Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Amankan Microsoft AD yang AWS Dikelola
Anda dapat menggunakan kebijakan kata sandi, fitur seperti otentikasi multi-faktor (MFA), dan pengaturan untuk mengamankan iklan Microsoft yang Dikelola AWS . Cara Anda dapat mengamankan direktori Anda meliputi:
+ [Pahami cara kerja kebijakan kata sandi di Active Directory](ms_ad_password_policies.md) sehingga dapat diterapkan ke pengguna Microsoft AD yang AWS Dikelola. Anda juga dapat mendelegasikan pengguna mana yang dapat mengelola kebijakan kata sandi Microsoft AD AWS Terkelola Anda.
+ [Aktifkan MFA](ms_ad_mfa.md) yang meningkatkan keamanan AWS Microsoft AD Terkelola Anda.
+ [> Aktifkan Protokol Akses Direktori Ringan melalui Secure Socket Layer (SSL) /Transport Layer Security (TLS) (LDAPS)](ms_ad_ldap.md) sehingga komunikasi melalui LDAP dienkripsi dan meningkatkan keamanan.
+ [Kelola kepatuhan Microsoft AD AWS Terkelola Anda](ms_ad_compliance.md) dengan standar seperti Federal Risk and Authorization Management Program (FedRAMP) dan Payment Card Industry (PCI) Data Security Standard (DSS).
+ [Tingkatkan konfigurasi keamanan jaringan Microsoft AD AWS Terkelola Anda>](ms_ad_network_security.md) dengan memodifikasi Grup AWS Keamanan untuk memenuhi kebutuhan lingkungan Anda.
+ [Edit pengaturan keamanan direktori Microsoft AD AWS Terkelola Anda](ms_ad_directory_settings.md) seperti Otentikasi Basis Sertifikat, Cipher Saluran Aman, dan Protokol untuk memenuhi kebutuhan Anda.
+ [Siapkan AWS Private Certificate Authority Konektor untuk AD](ms_ad_pca_connector.md) sehingga Anda dapat menerbitkan dan mengelola sertifikat untuk Microsoft AD yang AWS Dikelola AWS Private CA.
# Memahami kebijakan kata sandi Microsoft AD yang AWS Dikelola
AWS Microsoft AD yang dikelola memungkinkan Anda menentukan dan menetapkan kebijakan penguncian kata sandi dan akun yang berbeda (juga disebut sebagai [kebijakan kata sandi berbutir halus](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-#fine_grained_pswd_policy_mgmt)) untuk grup pengguna yang Anda kelola di domain Microsoft AD Terkelola AWS . Saat Anda membuat direktori Microsoft AD AWS Terkelola, kebijakan domain default dibuat dan diterapkan ke Direktori Aktif. Kebijakan ini mencakup pengaturan berikut:
****
| Kebijakan | Pengaturan |
| --- | --- |
| Memberlakukan riwayat kata sandi | 24 kata sandi diingat |
| Usia kata sandi maksimal | 42 hari \$1 |
| Usia kata sandi minimum | 1 hari |
| Panjang kata sandi minimum | 7 karakter |
| Kata sandi harus memenuhi persyaratan kompleksitas | Diaktifkan |
| Menyimpan kata sandi menggunakan enkripsi reversibel | Nonaktif |
**catatan**
\$1 Usia kata sandi maksimum 42 hari termasuk kata sandi admin.
Misalnya, Anda dapat menetapkan pengaturan kebijakan yang kurang ketat untuk karyawan yang memiliki akses ke informasi sensitivitas rendah saja. Untuk manajer senior yang secara teratur mengakses informasi rahasia Anda dapat menerapkan pengaturan yang lebih ketat.
Sumber daya berikut memberikan informasi lebih lanjut tentang kebijakan kata sandi dan kebijakan keamanan berbutir halus Microsoft Active Directory:
+ [Konfigurasikan setelan kebijakan keamanan](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/how-to-configure-security-policy-settings)
+ [Persyaratan kompleksitas kata sandi](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
+ [Pertimbangan keamanan kompleksitas kata sandi](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements#security-considerations)
AWS menyediakan serangkaian kebijakan kata sandi berbutir halus di AWS Microsoft AD Terkelola yang dapat Anda konfigurasikan dan tetapkan ke grup Anda. Untuk mengonfigurasi kebijakan, Anda dapat menggunakan alat Microsoft kebijakan standar seperti [Pusat Administrasi Direktori Aktif](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/active-directory-administrative-center). Untuk memulai dengan alat Microsoft kebijakan, lihat[Menginstal Alat Administrasi Direktori Aktif untuk Microsoft AD yang AWS Dikelola](ms_ad_install_ad_tools.md).
## Bagaimana kebijakan kata sandi diterapkan
Ada perbedaan dalam bagaimana kebijakan kata sandi berbutir halus diterapkan tergantung pada apakah kata sandi disetel ulang atau diubah. Pengguna domain dapat mengubah kata sandi mereka sendiri. Administrator Active Directory atau pengguna dengan izin yang diperlukan dapat [mengatur ulang kata sandi pengguna](ms_ad_manage_users_groups_reset_password.md). Lihat bagan berikut untuk informasi lebih lanjut.
****
| Kebijakan | Reset Kata Sandi | Perubahan Kata Sandi |
| --- | --- | --- |
| Memberlakukan riwayat kata sandi | ![\[No\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/icon-no.png)Tidak | ![\[Yes\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/icon-yes.png)Ya |
| Usia kata sandi maksimal | ![\[Yes\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/icon-yes.png)Ya | ![\[Yes\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/icon-yes.png)Ya |
| Usia kata sandi minimum | ![\[No\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/icon-no.png)Tidak | ![\[Yes\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/icon-yes.png)Ya |
| Panjang kata sandi minimum | ![\[Yes\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/icon-yes.png)Ya | ![\[Yes\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/icon-yes.png)Ya |
| Kata sandi harus memenuhi persyaratan kompleksitas | ![\[Yes\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/icon-yes.png)Ya | ![\[Yes\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/icon-yes.png)Ya |
Perbedaan-perbedaan ini memiliki implikasi keamanan. Misalnya, setiap kali kata sandi pengguna disetel ulang, riwayat penegakan kata sandi dan kebijakan usia kata sandi minimum tidak diberlakukan. Untuk informasi selengkapnya, lihat dokumentasi Microsoft tentang pertimbangan keamanan yang terkait dengan [menerapkan riwayat kata sandi dan kebijakan](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/enforce-password-history#security-considerations) [usia kata sandi minimum](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/minimum-password-age#security-considerations).
## Pengaturan kebijakan yang didukung
AWS Microsoft AD yang dikelola mencakup lima kebijakan berbutir halus dengan nilai prioritas yang tidak dapat diedit. Kebijakan memiliki sejumlah properti yang dapat Anda konfigurasikan untuk memberlakukan kekuatan kata sandi, dan tindakan penguncian akun jika terjadi peristiwa kegagalan login. Anda dapat menetapkan kebijakan ke nol atau lebih grup Direktori Aktif. Jika pengguna akhir adalah anggota dari beberapa grup dan menerima lebih dari satu kebijakan kata sandi, Direktori Aktif memberlakukan kebijakan dengan nilai prioritas terendah.
### AWS kebijakan kata sandi yang telah ditentukan sebelumnya
Tabel berikut mencantumkan lima kebijakan yang disertakan dalam direktori AD Microsoft AWS Terkelola dan nilai prioritas yang ditetapkan. Untuk informasi selengkapnya, lihat [Precedence](#precedence).
****
| Nama kebijakan | Precedence |
| --- | --- |
| PelangganPSO-01 | 10 |
| PelangganPSO-02 | 20 |
| PelangganPSO-03 | 30 |
| PelangganPSO-04 | 40 |
| PelangganPSO-05 | 50 |
#### Properti kebijakan kata sandi
Anda dapat mengedit properti berikut dalam kebijakan kata sandi agar sesuai dengan standar kepatuhan yang memenuhi kebutuhan bisnis Anda.
+ Nama kebijakan
+ [Menegakkan riwayat kata sandi](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/enforce-password-history)
+ [Panjang kata sandi minimum](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-length)
+ [Usia kata sandi minimum](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-age)
+ [Usia kata sandi maksimum](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-password-age)
+ [Simpan kata sandi menggunakan enkripsi yang dapat dibalik](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/store-passwords-using-reversible-encryption)
+ [Kata sandi harus memenuhi persyaratan kompleksitas](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
Anda tidak dapat mengubah nilai prioritas untuk kebijakan ini. *Untuk detail selengkapnya tentang bagaimana pengaturan ini memengaruhi penegakan kata sandi, lihat [AD DS: Kebijakan kata sandi berbutir halus di situs](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) web Microsoft. TechNet* Untuk informasi umum tentang kebijakan ini, lihat [Kebijakan kata sandi](https://technet.microsoft.com/en-us/library/hh994572(v=ws.11).aspx) di TechNet situs web *Microsoft*.
### Kebijakan penguncian akun
Anda juga dapat mengubah properti berikut dari kebijakan kata sandi Anda untuk menentukan apakah dan bagaimana Direktori Aktif harus mengunci akun setelah kegagalan login:
+ Jumlah upaya masuk yang gagal diizinkan
+ Durasi penguncian akun
+ Mengatur ulang upaya masuk yang gagal setelah beberapa durasi
Untuk informasi umum tentang kebijakan ini, lihat [Kebijakan penguncian akun](https://technet.microsoft.com/en-us/library/hh994563(v=ws.11).aspx) di TechNet situs web *Microsoft*.
### Precedence
Kebijakan dengan nilai prioritas yang lebih rendah memiliki prioritas yang lebih tinggi. Anda menetapkan kebijakan kata sandi untuk grup keamanan Direktori Aktif. Meskipun Anda harus menerapkan kebijakan tunggal untuk grup keamanan, satu pengguna tunggal mungkin menerima lebih dari satu kebijakan kata sandi. Sebagai contoh, misalkan `jsmith` adalah anggota dari grup HR dan juga anggota dari grup MANAJER. Jika Anda menetapkan **CustomerPSO-05** (yang memiliki prioritas 50) untuk grup HR, dan **CustomerPSO-04** (yang memiliki prioritas 40) untuk MANAJER, **CustomerPSO-04** memiliki prioritas yang lebih tinggi dan Direktori Aktif menerapkan kebijakan tersebut untuk `jsmith`.
Jika Anda menetapkan beberapa kebijakan untuk pengguna atau grup, Direktori Aktif menentukan kebijakan yang dihasilkan sebagai berikut:
1. Kebijakan yang Anda tetapkan langsung ke objek pengguna berlaku.
1. Jika tidak ada kebijakan yang diberikan langsung ke objek pengguna, kebijakan dengan nilai prioritas terendah dari semua kebijakan yang diterima oleh pengguna sebagai hasil dari keanggotaan grup berlaku.
*Untuk detail tambahan, lihat [AD DS: Kebijakan kata sandi berbutir halus](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) di situs web Microsoft. TechNet*
**Topics**
+ [Bagaimana kebijakan kata sandi diterapkan](#how_password_policies_applied)
+ [Pengaturan kebijakan yang didukung](#supportedpolicysettings)
+ [Menetapkan kebijakan kata sandi ke pengguna Microsoft AD yang AWS Dikelola](assignpasswordpolicies.md)
+ [Mendelegasikan siapa yang dapat mengelola kebijakan kata sandi Microsoft AD AWS Terkelola](delegatepasswordpolicies.md)
**Artikel blog AWS Keamanan Terkait**
+ [Cara mengonfigurasi kebijakan kata sandi yang lebih kuat untuk membantu memenuhi standar keamanan Anda dengan menggunakan Directory Service untuk Microsoft AD yang AWS Dikelola](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
# Menetapkan kebijakan kata sandi ke pengguna Microsoft AD yang AWS Dikelola
Akun pengguna yang merupakan anggota grup keamanan **Administrator Kebijakan Kata Sandi Terperinci yang Didelegasikan AWS ** dapat menggunakan prosedur berikut untuk menetapkan kebijakan untuk pengguna dan grup keamanan.
**Untuk menetapkan kebijakan kata sandi ke pengguna Anda**
1. Luncurkan [Pusat Administratif Direktori Aktif (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx) dari instans EC2 terkelola yang Anda gabungkan ke domain AWS Microsoft AD Terkelola.
1. Beralih ke **Tampilan pohon** dan arahkan ke **Kontainer pengaturan Sistem\$1Kata sandi**.
1. Klik dua kali pada kebijakan terperinci yang ingin Anda edit. Klik **Tambahkan** untuk mengedit properti kebijakan, dan menambahkan pengguna atau grup keamanan ke kebijakan tersebut. Untuk informasi selengkapnya tentang kebijakan terperinci default yang disediakan dengan Microsoft AD yang Dikelola AWS , lihat [AWS kebijakan kata sandi yang telah ditentukan sebelumnya](ms_ad_password_policies.md#supportedpwdpolicies).
1. Untuk memverifikasi kebijakan kata sandi telah diterapkan, jalankan PowerShell perintah berikut:
```
[Get-ADUserResultantPasswordPolicy](https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-aduserresultantpasswordpolicy?view=windowsserver2022-ps) -Identity 'username'
```
**catatan**
Hindari menggunakan `net user` perintah karena hasilnya bisa tidak akurat.
Jika Anda tidak mengonfigurasi salah satu dari lima kebijakan kata sandi di direktori Microsoft AD AWS Terkelola, Active Directory menggunakan kebijakan grup domain default. Untuk detail tambahan tentang penggunaan **Kontainer pengaturan kata sandi**, lihat [Postingan blog Microsoft](https://blogs.technet.microsoft.com/canitpro/2013/05/29/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad/).
# Mendelegasikan siapa yang dapat mengelola kebijakan kata sandi Microsoft AD AWS Terkelola
Anda dapat mendelegasikan izin untuk mengelola kebijakan kata sandi ke akun pengguna tertentu yang Anda buat di AWS Microsoft AD Terkelola dengan menambahkan akun ke grup keamanan Administrator **Kebijakan Kata Sandi Berbutir Halus yang AWS Delegasi**. Ketika sebuah akun menjadi anggota grup ini, akun tersebut memiliki izin untuk mengedit dan mengkonfigurasi salah satu kebijakan kata sandi yang tercantum [sebelumnya](ms_ad_password_policies.md#supportedpwdpolicies).
**Untuk mendelegasikan siapa yang dapat mengelola kebijakan kata sandi**
1. Luncurkan [Pusat Administratif Direktori Aktif (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx) dari instans EC2 terkelola yang Anda gabungkan ke domain AWS Microsoft AD Terkelola.
1. Beralih ke **Tampilan pohon** dan arahkan ke OU **AWS Grup yang didelegasikan**. Untuk informasi selengkapnya tentang OU ini, lihat [Apa yang dibuat dengan Microsoft AD yang AWS Dikelola](ms_ad_getting_started_what_gets_created.md).
1. Temukan pengguna grup **Administrator Kebijakan Kata Sandi Terperinci yang Didelegasikan AWS **. Menambahkan setiap pengguna atau grup dari domain Anda ke grup ini.
# Mengaktifkan otentikasi multi-faktor untuk Microsoft AD yang Dikelola AWS
Anda dapat mengaktifkan autentikasi multi-faktor (MFA) untuk direktori AWS Microsoft AD Terkelola untuk meningkatkan keamanan saat pengguna menentukan kredensi AD mereka untuk mengakses aplikasi Amazon Enterprise yang Didukung. Saat Anda mengaktifkan MFA, pengguna Anda memasukkan nama pengguna dan kata sandi mereka (faktor pertama) seperti biasa, dan mereka juga harus memasukkan kode autentikasi (faktor kedua) yang mereka dapatkan dari solusi MFA virtual atau perangkat keras Anda. Faktor-faktor ini bersama-sama memberikan keamanan tambahan dengan mencegah akses ke aplikasi Amazon Enterprise Anda, kecuali pengguna menyediakan kredensial pengguna yang valid dan kode MFA yang valid.
Untuk mengaktifkan MFA, Anda harus memiliki solusi MFA yang adalah server [Layanan autentikasi jarak jauh panggilan masuk pengguna](https://en.wikipedia.org/wiki/RADIUS) (RADIUS), atau Anda harus memiliki plugin MFA ke server RADIUS yang sudah diterapkan di infrastruktur on-premise Anda. Solusi MFA Anda harus menerapkan Kode Sandi Sekali Pakai (OTP) yang diperoleh pengguna dari perangkat keras atau dari perangkat lunak yang berjalan pada perangkat seperti ponsel.
RADIUS adalah client/server protokol standar industri yang menyediakan otentikasi, otorisasi, dan manajemen akuntansi untuk memungkinkan pengguna terhubung ke layanan jaringan. AWS Microsoft AD yang dikelola mencakup klien RADIUS yang terhubung ke server RADIUS tempat Anda menerapkan solusi MFA Anda. Server RADIUS Anda memvalidasi nama pengguna dan kode OTP. Jika server RADIUS Anda berhasil memvalidasi pengguna, Microsoft AD yang AWS dikelola kemudian mengautentikasi pengguna terhadap Active Directory. Setelah otentikasi Active Directory berhasil, pengguna kemudian dapat mengakses AWS aplikasi. Komunikasi antara klien Microsoft AD RADIUS AWS Terkelola dan server RADIUS Anda mengharuskan Anda mengonfigurasi grup AWS keamanan yang mengaktifkan komunikasi melalui port 1812.
Anda dapat mengaktifkan autentikasi multi-faktor untuk direktori AWS Microsoft AD Terkelola dengan melakukan prosedur berikut. Untuk informasi selengkapnya tentang cara mengkonfigurasi server RADIUS Anda untuk bekerja dengan Directory Service dan MFA, lihat [Prasyarat autentikasi multi-faktor](ms_ad_getting_started.md#prereq_mfa_ad).
## Pertimbangan-pertimbangan
Berikut ini adalah beberapa pertimbangan untuk otentikasi multi-faktor untuk AWS Microsoft AD Terkelola Anda:
+ Autentikasi multi-faktor tidak tersedia untuk Simple AD. Namun, MFA dapat diaktifkan untuk direktori AD Connector Anda. Untuk informasi selengkapnya, lihat [Mengaktifkan otentikasi multi-faktor untuk AD Connector](ad_connector_mfa.md).
+ MFA adalah fitur Regional dari AWS Microsoft AD yang Dikelola. Jika Anda menggunakan [replikasi Multi-Region](ms_ad_configure_multi_region_replication.md), Anda hanya dapat menggunakan MFA di Wilayah Utama Microsoft AD yang Dikelola AWS .
+ Jika Anda bermaksud menggunakan Microsoft AD yang AWS Dikelola untuk komunikasi eksternal, kami sarankan Anda mengonfigurasi Gateway Internet Gateway atau Internet Gateway Terjemahan Alamat Jaringan (NAT) di luar AWS jaringan untuk komunikasi ini.
+ Jika Anda ingin mendukung komunikasi eksternal antara Microsoft AD yang AWS Dikelola dan server RADIUS yang dihosting di AWS jaringan, silakan hubungi [Dukungan](https://console.aws.amazon.com/support/home#/).
+ Semua aplikasi TI Amazon Enterprise termasuk WorkSpaces, WorkDocs, Amazon WorkMail, Amazon Quick, dan akses ke AWS IAM Identity Center dan Konsol Manajemen AWS didukung saat menggunakan Konektor AD dan AD Microsoft AWS Terkelola dengan MFA. AWS Aplikasi ini menggunakan MFA tidak didukung di multi-wilayah.
Untuk informasi selengkapnya, lihat [Cara mengaktifkan autentikasi multi-faktor untuk AWS layanan menggunakan AWS Microsoft AD Terkelola dan kredenal lokal](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/).
+ Untuk informasi tentang cara mengonfigurasi akses pengguna dasar ke aplikasi Amazon Enterprise, AWS Single Sign-On dan Konsol Manajemen AWS penggunaan Directory Service, lihat [Akses ke AWS aplikasi dan layanan dari Microsoft AD yang AWS Dikelola](ms_ad_manage_apps_services.md) dan. [Mengaktifkan Konsol Manajemen AWS akses dengan kredensi Microsoft AD yang AWS Dikelola](ms_ad_management_console_access.md)
+ Lihat postingan Blog AWS Keamanan berikut ini untuk mempelajari cara mengaktifkan MFA untuk WorkSpaces pengguna Amazon di AWS Microsoft AD yang Dikelola, [Cara mengaktifkan autentikasi multi-faktor untuk AWS layanan menggunakan iklan AWS Microsoft Terkelola](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/) dan kredensional lokal
## Aktifkan otentikasi multi-faktor untuk AWS Microsoft AD yang Dikelola
Prosedur berikut menunjukkan cara mengaktifkan otentikasi multi-faktor untuk AWS Microsoft AD yang Dikelola.
1. Identifikasi alamat IP server MFA RADIUS Anda dan direktori AWS Microsoft AD Terkelola Anda.
1. Edit grup keamanan Virtual Private Cloud (VPC) Anda untuk mengaktifkan komunikasi melalui port 1812 antara titik akhir IP AWS Microsoft AD Terkelola dan server MFA RADIUS Anda.
1. Di panel navigasi [konsol AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), pilih **Direktori**.
1. Pilih tautan ID direktori untuk direktori Microsoft AD AWS Terkelola Anda.
1. Pada halaman **Detail direktori**, lakukan salah satu hal berikut:
+ Jika Anda memiliki beberapa Region yang ditampilkan di bawah **Replikasi Multi-Region**, pilih Region tempat Anda ingin mengaktifkan autentikasi multi-faktor (MFA), lalu pilih tab **Jaringan & keamanan**. Untuk informasi selengkapnya, lihat [Region utama vs tambahan](multi-region-global-primary-additional.md).
+ Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah **Replikasi Multi-Region**, pilih tab **Jaringan & keamanan**.
1. Di bagian **Autentikasi multi-faktor**, pilih **Tindakan**, lalu pilih **Aktifkan**.
1. Pada halaman **Aktifkan multi-factor authentication (MFA)**, berikan nilai berikut:
**Label tampilan**
Berikan nama label.
**Nama DNS server RADIUS atau alamat IP**
Alamat IP titik akhir server RADIUS, atau alamat IP penyeimbang beban server RADIUS. Anda dapat memasukkan beberapa alamat IP dengan memisahkannya dengan koma (misalnya, `192.0.0.0,192.0.0.12`).
RADIUS MFA hanya berlaku untuk mengautentikasi akses ke Konsol Manajemen AWS, atau ke aplikasi dan layanan Amazon Enterprise seperti, WorkSpaces Amazon Quick, atau Amazon Chime. Aplikasi dan layanan Amazon Enterprise hanya didukung di Wilayah Utama jika replikasi Multi-Wilayah dikonfigurasi untuk AWS Microsoft AD yang Dikelola. Itu tidak menyediakan beban kerja MFA ke Windows yang berjalan pada instans EC2, atau untuk masuk ke instans EC2. Directory Service tidak mendukung otentikasi RADIUS Challenge/Response.
Pengguna harus memiliki kode autentikasi multi-faktor (MFA) mereka pada saat mereka memasukkan nama pengguna dan kata sandi. Atau, Anda harus menggunakan solusi yang melakukan MFA out-of-band seperti pemberitahuan push atau authenticator one-time password (OTP) untuk pengguna. Dalam solusi out-of-band MFA, Anda harus memastikan bahwa Anda menetapkan nilai batas waktu RADIUS dengan tepat untuk solusi Anda. Saat menggunakan solusi out-of-band MFA, halaman masuk akan meminta pengguna untuk kode MFA. Dalam hal ini, pengguna harus memasukkan kata sandi mereka di bidang kata sandi dan bidang MFA.
**Port**
Port yang digunakan oleh server RADIUS Anda untuk komunikasi. Jaringan lokal Anda harus mengizinkan lalu lintas masuk melalui port server RADIUS default (UDP:1812) dari server. Directory Service
**Kode rahasia bersama**
Kode rahasia bersama yang ditentukan ketika titik akhir RADIUS Anda dibuat.
**Konfirmasikan kode rahasia bersama**
Konfirmasi kode rahasia bersama untuk titik akhir RADIUS Anda.
**Protokol**
Pilih protokol yang ditentukan saat titik akhir RADIUS Anda dibuat.
**Batas waktu server (dalam hitungan detik)**
Jumlah waktu, dalam detik, untuk menunggu server RADIUS menanggapi. Ini harus berupa nilai antara 1 dan 50.
Sebaiknya konfigurasi batas waktu server RADIUS Anda menjadi 20 detik atau kurang. Jika batas waktu melebihi 20 detik, sistem tidak dapat mencoba lagi dengan server RADIUS lain dan dapat mengakibatkan kegagalan batas waktu.
**Permintaan Max RADIUS mencoba ulang**
Berapa kali komunikasi dengan server RADIUS dicoba. Ini harus berupa nilai antara 0 dan 10.
Autentikasi multi-faktor tersedia ketika **Status RADIUS** berubah ke **Diaktifkan**.
1. Pilih **Aktifkan**.
# Aktifkan LDAP Aman atau LDAPS
Lightweight Directory Access Protocol (LDAP) adalah protokol komunikasi standar yang digunakan untuk membaca dan menulis data ke dan dari Direktori Aktif. Beberapa aplikasi menggunakan LDAP untuk menambah, menghapus, atau mencari pengguna dan grup di Direktori Aktif atau untuk mengangkut kredensial untuk autentikasi pengguna di Direktori Aktif. Setiap komunikasi LDAP termasuk klien (seperti aplikasi) dan server (seperti Direktori Aktif).
Secara default, komunikasi melalui LDAP tidak dienkripsi. Hal ini memungkinkan bagi pengguna berbahaya untuk menggunakan perangkat lunak pemantauan jaringan untuk melihat paket data melalui kabel. Inilah sebabnya mengapa banyak kebijakan keamanan perusahaan biasanya mengharuskan organisasi mengenkripsi semua komunikasi LDAP.
Untuk mengurangi bentuk paparan data ini, AWS Microsoft AD yang dikelola menyediakan opsi: Anda dapat mengaktifkan LDAP melalui Secure Sockets Layer (SSL) /Transport Layer Security (TLS), juga dikenal sebagai LDAPS. Dengan LDAPS, Anda dapat meningkatkan keamanan di seluruh kabel. Anda juga dapat memenuhi persyaratan kepatuhan dengan mengenkripsi semua komunikasi antara aplikasi berkemampuan LDAP dan Microsoft AD yang Dikelola. AWS
AWS Microsoft AD yang dikelola menyediakan dukungan untuk LDAPS dalam skenario penerapan berikut:
+ **LDAPS sisi Server** mengenkripsi komunikasi LDAP antara aplikasi sadar LDAP komersial atau buatan sendiri Anda (bertindak sebagai klien LDAP) dan Microsoft AD yang Dikelola AWS (bertindak sebagai server LDAP). Untuk informasi selengkapnya, lihat [Mengaktifkan LDAPS sisi server menggunakan Microsoft AD yang Dikelola AWS](ms_ad_ldap_server_side.md).
+ **LDAPS sisi klien mengenkripsi komunikasi LDAP** antara AWS aplikasi seperti WorkSpaces (bertindak sebagai klien LDAP) dan Direktori Aktif yang dikelola sendiri (lokal) Anda (bertindak sebagai server LDAP). Untuk informasi selengkapnya, lihat [Mengaktifkan LDAPS sisi klien menggunakan Microsoft AD yang Dikelola AWS](ms_ad_ldap_client_side.md).
Untuk informasi selengkapnya tentang praktik terbaik terkait mengamankan implementasi Microsoft Active DirectoryCertificate Services, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/defender-for-identity/security-assessment-prevent-users-request-certificate).
**Topics**
+ [Mengaktifkan LDAPS sisi server menggunakan Microsoft AD yang Dikelola AWS](ms_ad_ldap_server_side.md)
+ [Mengaktifkan LDAPS sisi klien menggunakan Microsoft AD yang Dikelola AWS](ms_ad_ldap_client_side.md)
# Mengaktifkan LDAPS sisi server menggunakan Microsoft AD yang Dikelola AWS
Lightweight Directory Access Protocol Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS)Dukungan sisi server mengenkripsi LDAP komunikasi antara aplikasi LDAP sadar komersial atau lokal Anda dan direktori Microsoft AD Terkelola Anda. AWS Ini membantu meningkatkan keamanan di seluruh kabel dan memenuhi persyaratan kepatuhan menggunakan protokol Secure Sockets Layer (SSL) kriptografi.
## Aktifkan LDAPS sisi server menggunakan AWS Private Certificate Authority
Untuk petunjuk terperinci tentang cara mengatur dan mengonfigurasi LDAPS sisi server dan server otoritas sertifikat (CA) yang Anda gunakan, lihat. AWS Private CA[Mengatur AWS Private CA Konektor untuk AD untuk Microsoft AD yang AWS Dikelola](ms_ad_pca_connector.md)
## Aktifkan LDAPS sisi server menggunakan CA Microsoft
Untuk petunjuk terperinci tentang cara mengatur dan mengonfigurasi LDAPS sisi server dan server otoritas sertifikat (CA) Anda, lihat [Cara Mengaktifkan LDAPS Sisi Server untuk Direktori Microsoft AD Terkelola Anda AWS di Blog Keamanan](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/). AWS
Anda harus melakukan sebagian besar pengaturan dari instans Amazon EC2 yang Anda gunakan untuk mengelola pengendali domain Microsoft AD yang Dikelola AWS Anda. Langkah-langkah berikut memandu Anda untuk mengaktifkan LDAPS untuk domain Anda di. AWS Cloud
Jika Anda ingin menggunakan otomatisasi untuk mengatur PKI Infrastruktur Anda, Anda dapat menggunakan [Infrastruktur Kunci Microsoft Publik pada AWS QuickStart Panduan](https://aws.amazon.com/quickstart/architecture/microsoft-pki/). Secara khusus Anda akan ingin mengikuti petunjuk dalam panduan untuk memuat template untuk [Deploy MicrosoftPKI ke dalam yang sudah ada VPC](https://aws-quickstart.github.io/quickstart-microsoft-pki/#_deployment_steps). AWS Setelah Anda memuat templat, pastikan untuk memilih **`AWSManaged`** saat Anda sampai ke opsi **Jenis Layanan Domain Direktori Aktif**. Jika Anda menggunakan QuickStart panduan ini, Anda dapat melompat langsung ke[Langkah 3: Membuat templat sertifikat](#createcustomcert).
**Topics**
+ [Langkah 1: Delegasikan yang dapat mengaktifkan LDAPS](#grantpermsldaps)
+ [Langkah 2: Mengatur otoritas sertifikat Anda](#setupca)
+ [Langkah 3: Membuat templat sertifikat](#createcustomcert)
+ [Langkah 4: Menambahkan aturan grup keamanan](#addgrouprules)
### Langkah 1: Delegasikan yang dapat mengaktifkan LDAPS
Untuk mengaktifkan LDAPS sisi server, Anda harus menjadi anggota grup Admin atau Administrator Otoritas Sertifikat Perusahaan yang AWS Delegasi di direktori Microsoft AD yang Dikelola. AWS Atau, Anda dapat menjadi pengguna administratif default (akun Admin). Jika mau, Anda dapat memiliki pengguna selain LDAPS pengaturan akun Admin. Jika demikian, tambahkan pengguna tersebut ke grup Admin atau Administrator Otoritas Sertifikat Perusahaan AWS yang Delegasi di direktori AD AWS Microsoft Terkelola Anda.
### Langkah 2: Mengatur otoritas sertifikat Anda
Sebelum Anda dapat mengaktifkan LDAPS sisi server, Anda harus membuat sertifikat. Sertifikat ini harus dikeluarkan oleh Microsoft Enterprise CA server yang bergabung dengan domain Microsoft AD AWS Terkelola Anda. Setelah dibuat, sertifikat harus diinstal pada masing-masing pengendali domain Anda di domain tersebut. Sertifikat ini memungkinkan LDAP layanan pada pengontrol domain mendengarkan dan secara otomatis menerima SSL koneksi dari LDAP klien.
**catatan**
LDAPS sisi server dengan Microsoft AD yang AWS Dikelola tidak mendukung sertifikat yang dikeluarkan oleh CA mandiri. Itu juga tidak mendukung sertifikat yang dikeluarkan oleh otoritas sertifikasi pihak ketiga.
Tergantung pada kebutuhan bisnis Anda, Anda memiliki pilihan berikut untuk mengatur atau menghubungkan ke CA di domain Anda:
+ **Buat bawahan Microsoft Enterprise CA** — (Disarankan) Dengan opsi ini, Anda dapat menggunakan Microsoft Enterprise CA server bawahan di Cloud. AWS Server dapat menggunakan Amazon EC2 sehingga berfungsi dengan root Microsoft CA yang ada. Untuk informasi selengkapnya tentang cara menyiapkan bawahan MicrosoftEnterprise CA, lihat **Langkah 4: Menambahkan Microsoft Enterprise CA ke AWS Microsoft AD direktori Anda** di [Cara Mengaktifkan LDAPS Sisi Server untuk Direktori Microsoft AD yang Dikelola](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/). AWS
+ **Buat root Microsoft Enterprise CA** — Dengan opsi ini, Anda dapat membuat root Microsoft Enterprise CA di AWS Cloud menggunakan Amazon EC2 dan menggabungkannya ke domain AWS Microsoft AD yang Dikelola. Root CA ini dapat mengeluarkan sertifikat untuk pengendali domain Anda. Untuk informasi selengkapnya tentang menyiapkan CA root baru, lihat **Langkah 3: Menginstal dan mengonfigurasi CA offline** di [Cara Mengaktifkan LDAPS Sisi Server untuk Direktori Microsoft AD yang Dikelola AWS Anda](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/).
Untuk informasi selengkapnya tentang cara menggabungkan instans EC2 Anda ke domain, lihat [Cara untuk bergabung dengan instans Amazon EC2 ke AWS Microsoft AD yang Dikelola](ms_ad_join_instance.md).
### Langkah 3: Membuat templat sertifikat
Setelah Anda Enterprise CA telah diatur, Anda dapat mengkonfigurasi template sertifikat Kerberos otentikasi.
**Membuat templat sertifikat**
1. Luncurkan **Pengelola Server Microsoft Windows** Pilih **Alat > Otoritas Sertifikasi**.
1. Di jendela **Otoritas Sertifikat**, perluas pohon **Otoritas Sertifikat** di panel kiri. Klik kanan **Templat Sertifikat**, dan pilih **Kelola**.
1. Di jendela **Konsol Templat Sertifikat**, klik kanan **Autentikasi Kerberos** dan pilih **Templat Duplikasi**.
1. Jendela **Properti Templat Baru** akan muncul.
1. Di jendela **Properti Templat Baru**, pergi ke tab **Kompatibilitas**, dan kemudian lakukan hal berikut:
1. Ubah **Otoritas Sertifikasi** ke OS yang cocok dengan CA Anda.
1. Jika jendela **Perubahan yang dihasilkan** muncul, pilih **OK**.
1. Ubah **penerima Sertifikasi** ke **Windows 10/Windows Server 2016**.
**catatan**
AWS Microsoft AD yang dikelola didukung olehWindows Server 2019.
1. Jika jendela **Perubahan yang dihasilkan** muncul, pilih **OK**.
1. Klik tab **Umum** dan ubah **nama tampilan Template** menjadi **LDAPOverSSL** atau nama lain yang Anda inginkan.
1. Klik tab **Keamanan**, dan pilih **Pengontrol domain** di bagian **Nama grup atau pengguna**. Di bagian **Izin untuk Pengendali Domain**, verifikasi bahwa kotak centang **Izinkan** untuk **Baca**, **Mendaftar**, dan**Autoenroll** dicentang.
1. Pilih **OK** untuk membuat template sertifikat **LDAPOverSSL** (atau nama yang Anda tentukan di atas). Tutup jendela **Konsol Templat Sertifikat**.
1. Di jendela **Otoritas Sertifikat**, klik kanan **Templat Sertifikat**, dan pilih **Baru > Templat Sertifikat untuk Diterbitkan**.
1. Di jendela **Aktifkan Templat Sertifikat**, pilih **LDAPOverSSL** (atau nama yang Anda tentukan di atas), lalu pilih **OK**.
### Langkah 4: Menambahkan aturan grup keamanan
Pada langkah terakhir, Anda harus membuka konsol Amazon EC2 dan menambahkan aturan grup keamanan. Aturan ini memungkinkan pengontrol domain Anda terhubung ke Anda Enterprise CA untuk meminta sertifikat. Untuk melakukan ini, Anda menambahkan aturan masuk sehingga Anda Enterprise CA dapat menerima lalu lintas masuk dari pengontrol domain Anda. Kemudian Anda menambahkan aturan keluar untuk mengizinkan lalu lintas dari pengontrol domain Anda ke. Enterprise CA
Setelah kedua aturan telah dikonfigurasi, pengontrol domain Anda meminta sertifikat dari Anda Enterprise CA secara otomatis dan mengaktifkan LDAPS untuk direktori Anda. LDAPLayanan pada pengontrol domain Anda sekarang siap menerima koneksi LDAPS.
**Mengonfigurasi aturan grup keamanan**
1. Arahkan ke konsol Amazon EC2 Anda di [https://console.aws.amazon.com/ec2](https://console.aws.amazon.com/ec2) dan masuk dengan kredensyal administrator.
1. Di panel kiri, pilih **Kelompok Keamanan** di bawah **Jaringan & Keamanan**.
1. Di panel utama, pilih grup AWS keamanan untuk CA Anda.
1. Pilih tab **Masuk**, lalu pilih **Edit** .
1. Di kotak dialog **Edit aturan masuk**, lakukan hal berikut:
+ Pilih **Tambahkan aturan**.
+ Pilih **Semua Lalu lintas** untuk **Jenis** dan **Khusus**untuk **Sumber**.
+ Masukkan grup AWS keamanan (misalnya,`sg-123456789`) untuk direktori Anda di kotak di sebelah **Sumber**.
+ Pilih **Simpan**.
1. Sekarang pilih grup AWS keamanan direktori Microsoft AD AWS Terkelola Anda. Pilih tab **Keluar**, lalu pilih **Edit**.
1. Di kotak dialog **Edit aturan keluar**, lakukan hal berikut:
+ Pilih **Tambahkan aturan**.
+ Pilih **Semua Lalu lintas** untuk **Jenis** dan **Khusus**untuk **Tujuan**.
+ Masukkan grup AWS keamanan untuk CA Anda di kotak di sebelah **Tujuan**.
+ Pilih **Simpan**.
Anda dapat menguji koneksi LDAPS ke direktori AWS Microsoft AD yang Dikelola menggunakan alat ini. LDP LDPAlat ini dilengkapi denganActive Directory Administrative Tools. Untuk informasi selengkapnya, lihat [Menginstal Alat Administrasi Direktori Aktif untuk Microsoft AD yang AWS Dikelola](ms_ad_install_ad_tools.md).
**catatan**
Sebelum Anda menguji koneksi LDAPS, Anda harus menunggu hingga 30 menit untuk CA bawahan mengeluarkan sertifikat untuk pengendali domain Anda.
Untuk detail tambahan tentang LDAPS sisi server dan untuk melihat contoh kasus penggunaan tentang cara mengaturnya, lihat [Cara Mengaktifkan LDAPS Sisi Server untuk Direktori Microsoft AD Terkelola Anda AWS di Blog Keamanan](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/). AWS
# Mengaktifkan LDAPS sisi klien menggunakan Microsoft AD yang Dikelola AWS
Dukungan Lightweight Directory Access Protocol Secure Sockets Layer (SSL) /Transport Layer Security (TLS) (LDAPS) di Microsoft AD AWS Terkelola mengenkripsi komunikasi antara Microsoft Active Directory (AD) yang dikelola sendiri (lokal) dan aplikasi. AWS Contoh aplikasi tersebut termasuk WorkSpaces,, Quick AWS IAM Identity Center, dan Amazon Chime. Enkripsi ini membantu Anda melindungi data identitas organisasi dengan lebih baik dan memenuhi persyaratan keamanan Anda.
## Prasyarat
Sebelum Anda mengaktifkan LDAPS sisi klien, Anda harus memenuhi persyaratan berikut.
**Topics**
+ [Buat hubungan kepercayaan antara Microsoft AD yang AWS Dikelola dan Direktori Microsoft Aktif yang dikelola sendiri](#trust_relationship_MAD_and_self_managed)
+ [Men-deploy sertifikat server di Direktori Aktif](#ldap_client_side_deploy_server_certs)
+ [Persyaratan sertifikat Otoritas Sertifikat](#ldap_client_side_get_certs_ready)
+ [Persyaratan jaringan](#ldap_client_side_considerations_enabling)
### Buat hubungan kepercayaan antara Microsoft AD yang AWS Dikelola dan Direktori Microsoft Aktif yang dikelola sendiri
Pertama, Anda perlu membangun hubungan kepercayaan antara Microsoft AD yang AWS Dikelola dan Direktori Microsoft Aktif yang dikelola sendiri untuk mengaktifkan LDAPS sisi klien. Untuk informasi selengkapnya, lihat [Membuat hubungan kepercayaan antara Microsoft AD yang AWS Dikelola dan AD yang dikelola sendiri](ms_ad_setup_trust.md).
### Men-deploy sertifikat server di Direktori Aktif
Untuk mengaktifkan LDAPS sisi klien, Anda perlu untuk mendapatkan dan menginstal sertifikat server untuk setiap pengendali domain di Direktori Aktif. Sertifikat ini akan digunakan oleh layanan LDAP untuk mendengarkan dan secara otomatis menerima koneksi SSL dari klien LDAP. Anda dapat menggunakan sertifikat SSL yang dikeluarkan oleh deployment Active Directory Certificate Services (ADCS) atau dibeli dari penerbit komersial. Untuk informasi lebih lanjut tentang persyaratan sertifikat server Direktori Aktif, lihat [LDAP melalui Sertifikat SSL (LDAPS)](https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx) di situs web Microsoft.
### Persyaratan sertifikat Otoritas Sertifikat
Sertifikat otoritas sertifikat (CA), yang mewakili penerbit sertifikat server Anda, diperlukan untuk operasi LDAPS sisi klien. Sertifikat CA cocok dengan sertifikat server yang disajikan oleh pengendali domain Direktori Aktif Anda untuk mengenkripsi komunikasi LDAP. Perhatikan persyaratan sertifikat CA berikut:
+ Otoritas Sertifikasi Perusahaan (CA) diperlukan untuk mengaktifkan LDAPS sisi klien. Anda dapat menggunakan Layanan Sertifikat Direktori Aktif, otoritas sertifikat komersial pihak ketiga, atau [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html). Untuk informasi selengkapnya tentang Otoritas Sertifikat Microsoft Perusahaan, lihat [Microsoftdokumentasi](https://learn.microsoft.com/en-us/previous-versions/tn-archive/cc875810(v=technet.10)?redirectedfrom=MSDN).
+ Untuk mendaftarkan sertifikat, harus lebih dari 90 hari dari kedaluwarsa.
+ Sertifikat harus dalam format Privacy Enhanced Mail (PEM). Jika mengekspor sertifikat CA dari dalam Direktori Aktif, pilih base64 encoded X.509 (.CER) sebagai format file ekspor.
+ Maksimal lima (5) sertifikat CA dapat disimpan per direktori Microsoft AD yang AWS Dikelola.
+ Sertifikat yang menggunakan algoritma tanda tangan RSASSA-PSS tidak didukung.
+ Sertifikat CA yang berantai untuk setiap sertifikat server di setiap domain terpercaya harus terdaftar.
### Persyaratan jaringan
AWS lalu lintas aplikasi LDAP akan berjalan secara eksklusif pada port TCP 636, tanpa fallback ke port LDAP 389. Namun, komunikasi Windows LDAP yang mendukung replikasi, kepercayaan, dan banyak lagi akan terus menggunakan LDAP port 389 dengan keamanan native Windows. Konfigurasikan grup AWS keamanan dan firewall jaringan untuk mengizinkan komunikasi TCP pada port 636 di AWS Microsoft AD Terkelola (keluar) dan Direktori Aktif yang dikelola sendiri (masuk). Biarkan port 389 LDAP terbuka antara Microsoft AD yang Dikelola AWS dan Direktori Aktif yang dikelola sendiri.
## Aktifkan LDAPS sisi klien
Untuk mengaktifkan LDAPS sisi klien, Anda mengimpor sertifikat otoritas (CA) sertifikat ke Microsoft AD yang Dikelola AWS , dan kemudian mengaktifkan LDAPS pada direktori Anda. Setelah mengaktifkan, semua lalu lintas LDAP antara aplikasi AWS dan Direktori Aktif Anda akan mengalir dengan enkripsi saluran Lapisan Socket Aman (SSL).
Anda dapat menggunakan dua metode yang berbeda untuk mengaktifkan LDAPS sisi klien untuk direktori Anda. Anda dapat menggunakan Konsol Manajemen AWS metode atau AWS CLI metode.
**catatan**
LDAPS Sisi Klien adalah fitur Regional dari Microsoft AD yang Dikelola AWS . Jika Anda menggunakan [replikasi Multi-Region](ms_ad_configure_multi_region_replication.md), prosedur berikut harus diterapkan secara terpisah di setiap Wilayah. Untuk informasi selengkapnya, lihat [Fitur Global vs Regional](multi-region-global-region-features.md).
**Topics**
+ [Langkah 1: Daftarkan sertifikat di Directory Service](#ms_ad_registercert)
+ [Langkah 2: Periksa status pendaftaran](#ms_ad_check-registration-status)
+ [Langkah 3: Aktifkan LDAPS sisi klien](#ms_ad_enableclientsideldapssteps)
+ [Langkah 4: Periksa status LDAPS](#ms_ad_check-ldaps-status)
### Langkah 1: Daftarkan sertifikat di Directory Service
Gunakan salah satu metode berikut untuk mendaftarkan sertifikat Directory Service.
**Metode 1: Untuk mendaftarkan sertifikat Anda di Directory Service (Konsol Manajemen AWS)**
1. Di panel navigasi [konsol AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), pilih **Direktori**.
1. Pilih tautan ID direktori untuk direktori Anda.
1. Pada halaman **Detail direktori**, lakukan salah satu hal berikut:
+ Jika Anda memiliki beberapa Region yang ditampilkan di bawah **Replikasi Multi-Region**, pilih Region tempat Anda ingin mendaftarkan sertifikat Anda, lalu pilih tab **Jaringan & keamanan**. Untuk informasi selengkapnya, lihat [Region utama vs tambahan](multi-region-global-primary-additional.md).
+ Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah **Replikasi Multi-Region**, pilih tab **Jaringan & keamanan**.
1. Di bagian **LDAPS sisi klien**, pilih menu **Tindakan**, lalu pilih **Mendaftarkan sertifikat**.
1. Di kotak dialog **Daftarkan sertifikat CA**, pilih **Telusuri**, lalu pilih sertifikat dan pilih **Buka**.
1. Pilih **Daftarkan sertifikat**.
**Metode 2: Untuk mendaftarkan sertifikat Anda di Directory Service (AWS CLI)**
+ Jalankan perintah berikut. Untuk data sertifikat, arahkan ke lokasi file sertifikat CA Anda. ID sertifikat akan diberikan dalam tanggapan.
```
aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
```
### Langkah 2: Periksa status pendaftaran
Untuk melihat status pendaftaran sertifikat atau daftar sertifikat terdaftar, gunakan salah satu metode berikut:
**Metode 1: Untuk memeriksa status pendaftaran sertifikat di Directory Service (Konsol Manajemen AWS)**
1. Buka bagian **LDAPS sisi klien** pada halaman **Detail direktori**.
1. Meninjau status pendaftaran sertifikat saat ini yang ditampilkan di bawah kolom **Status pendaftaran**. Ketika nilai status pendaftaran berubah menjadi **Registered**, sertifikat Anda telah berhasil didaftarkan.
**Metode 2: Untuk memeriksa status pendaftaran sertifikat di Directory Service (AWS CLI)**
+ Jalankan perintah berikut. Jika nilai status mengembalikan `Registered`, sertifikat Anda telah berhasil didaftarkan.
```
aws ds list-certificates --directory-id your_directory_id
```
### Langkah 3: Aktifkan LDAPS sisi klien
Gunakan salah satu metode berikut untuk mengaktifkan LDAPS sisi klien. Directory Service
**catatan**
Anda harus berhasil mendaftarkan setidaknya satu sertifikat sebelum Anda dapat mengaktifkan LDAPS sisi klien.
**Metode 1: Untuk mengaktifkan LDAPS sisi klien di () Directory Service Konsol Manajemen AWS**
1. Buka bagian **LDAPS sisi klien** pada halaman **Detail direktori**.
1. Pilih **Aktifkan**. Jika opsi ini tidak tersedia, verifikasi bahwa sertifikat yang valid telah berhasil terdaftar, dan kemudian coba lagi.
1. Di kotak dialog **Aktifkan LDAPS sisi klien**, pilih **Aktifkan**.
**Metode 2: Untuk mengaktifkan LDAPS sisi klien di () Directory Service AWS CLI**
+ Jalankan perintah berikut.
```
aws ds enable-ldaps --directory-id your_directory_id --type Client
```
### Langkah 4: Periksa status LDAPS
Gunakan salah satu metode berikut untuk memeriksa status LDAPS di. Directory Service
**Metode 1: Untuk memeriksa status LDAPS di Directory Service ()Konsol Manajemen AWS**
1. Buka bagian **LDAPS sisi klien** pada halaman **Detail direktori**.
1. Jika nilai status ditampilkan sebagai **Diaktifkan**, LDAPS telah berhasil dikonfigurasi.
**Metode 2: Untuk memeriksa status LDAPS di Directory Service ()AWS CLI**
+ Jalankan perintah berikut. Jika nilai status mengembalikan `Enabled`, LDAPS telah berhasil dikonfigurasi.
```
aws ds describe-ldaps-settings –-directory-id your_directory_id
```
## Mengelola LDAPS sisi klien
Gunakan perintah ini untuk mengelola konfigurasi LDAPS Anda.
Anda dapat menggunakan dua metode yang berbeda untuk mengelola pengaturan LDAPS sisi klien. Anda dapat menggunakan Konsol Manajemen AWS metode atau AWS CLI metode.
### Melihat detail sertifikat
Gunakan salah satu metode berikut untuk melihat ketika sertifikat diatur untuk kedaluwarsa.
**Metode 1: Untuk melihat detail sertifikat di Directory Service (Konsol Manajemen AWS)**
1. Di panel navigasi [konsol AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), pilih **Direktori**.
1. Pilih tautan ID direktori untuk direktori Anda.
1. Pada halaman **Detail direktori**, lakukan salah satu hal berikut:
+ Jika Anda memiliki beberapa Region yang ditampilkan di bawah **Replikasi Multi-Region**, pilih Region di mana Anda ingin melihat sertifikat, lalu pilih tab **Jaringan & keamanan**. Untuk informasi selengkapnya, lihat [Region utama vs tambahan](multi-region-global-primary-additional.md).
+ Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah **Replikasi Multi-Region**, pilih tab **Jaringan & keamanan**.
1. Di bagian **LDAPS sisi klien**, di bawah **Sertifikat CA**, informasi tentang sertifikat akan ditampilkan.
**Metode 2: Untuk melihat detail sertifikat di Directory Service (AWS CLI)**
+ Jalankan perintah berikut. Untuk ID sertifikat, gunakan pengidentifikasi yang dikembalikan oleh `register-certificate` atau `list-certificates`.
```
aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
### Membatalkan pendaftaran sertifikat
Gunakan salah satu metode berikut untuk membatalkan pendaftaran sertifikat.
**catatan**
Jika hanya satu sertifikat yang terdaftar, Anda harus terlebih dahulu menonaktifkan LDAPS sebelum Anda dapat membatalkan pendaftaran sertifikat.
**Metode 1: Untuk membatalkan pendaftaran sertifikat di () Directory Service Konsol Manajemen AWS**
1. Di panel navigasi [konsol AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), pilih **Direktori**.
1. Pilih tautan ID direktori untuk direktori Anda.
1. Pada halaman **Detail direktori**, lakukan salah satu hal berikut:
+ Jika Anda memiliki beberapa Region yang ditampilkan di bawah **Replikasi Multi-Region**, pilih Region tempat Anda ingin membatalkan pedaftaran sertifikat Anda, lalu pilih tab **Jaringan & keamanan**. Untuk informasi selengkapnya, lihat [Region utama vs tambahan](multi-region-global-primary-additional.md).
+ Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah **Replikasi Multi-Region**, pilih tab **Jaringan & keamanan**.
1. Di bagian **LDAPS sisi klien**, pilih **Tindakan**, lalu pilih **Membatalkan pendaftaran sertifikat**.
1. Di kotak dialog **Membatalkan pendaftaran sertifikat CA**, pilih **Batalkan pendaftaran**.
**Metode 2: Untuk membatalkan pendaftaran sertifikat di () Directory Service AWS CLI**
+ Jalankan perintah berikut. Untuk ID sertifikat, gunakan pengidentifikasi yang dikembalikan oleh `register-certificate` atau `list-certificates`.
```
aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
### Menonaktifkan LDAPS sisi klien
Gunakan salah satu metode berikut untuk menonaktifkan LDAPS sisi klien.
**Metode 1: Untuk menonaktifkan LDAPS sisi klien di () Directory Service Konsol Manajemen AWS**
1. Di panel navigasi [konsol AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), pilih **Direktori**.
1. Pilih tautan ID direktori untuk direktori Anda.
1. Pada halaman **Detail direktori**, lakukan salah satu hal berikut:
+ Jika Anda memiliki beberapa Region yang ditampilkan di bawah **Replikasi Multi-Region**, pilih Region tempat Anda ingin menonaktifkan LDAPS sisi klien, lalu pilih tab **Jaringan & keamanan**. Untuk informasi selengkapnya, lihat [Region utama vs tambahan](multi-region-global-primary-additional.md).
+ Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah **Replikasi Multi-Region**, pilih tab **Jaringan & keamanan**.
1. Di bagian **LDAPS sisi klien**, pilih **Nonaktifkan**.
1. Di kotak dialog **Nonaktifkan LDAPS sisi klien**, pilih **Nonaktifkan**.
**Metode 2: Untuk menonaktifkan LDAPS sisi klien di () Directory Service AWS CLI**
+ Jalankan perintah berikut.
```
aws ds disable-ldaps --directory-id your_directory_id --type Client
```
## Masalah pendaftaran sertifikat
Proses untuk mendaftarkan pengontrol domain Microsoft AD AWS Terkelola dengan sertifikat CA dapat memakan waktu hingga 30 menit. Jika Anda mengalami masalah dengan pendaftaran sertifikat dan ingin memulai ulang pengontrol domain AWS Microsoft AD Terkelola, Anda dapat menghubungi. Dukungan Untuk membuat kasus dukungan, lihat [Membuat kasus dukungan dan manajemen kasus](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html).
# Mengelola kepatuhan untuk Microsoft AD yang AWS Dikelola
Anda dapat menggunakan Microsoft AD AWS Terkelola untuk mendukung aplikasi sadar Direktori Aktif Anda, di AWS Cloud, yang tunduk pada persyaratan kepatuhan berikut. Namun, aplikasi Anda tidak akan mematuhi persyaratan kepatuhan jika Anda menggunakan Simple AD.
## Standar kepatuhan yang didukung
AWS Microsoft AD yang dikelola telah menjalani audit untuk standar berikut dan memenuhi syarat untuk digunakan sebagai bagian dari solusi yang Anda perlukan untuk mendapatkan sertifikasi kepatuhan.
****
| | |
| --- |--- |
| ![\[FedRamp Logo\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/FedRAMP.png) | AWS Microsoft AD yang dikelola memenuhi persyaratan keamanan Program Manajemen Risiko dan Otorisasi Federal (FedRAMP) dan telah menerima Otoritas Sementara FedRAMP Joint Authorization Board (JAB) untuk Beroperasi (P-ATO) di FedRAMP Moderate and High Baseline. Untuk informasi selengkapnya tentang FedRAMP, lihat [Kepatuhan FedRAMP](https://aws.amazon.com/compliance/fedramp/). |
| ![\[PCI Logo\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/PCI.png) | AWS Microsoft AD yang dikelola memiliki Pengesahan Kepatuhan untuk Standar Keamanan Data (DSS) Industri Kartu Pembayaran (PCI) versi 3.2 di Penyedia Layanan Level 1. Pelanggan yang menggunakan AWS produk dan layanan untuk menyimpan, memproses, atau mengirimkan data pemegang kartu dapat menggunakan Microsoft AD yang AWS Dikelola saat mengelola sertifikasi kepatuhan PCI DSS mereka sendiri. Untuk informasi selengkapnya tentang PCI DSS, termasuk cara meminta salinan PCI AWS Compliance Package, lihat [PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/) DSS level 1. Yang penting, Anda harus mengonfigurasi kebijakan kata sandi berbutir halus di AWS Microsoft AD yang Dikelola agar konsisten dengan standar PCI DSS versi 3.2. Untuk detail tentang kebijakan mana yang harus diberlakukan, lihat bagian di bawah ini berjudul Aktifkan Kepatuhan PCI untuk Direktori AWS Microsoft AD yang Dikelola Anda. |
| ![\[HIPPA Logo\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/HIPAA.jpg) | AWS [telah memperluas program kepatuhan Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) untuk memasukkan AWS Microsoft AD yang Dikelola sebagai layanan yang memenuhi syarat HIPAA.](https://aws.amazon.com/compliance/hipaa-eligible-services-reference/) Jika Anda memiliki Perjanjian Rekanan Bisnis (BAA) yang dieksekusi AWS, Anda dapat menggunakan Microsoft AD AWS Terkelola untuk membantu membangun aplikasi yang sesuai dengan HIPAA. AWS menawarkan [whitepaper yang berfokus pada HIPAA](https://docs.aws.amazon.com/pdfs/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.pdf) untuk pelanggan yang tertarik untuk mempelajari lebih lanjut tentang bagaimana mereka dapat memanfaatkan pemrosesan dan AWS penyimpanan informasi kesehatan. Untuk informasi selengkapnya, lihat [Kepatuhan HIPAA.](https://aws.amazon.com/compliance/hipaa-compliance/) |
## Tanggung Jawab Bersama
Keamanan, termasuk kepatuhan FedRAMP, HIPAA, dan PCI, adalah [tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/). Penting untuk dipahami bahwa status kepatuhan Microsoft AD yang AWS dikelola tidak berlaku secara otomatis untuk aplikasi yang Anda jalankan di AWS Cloud. Anda perlu memastikan bahwa penggunaan AWS layanan Anda sesuai dengan standar.
Untuk daftar lengkap berbagai program AWS kepatuhan yang didukung Microsoft AD AWS Terkelola, lihat [AWS layanan dalam cakupan berdasarkan program kepatuhan](https://aws.amazon.com/compliance/services-in-scope/).
## Aktifkan kepatuhan PCI untuk direktori Microsoft AD AWS Terkelola
Untuk mengaktifkan kepatuhan PCI untuk direktori Microsoft AD AWS Terkelola, Anda harus mengonfigurasi kebijakan kata sandi berbutir halus seperti yang ditentukan dalam dokumen Pengesahan Kepatuhan (AOC) dan Ringkasan Tanggung Jawab PCI DSS yang disediakan oleh. AWS Artifact
Untuk informasi selengkapnya tentang menggunakan kebijakan kata sandi terperinci, lihat [Memahami kebijakan kata sandi Microsoft AD yang AWS Dikelola](ms_ad_password_policies.md).
# Meningkatkan konfigurasi keamanan jaringan Microsoft AD AWS Terkelola
Grup AWS Keamanan yang disediakan untuk direktori AWS Microsoft AD Terkelola dikonfigurasi dengan port jaringan masuk minimum yang diperlukan untuk mendukung semua kasus penggunaan yang diketahui untuk direktori AWS Microsoft AD Terkelola Anda. Untuk informasi selengkapnya tentang Grup AWS Keamanan yang disediakan, lihat. [Apa yang dibuat dengan Microsoft AD yang AWS Dikelola](ms_ad_getting_started_what_gets_created.md)
Untuk lebih meningkatkan keamanan jaringan direktori Microsoft AD AWS Terkelola, Anda dapat memodifikasi Grup AWS Keamanan berdasarkan skenario umum berikut.
**Pengontrol domain pelanggan CIDR** - Blok CIDR ini adalah tempat pengontrol domain lokal Anda berada.
**Klien pelanggan CIDR** - Blok CIDR ini adalah tempat klien Anda seperti komputer atau pengguna mengautentikasi ke AWS Microsoft AD Terkelola Anda. Pengontrol domain Microsoft AD AWS Terkelola Anda juga berada di blok CIDR ini.
**Topics**
+ [AWS aplikasi hanya mendukung](#aws_apps_support)
+ [AWS aplikasi hanya dengan dukungan kepercayaan](#aws_apps_trust_support)
+ [AWS aplikasi dan dukungan beban kerja Active Directory asli](#aws_apps_native_ad_support)
+ [AWS aplikasi dan dukungan beban kerja Active Directory asli dengan dukungan kepercayaan](#aws_apps_native_ad_trust_support)
## AWS aplikasi hanya mendukung
Semua akun pengguna hanya disediakan di AWS Microsoft AD Terkelola untuk digunakan dengan AWS aplikasi yang didukung, seperti berikut ini:
+ Amazon Chime
+ Amazon Connect
+ Cepat
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ AWS Client VPN
+ Konsol Manajemen AWS
Anda dapat menggunakan konfigurasi Grup AWS Keamanan berikut untuk memblokir semua lalu lintas yang tidak penting ke pengontrol domain Microsoft AD yang AWS Dikelola.
**catatan**
Berikut ini tidak kompatibel dengan konfigurasi Grup AWS Keamanan ini:
Instans Amazon EC2
Amazon FSx
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
WorkSpaces
Kepercayaan Direktori Aktif
Domain bergabung klien atau server
**Aturan Masuk**
Tidak ada.
**Aturan Keluar**
Tidak ada.
## AWS aplikasi hanya dengan dukungan kepercayaan
Semua akun pengguna disediakan di AWS Microsoft AD yang Dikelola atau Direktori Aktif tepercaya untuk digunakan dengan AWS aplikasi yang didukung, seperti berikut ini:
+ Amazon Chime
+ Amazon Connect
+ Cepat
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ Amazon WorkSpaces
+ AWS Client VPN
+ Konsol Manajemen AWS
Anda dapat mengubah konfigurasi Grup AWS Keamanan yang disediakan untuk memblokir semua lalu lintas yang tidak penting ke pengontrol domain AWS Microsoft AD Terkelola.
**catatan**
Berikut ini tidak kompatibel dengan konfigurasi Grup AWS Keamanan ini:
Instans Amazon EC2
Amazon FSx
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
WorkSpaces
Kepercayaan Direktori Aktif
Domain bergabung klien atau server
Konfigurasi ini mengharuskan Anda untuk memastikan jaringan “pengontrol domain pelanggan CIDR” aman.
TCP 445 digunakan untuk pembuatan kepercayaan saja dan dapat dihapus setelah kepercayaan telah ditetapkan.
TCP 636 hanya diperlukan ketika LDAP atas SSL sedang digunakan.
**Aturan Masuk**
****
| Protokol | Rentang port | Sumber | Jenis lalu lintas | Penggunaan Direktori Aktif |
| --- | --- | --- | --- | --- |
| TCP & UDP | 53 | Pengontrol domain pelanggan CIDR | DNS | Autentikasi pengguna dan komputer, resolusi nama, kepercayaan |
| TCP & UDP | 88 | Pengontrol domain pelanggan CIDR | Kerberos | Autentikasi pengguna dan komputer, kepercayaan tingkat forest |
| TCP & UDP | 389 | Pengontrol domain pelanggan CIDR | LDAP | Direktori, replikasi, kebijakan pengguna dan grup autentikasi komputer, kepercayaan |
| TCP & UDP | 464 | Pengontrol domain pelanggan CIDR | Kerberos mengubah / mengatur kata sandi | Replikasi, pengguna dan autentikasi komputer, kepercayaan |
| TCP | 445 | Pengontrol domain pelanggan CIDR | SMB / CIFS | Replikasi, autentikasi pengguna dan komputer, kepercayaan kebijakan grup |
| TCP | 135 | Pengontrol domain pelanggan CIDR | Replikasi | RPC, EPM |
| TCP | 636 | Pengontrol domain pelanggan CIDR | LDAP SSL | Direktori, replikasi, kebijakan pengguna dan grup autentikasi komputer, kepercayaan |
| TCP | 49152 - 65535 | Pengontrol domain pelanggan CIDR | RPC | Replikasi, pengguna dan autentikasi komputer, kebijakan grup, kepercayaan |
| TCP | 3268 - 3269 | Pengontrol domain pelanggan CIDR | LDAP GC & LDAP GC SSL | Direktori, replikasi, kebijakan pengguna dan grup autentikasi komputer, kepercayaan |
| UDP | 123 | Pengontrol domain pelanggan CIDR | Waktu Windows | Waktu Windows, kepercayaan |
**Aturan Keluar**
****
| Protokol | Rentang port | Sumber | Jenis lalu lintas | Penggunaan Direktori Aktif |
| --- | --- | --- | --- | --- |
| Semua | Semua | Pengontrol domain pelanggan CIDR | Semua Lalu lintas | |
## AWS aplikasi dan dukungan beban kerja Active Directory asli
Akun pengguna hanya disediakan di AWS Microsoft AD Terkelola untuk digunakan dengan AWS aplikasi yang didukung, seperti berikut ini:
+ Amazon Chime
+ Amazon Connect
+ Instans Amazon EC2
+ Amazon FSx
+ Cepat
+ Amazon RDS for MySQL
+ Amazon RDS for Oracle
+ Amazon RDS for PostgreSQL
+ Amazon RDS for SQL Server
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ WorkSpaces
+ AWS Client VPN
+ Konsol Manajemen AWS
Anda dapat mengubah konfigurasi Grup AWS Keamanan yang disediakan untuk memblokir semua lalu lintas yang tidak penting ke pengontrol domain AWS Microsoft AD Terkelola.
**catatan**
Trust Active Directory tidak dapat dibuat dan dipertahankan antara direktori Microsoft AD yang AWS Dikelola dan CIDR pengontrol domain pelanggan.
Ini mengharuskan Anda untuk memastikan jaringan “pelanggan klien CIDR” aman.
TCP 636 hanya diperlukan ketika LDAP atas SSL sedang digunakan.
Jika Anda ingin menggunakan Enterprise CA dengan konfigurasi ini, Anda harus membuat aturan keluar “TCP, 443, CA CIDR”.
**Aturan Masuk**
****
| Protokol | Rentang port | Sumber | Jenis lalu lintas | Penggunaan Direktori Aktif |
| --- | --- | --- | --- | --- |
| TCP & UDP | 53 | Klien pelanggan CIDR | DNS | Autentikasi pengguna dan komputer, resolusi nama, kepercayaan |
| TCP & UDP | 88 | Klien pelanggan CIDR | Kerberos | Autentikasi pengguna dan komputer, kepercayaan tingkat forest |
| TCP & UDP | 389 | Klien pelanggan CIDR | LDAP | Direktori, replikasi, kebijakan pengguna dan grup autentikasi komputer, kepercayaan |
| TCP & UDP | 445 | Klien pelanggan CIDR | SMB / CIFS | Replikasi, autentikasi pengguna dan komputer, kepercayaan kebijakan grup |
| TCP & UDP | 464 | Klien pelanggan CIDR | Kerberos mengubah / mengatur kata sandi | Replikasi, pengguna dan autentikasi komputer, kepercayaan |
| TCP | 135 | Klien pelanggan CIDR | Replikasi | RPC, EPM |
| TCP | 636 | Klien pelanggan CIDR | LDAP SSL | Direktori, replikasi, kebijakan pengguna dan grup autentikasi komputer, kepercayaan |
| TCP | 49152 - 65535 | Klien pelanggan CIDR | RPC | Replikasi, pengguna dan autentikasi komputer, kebijakan grup, kepercayaan |
| TCP | 3268 - 3269 | Klien pelanggan CIDR | LDAP GC & LDAP GC SSL | Direktori, replikasi, kebijakan pengguna dan grup autentikasi komputer, kepercayaan |
| TCP | 9389 | Klien pelanggan CIDR | SOAP | Layanan web AD DS |
| UDP | 123 | Klien pelanggan CIDR | Waktu Windows | Waktu Windows, kepercayaan |
| UDP | 138 | Klien pelanggan CIDR | DFSN & NetLogon | DFS, kebijakan grup |
**Aturan Keluar**
Tidak ada.
## AWS aplikasi dan dukungan beban kerja Active Directory asli dengan dukungan kepercayaan
Semua akun pengguna disediakan di AWS Microsoft AD yang Dikelola atau Direktori Aktif tepercaya untuk digunakan dengan AWS aplikasi yang didukung, seperti berikut ini:
+ Amazon Chime
+ Amazon Connect
+ Instans Amazon EC2
+ Amazon FSx
+ Cepat
+ Amazon RDS for MySQL
+ Amazon RDS for Oracle
+ Amazon RDS for PostgreSQL
+ Amazon RDS for SQL Server
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ WorkSpaces
+ AWS Client VPN
+ Konsol Manajemen AWS
Anda dapat mengubah konfigurasi Grup AWS Keamanan yang disediakan untuk memblokir semua lalu lintas yang tidak penting ke pengontrol domain AWS Microsoft AD Terkelola.
**catatan**
Ini mengharuskan Anda untuk memastikan jaringan “pengontrol domain pelanggan CIDR” dan “klien pelanggan CIDR” aman.
TCP 445 dengan “pengontrol domain pelanggan CIDR” digunakan hanya untuk pembuatan kepercayaan dan dapat dihapus setelah kepercayaan ditetapkan.
TCP 445 dengan “klien pelanggan CIDR” harus dibiarkan terbuka karena diperlukan untuk pemrosesan Kebijakan Grup.
TCP 636 hanya diperlukan ketika LDAP atas SSL sedang digunakan.
Jika Anda ingin menggunakan Enterprise CA dengan konfigurasi ini, Anda harus membuat aturan keluar “TCP, 443, CA CIDR”.
**Aturan Masuk**
****
| Protokol | Rentang port | Sumber | Jenis lalu lintas | Penggunaan Direktori Aktif |
| --- | --- | --- | --- | --- |
| TCP & UDP | 53 | Pengontrol domain pelanggan CIDR | DNS | Autentikasi pengguna dan komputer, resolusi nama, kepercayaan |
| TCP & UDP | 88 | Pengontrol domain pelanggan CIDR | Kerberos | Autentikasi pengguna dan komputer, kepercayaan tingkat forest |
| TCP & UDP | 389 | Pengontrol domain pelanggan CIDR | LDAP | Direktori, replikasi, kebijakan pengguna dan grup autentikasi komputer, kepercayaan |
| TCP & UDP | 464 | Pengontrol domain pelanggan CIDR | Kerberos mengubah / mengatur kata sandi | Replikasi, pengguna dan autentikasi komputer, kepercayaan |
| TCP | 445 | Pengontrol domain pelanggan CIDR | SMB / CIFS | Replikasi, autentikasi pengguna dan komputer, kepercayaan kebijakan grup |
| TCP | 135 | Pengontrol domain pelanggan CIDR | Replikasi | RPC, EPM |
| TCP | 636 | Pengontrol domain pelanggan CIDR | LDAP SSL | Direktori, replikasi, kebijakan pengguna dan grup autentikasi komputer, kepercayaan |
| TCP | 49152 - 65535 | Pengontrol domain pelanggan CIDR | RPC | Replikasi, pengguna dan autentikasi komputer, kebijakan grup, kepercayaan |
| TCP | 3268 - 3269 | Pengontrol domain pelanggan CIDR | LDAP GC & LDAP GC SSL | Direktori, replikasi, kebijakan pengguna dan grup autentikasi komputer, kepercayaan |
| UDP | 123 | Pengontrol domain pelanggan CIDR | Waktu Windows | Waktu Windows, kepercayaan |
| TCP & UDP | 53 | Pengontrol domain pelanggan CIDR | DNS | Autentikasi pengguna dan komputer, resolusi nama, kepercayaan |
| TCP & UDP | 88 | Pengontrol domain pelanggan CIDR | Kerberos | Autentikasi pengguna dan komputer, kepercayaan tingkat forest |
| TCP & UDP | 389 | Pengontrol domain pelanggan CIDR | LDAP | Direktori, replikasi, kebijakan pengguna dan grup autentikasi komputer, kepercayaan |
| TCP & UDP | 445 | Pengontrol domain pelanggan CIDR | SMB / CIFS | Replikasi, autentikasi pengguna dan komputer, kepercayaan kebijakan grup |
| TCP & UDP | 464 | Pengontrol domain pelanggan CIDR | Kerberos mengubah / mengatur kata sandi | Replikasi, pengguna dan autentikasi komputer, kepercayaan |
| TCP | 135 | Pengontrol domain pelanggan CIDR | Replikasi | RPC, EPM |
| TCP | 636 | Pengontrol domain pelanggan CIDR | LDAP SSL | Direktori, replikasi, kebijakan pengguna dan grup autentikasi komputer, kepercayaan |
| TCP | 49152 - 65535 | Pengontrol domain pelanggan CIDR | RPC | Replikasi, pengguna dan autentikasi komputer, kebijakan grup, kepercayaan |
| TCP | 3268 - 3269 | Pengontrol domain pelanggan CIDR | LDAP GC & LDAP GC SSL | Direktori, replikasi, kebijakan pengguna dan grup autentikasi komputer, kepercayaan |
| TCP | 9389 | Pengontrol domain pelanggan CIDR | SOAP | Layanan web AD DS |
| UDP | 123 | Pengontrol domain pelanggan CIDR | Waktu Windows | Waktu Windows, kepercayaan |
| UDP | 138 | Pengontrol domain pelanggan CIDR | DFSN & NetLogon | DFS, kebijakan grup |
**Aturan Keluar**
****
| Protokol | Rentang port | Sumber | Jenis lalu lintas | Penggunaan Direktori Aktif |
| --- | --- | --- | --- | --- |
| Semua | Semua | Pengontrol domain pelanggan CIDR | Semua Lalu lintas | |
# Mengedit pengaturan keamanan direktori Microsoft AD yang AWS Dikelola
Anda dapat mengonfigurasi setelan direktori berbutir halus untuk AWS Microsoft AD yang Dikelola agar memenuhi persyaratan kepatuhan dan keamanan tanpa peningkatan beban kerja operasional. Dalam pengaturan direktori, Anda dapat memperbarui konfigurasi saluran aman untuk protokol dan cipher yang digunakan dalam direktori Anda. Misalnya, Anda memiliki fleksibilitas untuk menonaktifkan cipher warisan individu, seperti RC4 atau DES, dan protokol, seperti SSL 2.0/3.0 dan TLS 1.0/1.1. AWS Microsoft AD yang dikelola kemudian menyebarkan konfigurasi ke semua pengontrol domain di direktori Anda, mengelola reboot pengontrol domain, dan mempertahankan konfigurasi ini saat Anda meningkatkan skala atau menerapkan tambahan. Wilayah AWS Untuk semua pengaturan yang tersedia, lihat[Daftar pengaturan keamanan direktori](#list-ds-settings).
## Edit pengaturan keamanan direktori
Anda dapat mengonfigurasi dan mengedit pengaturan untuk direktori mana pun.
**Untuk mengedit pengaturan direktori**
1. Masuk ke Konsol AWS Manajemen dan buka Directory Service konsol di[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. Pada halaman **Direktori**, pilih ID direktori Anda.
1. Di bawah **Jaringan & keamanan**, temukan **pengaturan Direktori**, lalu pilih **Edit pengaturan**.
1. Di **Pengaturan Edit**, ubah **Nilai** untuk pengaturan yang ingin Anda edit. Saat Anda mengedit setelan, statusnya berubah dari **Default** menjadi **Siap untuk Diperbarui**. Jika Anda telah mengedit pengaturan sebelumnya, statusnya berubah dari **Diperbarui menjadi **Siap untuk Diperbarui****. Kemudian, pilih **Review**.
1. Di **Pengaturan tinjauan dan perbarui**, lihat **Pengaturan direktori** dan pastikan bahwa semua nilai baru sudah benar. Jika Anda ingin membuat perubahan lain pada pengaturan Anda, pilih **Edit pengaturan**. Jika Anda puas dengan perubahan dan siap menerapkan nilai baru, pilih **Perbarui pengaturan**. Kemudian, Anda dibawa kembali ke halaman ID direktori.
**catatan**
Di bawah **Pengaturan direktori**, Anda dapat melihat **Status** pengaturan yang diperbarui. Saat pengaturan diimplementasikan, **Status** menampilkan **Memperbarui**. Anda tidak dapat mengedit pengaturan lain saat pengaturan menampilkan **Memperbarui** di bawah **Status**. **Status** menampilkan **Diperbarui** jika pengaturan berhasil diperbarui dengan pengeditan Anda. **Status** ditampilkan **Gagal** jika pengaturan gagal diperbarui dengan pengeditan Anda.
## Pengaturan keamanan direktori gagal
Jika terjadi kesalahan selama pembaruan pengaturan, **Status** ditampilkan sebagai **Gagal**. Dalam status gagal, pengaturan tidak diperbarui ke nilai baru, dan nilai asli tetap diterapkan. Anda dapat mencoba lagi memperbarui pengaturan ini atau mengembalikannya ke nilai sebelumnya.
**Untuk mengatasi setelan yang diperbarui gagal**
+ Di bawah **Pengaturan direktori**, pilih **Selesaikan setelan yang gagal**. Kemudian, lakukan salah satu hal berikut:
+ Untuk mengembalikan setelan Anda kembali ke nilai aslinya sebelum status kegagalan, pilih **Kembalikan setelan yang gagal**. Kemudian, pilih **Kembalikan** di modal pop-up.
+ Untuk mencoba lagi memperbarui pengaturan direktori Anda, pilih **Coba lagi setelan yang gagal**. Jika Anda ingin membuat perubahan tambahan pada pengaturan direktori Anda sebelum mencoba kembali pembaruan yang gagal, pilih **Lanjutkan pengeditan**. Pada **Tinjau dan coba lagi pembaruan yang gagal**, pilih **Pengaturan pembaruan**.
## Daftar pengaturan keamanan direktori
Daftar berikut menunjukkan jenis, nama setelan, nama API, nilai potensial, dan deskripsi setelan untuk semua setelan keamanan direktori yang tersedia.
TLS 1.2 dan AES 256/256 adalah pengaturan keamanan direktori default jika semua pengaturan keamanan lainnya dinonaktifkan. Mereka tidak bisa dinonaktifkan.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/ms_ad_directory_settings.html)
# Aktifkan Kriptografi Kunci Publik untuk Otentikasi Awal (PKINIT) untuk pengguna Microsoft AD yang Dikelola AWS
AWS Direktori Microsoft AD yang dikelola menggunakan pengikatan sertifikat yang kuat secara default, yang memerlukan pemetaan eksplisit antara sertifikat dan objek AD. Pemetaan berikut dianggap kuat untuk AWS Microsoft AD yang Dikelola:
+ `altSecurityIdentities`Penerbit dan Nomor Seri
+ `altSecurityIdentities`Pengidentifikasi Kunci Subjek
+ `altSecurityIdentities` SHA1 Hash Kunci Publik
Atribut ini memungkinkan pemetaan sertifikat yang kuat, yang memberikan keamanan yang lebih baik untuk otentikasi berbasis sertifikat dengan mewajibkan certificate-to-user hubungan eksplisit yang ditentukan dalam Active Directory. Ini membantu mencegah serangan eskalasi hak istimewa berbasis sertifikat
Anda dapat menggunakan prosedur ini untuk mengonfigurasi binding sertifikat yang kuat untuk membantu Anda mencegah serangan eskalasi hak istimewa sambil mempertahankan fungsionalitas otentikasi sertifikat.
Untuk informasi selengkapnya, lihat [Microsoft KB5014754: Perubahan autentikasi berbasis sertifikat](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16) pada pengontrol domain Windows
## Prasyarat
+ Direktori Microsoft AD AWS Terkelola dengan otoritas sertifikat yang dikonfigurasi
+ Akses administratif ke lingkungan Direktori Aktif
+ PowerShell dengan modul Active Directory diinstal
+ Sertifikat yang ingin Anda petakan ke objek AD
## AltSecurityIdentity Atribut peta
1. Pilih salah satu metode `AltSecurityIdentity` pemetaan berikut berdasarkan informasi sertifikat Anda:
+ **SHA1 hash** — Menggunakan SHA1 hash dari kunci publik sertifikat
Untuk pemetaan SHA1 hash, ekstrak hash sertifikat dan terapkan ke objek pengguna:
```
$Username = 'YourUsername'
$cert = certutil -dump "YourCertificate.cer"
$certHash = ($cert | Select-String -Pattern "(sha1):*" |
Select-String -Pattern "Cert").ToString().TrimStart('Cert Hash(sha1): ').Replace(' ','')
Set-ADUser -Identity $Username -Add @{'altSecurityIdentities'="X509:$CertHash"}
```
+ **Penerbit dan Nomor Seri** — Menggunakan nama penerbit sertifikat dan nomor seri
Untuk pemetaan Emiten dan Nomor Seri, gunakan penerbit sertifikat dan nomor seri:
```
$Username = 'YourUsername'
$IssuerName = 'YourCertificateIssuer'
$SerialNumber = 'YourCertificateSerialNumber'
Set-ADUser -Identity $Username -Add @{'altSecurityIdentities'="X509:$IssuerName$SerialNumber"}
```
+ **Pengenal Kunci Subjek** - Menggunakan ekstensi pengidentifikasi kunci subjek sertifikat
Untuk pemetaan Pengenal Kunci Subjek, gunakan pengenal kunci subjek sertifikat:
```
$Username = 'YourUsername'
$SubjectKeyIdentifier = 'YourSubjectKeyIdentifier'
Set-ADUser -Identity $Username -Add @{'altSecurityIdentities'="X509:$SubjectKeyIdentifier"}
```
1. Verifikasi bahwa pemetaan berhasil diterapkan:
```
Get-ADUser -Identity $Username -Properties altSecurityIdentities |
Select-Object -ExpandProperty altSecurityIdentities
```
1. Tunggu replikasi Active Directory selesai (biasanya 15-30 detik) sebelum menguji otentikasi sertifikat.
## Contoh: Sertifikat massal memetakan atribut AltSecurityIdentity
Contoh berikut menunjukkan cara memetakan `AltSecurityIdentity` atribut untuk beberapa sertifikat pengguna dari otoritas sertifikat:
```
$CertificateTemplateName = 'User'
$Now = $((Get-Date).ToString($(Get-culture).DateTimeFormat.ShortDatePattern))
$Restrict = "Disposition=20,NotAfter>=$Now,Certificate Template=$CertificateTemplateName"
$Out = "SerialNumber,Certificate Hash,User Principal Name,RequesterName,CommonName,CertificateTemplate,NotBefore,NotAfter"
$Certs = certutil -view -restrict $Restrict -out $Out csv | ConvertFrom-CSV
$UserSha1HashMapping = @{}
ForEach ($Cert in $Certs) {
$UPN = $Cert.'User Principal Name'
$Username, $Domain = $UPN.Split('@')
$CertificateThumbprint = ($Cert.'Certificate Hash').Replace(' ','')
$AdUserObject = Get-ADUser -Identity $Username
If ($AdUserObject -And $AdUserObject.Count -gt 1) {
Write-Output "Unable to map user: $Username, multiple user objects found"
Continue
}
If ($AdUserObject) {
If ($UserSha1HashMapping.Keys -Contains $Username) {
$UserSha1HashMapping[$Username] += $CertificateThumbprint
} Else {
$UserSha1HashMapping[$Username] = @($CertificateThumbprint)
}
}
}
ForEach ($User in $UserSha1HashMapping.Keys) {
Write-Output "Mapping altSecurityIdentity for $User"
$UserObject = Get-ADUser -Identity $User | Get-ADObject -Properties 'altSecurityIdentities'
$altSecurityIdentities = $UserObject.altSecurityIdentities
ForEach ($thumbprint in $UserSha1HashMapping[$User]) {
$SHA1PUKEY = "X509:$thumbprint"
If ($altSecurityIdentities -Contains $SHA1PUKEY) {
Write-Output "Skipping $thumbprint, already mapped."
Continue
}
Write-Output "Adding $thumbprint to $User as altSecurityIdentity"
Set-ADUser -Identity $User -Add @{'altSecurityIdentities'=$SHA1PUKEY}
}
}
```
## Langkah selanjutnya
+ Uji otentikasi berbasis sertifikat dengan sertifikat yang dipetakan
+ Konfigurasikan aplikasi Anda untuk menggunakan sertifikat yang dipetakan untuk otentikasi
+ [Pantau iklan Microsoft yang AWS Dikelola](ms_ad_monitor.md)untuk acara otentikasi
# Mengatur AWS Private CA Konektor untuk AD untuk Microsoft AD yang AWS Dikelola
Anda dapat mengintegrasikan Microsoft AD yang AWS Dikelola dengan [AWS Private Certificate Authority (CA)](https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-ad.html) untuk menerbitkan dan mengelola sertifikat untuk pengontrol domain Direktori Aktif, pengguna yang bergabung dengan domain, grup, dan mesin. AWS Private CA Connector for Active Directory memungkinkan Anda menggunakan pengganti AWS Private CA drop-in yang dikelola sepenuhnya untuk perusahaan yang dikelola sendiri CAs tanpa perlu menyebarkan, menambal, atau memperbarui agen lokal atau server proxy.
Anda dapat mengatur AWS Private CA integrasi dengan direktori Anda melalui Directory Service konsol, konsol AWS Private CA Connector for Active Directory, atau dengan memanggil [https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html)API. Untuk mengatur integrasi Private CA melalui konsol AWS Private CA Connector for Active Directory, lihat [Membuat template konektor](https://docs.aws.amazon.com/privateca/latest/userguide/create-ad-template.html). Lihat langkah-langkah berikut tentang cara mengatur integrasi ini dari Directory Service konsol.
## Menyiapkan AWS Private CA Konektor untuk AD
**Untuk membuat konektor CA Pribadi untuk Active Directory**
1. Masuk ke Konsol Manajemen AWS dan buka Directory Service konsol di[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. Pada halaman **Direktori**, pilih ID direktori Anda.
1. Di bawah tab **Manajemen Aplikasi** dan bagian **AWS aplikasi & layanan**, pilih **AWS Private CA Konektor untuk AD**.
1. Pada halaman **Create Private CA certificate for Active Directory**, selesaikan langkah-langkah untuk membuat konektor Private CA for Active Directory.
Untuk informasi selengkapnya, lihat [Membuat konektor](https://docs.aws.amazon.com/privateca/latest/userguide/create-connector-for-ad.html).
## Melihat AWS Private CA Konektor untuk AD
**Untuk melihat detail konektor CA Pribadi**
1. Masuk ke Konsol Manajemen AWS dan buka Directory Service konsol di[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. Pada halaman **Direktori**, pilih ID direktori Anda.
1. Di bawah tab **Manajemen Aplikasi** dan bagian **AWS aplikasi & layanan**, lihat konektor CA Pribadi Anda dan CA Pribadi terkait. Bidang berikut menampilkan:
1. **AWS Private CA Connector ID** — Pengidentifikasi unik untuk AWS Private CA konektor. Pilih untuk melihat halaman detail.
1. **AWS Private CA subjek** — Informasi mengenai nama yang dibedakan untuk CA. Pilih untuk melihat halaman detail.
1. **Status** - Hasil pemeriksaan status untuk AWS Private CA Konektor dan AWS Private CA:
+ **Aktif** — Kedua cek lulus
+ **1/2 pemeriksaan gagal** - Satu pemeriksaan gagal
+ **Gagal** - Kedua pemeriksaan gagal
Untuk detail status yang gagal, arahkan kursor ke hyperlink untuk melihat pemeriksaan mana yang gagal.
1. **Status Pendaftaran Sertifikat DC - Pemeriksaan status** untuk status sertifikat pengontrol domain:
+ **Diaktifkan** - Pendaftaran sertifikat diaktifkan
+ **Dinonaktifkan** - Pendaftaran sertifikat dinonaktifkan
1. **Tanggal dibuat** — Saat AWS Private CA Konektor dibuat.
Untuk informasi selengkapnya, lihat [Lihat detail konektor](https://docs.aws.amazon.com/privateca/latest/userguide/view-connector-for-ad.html).
Tabel berikut menunjukkan status yang berbeda untuk pendaftaran sertifikat pengontrol domain untuk AWS Microsoft AD Terkelola dengan. AWS Private CA
| Status pendaftaran DC | Deskripsi | Tindakan yang diperlukan |
| --- | --- | --- |
| Diaktifkan | Sertifikat pengontrol domain berhasil didaftarkan ke direktori Anda. | Tidak ada tindakan diperlukan. |
| Gagal | Pengaktifan atau penonaktifan pendaftaran sertifikat pengontrol domain gagal untuk direktori Anda. | Jika tindakan pengaktifan Anda gagal, coba lagi dengan mematikan sertifikat pengontrol domain dan kemudian nyalakan lagi. Jika tindakan penonaktifan Anda gagal, coba lagi dengan mengaktifkan sertifikat pengontrol domain dan kemudian matikan lagi. Jika percobaan ulang gagal, hubungi AWS Support. |
| Terganggu | Pengontrol domain memiliki masalah konektivitas jaringan yang berkomunikasi dengan AWS Private CA titik akhir. | Periksa kebijakan endpoint AWS Private CA VPC dan bucket S3 untuk mengizinkan konektivitas jaringan dengan direktori Anda. Untuk informasi selengkapnya, lihat [Memecahkan masalah pesan pengecualian Otoritas Sertifikat AWS Pribadi](https://docs.aws.amazon.com/privateca/latest/userguide/PCATsExceptions.html) dan [Memecahkan masalah pencabutan AWS Private CA](https://docs.aws.amazon.com/privateca/latest/userguide/troubleshoot-certificate-revocation.html) sertifikat. |
| Nonaktif | Pendaftaran sertifikat pengontrol domain berhasil dimatikan untuk direktori Anda. | Tidak ada tindakan diperlukan. |
| Menonaktifkan | Penonaktifan pendaftaran sertifikat pengontrol domain sedang berlangsung. | Tidak ada tindakan diperlukan. |
| Mengaktifkan | Pengaktifan pendaftaran sertifikat pengontrol domain sedang berlangsung. | Tidak ada tindakan diperlukan. |
## Mengkonfigurasi Kebijakan AD
AWS Private CA Konektor untuk AD harus dikonfigurasi sehingga pengontrol dan objek domain Microsoft AD yang AWS dikelola dapat meminta dan menerima sertifikat. Konfigurasikan objek kebijakan grup ([GPO](https://learn.microsoft.com/previous-versions/windows/desktop/policy/group-policy-objects)) agar AWS Private CA dapat mengeluarkan sertifikat ke objek Microsoft AD yang AWS Dikelola.
### Mengkonfigurasi kebijakan Direktori Aktif untuk pengontrol domain
**Aktifkan kebijakan Direktori Aktif untuk pengontrol domain**
1. Buka tab **Jaringan & Keamanan**.
1. Pilih **AWS Private CA Konektor**.
1. Pilih konektor yang ditautkan ke AWS Private CA subjek yang mengeluarkan sertifikat pengontrol domain ke direktori Anda.
1. Pilih **Tindakan**, **Aktifkan sertifikat pengontrol domain**.
**penting**
Konfigurasikan templat pengontrol domain yang valid sebelum Anda mengaktifkan sertifikat pengontrol domain untuk menghindari pembaruan yang tertunda.
Setelah Anda mengaktifkan pendaftaran sertifikat pengontrol domain, pengontrol domain direktori Anda meminta dan menerima sertifikat dari AWS Private CA Connector for AD.
Untuk mengubah penerbitan AWS Private CA sertifikat pengontrol domain, pertama-tama hubungkan yang baru AWS Private CA ke direktori Anda menggunakan AWS Private CA Konektor baru untuk AD. Sebelum Anda mengaktifkan pendaftaran sertifikat pada yang baru AWS Private CA, matikan pendaftaran sertifikat pada yang sudah ada:
**Matikan sertifikat pengontrol domain**
1. Buka tab **Jaringan & Keamanan**.
1. Pilih **AWS Private CA Konektor**.
1. Pilih konektor yang ditautkan ke AWS Private CA subjek yang mengeluarkan sertifikat pengontrol domain ke direktori Anda.
1. Pilih **Tindakan**, **Nonaktifkan sertifikat pengontrol domain**.
### Mengkonfigurasi kebijakan Direktori Aktif untuk pengguna, komputer, dan mesin yang bergabung dengan domain
**Konfigurasikan objek kebijakan grup**
1. Connect ke instans admin Microsoft AD yang AWS dikelola dan buka [Server Manager](https://learn.microsoft.com/windows-server/administration/server-manager/server-manager) dari menu **Start**.
1. Di bawah **Alat**, pilih **Manajemen Kebijakan Grup**.
1. Di bawah **Hutan dan Domain**, temukan unit organisasi subdomain (OU) Anda (misalnya, `corp` adalah unit organisasi subdomain Anda jika Anda mengikuti prosedur yang diuraikan[Membuat Microsoft AD yang AWS Dikelola](ms_ad_getting_started.md#ms_ad_getting_started_create_directory)) dan klik kanan pada OU subdomain Anda. Pilih **Buat GPO di domain ini, dan tautkan di sini** dan masukkan PCA GPO untuk namanya. Pilih **OK**.
1. GPO yang baru dibuat muncul mengikuti nama subdomain Anda. Klik kanan `PCA GPO` dan pilih **Edit**. Jika kotak dialog terbuka dengan pesan peringatan yang menyatakan Ini adalah tautan dan bahwa perubahan disebarkan secara global, akui pesan tersebut dengan memilih **OK** untuk melanjutkan. Jendela **Editor Manajemen Kebijakan Grup** terbuka.
1. Di jendela **Editor Manajemen Kebijakan Grup**, buka **Konfigurasi Komputer > Kebijakan > Pengaturan Windows > Pengaturan Keamanan > Kebijakan Kunci Publik** (pilih folder).
1. Di bawah **Object Type**, pilih **Certificate Services Client - Certificate Enrollment Policy**.
1. **Di jendela **Certificate Services Client - Certificate Enrollment Policy**, ubah **Model Konfigurasi menjadi Diaktifkan**.**
1. **Konfirmasikan bahwa **Kebijakan Pendaftaran Direktori Aktif** dipilih dan Diaktifkan.** Pilih **Tambahkan**.
1. Kotak dialog **Server Kebijakan Pendaftaran Sertifikat** terbuka. Masukkan titik akhir server kebijakan pendaftaran sertifikat yang Anda buat saat membuat konektor di bidang URI kebijakan server **Enter enrollment**. Biarkan **Jenis Otentikasi** sebagai **Windows** terintegrasi.
1. Pilih **Validasi**. **Setelah validasi berhasil, pilih Tambah.**
1. Kembali ke kotak dialog **Certificate Services Client - Certificate Enrollment Policy** dan pilih kotak di samping konektor yang baru dibuat untuk memastikan bahwa konektor adalah kebijakan pendaftaran default.
1. **Pilih **Kebijakan Pendaftaran Direktori Aktif** dan pilih Hapus.**
1. Di kotak dialog konfirmasi, pilih **Ya** untuk menghapus otentikasi berbasis LDAP.
1. Pilih **Terapkan** dan kemudian **OK di jendela** **Certificate Services Client - Certificate Enrollment Policy**. Kemudian tutup jendelanya.
1. Di bawah **Object Type** for the **Public Key Policies folder, pilih Certificate Services Client - Auto-Enrollment**.
1. Ubah opsi **Model Konfigurasi** ke **Diaktifkan**.
1. Konfirmasikan bahwa **Perpanjang sertifikat kedaluwarsa** dan opsi **Perbarui Sertifikat** keduanya dipilih. Biarkan pengaturan lain apa adanya.
1. Pilih **Terapkan**, lalu **OK**, dan tutup kotak dialog.
Selanjutnya, konfigurasikan Kebijakan Kunci Publik untuk konfigurasi pengguna dengan mengulangi langkah 6-17 di bagian **Konfigurasi Pengguna> Kebijakan > Pengaturan Windows> Pengaturan Keamanan > Kebijakan Kunci Publik**.
Setelah Anda selesai mengonfigurasi GPOs dan Kebijakan Kunci Publik, objek dalam domain meminta sertifikat dari AWS Private CA Connector for AD dan menerima sertifikat yang dikeluarkan oleh AWS Private CA.
## Mengkonfirmasi AWS Private CA mengeluarkan sertifikat
Proses untuk memperbarui AWS Private CA untuk menerbitkan sertifikat untuk Microsoft AD yang AWS Dikelola dapat memakan waktu hingga 8 jam.
Anda dapat melakukan salah satu dari yang berikut:
+ Anda bisa menunggu periode waktu ini.
+ Anda dapat memulai ulang mesin gabungan domain Microsoft AD AWS Terkelola yang dikonfigurasi untuk menerima sertifikat dari AWS Private CA. Kemudian Anda dapat mengonfirmasi sertifikat yang AWS Private CA telah diterbitkan kepada anggota domain Microsoft AD AWS Terkelola Anda dengan mengikuti prosedur dalam [Microsoftdokumentasi](https://learn.microsoft.com/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in).
+ Anda dapat menggunakan PowerShell perintah berikut untuk memperbarui sertifikat untuk Microsoft AD yang AWS Dikelola:
```
certutil -pulse
```