouter un nouveau tag pour créer un tag. Renseignez le champ **Clé** et, éventuellement, le champ **Valeur**. Choisissez **Enregistrer les modifications** pour appliquer le tag.
+ Cliquez sur le bouton **Supprimer** à côté d'une étiquette pour la marquer pour suppression, puis choisissez **Enregistrer les modifications** pour confirmer.
1. Après avoir fourni les informations requises et passé en revue vos choix, choisissez **Créer un modèle**. Cela ouvre **les détails du modèle**, où vous pouvez consulter les paramètres du nouveau modèle, modifier ou supprimer le modèle, gérer les groupes et les autorisations, gérer les modèles remplacés, gérer les balises et configurer la réinscription automatique pour les détenteurs de certificats.
------
#### [ API ]
**Pour créer un modèle de connecteur à l'aide de l'API**
Utilisez l'[ CreateTemplate](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html)action dans l'API AWS CA privée Connector for Active Directory.
------
#### [ CLI ]
**Pour créer un modèle de connecteur à l'aide du AWS CLI**
Utilisez la commande [create-template](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/create-template.html) dans la section AWS CA privée Connector for Active Directory du. AWS CLI
------
# Mettre à jour un modèle pour Active Directory
Utilisez les procédures suivantes pour mettre à jour un modèle à l'aide de la console, de la ligne de commande ou de l'API pour AWS CA privée Connector for Active Directory.
------
#### [ Console ]
**Pour mettre à jour un modèle à l'aide de la console**
Connectez-vous à votre AWS compte et ouvrez la console AWS CA privée Connector for Active Directory à l'adresse**[https://console.aws.amazon.com/pca-connector-ad/home](https://console.aws.amazon.com/pca-connector-ad/home)**.
1. Dans la liste de vos **connecteurs pour Active Directory**, sélectionnez le connecteur dont vous souhaitez mettre à jour le modèle. Choisissez **Modifier** pour afficher et modifier les modèles du connecteur.
1. Sur la page de détails du modèle de votre connecteur, choisissez **Modifier**. Suivez les instructions pour effectuer vos mises à jour. Lorsque vous avez terminé de modifier une zone, choisissez **Enregistrer** pour enregistrer vos modifications.
------
#### [ API ]
**Pour mettre à jour un modèle à l'aide de l'API**
Pour mettre à jour un modèle pour Active Directory avec l'API, utilisez l'[UpdateTemplate](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_UpdateTemplate.html)action dans l'API AWS CA privée Connector for Active Directory.
------
#### [ CLI ]
**Pour mettre à jour un modèle à l'aide du AWS CLI**
Pour mettre à jour un connecteur pour Active Directory avec la CLI, utilisez la commande [update-template](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/update-template.html) dans la section AWS CA privée Connecteur pour Active Directory du. AWS CLI
------
## Comment Connector for Active Directory propage les modifications apportées à votre modèle
AWS CA privée applique un modèle à votre politique lorsque votre client actualise le cache des politiques, c'est-à-dire toutes les huit heures. Cela inclut les modifications apportées aux entrées de contrôle d'accès des groupes de modèles. Lorsque votre client actualise le cache, il demande au connecteur les modèles disponibles. Dans le cas de l'actualisation ** automatique des inscriptions, le client émet des certificats qui répondent à l'une ou aux deux conditions suivantes :
+ Le certificat est en cours de renouvellement.
+ Le certificat n'est pas présent sur l'appareil client.
Pour une *actualisation manuelle*, le client interroge le connecteur et vous devez définir le modèle à émettre.
Si vous effectuez un débogage, vous pouvez effacer manuellement le cache des politiques pour voir immédiatement les modifications du modèle. Pour ce faire, exécutez la commande Powershell suivante sur votre client.
```
certutil -f -user -policyserver * -policycache delete
```
# Répertorier les connecteurs pour Active Directory
Vous pouvez utiliser la console AWS CA privée Connector for Active Directory ou AWS CLI pour répertorier les connecteurs que vous possédez.
------
#### [ Console ]
**Pour répertorier vos connecteurs à l'aide de la console**
1. Connectez-vous à votre AWS compte et ouvrez la console AWS CA privée Connector for Active Directory à l'adresse**[https://console.aws.amazon.com/pca-connector-ad/home](https://console.aws.amazon.com/pca-connector-ad/home)**.
1. Consultez les informations de la liste **des connecteurs pour Active Directory**. Vous pouvez parcourir plusieurs pages de connecteurs à l'aide des numéros de page en haut à droite. Chaque connecteur occupe une ligne affichant les colonnes d'informations suivantes par défaut.
+ **ID du connecteur** : identifiant unique du connecteur.
+ **Nom du répertoire** : ressource Active Directory associée au connecteur.
+ **État du connecteur** — État du connecteur. Les valeurs possibles sont les suivantes : **Création** \$1 **Active** \$1 **Suppression** \$1 **Échec**.
+ **État du nom principal du service** — État du nom principal du service (SPN) associé au connecteur. Les valeurs possibles sont les suivantes : **Création** \$1 **Active** \$1 **Suppression** \$1 **Échec**.
+ **État d'enregistrement au répertoire** — Statut d'enregistrement du directeur associé. Les valeurs possibles sont les suivantes : **Création** \$1 **Active** \$1 **Suppression** \$1 **Échec**.
+ **Créé à** — Horodatage lors de la création du connecteur.
En choisissant l'icône représentant un engrenage dans le coin supérieur droit de la console, vous pouvez personnaliser le nombre de connecteurs affichés sur une page à l'aide de la préférence **Taille de page**.
------
#### [ API ]
**Pour répertorier vos connecteurs à l'aide de l'API**
Utilisez l'[ListConnectors](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_ListConnectors.html)action dans l'API AWS CA privée Connector for Active Directory.
------
#### [ CLI ]
**Pour répertorier vos connecteurs à l'aide du AWS CLI**
Utilisez la commande [list-connectors](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/list-connectors.html) pour répertorier vos connecteurs.
------
# Modèles de connecteurs de liste
Vous pouvez utiliser la console AWS CA privée Connector for Active Directory ou AWS CLI pour répertorier les modèles de connecteurs que vous possédez. Les modèles de connecteurs sont basés sur les modèles AWS CA privée [ BlankEndEntityCertificate\$1 APIPassthrough /V1.](https://docs.aws.amazon.com/privateca/latest/userguide/UsingTemplates.html#BlankEndEntityCertificate_APIPassthrough)
------
#### [ Console ]
**Pour répertorier vos modèles à l'aide de la console**
1. Connectez-vous à votre AWS compte et ouvrez la console AWS CA privée Connector for Active Directory à l'adresse**[https://console.aws.amazon.com/pca-connector-ad/home](https://console.aws.amazon.com/pca-connector-ad/home)**.
1. Choisissez un connecteur dans la liste **Connecteurs pour Active Directory**, puis sélectionnez **Afficher les détails**.
1. Sur la page de détails du connecteur, consultez les informations de la section **Modèles**. Vous pouvez parcourir plusieurs pages de modèles à l'aide des numéros de page en haut à droite. Chaque modèle occupe une ligne affichant les colonnes d'informations suivantes.
+ **Nom du modèle : nom** lisible par l'homme du modèle.
+ **État du modèle** — État du modèle. Les valeurs possibles sont les suivantes : **Actif** \$1 **Suppression**.
+ **ID du modèle** : identifiant unique du modèle.
------
#### [ API ]
**Pour répertorier vos connecteurs à l'aide de l'API**
Utilisez l'[ ListTemplates](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_ListTemplates.html)action de l'API AWS CA privée Connector for Active Directory pour répertorier les modèles pour le connecteur spécifié.
------
#### [ CLI ]
**Pour répertorier vos connecteurs à l'aide du AWS CLI**
Utilisez la commande [list-templates](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/list-templates.html) pour répertorier les modèles pour le connecteur spécifié.
------
# Afficher les détails du connecteur
Utilisez les procédures suivantes pour afficher les détails de configuration d'un connecteur dans la console, la ligne de commande ou l'API AWS CA privée du Connector for Active Directory.
------
#### [ Console ]
**Pour afficher les détails d'un connecteur à l'aide de la console**
1. Connectez-vous à votre AWS compte et ouvrez la console AWS CA privée Connector for Active Directory à l'adresse**[https://console.aws.amazon.com/pca-connector-ad/home](https://console.aws.amazon.com/pca-connector-ad/home)**.
1. Choisissez un connecteur dans la liste **Connecteurs pour Active Directory**, puis sélectionnez **Afficher les détails**.
1. Sur la page des détails du connecteur, passez en revue les informations contenues dans le volet Détails du connecteur, qui inclut les éléments suivants :
+ **ID du connecteur**
+ **État du connecteur**
+ **Informations supplémentaires sur le statut**
+ **Connecteur ARN**
+ **Point de terminaison du serveur de politique d'inscription des**
+ **Nom du répertoire**
+ **ID du répertoire**
+ **Autorité de certification privée AWS sujet**
+ **Autorité de certification privée AWS status**
+ **Type d’adresse IP**
+ **Points de terminaison et groupes de sécurité VPC**
1. Dans le volet **Modèles**, vous pouvez créer ou gérer des modèles associés au connecteur.
1. Dans le volet **Nom principal du service (SPN)**, vous pouvez afficher le nom principal du service associé au connecteur.
1. Dans le volet **Enregistrement du répertoire**, vous pouvez afficher ou modifier l'enregistrement du répertoire associé au connecteur.
1. Dans le volet **Tags — *facultatif***, vous pouvez créer ou gérer des balises associées au connecteur.
------
#### [ API ]
**Pour répertorier vos connecteurs à l'aide de l'API**
Utilisez l'[GetConnector](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_GetConnector.html)action dans l'API AWS CA privée Connector for Active Directory.
------
#### [ CLI ]
**Pour répertorier vos connecteurs à l'aide du AWS CLI**
Utilisez la commande [get-connector](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/get-connector.html) dans la section AWS CA privée Connector for Active Directory du. AWS CLI
------
# Afficher les détails du modèle de connecteur
Utilisez les procédures suivantes pour afficher les détails de configuration d'un modèle de connecteur à l'aide de la console, de la ligne de commande ou de l'API AWS CA privée du Connector for Active Directory
------
#### [ Console ]
**Pour afficher les détails d'un modèle de connecteur à l'aide de la console**
1. Connectez-vous à votre AWS compte et ouvrez la console AWS CA privée Connector for Active Directory à l'adresse**[https://console.aws.amazon.com/pca-connector-ad/home](https://console.aws.amazon.com/pca-connector-ad/home)**.
1. Choisissez un connecteur dans la liste **Connecteurs pour Active Directory**, puis sélectionnez **Afficher les détails**.
1. Sur la page de détails du connecteur, consultez les informations de la section **Modèles** et sélectionnez le modèle que vous souhaitez inspecter. Choisissez ensuite **Afficher les détails**.
1. Sur la page de détails, le volet **Détails du modèle** affiche les informations suivantes sur le modèle :
+ **Nom du modèle**
+ **ID du modèle**
+ **État du modèle**
+ **Version du schéma du modèle**
+ **Version du modèle**
+ **Modèle ARN**
+ **Type de certificat**
+ **Inscription automatique activée**
+ **Période de validité**
+ **Période de renouvellement**
+ **Exigences relatives au nom du sujet**
+ **Exigences relatives aux noms alternatifs du sujet**
+ **Paramètres de demande de certificat et d'inscription**
+ **Catégorie de fournisseur de cryptographie**
+ **Algorithme clé**
+ **Taille de clé minimale (bits)**
+ **Algorithme de hachage**
+ **Fournisseurs de cryptographie**
+ **Paramètres d'extension d'utilisation des clés**
Dans ce volet, vous pouvez également effectuer les actions suivantes à l'aide des boutons **Modifier**, **Supprimer** et **Actions**.
+ **Modifier**
+ **Suppression**
+ **Gérer les groupes et les autorisations** : pour plus d'informations, voir [Configurer les groupes et les autorisations](create-ad-template.html#create-ad-template-console-12).
+ **Gérer les modèles remplacés** : pour plus d'informations, voir [Réviser et créer](create-ad-template.html#create-ad-template-console-15).
+ **Gérer les balises** — Pour plus d'informations, consultez[Connecteur de balisage pour les ressources AD](ad-tags.md).
+ **Réinscrire tous les détenteurs de certificats** : ce paramètre permet d'augmenter automatiquement la version principale d'un modèle. Tous les membres des groupes Active Directory autorisés à s'inscrire à l'aide d'un modèle recevront un nouveau certificat émis à l'aide de ce modèle. Pour en savoir plus, consultez l'API [ UpdateTemplate](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_UpdateTemplate.html).
1. Le volet inférieur affiche une rangée d'onglets permettant de modifier la configuration du modèle.
+ **Groupes et autorisations** : consultez et gérez les autorisations permettant aux groupes Active Directory d'inscrire des certificats à l'aide de ce modèle. Pour plus d'informations, voir [Configuration des groupes et des autorisations](create-ad-template.html#create-ad-template-console-12)
+ **Politiques d'application** : consultez et gérez les modèles de politiques d'application. Pour plus d'informations, consultez la section [Attribuer des politiques d'application](create-ad-template.html#create-ad-template-console-9).
+ **Modèles remplacés** : affichez et gérez les modèles remplacés. Pour plus d'informations, consultez la section [Révision et création](create-ad-template.html#create-ad-template-console-15).
+ **Tag *facultatif*** : affichez et gérez le balisage sur ce modèle. Pour de plus amples informations, veuillez consulter [Connecteur de balisage pour les ressources AD](ad-tags.md).
------
#### [ API ]
**Pour répertorier vos connecteurs à l'aide de l'API**
Utilisez l'[ GetTemplate](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_GetTemplate.html)action dans l'API AWS CA privée Connector for Active Directory.
------
#### [ CLI ]
**Pour répertorier vos connecteurs à l'aide du AWS CLI**
Utilisez la commande [get-template](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/get-template.html) dans la section AWS CA privée Connector for Active Directory du. AWS CLI
------
# Gérer les inscriptions à l'annuaire
------
#### [ Console ]
**Pour gérer les inscriptions aux annuaires à l'aide de la console**
Les enregistrements d'annuaires pour les connecteurs peuvent être gérés depuis le niveau supérieur de la console AWS CA privée Connector for Active Directory. Cette rubrique décrit les options de gestion disponibles.
1. Connectez-vous à votre AWS compte et ouvrez la console AWS CA privée Connector for Active Directory à l'adresse**[https://console.aws.amazon.com/pca-connector-ad/home](https://console.aws.amazon.com/pca-connector-ad/home)**.
1. Dans la zone de navigation de gauche, sélectionnez **Inscriptions au répertoire**.
1. La page des **inscriptions aux annuaires** affiche un tableau des annuaires enregistrés avec les champs suivants :
+ **ID de répertoire** — L'identifiant unique de l'annuaire
+ **Nom du répertoire : nom** du site du domaine du répertoire
+ **Type de répertoire**
+ **Enregistré** — État de l'enregistrement. Les valeurs prises en charge sont CREATION \$1 ACTIVE \$1 DELETING \$1 FAILED.
+ **État du répertoire** : statut du répertoire
Vous pouvez utiliser le **répertoire Register** pour créer un nouvel enregistrement.
1. Vous pouvez sélectionner l'un des enregistrements listés afin de le gérer. Cela active les boutons **Afficher les détails d'enregistrement** et **Désenregistrer le répertoire**. Le bouton **Afficher les détails de l'enregistrement** ouvre la page des détails de l'enregistrement.
1. Le volet des **détails de l'enregistrement dans le répertoire** affiche les informations suivantes :
+ **Nom du site de domaine de l'annuaire**
+ **ID du répertoire** : identifiant unique de l'annuaire. En cliquant sur le lien, vous accédez à la AWS Directory Service console.
+ **Type de répertoire**
+ **État** — État du répertoire
+ **ARN d'enregistrement du répertoire** : nom de ressource Amazon associé à l'enregistrement du répertoire
+ **Informations supplémentaires sur le statut**
1. Dans le volet **Connecteurs et nom principal du service (SPNs)**, vous pouvez gérer SPNs le connecteur. Pour plus d'informations, veuillez consulter [View connector details](ad-spn.html) (français non garanti).
1. Dans le volet **Tags — facultatif**, vous pouvez appliquer et supprimer des métadonnées sur votre ressource AD. Les balises sont des paires de chaînes clé-valeur dans lesquelles la clé doit être unique à la ressource et la valeur est facultative. Le volet affiche toutes les balises existantes pour la ressource dans un tableau. Les actions suivantes sont prises en charge.
+ Choisissez **Gérer les balises** pour ouvrir la page **Gérer les balises**.
+ Choisissez Ajouter un nouveau tag pour créer un tag. Renseignez le champ **Clé** et, éventuellement, le champ **Valeur**. Choisissez **Enregistrer les modifications** pour appliquer le tag.
+ Cliquez sur le bouton **Supprimer** à côté d'une étiquette pour la marquer pour suppression, puis choisissez **Enregistrer les modifications** pour confirmer.
------
#### [ API ]
**Pour gérer les inscriptions aux annuaires à l'aide de l'API**
**Créer** : [CreateDirectoryRegistration](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateDirectoryRegistration.html)action dans l'API AWS CA privée Connector for Active Directory.
**Récupérer** : [GetDirectoryRegistration](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_GetDirectoryRegistration.html)action dans l'API AWS CA privée Connector for Active Directory.
**Liste** : [ListDirectoryRegistrations](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_ListDirectoryRegistrations.html)action dans l'API AWS CA privée Connector for Active Directory.
**Supprimer** : [DeleteDirectoryRegistration](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_DeleteDirectoryRegistration.html)action dans l'API AWS CA privée Connector for Active Directory.
------
#### [ CLI ]
**Pour gérer les enregistrements d'annuaires à l'aide de la CLI**
**Créer** : utilisez la [create-directory-registration](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/create-directory-registration.html)commande de la section AWS CA privée Connecteur pour Active Directory du AWS CLI.
**Récupérer** : [get-directory-registration](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/get-directory-registratio.html)commande dans la section AWS CA privée Connector for Active Directory du AWS CLI.
**Liste** : [list-directory-registrations](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/list-directory-registratios.html)commande dans la section AWS CA privée Connector for Active Directory du AWS CLI.
**Supprimer** : [delete-directory-registration](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/delete-directory-registratio.html)commande dans la section AWS CA privée Connecteur pour Active Directory du AWS CLI.
------
# Gérer les entrées de contrôle d'accès du modèle Connector for AD
Une entrée de contrôle d'accès permet de contrôler quels groupes Active Directory peuvent ou ne peuvent pas inscrire des certificats pour un modèle Connector for AD spécifique. Lorsque vous pouvez créer ou gérer des groupes et des autorisations dans Connector for AD, vous devez fournir l'identifiant de sécurité (SID) de l'objet de groupe depuis Active Directory. Vous pouvez obtenir le SID à l'aide de la PowerShell commande suivante. Pour plus d'informations sur le [fonctionnement des identificateurs de sécurité SIDs, reportez-vous à la section Fonctionnement des identifiants](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-security-identifiers) de sécurité dans la documentation Microsoft Directory Domain Services.
```
$ Get-ADGroup -Identity "my_active_directory_group_name"
```
Les procédures suivantes montrent comment créer et gérer les entrées de groupes d'accès aux modèles Connector for AD.
------
#### [ Console ]
**Pour gérer les autorisations des groupes de modèles à l'aide de la console**
Vous pouvez gérer les groupes et les autorisations pour un modèle existant peuvent être gérées à partir de la page de détails du modèle. Pour plus d'informations, voir [Afficher les détails du modèle de connecteur](https://docs.aws.amazon.com/privateca/latest/userguide/view-ad-template.html).
Définissez les autorisations selon lesquelles les groupes peuvent ou ne peuvent pas inscrire des certificats pour un modèle spécifique. Vous fournissez l'identifiant de sécurité (SID) du groupe. Vous définissez ensuite les autorisations d'inscription et d'inscription automatique pour le groupe. Pour l'inscription automatique, l'inscription et l'inscription automatique doivent être réglées sur « Autoriser ».
------
#### [ API ]
**Pour gérer les autorisations des groupes de modèles à l'aide de l'API**
**Créer** : [ CreateTemplateGroupAccessControlEntry](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplateGroupAccessControlEntry.html)action dans l'API AWS CA privée Connector for Active Directory.
**Mise à jour** : [ UpdateTemplateGroupAccessControlEntry](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_UpdateTemplateGroupAccessControlEntry.html)action dans l'API AWS CA privée Connector for Active Directory.
**Récupérer** : [ GetTemplateGroupAccessControlEntry](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_GetTemplateGroupAccessControlEntry.html)action dans l'API AWS CA privée Connector for Active Directory.
**Liste** : [ ListTemplateGroupAccessControlEntries](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_ListTemplateGroupAccessControlEntries.html)action dans l'API AWS CA privée Connector for Active Directory.
**Supprimer** : [ DeleteTemplateGroupAccessControlEntry](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_DeleteTemplateGroupAccessControlEntry.html)action dans l'API AWS CA privée Connector for Active Directory.
------
#### [ CLI ]
**Pour gérer les autorisations des groupes de modèles à l'aide de la CLI**
**Créez** la commande : [ create-template-group-access-control-entry](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/create-template-group-access-control-entry.html) dans la section AWS CA privée Connector for Active Directory du. AWS CLI
**Mise à jour** : commande [ update-template-group-access-control-entry](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/update-template-group-access-control-entry.html) dans la section AWS CA privée Connector for Active Directory du. AWS CLI
**Récupérez** la commande : [ get-template-group-access-control-entry](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/get-template-group-access-control-entry.html) dans la section AWS CA privée Connector for Active Directory du. AWS CLI
**Liste** : commande [ list-template-group-access-control-entries](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/list-template-group-access-control-entries.html) dans la section AWS CA privée Connector for Active Directory du. AWS CLI
**Supprimer** la commande : [ delete-template-group-access-control-entries](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/delete-template-group-access-control-entries.html) dans la section AWS CA privée Connector for Active Directory du. AWS CLI
------
# Configuration du nom principal du service
Découvrez comment configurer le nom principal du service pour le connecteur.
------
#### [ Console ]
**Pour gérer, gérez les noms principaux des services à l'aide de la console**
Le nom principal de service (SPN) d'un connecteur AD existant peut être géré à partir de la page de détails du connecteur. Pour plus d'informations, voir Gestion de l'enregistrement des annuaires [Afficher les détails du connecteur](view-connector-for-ad.html)
------
#### [ API ]
**Pour gérer les noms principaux des services à l'aide de l'API**
**Créer** : [ CreateServicePrincipalName](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateServicePrincipalName.html)action dans l'API AWS CA privée Connector for Active Directory.
**Récupérer** : [ GetServicePrincipalName](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_GetServicePrincipalName.html)action dans l'API AWS CA privée Connector for Active Directory.
**Liste** : [ ListServicePrincipalNames](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_ListServicePrincipalNames.html)action dans l'API AWS CA privée Connector for Active Directory.
**Supprimer** : [ DeleteServicePrincipalName](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_DeleteServicePrincipalName.html)action dans l'API AWS CA privée Connector for Active Directory.
------
#### [ CLI ]
**Pour gérer les noms principaux des services à l'aide de la CLI**
[ create-service-principal-name](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/create-service-principal-name.html)commande **Create** : dans la section AWS CA privée Connector for Active Directory du AWS CLI.
**Récupérer** : [ get-service-principal-name](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/get-service-principal-name.html)commande dans la section AWS CA privée Connector for Active Directory du AWS CLI.
**Liste** : [ list-service-principal-names](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/list-service-principal-names.html)commande dans la section AWS CA privée Connector for Active Directory du AWS CLI.
**Supprimer** : [ delete-service-principal-name](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/delete-service-principal-name.html)commande dans la section AWS CA privée Connecteur pour Active Directory du AWS CLI.
------
# Connecteur de balisage pour les ressources AD
Vous pouvez appliquer des balises à vos connecteurs, modèles et enregistrements de répertoires. Le balisage ajoute des métadonnées à une ressource qui peut faciliter l'organisation et la gestion.
------
#### [ Console ]
**Pour gérer le balisage des ressources à l'aide de la console**
Le balisage des ressources existantes est géré sur la page de détails de la ressource. Pour de plus amples informations, consultez les procédures suivantes.
+ [Afficher les détails du modèle de connecteur](view-template.html)
+ [Gestion des inscriptions dans les annuaires](directory-registration.html)
------
#### [ API ]
**Pour gérer le balisage des ressources à l'aide de l'API**
**Tag** : [ TagResource](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_TagResource.html)action dans l'API AWS CA privée Connector for Active Directory.
**Balises de liste** : [ ListTagsForResource](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_ListTagsForResource.html)action dans l'API AWS CA privée Connector for Active Directory.
**Untag** : [ UntagResource](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_UntagResource.html)action dans l'API AWS CA privée Connector for Active Directory.
Important - Il est acceptable d'utiliser des balises pour étiqueter des objets contenant des données confidentielles. Cependant, les balises elles-mêmes ne doivent contenir aucune information personnelle identifiable (PII), sensible ou confidentielle.
------
#### [ CLI ]
**Pour gérer le balisage des ressources à l'aide de la CLI**
**Tag** : commande [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/tag-resource.html) dans la section AWS CA privée Connector for Active Directory du. AWS CLI
**Afficher les balises** : [ list-tags-for-resource](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/list-tags-for-resource.html)commande dans la section AWS CA privée Connector for Active Directory du AWS CLI.
Commande **Untag** : [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/untag-resource.html) dans la section AWS CA privée Connector for Active Directory du. AWS CLI
------
# Intégration de Connector for AD dans des applications pilotées par des événements à l'aide d'Amazon EventBridge
Vous pouvez intégrer Connector for AD dans des applications pilotées par des événements (EDAs) qui utilisent les événements qui se produisent dans Connector for AD pour communiquer entre les composants de l'application et lancer des processus en aval.
Par exemple, vous pouvez invoquer d'autres AWS services ou composants personnalisés lorsque les événements Connector for AD suivants se produisent dans votre compte :
+ Un certificat est créé ou lorsque la création échoue.
+ Un certificat est inscrit ou l'inscription échoue.
Pour ce faire, utilisez Amazon EventBridge pour acheminer les événements de Connector for AD vers d'autres composants logiciels. Amazon EventBridge est un service sans serveur qui utilise des événements pour connecter les composants de l'application entre eux, ce qui vous permet d'intégrer plus facilement des AWS services tels que Connector for AD dans des architectures pilotées par des événements sans code ni opérations supplémentaires.
## Comment EventBridge achemine Connector pour les événements AD
Voici comment EventBridge fonctionne le Connector for AD events :
Comme c'est le cas pour de nombreux AWS services, Connector for AD génère et envoie des événements au *bus d'événements EventBridge * par défaut. Un bus d'événements est un routeur qui reçoit des événements et les achemine vers les destinations, ou *cibles*, que vous spécifiez. Les cibles peuvent inclure d'autres AWS services, des applications personnalisées et des applications partenaires SaaS.
EventBridge achemine les événements conformément aux *règles* que vous créez sur le bus d'événements. Pour chaque règle, vous spécifiez un filtre, ou un *modèle d'événement*, afin de sélectionner uniquement les événements souhaités. Chaque fois qu'un événement est envoyé au bus d'événements EventBridge, comparez-le à chaque règle. Si l'événement correspond à la règle, EventBridge achemine l'événement vers la ou les cibles spécifiées.
![\[AWS les services envoient des événements au bus d'événements EventBridge par défaut. Si l'événement correspond au modèle d'événement d'une règle, EventBridge achemine l'événement vers les cibles spécifiées pour cette règle.\]](http://docs.aws.amazon.com/fr_fr/privateca/latest/userguide/images/eventbridge-integration-how-it-works.png)
## Connecteur pour les événements AD
Pour obtenir la liste des événements Connector for AD envoyés à EventBridge, reportez-vous à la rubrique Connector for AD dans la [https://docs.aws.amazon.com/eventbridge/latest/ref/events-ref-pca-connector-ad.html](https://docs.aws.amazon.com/eventbridge/latest/ref/events-ref-pca-connector-ad.html).
### Structure d’évènements
Tous les événements des AWS services contiennent deux types de données :
+ Ensemble commun de champs contenant des métadonnées relatives à l'événement, telles que le AWS service à l'origine de l'événement, l'heure à laquelle l'événement a été généré, le compte et la région dans lesquels l'événement a eu lieu, etc. Pour les définitions de ces champs généraux, consultez la section [Structure des événements](https://docs.aws.amazon.com/eventbridge/latest/ref/overiew-event-structure.html) dans le *Amazon EventBridge Events Reference*.
+ `detail`Champ contenant des données spécifiques à cet événement de service particulier.
## Création de modèles d'événements correspondant aux événements Connector for AD
Les modèles d'événements sont des filtres qui spécifient les données que les événements que vous souhaitez sélectionner doivent contenir.
Chaque modèle d’événement est un objet JSON qui contient :
+ Un attribut `source` qui identifie le service qui envoie l’événement. Pour les événements Connector for AD, la source est`aws.pca-connector-ad`.
+ (Facultatif) : `detail-type` attribut qui contient un tableau des noms d'événements à associer.
+ (Facultatif) : un attribut `detail` qui contient toute autre donnée d’événement à rechercher.
Par exemple, le modèle d'événement suivant permet de sélectionner tous les événements ayant abouti à l'inscription à la politique de certification dans Connector for AD :
```
{
"source": ["aws.pca-connector-ad"],
"detail-type": ["Certificate Policy Enrollment Succeeded"]
}
```
Pour plus d'informations sur la rédaction de modèles d'événements, consultez la section [Modèles d'événements](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) dans le *guide de EventBridge l'utilisateur*.
## Réception d'événements provenant de EventBridge
Vous pouvez spécifier le connecteur pour les certificats AD comme cible d'une règle. Cela permet à Connector for AD de recevoir des événements provenant d'une grande variété de sources, notamment d'autres AWS services, d'applications personnalisées et de partenaires SaaS. Pour plus d'informations, consultez la section [Création de règles réagissant aux événements](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) dans le *Guide de EventBridge l'utilisateur*.
Pour obtenir la liste complète des AWS services que vous pouvez définir comme cibles, consultez la section [Types de cibles](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html#eb-console-targets) dans la *référence EventBridge des événements*.
# Résoudre les problèmes liés au AWS CA privée Connector for Active Directory
Utilisez les informations fournies ici pour vous aider à diagnostiquer et à résoudre les problèmes liés au AWS Autorité de certification privée Connector for AD.
**Topics**
+ [Résoudre les problèmes liés au connecteur pour les codes d'erreur AD](c4adTroubleshootingError.md)
+ [Résoudre les problèmes de création de Connector for AD Connector](c4adTroubleshootingConnectorCreationFailure.md)
+ [Résoudre les problèmes liés à l'échec de création du connecteur AD SPN](c4adTroubleshootingSpnFailure.md)
+ [Résoudre les problèmes de mise à jour du modèle Connector for AD](c4adTroubleshootingUpdatedTemplate.md)
# Résoudre les problèmes liés au connecteur pour les codes d'erreur AD
Connector for AD envoie des messages d'erreur pour plusieurs raisons. Pour obtenir des informations sur chaque erreur et des recommandations pour les résoudre, consultez le tableau suivant. Vous pouvez recevoir ces erreurs en vous abonnant aux événements Amazon EventBridge Scheduler (source de l'événement :`aws.pca-connector-ad`) ou en utilisant l'inscription manuelle sous Windows.
| Code d’erreur | Cause profonde | Correction |
| --- | --- | --- |
| 0x8FFFA000 | L'authentification Kerberos a échoué. | Assurez-vous que votre répertoire est accessible et que le client est un utilisateur ou un ordinateur. Si vous utilisez l'inscription automatique, corrigez le principal de votre service de AWS ressources. Si vous utilisez l'interface utilisateur d'Active Directory pour obtenir un certificat, `gpupdate /force` lancez-le. |
| 0x8FFFA001 | Le message SOAP doit contenir un en-tête d'action. | Ajoutez un en-tête d'action. |
| 0x8FFFA002 | Le connecteur n'a pas accès à l'autorité de certification privée à laquelle il est connecté. | Partagez votre autorité de certification privée avec le connecteur en créant un AWS Resource Access Manager (RAM) à partager entre votre autorité de certification privée et le service Connector for AD. |
| 0x8FFFA003 | L'autorité de certification privée pour ce connecteur n'est pas active. | Déplacez l'autorité de certification privée à l'état actif. Si le certificat de votre autorité de certification privée est en attente, installez-le. |
| 0x8FFFA004 | L'autorité de certification privée pour ce connecteur n'existe pas. | Passez votre autorité de certification à l'état Actif si elle est à l'état Supprimé. Si votre autorité de certification privée est définitivement supprimée, créez un nouveau connecteur avec une autre autorité de certification. |
| 0x8FFFA005 | Le modèle a spécifié l'`directoryGuid`attribut pour le sujet du certificat ou le nom alternatif du sujet, mais l'attribut n'a pas été trouvé dans l'objet AD pour le demandeur. | Active Directory n'a pas généré de `directoryGuid` fichier pour votre annuaire. Résoudre les problèmes dans Active Directory. |
| 0x8FFFA006 | Le modèle a spécifié l'`dnsHostName`attribut pour le sujet du certificat ou le nom alternatif du sujet, mais l'attribut n'a pas été trouvé dans l'objet AD pour le demandeur. | Ajoutez l'`dnsHostName`attribut à votre objet AD. |
| 0x8FFFA007 | Le modèle spécifiait l'attribut d'e-mail à inclure dans l'objet du certificat ou dans le nom alternatif du sujet, mais l'attribut n'a pas été trouvé dans l'objet AD du demandeur. | Ajoutez l'attribut e-mail à votre objet AD |
| 0x8FFFA008 | Le message SOAP doit avoir un en-tête d'action correspondant à l'un `http://schemas.microsoft.com/windows/pki/2009/01/enrollmentpolicy/IPolicy/GetPolicies` ou à l'autre`http://schemas.microsoft.com/windows/pki/2009/01/enrollment/RST/wstep`. | Mettez à jour l'en-tête de l'action pour utiliser l'une des valeurs spécifiées. |
| 0x8FFFA009 | Le BinarySecurityToken doit être encodé dans`http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd#base64binary`. | Mettez à jour le type de jeton de sécurité binaire. |
| 0x8FFFA00A | Le BinarySecurityToken n'est pas valide. | Vérifiez que le CSR est correctement généré. |
| 0x8FFFA00B | Le type de valeur BinarySecurityToken doit être `http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd#PKCS7` ou`http://schemas.microsoft.com/windows/pki/2009/01/enrollment#PKCS10`. | Mettez à jour le type de valeur du jeton de sécurité binaire avec une valeur valide. |
| 0x8FFFA00C | Le CMS non valide BinarySecurityToken contenu. | Le Base64 est valide mais la syntaxe des messages cryptographiques (CMS) n'est pas valide. Passez en revue la syntaxe du CMS. |
| 0x8FFFA00D | Ils BinarySecurityToken contenaient un CSR non valide. | Vérifiez que le CSR a été correctement généré. |
| 0x8FFFA00E | L'autorité de certification privée n'a pas pu émettre de certificat à l'aide du modèle spécifique. | Passez en revue l'exception de validation de AWS CA privée. Vous pouvez consulter l'exception de validation sur Amazon EventBridge ou AWS CloudTrail. |
| 0x8FFFA00F | Le message SOAP doit avoir un type de demande de`http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue`. | Définissez le type de demande sur`http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue`. |
| 0x8FFFA010 | Le message SOAP doit comporter un en-tête to correspondant au `CertificateEnrollmentPolicyServerEndpoint` champ du connecteur ou au champ URI de la réponse XCEP. | Définissez l'en-tête du jeton de sécurité de la demande `CertificateEnrollmentPolicyServerEndpoint` sur le champ ou sur le champ URI de la réponse XCEP. |
| 0x8FFFA011 | Le message SOAP ne doit comporter qu'un seul en-tête d'action. | Vérifiez l'en-tête du message SOAP du jeton de sécurité de la demande et définissez correctement l'en-tête. |
| 0x8FFFA012 | Le message SOAP ne doit comporter qu'un seul `messageId` en-tête. | Vérifiez l'en-tête du message SOAP du jeton de sécurité de la demande et définissez correctement l'en-tête. |
| 0x8FFFA013 | Le message SOAP ne doit comporter qu'un seul en-tête to. | Vérifiez l'en-tête du message SOAP du jeton de sécurité de la demande et définissez correctement l'en-tête. |
| 0x8FFFA014 | Le demandeur n'a pas accès au modèle demandé. | Autorisez le groupe du demandeur à s'inscrire à l'aide du modèle demandé en créant une entrée de contrôle d'accès. |
| 0x8FFFA015 | L'extension `CertificateTemplateInformation` ou l'`CertificateTemplateName`extension doivent être présentes dans le BinarySecurityToken. | Ajoutez l'extension de sécurité à votre CSR. |
| 0x8FFFA016 | Le modèle demandé n'a pas été trouvé pour le connecteur donné. | Les modèles sont des ressources secondaires pour chaque connecteur. Créez le modèle pour le connecteur à l'aide de`createTemplate`. |
| 0x8FFFA017 | La demande a été refusée suite à une limitation des demandes. | Ralentissez le taux de demandes. |
| 0x8FFFA018 | Le message SOAP doit contenir un `to` en-tête. | Vérifiez l'en-tête du message SOAP. |
| 0x8FFFA019 | Impossible de traiter le message SOAP en raison d'un en-tête non reconnu. | Vérifiez l'en-tête du message SOAP. |
| 0x8FFFA01A | Le modèle spécifiait l'attribut UPN à inclure dans l'objet du certificat ou dans le nom alternatif du sujet, mais l'attribut n'a pas été trouvé dans l'objet AD du demandeur. | Ajoutez un UPN à l'objet Active Directory. |
# Résoudre les problèmes de création de Connector for AD Connector
La création d'un connecteur pour AD peut échouer pour diverses raisons. Lorsque la création du connecteur échoue, vous recevrez la raison de l'échec dans la réponse de l'API. Si vous utilisez la console, la raison de l'échec est affichée sur la page de **détails** du connecteur, sous le champ **Détails de statut supplémentaires** du conteneur des **détails** du connecteur. Le tableau suivant décrit les raisons de l'échec et les étapes recommandées pour le résoudre.
| État de défaillance | Description | Correction |
| --- | --- | --- |
| CA\$1CERTIFICATE\$1REGISTRATION\$1FAILED | Connector for AD n'est pas en mesure d'importer des certificats CA dans votre répertoire. | Consultez la page [Conditions préalables](connector-for-ad-getting-started-prerequisites.md) et vérifiez que votre compte de service dispose des autorisations appropriées. Après avoir délégué les autorisations appropriées à votre compte de service, supprimez le connecteur défaillant et créez-en un nouveau. Pour plus d'informations sur la délégation d'autorisations, voir [Déléguer des privilèges à votre compte de service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_getting_started.html#connect_delegate_privileges) dans le *Guide d'AWS Directory Service administration*. |
| DIRECTORY\$1ACCESS\$1DENIED | Connector for AD ne parvient pas à accéder à votre répertoire. | Vous devez autoriser Connector for AD à accéder à votre annuaire. Consultez la [Étape 4 : Création d'une politique IAM](connector-for-ad-getting-started-prerequisites.md#prereq-iam) section pour vous assurer que la politique IAM associée à votre AWS compte vous permet d'accéder aux annuaires et de les décrire. Après avoir accordé les autorisations appropriées à votre AWS rôle, supprimez le connecteur défaillant et créez-en un nouveau. Si vous utilisez Connector for AD avec un AWS Directory Service AD Connector, assurez-vous que le mot de passe du compte de service AD Connector n'est pas expiré et qu'il est valide. Pour plus d'informations sur les comptes de service AD Connector, consultez [Getting Started with AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_getting_started.html) dans le *Guide d'administration d'AD Connector*. |
| INTERNAL\$1FAILURE | Connector for AD a connu une défaillance interne. | Réessayez ultérieurement. Supprimez le connecteur défaillant et créez-en un nouveau. |
| INSUFFICIENT\$1FREE\$1ADDRESSES | Le sous-réseau VPC doit disposer d'au moins une adresse IP privée disponible. | Assurez-vous qu'une adresse IP privée est disponible dans le sous-réseau. Supprimez le connecteur défaillant et créez-en un nouveau. |
| INVALID\$1SUBNET\$1IP\$1PROTOCOL | Connector for AD ne parvient pas à créer le point de terminaison sur votre VPC car les sous-réseaux associés à votre annuaire ne prennent pas en charge le type d'adresse IP spécifié. | Assurez-vous que le VPC et les sous-réseaux qui hébergent votre répertoire prennent en charge le type d'adresse IP que vous avez choisi. Pour plus d'informations, consultez la section [Types d'adresses IP](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html#aws-service-ip-address-type). Supprimez le connecteur défaillant et créez-en un nouveau avec le type d'adresse IP pris en charge. |
| PRIVATECA\$1ACCESS\$1DENIED | Connector for AD ne parvient pas à accéder à votre autorité de certification privée. | Consultez la page [Conditions préalables](connector-for-ad-getting-started-prerequisites.md) et vérifiez que vous êtes autorisé à créer un connecteur. Pour plus d’informations, veuillez consulter [Étape 4 : Création d'une politique IAM](connector-for-ad-getting-started-prerequisites.md#prereq-iam). Si vous créez un connecteur par le biais AWS CLI d'une API, consultez la page [Conditions préalables](connector-for-ad-getting-started-prerequisites.md) et vérifiez que vous avez partagé l'autorité de certification privée avec Connector for AD à l'aide AWS Resource Access Manager de Connector for AD. Après avoir vérifié et corrigé les autorisations IAM et le partage AWS RAM des ressources, supprimez le connecteur défaillant et créez-en un nouveau. |
| PRIVATECA\$1RESOURCE\$1NOT\$1FOUND | Connector for AD ne trouve pas l'autorité de certification privée spécifiée. | Assurez-vous de spécifier le [nom de ressource Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) CA privé correct, puis supprimez le connecteur défaillant et créez-en un nouveau en utilisant l'ARN CA privé que vous avez prévu. |
| SECURITY\$1GROUP\$1NOT\$1IN\$1VPC | Le groupe de sécurité ne se trouve pas dans le VPC qui héberge votre répertoire. | Utilisez un groupe de sécurité qui se trouve dans le VPC qui héberge votre répertoire. Pour de plus amples informations, veuillez consulter [Étape 7 : Configuration des groupes de sécurité](connector-for-ad-getting-started-prerequisites.md#prereq-security-groups). Supprimez le connecteur défaillant et créez-en un nouveau avec un groupe de sécurité situé dans le VPC. |
| VPC\$1ACCESS\$1DENIED | Connector for AD ne peut pas accéder au VPC Amazon qui héberge votre annuaire. | Vérifiez vos autorisations IAM. Supprimez le connecteur défaillant et créez-en un nouveau. Pour un exemple de politique IAM incluant des autorisations d'accès, voir [Étape 4 : Création d'une politique IAM](connector-for-ad-getting-started-prerequisites.md#prereq-iam) |
| VPC\$1ENDPOINT\$1LIMIT\$1EXCEEDED | Connector for AD ne peut pas créer de point de terminaison dans votre Amazon VPC. Vous avez atteint le nombre limite de points de terminaison VPC que vous pouvez créer pour votre compte. | Supprimez les points de terminaison Amazon VPC ou demandez une augmentation de limite. Une fois que vous avez effectué l'une des deux étapes, supprimez le connecteur défaillant et créez-en un nouveau. Pour plus d'informations sur les quotas, consultez la section [Quotas Amazon Virtual Private Cloud Service](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html). |
| VPC\$1RESOURCE\$1NOT\$1FOUND | Connector for AD ne trouve pas le VPC spécifié. | Assurez-vous que vous avez spécifié le VPC correct et que celui-ci existe. Supprimez ensuite le connecteur défaillant et créez-en un nouveau en utilisant le VPC ID correct. |
# Résoudre les problèmes liés à l'échec de création du connecteur AD SPN
La création du nom principal du service (SPN) peut échouer pour diverses raisons. Lorsque la création du SPN échoue, vous recevrez la raison de l'échec dans la réponse de l'API. Si vous utilisez la console, la raison de l'échec est affichée sur la page de détails du connecteur, sous le champ **Détails de statut supplémentaires** dans le conteneur du **nom principal du service (SPN)**. Le tableau suivant décrit les raisons de l'échec et les étapes recommandées pour le résoudre.
| État de défaillance | Description | Correction |
| --- | --- | --- |
| DIRECTORY\$1ACCESS\$1DENIED | Connector for AD ne peut pas accéder à votre annuaire. | Accordez à Connector for AD l'accès à votre annuaire. Pour un exemple de politique IAM incluant des autorisations autorisant l'accès à un annuaire, voir[Étape 4 : Création d'une politique IAM](connector-for-ad-getting-started-prerequisites.md#prereq-iam). |
| DIRECTORY\$1NOT\$1REACHABLE | Connector for AD ne peut pas accéder à votre annuaire. | Vérifiez le réseau entre AWS et votre répertoire, puis réessayez de créer un SPN. |
| DIRECTORY\$1RESOURCE\$1NOT\$1FOUND | Connector for AD ne trouve pas le répertoire spécifié. | Assurez-vous de spécifier l'ID de répertoire correct, puis supprimez le connecteur défaillant et créez-en un nouveau en utilisant l'ID de répertoire prévu. |
| INTERNAL\$1FAILURE | Connector for AD a connu une défaillance interne. | Réessayez ultérieurement. |
| SPN\$1EXISTS\$1ON\$1DIFFERENT\$1AD\$1OBJECT | Le nom principal du service (SPN) existe sur un autre objet Active Directory. | Supprimez le SPN de l'objet Active Directory, puis réessayez de le créer. |
| SPN\$1LIMIT\$1EXCEEDED | Connector for AD ne peut pas créer le SPN car vous avez atteint la limite de SPNs par répertoire. Le nombre maximum de SPNs par répertoire est de 10. | Supprimez-en un ou plusieurs SPNs de votre compte, puis réessayez de créer le SPN. |
# Résoudre les problèmes de mise à jour du modèle Connector for AD
Si vous avez apporté des modifications à votre modèle ou à votre entrée de contrôle d'accès de groupe, mais que vous ne les voyez pas, cela peut être dû à la mise en cache des politiques. AWS CA privée applique un modèle à votre politique lorsque votre client actualise le cache des politiques, c'est-à-dire toutes les huit heures. Lorsque votre client actualise le cache, il demande au connecteur les modèles disponibles. Dans le cas de l'actualisation ** automatique des inscriptions, le client émet des certificats qui répondent à l'une ou aux deux conditions suivantes :
+ Le certificat est en cours de renouvellement.
+ Le certificat n'est pas présent sur l'appareil client.
Pour une *actualisation manuelle*, le client interroge le connecteur et vous devez définir le modèle à émettre.
Si vous effectuez un débogage, vous pouvez effacer manuellement le cache des politiques pour voir immédiatement les modifications du modèle. Pour ce faire, exécutez la commande Powershell suivante sur votre client.
```
certutil -f -user -policyserver * -policycache delete
```