기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# FSx for ONTAP에서 Microsoft Active Directory 작업
Amazon FSx는 Microsoft Active Directory와 페더레이션되어 기존 환경에 통합됩니다. Active Directory는 네트워크상의 객체에 대한 정보를 저장하고 관리자 및 사용자가 해당 정보를 찾아 사용할 수 있도록 지원하는 데 사용되는 Microsoft 디렉터리 서비스입니다. 이러한 객체에는 일반적으로 파일 서버, 네트워크 사용자 및 컴퓨터 계정과 같은 공유 리소스가 포함됩니다.
선택적으로 FSx for ONTAP 스토리지 가상 머신(SVM)을 Active Directory 도메인에 조인하여 사용자 인증과 파일 및 폴더 수준의 액세스 제어를 제공할 수 있습니다. 그러면 서버 메시지 블록(SMB) 클라이언트가 Active Directory의 기존 사용자 ID를 사용하여 자신을 인증하고 SVM 볼륨에 액세스할 수 있습니다. 사용자는 기존 ID를 사용하여 개별 파일 및 폴더에 대한 액세스를 제어할 수 있습니다. 또한 기존 파일 및 폴더와 해당 보안 액세스 제어 목록(ACL) 구성을 수정 없이 Amazon FSx로 마이그레이션할 수 있습니다.
Microsoft Active Directory 도메인 인프라를 사용할 수 없는 경우 SVM을 Microsoft Active Directory에 조인하는 대신 SVM의 작업 그룹에서 서버 메시지 블록(SMB) 서버를 구성할 수 있습니다. 자세한 내용은 [작업 그룹에서 SMB 서버 설정](smb-server-workgroup-setup.md) 단원을 참조하십시오.
Amazon FSx for NetApp ONTAP을 Active Directory에 조인하는 경우 파일 시스템의 SVM을 Active Directory에 독립적으로 조인합니다. 즉, Active Directory에 조인된 일부 SVM 및 그렇지 않은 SVM이 포함된 파일 시스템을 사용할 수 있습니다.
SVM을 Active Directory에 조인한 후 다음의 Active Directory 구성 속성을 업데이트할 수 있습니다.
+ DNS 서버 IP 주소
+ 자체 관리형 Active Directory 서비스 계정 사용자 이름 및 암호
**Topics**
+ [
# SVM을 자체 관리형 Microsoft Active Directory에 조인하기 위한 사전 조건
](self-manage-prereqs.md)
+ [
# Active Directory 작업의 모범 사례
](self-managed-AD-best-practices.md)
+ [
# SVMs Microsoft Active Directory에 조인하는 방법
](self-managed-AD-join.md)
+ [
# SVM Active Directory 구성 관리
](manage-svm-ad-config.md)
# SVM을 자체 관리형 Microsoft Active Directory에 조인하기 위한 사전 조건
FSx for ONTAP SVM을 자체 관리형 Microsoft Active Directory 도메인에 조인하기 전에 Active Directory 및 네트워크가 다음 섹션에 설명된 요구 사항을 충족하는지 확인합니다.
**Topics**
+ [
## 온프레미스 Active Directory 요구 사항
](#ontap-ad-on-prem-prereqs)
+ [
## 네트워크 구성 요구 사항
](#ontap-ad-network-configs)
+ [
## Active Directory 서비스 계정 요구 사항
](#ontap-ad-service-account-prereqs)
## 온프레미스 Active Directory 요구 사항
SVM에 조인할 수 있는 온프레미스 또는 기타 자체 관리형 Microsoft Active Directory가 이미 있어야 합니다. 이 Active Directory의 구성은 다음과 같아야 합니다.
+ Active Directory 도메인 컨트롤러의 도메인 기능 수준은 Windows Server 2000 이상입니다.
+ Active Directory는 단일 레이블 도메인(SLD) 형식이 아닌 도메인 이름을 사용합니다. Amazon FSx는 현재 SLD 도메인을 지원하지 않습니다.
+ Active Directory 사이트가 정의되어 있는 경우에는 FSx for ONTAP 파일 시스템과 연결된 VPC의 서브넷이 동일한 Active Directory 사이트에 정의되어 있도록 하고 VPC 서브넷과 Active Directory 사이트의 서브넷 간에 충돌이 존재하지 않도록 해야 합니다.
**참고**
를 사용하는 경우 Directory Service FSx for ONTAP은 SVMs Simple Active Directory에 조인하는 것을 지원하지 않습니다.
## 네트워크 구성 요구 사항
다음 네트워크 구성이 준비되었고 관련 정보를 사용할 수 있는지 확인합니다.
**중요**
SVM이 Active Directory에 조인하려면 이 주제에 설명된 포트가 모든 Active Directory 도메인 컨트롤러와 SVM의 iSCSI IP 주소(iscsi\$11 및 iscsi\$12 논리 인터페이스(LIF)) 간의 트래픽을 허용하는지 확인해야 합니다.
+ DNS 서버 및 Active Directory 도메인 컨트롤러 IP 주소입니다.
+ [Direct Connect](https://aws.amazon.com/directconnect/), [Site-to-Site VPN](https://aws.amazon.com/vpn/) 또는 [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)를 사용하는, 파일 시스템이 생성될 Amazon VPC와 자체 관리형 Active Directory 간의 연결.
+ 파일 시스템이 생성될 서브넷의 보안 그룹 및 VPC 네트워크 ACL이 다음 다이어그램에 표시된 방향으로 포트를 통한 트래픽을 허용해야 합니다.
![\[VPC 보안 그룹에 대한 FSx for ONTAP 포트 구성 요구 사항과, FSx for ONTAP 파일 시스템이 생성될 서브넷의 네트워크 ACL을 보여주는 다이어그램.\]](http://docs.aws.amazon.com/ko_kr/fsx/latest/ONTAPGuide/images/ontap-port-requirements.png)
다음 표에서는 각 포트의 역할을 설명합니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/fsx/latest/ONTAPGuide/self-manage-prereqs.html)
+ 이러한 트래픽 규칙이 각 Active Directory 도메인 컨트롤러, DNS 서버 및 FSx 클라이언트, FSx 관리자에 적용되는 방화벽에도 반영되는지 확인하세요.
**중요**
Amazon VPC 보안 그룹에서는 네트워크 트래픽이 시작되는 방향으로만 포트를 열어야 하지만, 대부분의 Windows 방화벽과 VPC 네트워크 ACL에서는 포트가 양방향으로 열려 있어야 합니다.
## Active Directory 서비스 계정 요구 사항
자체 관리형 Microsoft Active Directory에는 컴퓨터를 도메인에 조인할 수 있는 권한이 위임된 서비스 계정이 있어야 합니다. *서비스 계정*은 특정 작업을 수행할 권한이 위임된 자체 관리형 Active Directory의 사용자 계정입니다.
최소한 SVM에 조인하려는 OU에서 서비스 계정에 다음 권한을 위임해야 합니다.
+ 암호 재설정 기능
+ 계정의 데이터 읽기 및 쓰기 제한 기능
+ 컴퓨터 객체에 `msDS-SupportedEncryptionTypes` 속성을 설정하는 기능
+ 검증된 DNS 호스트 이름 쓰기 기능
+ 검증된 서비스 위탁자 이름 쓰기 기능
+ 컴퓨터 객체를 생성하고 삭제할 수 있는 기능
+ 계정 제한 사항을 읽고 쓸 수 있는 검증된 기능
이는 컴퓨터 객체를 Active Directory에 조인하는 데 필요한 최소 권한 집합을 나타냅니다. 자세한 내용은 Windows Server 설명서의 [오류: 제어를 위임받은 관리자가 아닌 사용자가 컴퓨터를 도메인 컨트롤러에 조인하려고 하면 액세스가 거부됨](https://support.microsoft.com/en-us/help/932455/error-message-when-non-administrator-users-who-have-been-delegated-con) 항목을 참조하세요.
Active Directory 서비스 계정 자격 증명을에 저장하고 AWS Secrets Manager (권장) Amazon FSx에 Active Directory에 조인할 보안 암호 ARN을 제공하거나 일반 텍스트 자격 증명을 제공할 수 있습니다.
올바른 권한으로 서비스 계정을 생성하는 방법에 대해 자세히 알아보려면 [Amazon FSx 서비스 계정에 권한 위임](self-managed-AD-best-practices.md#connect_delegate_privileges) 섹션을 참조하세요.
**중요**
Amazon FSx를 사용하려면 Amazon FSx 파일 시스템의 수명 주기 동안 유효한 서비스 계정이 필요합니다. Amazon FSx는 파일 시스템을 완벽하게 관리하고 리소스를 Active Directory 도메인에 조인 해제했다가 다시 조인하는 데 필요한 작업을 수행할 수 있어야 합니다. 이러한 작업에는 장애가 발생한 파일 시스템 또는 SVM 교체 또는 NetApp ONTAP 소프트웨어 패치가 포함됩니다. 서비스 계정 자격 증명을 포함하여 Amazon FSx를 통해 Active Directory 구성 정보를 최신 상태로 유지하세요. 자세한 내용은 [Amazon FSx를 사용하여 Active Directory 구성을 최신 상태로 유지](self-managed-AD-best-practices.md#keep-ad-config-updated)를 참조하세요.
AWS 및 FSx for ONTAP을 처음 사용하는 경우 Active Directory 통합을 시작하기 전에 초기 설정 단계를 완료해야 합니다. 자세한 내용은 [FSx for ONTAP 설정](getting-started.md#setting-up) 단원을 참조하십시오.
**중요**
SVM이 생성된 후 Amazon FSx가 OU에서 생성한 컴퓨터 객체를 이동하거나 SVM이 조인된 상태에서 Active Directory를 삭제하지 않습니다. 그러면 SVM이 잘못 구성될 수 있습니다.
# Active Directory 작업의 모범 사례
다음은 Amazon FSx for NetApp ONTAP SVM을 자체 관리형 Microsoft Active Directory에 조인할 때 고려해야 할 몇 가지 제안 및 지침입니다. 이는 모범 사례로 권장되지만 필수 사항은 아닙니다.
**Topics**
+ [
## Amazon FSx 서비스 계정에 권한 위임
](#connect_delegate_privileges)
+ [
## Amazon FSx를 사용하여 Active Directory 구성을 최신 상태로 유지
](#keep-ad-config-updated)
+ [
## 보안 그룹을 사용하여 VPC 내 트래픽 제한
](#least-privilege-sg-rules)
+ [
## 파일 시스템의 네트워크 인터페이스에 대한 아웃바운드 보안 그룹 규칙 생성
](#sg-rules-fsx-eni)
+ [
## 를 사용하여 Active Directory 자격 증명 저장 AWS Secrets Manager
](#bp-store-ad-creds-using-secret-manager)
## Amazon FSx 서비스 계정에 권한 위임
Amazon FSx에 제공하는 서비스 계정을 필요한 최소 권한으로 구성해야 합니다. 또한 조직 단위(OU)를 다른 도메인 컨트롤러 문제와 분리합니다.
Amazon FSx SVM을 도메인에 조인하려면 서비스 계정에 권한이 위임되었는지 확인해야 합니다. **Domain Admins** 그룹의 구성원은 이 작업을 수행할 수 있는 충분한 권한을 가지고 있습니다. 그러나 이 작업에 필요한 최소 권한만을 가진 서비스 계정을 사용하는 것이 모범 사례입니다. 다음 절차는 FSx for ONTAP SVM을 도메인에 조인하는 데 필요한 권한만 위임하는 방법을 보여줍니다.
이 절차는 디렉터리에 조인되고 Active Directory User and Computers MMC 스냅인이 설치된 머신에서 수행합니다.
**Microsoft Active Directory 도메인의 서비스 계정을 생성하려면**AD에 대한 서비스 계정 생성
1. Microsoft Active Directory 도메인의 도메인 관리자로 로그인했는지 확인합니다.
1. **Active Directory User and Computers** MMC 스냅인을 엽니다.
1. 작업 창에서 도메인 노드를 확장합니다.
1. 수정하려는 OU에 대한 컨텍스트 메뉴(마우스 오른쪽 버튼 클릭)를 찾아 연 다음 **제어 위임**을 선택합니다.
1. **제어 위임 마법사** 페이지에서 **다음**을 선택합니다.
1. **추가**를 선택하여 **선택된 사용자 및 그룹**에 특정 사용자 또는 특정 그룹을 추가한 후 **다음**을 선택합니다.
1. **위임할 작업** 페이지에서 **위임할 사용자 지정 작업 만들기**를 선택하고 **다음**을 선택합니다.
1. **폴더의 다음 객체만**을 선택한 후 **컴퓨터 객체**를 선택합니다.
1. **이 폴더에서 선택한 객체 생성**을 선택한 후 **이 폴더에서 선택한 객체 삭제**를 선택합니다. 그리고 **다음**을 선택합니다.
1. **이러한 권한 표시**에서 **일반** 및 **속성별** 이 선택되어 있는지 확인합니다.
1. **권한**에서 다음을 선택합니다.
+ **암호 재설정**
+ **읽기 및 쓰기 계정 제한**
+ **DNS 호스트 이름에 대한 검증된 쓰기**
+ **서비스 보안 주체 이름에 대한 검증된 쓰기**
+ **msDS -SupportedEncryptionTypes 쓰기**
1. **다음**을 선택한 후 **완료**를 선택합니다.
1. **Active Directory User and Computers** MMC 스냅인을 닫습니다.
**중요**
SVM이 생성된 후 Amazon FSx가 OU에 생성한 컴퓨터 객체를 이동하지 않습니다. 그러면 SVM이 잘못 구성될 수 있습니다.
## Amazon FSx를 사용하여 Active Directory 구성을 최신 상태로 유지
Amazon FSx SVM을 중단 없이 사용할 수 있도록 하려면 자체 관리형 AD 설정을 변경할 때 SVM의 자체 관리형 Active Directory(AD) 구성을 업데이트합니다.
예를 들어 AD가 시간 기반 암호 재설정 정책을 사용한다고 가정합니다. 이 경우 암호가 재설정되는 즉시 Amazon FSx로 서비스 계정 암호를 업데이트해야 합니다. 이렇게 하려면 Amazon FSx 콘솔, Amazon FSx API 또는를 사용합니다 AWS CLI. 마찬가지로 Active Directory 도메인의 DNS 서버 IP 주소가 변경되는 경우 변경이 발생하는 즉시 Amazon FSx로 DNS 서버 IP 주소를 업데이트합니다.
업데이트된 자체 관리형 Active Directory 구성에 문제가 있는 경우 SVM 상태가 **잘못 구성됨**으로 전환됩니다. 이 상태에는 콘솔, API 및 CLI의 SVM 설명 옆에 오류 메시지와 권장 조치가 표시됩니다. SVM의 AD 구성에 문제가 발생하는 경우 구성 속성에 대해 권장되는 수정 조치를 취해야 합니다. 문제가 해결되면 SVM의 상태가 **생성됨**으로 변경되는지 확인합니다.
자세한 내용은 [AWS Management Console AWS CLI및 API를 사용하여 기존 SVM Active Directory 구성 업데이트](update-svm-ad-config.md) 및 [ONTAP CLI를 사용하여 Active Directory 구성 수정](manage-svm-ad-config-ontap-cli.md#using-ontap-cli-to-modify-ad) 섹션을 참조하세요.
## 보안 그룹을 사용하여 VPC 내 트래픽 제한
Virtual Private Cloud(VPC)에서 네트워크 트래픽을 제한하기 위해 VPC에 최소 권한 원칙을 구현할 수 있습니다. 다시 말해, 권한을 필요한 최소 권한으로 제한할 수 있습니다. 이렇게 하려면 보안 그룹 규칙을 사용합니다. 자세한 내용은 [Amazon VPC 보안 그룹](limit-access-security-groups.md#fsx-vpc-security-groups) 섹션을 참조하세요.
## 파일 시스템의 네트워크 인터페이스에 대한 아웃바운드 보안 그룹 규칙 생성
보안을 강화하려면 아웃바운드 트래픽 규칙을 사용하여 보안 그룹을 구성하는 것이 좋습니다. 이러한 규칙은 아웃바운드 트래픽을 자체 관리형 AD 도메인 컨트롤러에만 허용하거나 서브넷 또는 보안 그룹 내에서만 허용해야 합니다. Amazon FSx 파일 시스템의 탄력적 네트워크 인터페이스와 연결된 VPC에 이 보안 그룹을 적용합니다. 자세한 내용은 [Amazon VPC를 사용한 파일 시스템 액세스 제어](limit-access-security-groups.md)를 참조하세요.
## 를 사용하여 Active Directory 자격 증명 저장 AWS Secrets Manager
AWS Secrets Manager 를 사용하여 Microsoft Active Directory 도메인 조인 서비스 계정 자격 증명을 안전하게 저장하고 관리할 수 있습니다. 이 접근 방식을 사용하면 애플리케이션 코드 또는 구성 파일에 민감한 자격 증명을 일반 텍스트로 저장할 필요가 없으므로 보안 태세가 강화됩니다.
보안 암호에 대한 액세스를 관리하도록 IAM 정책을 구성하고 암호에 대한 자동 교체 정책을 설정할 수도 있습니다.
### 에 Active Directory 자격 증명 저장 AWS Secrets Manager (콘솔)
#### 1단계: KMS 키 생성
KMS 키를 생성하여 Secrets Manager에서 Active Directory 자격 증명을 암호화하고 해독합니다.
**키 생성**
**참고**
**암호화 키**의 경우 새 키를 생성하고 AWS 기본 KMS 키를 사용하지 마십시오. Active Directory에 조인하려는 SVM이 포함된 동일한 리전 AWS KMS key 에서를 생성해야 합니다.
1. https://console.aws.amazon.com/kms AWS KMS 콘솔을 엽니다.
1. **키 생성**을 선택합니다.
1. **키 유형**에 대해 **대칭**을 선택합니다.
1. **키 사용**에서 **암호화 및 암호 해독**을 선택합니다.
1. **고급 옵션**에서 다음을 수행합니다.
1. **키 구성 요소 오리진**에서 **KMS**를 선택합니다.
1. **리전 구분**에서 **단일 리전 키**를 선택하고 **다음**을 선택합니다.
1. **다음**을 선택합니다.
1. **별칭**의 경우 KMS 키의 이름을 입력합니다.
1. (선택 사항) **설명**에 KMS 키에 대한 설명을 입력합니다.
1. (선택 사항) **태그**의 경우 KMS 키에 태그를 지정하고 **다음**을 선택합니다.
1. (선택 사항) **키 관리자**의 경우 이 키를 관리할 권한이 있는 IAM 사용자 및 역할을 제공합니다.
1. **키 삭제**의 경우 **키 관리자가 이 키를 삭제하도록 허용** 확인란을 선택한 상태로 유지하고 **다음**을 선택합니다.
1. (선택 사항) **키 사용자**의 경우 암호화 작업에 이 키를 사용할 권한이 있는 IAM 사용자 및 역할을 제공합니다. **다음**을 선택합니다.
1. **키 정책**의 경우 **편집**을 선택하고 정책 **설명**에 다음을 포함하여 Amazon FSx가 KMS 키를 사용하도록 허용하고 **다음**을 선택합니다. *us-west-2*를 파일 시스템이 배포 AWS 리전 된 로 바꾸고 *123456789012*을 AWS 계정 ID로 바꿔야 합니다.
```
{
"Sid": "Allow FSx to use the KMS key",
"Version": "2012-10-17",
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-west-2.amazonaws.com",
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:fsx:us-west-2:123456789012:file-system/*",
"arn:aws:fsx:us-west-2:123456789012:storage-virtual-machine/fs-*/svm-*"
]
}
}
}
```
1. **마침**을 클릭합니다.
**참고**
특정 보안 암호 및 파일 시스템을 대상으로 `Resource` 및 `aws:SourceArn` 필드를 수정하여 보다 세분화된 액세스 제어를 설정할 수 있습니다.
#### 2단계: AWS Secrets Manager 보안 암호 생성
**보안 암호 생성**
1. [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)에서 Secrets Manager 콘솔을 엽니다.
1. **새 보안 암호 저장**을 선택합니다.
1. **보안 암호 유형**에서 **다른 유형의 보안 암호**를 선택합니다.
1. **키/값 쌍**의 경우 다음을 수행하여 2개의 키를 추가합니다.
1. 첫 번째 키에는 `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`를 입력합니다.
1. 첫 번째 키 값에는 AD 사용자의 사용자 이름(도메인 접두사 제외)만 입력합니다.
1. 두 번째 키에는 `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`를 입력합니다.
1. 두 번째 키의 값으로 도메인의 AD 사용자에 대해 생성한 암호를 입력합니다.
1. **암호화 키**에는 이전 단계에서 생성한 KMS 키의 ARN을 입력하고 **다음**을 선택합니다.
1. **보안 암호 이름**에는 나중에 암호를 찾는 데 도움이 되는 설명이 포함된 이름을 입력합니다.
1. (선택 사항) **설명**에 보안 암호 이름에 대한 설명을 입력합니다.
1. **리소스 권한**의 경우 **편집**을 선택합니다.
권한 정책에 다음 정책을 추가하여 Amazon FSx가 보안 암호를 사용하도록 허용한 후 **다음**을 선택합니다. *us-west-2*를 파일 시스템이 배포 AWS 리전 된 로 바꾸고 *123456789012*을 AWS 계정 ID로 바꿔야 합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:fsx:us-west-2:123456789012:file-system/*",
"arn:aws:fsx:us-west-2:123456789012:storage-virtual-machine/fs-*/svm-*"
]
}
}
}
]
}
```
1. (선택 사항) 자격 증명을 자동으로 교체하도록 Secrets Manager를 구성할 수 있습니다. **다음**을 선택합니다.
1. **마침**을 클릭합니다.
### 에 Active Directory 자격 증명 저장 AWS Secrets Manager (CLI)
#### 1단계: KMS 키 생성
KMS 키를 생성하여 Secrets Manager에서 Active Directory 자격 증명을 암호화하고 해독합니다.
KMS 키를 생성하려면 AWS CLI 명령 [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html)를 사용합니다.
이 명령에서 `--policy` 파라미터를 설정하여 KMS 키에 대한 권한을 정의하는 키 정책을 지정합니다. 정책이 다음을 포함해야 합니다.
+ Amazon FSx의 서비스 보안 주체(`fsx.amazonaws.com`).
+ 필수 KMS 작업: `kms:Decrypt` 및 `kms:DescribeKey`.
+ AWS 리전 및 계정에 대한 리소스 ARN 패턴입니다.
+ 키 사용을 제한하는 조건 키:
+ `kms:ViaService` - Secrets Manager를 통해 요청이 들어오도록 함.
+ `aws:SourceAccount` - 사용자 계정으로 제한함.
+ `aws:SourceArn` - 특정 Amazon FSx 파일 시스템으로 제한함.
다음 예제에서는 Amazon FSx가 복호화 및 키 설명 작업에 키를 사용하도록 허용하는 정책을 사용하여 대칭 암호화 KMS 키를 생성합니다. 명령은 AWS 계정 ID와 리전을 자동으로 검색한 다음 이러한 값으로 키 정책을 구성하여 Amazon FSx, Secrets Manager 및 KMS 키 간의 적절한 액세스 제어를 보장합니다. AWS CLI 환경이 Active Directory에 조인할 SVM과 동일한 리전에 있는지 확인합니다.
```
# Set region and get Account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Create Key
KMS_KEY_ARN=$(aws kms create-key --policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Sid\": \"Enable IAM User Permissions\",
\"Effect\": \"Allow\",
\"Principal\": {
\"AWS\": \"arn:aws:iam::$ACCOUNT_ID:root\"
},
\"Action\": \"kms:*\",
\"Resource\": \"*\"
},
{
\"Sid\": \"Allow FSx to use the KMS key\",
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"kms:Decrypt\",
\"kms:DescribeKey\"
],
\"Resource\": \"*\",
\"Condition\": {
\"StringEquals\": {
\"kms:ViaService\": \"secretsmanager.$REGION.amazonaws.com\",
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": [
\"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\",
\"arn:aws:fsx:$REGION:$ACCOUNT_ID:storage-virtual-machine/fs-*/svm-*\"]
}
}
}
]
}" --query 'KeyMetadata.Arn' --output text)
echo "KMS Key ARN: $KMS_KEY_ARN"
```
**참고**
특정 보안 암호 및 파일 시스템을 대상으로 `Resource` 및 `aws:SourceArn` 필드를 수정하여 보다 세분화된 액세스 제어를 설정할 수 있습니다.
#### 2단계: AWS Secrets Manager 보안 암호 생성
Amazon FSx가 Active Directory에 액세스할 수 있는 보안 암호를 생성하려면 AWS CLI 명령 [create-secret](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/create-secret.html)을 사용하고 다음 파라미터를 설정합니다.
+ `--name`: 보안 암호의 식별자입니다.
+ `--description`: 보안 암호의 용도에 대한 설명입니다.
+ `--kms-key-id`: 저장 시 보안 암호를 암호화하기 위해 [1단계](#create-kms-key-cli)에서 생성한 KMS 키의 ARN입니다.
+ `--secret-string`: AD 자격 증명을 다음 형식으로 포함하는 JSON 문자열입니다.
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`: `svc-fsx`와 같이 도메인 접두사가 없는 AD 서비스 계정 사용자 이름입니다. `CORP\svc-fsx`와 같은 도메인 접두사를 제공하지 **마세요**.
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`: AD 서비스 계정 암호
+ `--region`: SVM이 생성될 AWS 리전 입니다. `AWS_REGION`이 설정되지 않은 경우 기본적으로 구성된 리전으로 설정됩니다.
보안 암호를 생성한 후 [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/logs/put-resource-policy.html) 명령을 사용하여 리소스 정책을 연결하고 다음 파라미터를 설정합니다.
+ `--secret-id`: 정책을 연결할 보안 암호의 이름 또는 ARN입니다. 다음 예제에서는 **FSxSecret**을 `--secret-id`로 사용합니다.
+ `--region`: 보안 암호 AWS 리전 와 동일합니다.
+ `--resource-policy`: 보안 암호에 액세스할 수 있는 권한을 Amazon FSx에 부여하는 JSON 정책 문서입니다. 정책이 다음을 포함해야 합니다.
+ Amazon FSx의 서비스 보안 주체(**fsx.amazonaws.com**).
+ 필수 Secrets Manager 작업: `secretsmanager:GetSecretValue` 및 `secretsmanager:DescribeSecret`.
+ AWS 리전 및 계정에 대한 리소스 ARN 패턴입니다.
+ 액세스를 제한하는 다음 조건 키:
+ `aws:SourceAccount` - 사용자 계정으로 제한함.
+ `aws:SourceArn` - 특정 Amazon FSx 파일 시스템으로 제한함.
다음 예제에서는 필수 형식으로 보안 암호를 생성하고 Amazon FSx가 보안 암호를 사용하도록 허용하는 리소스 정책을 연결합니다. 이 예제에서는 AWS 계정 ID와 리전을 자동으로 검색한 다음 Amazon FSx와 보안 암호 간의 적절한 액세스 제어를 보장하기 위해 이러한 값으로 리소스 정책을 구성합니다.
`KMS_KEY_ARN`을 [1단계](#create-kms-key-cli)에서 생성한 키의 ARN으로 바꾸고 `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME` 및 `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`를 Active Directory 서비스 계정 자격 증명으로 바꿔야 합니다. 또한 Active Directory에 조인할 SVM과 동일한 리전에 대해 AWS CLI 환경이 구성되어 있는지 확인합니다.
```
# Set region and get account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Replace with your KMS key ARN from Step 1
KMS_KEY_ARN="arn:aws:kms:us-east-2:123456789012:key/1234542f-d114-555b-9ade-fec3c9200d8e"
# Replace with your Active Directory credentials
AD_USERNAME="Your_Username"
AD_PASSWORD="Your_Password"
# Create the secret
SECRET_ARN=$(aws secretsmanager create-secret \
--name "FSxSecret" \
--description "Secret for FSx access" \
--kms-key-id "$KMS_KEY_ARN" \
--secret-string "{\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"$AD_USERNAME\",\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"$AD_PASSWORD\"}" \
--region "$REGION" \
--query 'ARN' \
--output text)
echo "Secret created with ARN: $SECRET_ARN"
# Attach the resource policy with proper formatting
aws secretsmanager put-resource-policy \
--secret-id "FSxSecret" \
--region "$REGION" \
--resource-policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"secretsmanager:GetSecretValue\",
\"secretsmanager:DescribeSecret\"
],
\"Resource\": \"$SECRET_ARN\",
\"Condition\": {
\"StringEquals\": {
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": [
\"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\",
\"arn:aws:fsx:$REGION:$ACCOUNT_ID:storage-virtual-machine/fs-*/svm-*\"]
}
}
}
]
}"
echo "Resource policy attached successfully"
```
**참고**
특정 보안 암호 및 파일 시스템을 대상으로 `Resource` 및 `aws:SourceArn` 필드를 수정하여 보다 세분화된 액세스 제어를 설정할 수 있습니다.
# SVMs Microsoft Active Directory에 조인하는 방법
조직은 온프레미스든 클라우드든 상관없이 Active Directory를 사용하여 ID와 디바이스를 관리할 수 있습니다. FSx for ONTAP을 사용하면 다음과 같은 방법으로 SVM을 기존 Active Directory 도메인에 직접 조인할 수 있습니다.
+ 생성 시 Active Directory에 새 SVMs 조인:
+ Amazon FSx 콘솔의 **표준 생성** 옵션을 사용하여 새 FSx for ONTAP 파일 시스템을 생성하면 기본 SVM을 자체 관리형 Active Directory에 조인할 수 있습니다. 자세한 내용은 [파일 시스템 생성(콘솔)](creating-file-systems.md#create-MAZ-file-system-console) 단원을 참조하십시오.
+ Amazon FSx 콘솔 AWS CLI또는 Amazon FSx API를 사용하여 기존 FSx for ONTAP 파일 시스템에 새 SVM을 생성합니다. 자세한 내용은 [스토리지 가상 머신 생성(SVM)](creating-svms.md) 단원을 참조하십시오.
+ 기존 SVM을 Active Directory에 가입.
+ AWS Management Console AWS CLI및 API를 사용하여 SVM을 Active Directory에 조인하고, 초기 조인 시도가 실패한 경우 SVM을 Active Directory에 다시 조인합니다. 이미 Active Directory에 조인된 SVM의 일부 Active Directory 구성 속성을 업데이트할 수도 있습니다. 자세한 내용은 [SVM Active Directory 구성 관리](manage-svm-ad-config.md) 단원을 참조하십시오.
+ NetApp ONTAP CLI 및 REST API를 사용하여 SVM을 Active Directory에 조인, 조인 재시도, 조인 해제하는 구성을 관리합니다. 자세한 내용은 [NetApp CLI를 사용하여 SVM Active Directory 구성 업데이트](manage-svm-ad-config-ontap-cli.md) 단원을 참조하십시오.
**중요**
Amazon FSx는 Microsoft DNS를 기본 DNS 서비스로 사용하는 경우에만 SVM에 대한 DNS 레코드를 등록합니다. 서드 파티 DNS를 사용하는 경우 Amazon FSx SVM을 생성한 후 수동으로 DNS 항목을 설정해야 합니다.
를 사용하는 경우 AWS 위임된 FSx 관리자, AWS 위임된 관리자 또는 OU에 위임된 권한이 있는 사용자 지정 그룹과 같은 그룹을 지정해야 AWS Managed Microsoft AD합니다.
FSx for ONTAP SVM을 자체 관리형 Active Directory에 직접 조인하는 경우 SVM은 동일한 Active Directory 포리스트(도메인, 사용자, 컴퓨터를 포함하는 Active Directory 구성의 최상위 논리적 컨테이너)와 사용자 및 기존 리소스(기존 파일 서버 포함)와 동일한 Active Directory 도메인에 있습니다.
## SVM을 Active Directory에 조인할 때 필요한 정보
선택한 API 작업과 관계없이 SVM을 Active Directory에 조인할 때는 Active Directory에 대해 다음 정보를 제공해야 합니다.
+ SVM에 대해 생성할 Active Directory 컴퓨터 객체의 NetBIOS 이름. Active Directory의 SVM 이름이며 Active Directory 내에서 고유해야 합니다. 홈 도메인의 NetBIOS 이름을 사용하지 않습니다. NetBIOS 이름은 15자를 초과할 수 없습니다.
+ Active Directory의 정규화된 도메인 이름(FQDN). FQDN은 255자를 초과할 수 없습니다.
**참고**
FQDN은 단일 레이블 도메인(SLD) 형식일 수 없습니다. Amazon FSx는 현재 SLD 도메인을 지원하지 않습니다.
+ 도메인의 DNS 서버 또는 도메인 호스트의 IP 주소 최대 3개.
DNS 서버 IP 주소 및 Active Directory 도메인 컨트롤러 IP 주소는 다음을 제외한 모든 IP 주소 범위에 속할 수 있습니다.
+ 해당 AWS 리전에서 Amazon Web Service가 소유한 IP 주소와 충돌하는 IP 주소입니다. 리전별 AWS IP 주소 목록은 [AWS IP 주소 범위를](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html) 참조하세요.
+ 다음 CIDR 블록 범위의 IP 주소: 198.19.0.0/16
+ Amazon FSx가 SVM을 도메인에 조인하는 데 사용하는 Active Directory 서비스 계정의 자격 증명입니다. 다음 중 하나로 제공할 수 있습니다.
+ **옵션 1:** AWS Secrets Manager 비밀 ARN - Active Directory 도메인의 서비스 계정에 대한 사용자 이름과 암호를 포함하는 보안 암호입니다. 자세한 내용은 [를 사용하여 Active Directory 자격 증명 저장 AWS Secrets Manager](self-managed-AD-best-practices.md#bp-store-ad-creds-using-secret-manager) 단원을 참조하십시오.
+ **옵션 2**: 일반 텍스트 자격 증명
+ **서비스 계정 사용자 이름** - 기존 Microsoft Active Directory에 있는 서비스 계정의 사용자 이름입니다. 도메인 접두사나 접미사를 포함하지 않습니다. 예를 들어 `EXAMPLE\ADMIN`에는 `ADMIN`만 사용합니다.
+ **서비스 계정 암호** - 서비스 계정의 암호입니다.
+ (선택 사항) SVM에 조인하는 도메인의 조직 단위(OU)입니다.
**참고**
SVM을 AWS Directory Service Active Directory에 조인하는 경우가 관련된 디렉터리 객체에 대해 Directory Service 생성하는 기본 OU 내에 있는 OU를 제공해야 합니다 AWS. 이는가 Active Directory의 기본 `Computers` OU에 대한 액세스를 제공하지 Directory Service 않기 때문입니다. 예를 들어 Active Directory 도메인이 `example.com`인 경우 `OU=Computers,OU=example,DC=example,DC=com` OU를 지정할 수 있습니다.
+ (선택 사항) 파일 시스템에서 관리 작업을 수행할 권한을 위임하는 도메인 그룹. 예를 들어 이 도메인 그룹은 Windows SMB 파일 공유를 관리하고 파일 및 폴더의 소유권을 가져오는 등의 작업을 수행할 수 있습니다. 이 그룹을 지정하지 않으면 Amazon FSx는 기본적으로 Active Directory 도메인의 도메인 관리 그룹에 이 권한을 위임합니다.
# SVM Active Directory 구성 관리
이 섹션에서는 AWS Management Console, AWS CLI, FSx API 및 ONTAP CLI를 사용하여 다음을 수행하는 방법을 설명합니다.
+ 기존 SVM을 Active Directory에 가입하기
+ 기존 SVM Active Directory 구성 수정
+ Active Directory에서 SVMs 제거
Active Directory에서 SVM을 제거하려면 NetApp ONTAP CLI를 사용해야 합니다.
**Topics**
+ [
# AWS Management Console AWS CLI 및 API를 사용하여 Active Directory에 SVMs 조인
](join-svm-to-ad.md)
+ [
# AWS Management Console AWS CLI및 API를 사용하여 기존 SVM Active Directory 구성 업데이트
](update-svm-ad-config.md)
+ [
# NetApp CLI를 사용하여 SVM Active Directory 구성 업데이트
](manage-svm-ad-config-ontap-cli.md)
# AWS Management Console AWS CLI 및 API를 사용하여 Active Directory에 SVMs 조인
기존 SVM을 Active Directory에 조인하려면 다음 절차를 따릅니다. 이 절차에서는 SVM이 아직 Active Directory에 조인하지 *않았습니다*.
**Active Directory(AWS Management Console)에 SVM 조인**
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)에서 Amazon FSx 콘솔을 엽니다.
1. 다음과 같이 Active Directory에 조인할 SVM을 선택합니다.
+ 왼쪽 탐색 창에서 **파일 시스템**을 선택한 후 업데이트하려는 SVM이 있는 ONTAP 파일 시스템을 선택합니다.
+ **스토리지 가상 머신** 탭을 선택합니다.
또는
+ 사용 가능한 모든 SVM 목록을 표시하려면 왼쪽 탐색 창에서 **ONTAP**을 확장하고 **스토리지 가상 머신**을 선택합니다. 의 계정에 SVMs 목록이 AWS 리전 표시됩니다.
목록에서 Active Directory에 조인할 SVM을 선택합니다.
1. SVM **요약** 패널의 오른쪽 상단에서 **작업** > **Active Directory 조인/업데이트**를 선택합니다. **Active Directory에 SVM 연결** 창이 표시됩니다.
1. SVM에 조인하려는 Active Directory에 대해 다음 정보를 입력합니다.
+ SVM에 대해 생성할 Active Directory 컴퓨터 객체의 **NetBIOS 이름**. Active Directory의 SVM 이름이며 Active Directory 내에서 고유해야 합니다. 홈 도메인의 NetBIOS 이름을 사용하지 않습니다. NetBIOS 이름은 15자를 초과할 수 없습니다.
+ Active Directory의 **정규화된 도메인 이름(FQDN)**. 도메인 이름은 255자를 초과할 수 없습니다.
+ **DNS 서버 IP 주소** - 도메인의 DNS 서버의 IPv4 또는 IPv6 주소입니다.
+ **서비스 계정 자격 증명** - 서비스 계정 자격 증명을 제공하는 방법을 선택합니다.
+ **옵션 1**: AWS Secrets Manager 비밀 ARN - Active Directory 도메인의 서비스 계정에 대한 사용자 이름과 암호가 포함된 보안 암호입니다. 자세한 내용은 [를 사용하여 Active Directory 자격 증명 저장 AWS Secrets Manager](self-managed-AD-best-practices.md#bp-store-ad-creds-using-secret-manager) 단원을 참조하십시오.
+ **옵션 2**: 일반 텍스트 자격 증명
+ **서비스 계정 사용자 이름** - 기존 Microsoft Active Directory에 있는 서비스 계정의 사용자 이름입니다. 도메인 접두사나 접미사를 포함하지 않습니다. 예를 들어 `EXAMPLE\ADMIN`에는 `ADMIN`만 사용합니다.
+ **서비스 계정 암호** - 서비스 계정의 암호입니다.
+ **암호 확인** - 서비스 계정의 암호입니다.
+ **Secrets Manager에서 관리**(기본값) - 서비스 계정 자격 증명이 포함된 Secrets Manager 보안 암호의 ARN을 제공합니다. 보안 암호에는 키-값 페어 `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME` 및 `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`가 포함되어야 합니다.
+ (선택 사항) **조직 단위(OU)** - SVM에 조인할 조직 단위의 고유 경로 이름입니다.
+ **위임된 파일 시스템 관리자 그룹** - Active Directory에서 파일 시스템을 관리할 수 있는 그룹의 이름입니다.
를 사용하는 경우 AWS 위임된 FSx 관리자 AWS Managed Microsoft AD, AWS 위임된 관리자 또는 OU에 위임된 권한이 있는 사용자 지정 그룹과 같은 그룹을 지정해야 합니다.
자체 관리형 Active Directory에 조인하는 경우 Active Directory에 있는 그룹의 이름을 사용합니다. 기본 그룹은 `Domain Admins`입니다.
1. 제공한 구성을 사용하여 SVM을 Active Directory에 조인하려면 **Active Directory 조인**을 선택합니다.
**SVM을 Active Directory에 조인하려면(AWS CLI)**
+ FSx for ONTAP SVM을 Active Directory에 조인하려면 다음 예제와 같이 [update-storage-virtual machine](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-storage-virtual-machine.html) CLI 명령(또는 이에 상응하는 [UpdateStorageVirtualMachine](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateStorageVirtualMachine.html) API 작업)을 사용합니다.
```
aws fsx update-storage-virtual-machine \
--storage-virtual-machine-id svm-abcdef0123456789a\
--active-directory-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \
OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",\
FileSystemAdministratorsGroup="FSxAdmins",UserName="FSxService",\
Password="password", \
DnsIps=["10.0.1.18"]}',NetBiosName=amznfsx12345
```
스토리지 가상 머신을 생성한 후 Amazon FSx는 다음 예제와 같이 JSON 형식으로 설명을 반환합니다.
```
{
"StorageVirtualMachine": {
"ActiveDirectoryConfiguration": {
"NetBiosName": "amznfsx12345",
"SelfManagedActiveDirectoryConfiguration": {
"UserName": "Admin",
"DnsIps": [
"10.0.1.3",
"10.0.91.97"
],
"OrganizationalUnitDistinguishedName": "OU=Computers,OU=customer-ad,DC=customer-ad,DC=example,DC=com",
"DomainName": "customer-ad.example.com"
}
}
"CreationTime": 1625066825.306,
"Endpoints": {
"Management": {
"DnsName": "svm-abcdef0123456789a.fs-0123456789abcdef0.fsx.us-east-1.amazonaws.com",
"IpAddressses": ["198.19.0.4"]
},
"Nfs": {
"DnsName": "svm-abcdef0123456789a.fs-0123456789abcdef0.fsx.us-east-1.amazonaws.com",
"IpAddressses": ["198.19.0.4"]
},
"Smb": {
"DnsName": "amznfsx12345",
"IpAddressses": ["198.19.0.4"]
},
"SmbWindowsInterVpc": {
"IpAddressses": ["198.19.0.5", "198.19.0.6"]
},
"Iscsi": {
"DnsName": "iscsi.svm-abcdef0123456789a.fs-0123456789abcdef0.fsx.us-east-1.amazonaws.com",
"IpAddressses": ["198.19.0.7", "198.19.0.8"]
}
},
"FileSystemId": "fs-0123456789abcdef0",
"Lifecycle": "CREATED",
"Name": "vol1",
"ResourceARN": "arn:aws:fsx:us-east-1:123456789012:storage-virtual-machine/fs-0123456789abcdef0/svm-abcdef0123456789a",
"StorageVirtualMachineId": "svm-abcdef0123456789a",
"Subtype": "default",
"Tags": [],
}
}
```
# AWS Management Console AWS CLI및 API를 사용하여 기존 SVM Active Directory 구성 업데이트
다음 절차를 사용하여 이미 Active Directory에 조인된 SVM의 Active Directory 구성을 업데이트합니다.
**SVM Active Directory 구성(AWS Management Console)을 업데이트하려면**
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)에서 Amazon FSx 콘솔을 엽니다.
1. 다음과 같이 업데이트할 SVM을 선택합니다.
+ 왼쪽 탐색 창에서 **파일 시스템을** 선택한 후 업데이트하려는 SVM이 있는 ONTAP 파일 시스템을 선택합니다.
+ **스토리지 가상 머신** 탭을 선택합니다.
또는
+ 사용 가능한 모든 SVM 목록을 표시하려면 왼쪽 탐색 창에서 **ONTAP**을 확장하고 **스토리지 가상 머신**을 선택합니다.
목록에서 업데이트할 SVM을 선택합니다.
1. SVM **요약** 패널에서 **작업** > **Active Directory 조인/업데이트**를 선택합니다. **SVM Active Directory 구성 업데이트** 창이 표시됩니다.
1. 이 창에서 다음과 같은 Active Directory 구성 속성을 업데이트할 수 있습니다.
+ **DNS 서버 IP 주소** - 도메인의 DNS 서버의 IPv4 또는 IPv6 주소입니다.
+ **서비스 계정 자격 증명** - 서비스 계정 자격 증명을 제공하는 방법을 선택합니다.
+ **옵션 1**: AWS Secrets Manager 비밀 ARN - Active Directory 도메인의 서비스 계정에 대한 사용자 이름과 암호가 포함된 보안 암호입니다. 자세한 내용은 [를 사용하여 Active Directory 자격 증명 저장 AWS Secrets Manager](self-managed-AD-best-practices.md#bp-store-ad-creds-using-secret-manager) 단원을 참조하십시오.
+ **옵션 2**: 일반 텍스트 자격 증명
+ **서비스 계정 사용자 이름** - 기존 Microsoft Active Directory에 있는 서비스 계정의 사용자 이름입니다. 도메인 접두사나 접미사를 포함하지 않습니다. 예를 들어 `EXAMPLE\ADMIN`에는 `ADMIN`만 사용합니다.
+ **서비스 계정 암호** - 서비스 계정의 암호입니다.
+ **암호 확인** - 서비스 계정의 암호입니다.
1. 업데이트를 입력한 후 **Active Directory 업데이트**를 선택하여 변경합니다.
다음 절차를 사용하여 이미 Active Directory에 조인된 SVM의 Active Directory 구성을 업데이트합니다.
**SVM Active Directory 구성(AWS CLI)을 업데이트하려면**
+ AWS CLI 또는 API를 사용하여 SVM의 Active Directory 구성을 업데이트하려면 다음 예제와 같이 [update-storage-virtual-machine](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-storage-virtual-machine.html) CLI 명령(또는 동등한 [UpdateStorageVirtualMachine](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateStorageVirtualMachine.html) API 작업)을 사용합니다.
```
aws fsx update-storage-virtual-machine \
--storage-virtual-machine-id svm-abcdef0123456789a\
--active-directory-configuration \
SelfManagedActiveDirectoryConfiguration='{UserName="FSxService",\
Password="password", \
DnsIps=["10.0.1.18"]}'
```
# NetApp CLI를 사용하여 SVM Active Directory 구성 업데이트
NetApp ONTAP CLI를 사용하여 SVM을 Active Directory에 조인 및 조인 해제하고 기존 SVM Active Directory 구성을 수정할 수 있습니다.
## ONTAP CLI를 사용하여 SVM을 Active Directory에 가입하기
다음 절차의 설명에 따라 ONTAP CLI를 사용하여 기존 SVM을 Active Directory에 조인할 수 있습니다. SVM이 이미 Active Directory에 조인된 경우에도 이 작업을 수행할 수 있습니다.
1. ONTAP CLI에 액세스하려면 다음 명령을 실행하여 Amazon FSx for NetApp ONTAP 파일 시스템 또는 SVM의 관리 포트에 SSH 세션을 설정합니다. `management_endpoint_ip`를 파일 시스템의 관리 포트의 IP 주소로 바꿉니다.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
자세한 내용은 [ONTAP CLI를 사용한 파일 시스템 관리](managing-resources-ontap-apps.md#fsxadmin-ontap-cli) 단원을 참조하십시오.
1. 전체 디렉터리 DNS 이름(`corp.example.com`) 및 하나 이상의 DNS 서버 IP 주소를 제공하여 Active Directory용 DNS 항목을 생성합니다.
```
::>vserver services name-service dns create -vserver svm_name -domains corp.example.com -name-servers dns_ip_1, dns_ip_2
```
DNS 서버에 대한 연결을 확인하려면 다음 명령을 실행합니다. *svm\$1name*을 사용자의 정보로 바꿉니다.
```
FsxId0ae30e5b7f1a50b6a::>vserver services name-service dns check -vserver svm_name
Name Server
Vserver Name Server Status Status Details
------------- --------------- ------------ --------------------------
svm_name 172.31.14.245 up Response time (msec): 0
svm_name 172.31.25.207 up Response time (msec): 1
2 entries were displayed.
```
1. SVM을 Active Directory에 조인하려면 다음 명령을 실행합니다. Active Directory에 아직 존재하지 않는 `computer_name`을 지정하고 `-domain`의 디렉터리 DNS 이름을 제공해야 한다는 점에 유의하세요. `-OU`의 경우 SVM이 조인할 OU 및 전체 DNS 이름을 DC 형식으로 입력합니다.
```
::>vserver cifs create -vserver svm_name -cifs-server computer_name -domain corp.example.com -OU OU=Computers,OU=example,DC=corp,DC=example,DC=com
```
Active Directory 연결 상태를 확인하려면 다음 명령을 실행합니다.
```
::>vserver cifs check -vserver svm_name
Vserver : svm_name
Cifs NetBIOS Name : svm_netBIOS_name
Cifs Status : Running
Site : Default-First-Site-Name
Node Name DC Server Name DC Server IP Status Status Details
--------------- -------------- --------------- ------ --------------
FsxId0ae30e5b7f1a50b6a-01
corp.example.com
172.31.14.245 up Response time (msec): 5
FsxId0ae30e5b7f1a50b6a-02
corp.example.com
172.31.14.245 up Response time (msec): 20
2 entries were displayed.
```
1. 이 조인 후에 공유에 액세스할 수 없는 경우 공유에 액세스하는 데 사용하는 계정에 권한이 있는지 확인합니다. 예를 들어 AWS 관리형 Active Directory에서 기본 `Admin` 계정(위임된 관리자)을 사용하는 경우 ONTAP에서 다음 명령을 실행해야 합니다. `netbios_domain`은 Active Directory의 도메인 이름(`corp.example.com`의 경우 여기서 사용되는 `netbios_domain`은 `example`임)과 일치합니다.
```
FsxId0123456789a::>vserver cifs users-and-groups local-group add-members -vserver svm_name -group-name BUILTIN\Administrators -member-names netbios_domain\admin
```
## ONTAP CLI를 사용하여 Active Directory 구성 수정
ONTAP CLI를 사용하여 기존 Active Directory 구성을 수정할 수 있습니다.
1. ONTAP CLI에 액세스하려면 다음 명령을 실행하여 Amazon FSx for NetApp ONTAP 파일 시스템 또는 SVM의 관리 포트에 SSH 세션을 설정합니다. `management_endpoint_ip`를 파일 시스템의 관리 포트의 IP 주소로 바꿉니다.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
자세한 내용은 [ONTAP CLI를 사용한 파일 시스템 관리](managing-resources-ontap-apps.md#fsxadmin-ontap-cli) 단원을 참조하십시오.
1. 다음 명령을 실행하여 SVM의 CIFS 서버를 일시적으로 가동 중지합니다.
```
FsxId0123456789a::>vserver cifs modify -vserver svm_name -status-admin down
```
1. Active Directory의 DNS 항목을 수정해야 하는 경우 다음 명령을 실행합니다.
```
::>vserver services name-service dns modify -vserver svm_name -domains corp.example.com -name-servers dns_ip_1,dns_ip_2
```
`vserver services name-service dns check -vserver svm_name` 명령을 사용하여 Active Directory의 DNS 서버에 대한 연결 상태를 확인할 수 있습니다.
```
::>vserver services name-service dns check -vserver svm_name
Name Server
Vserver Name Server Status Status Details
------------- --------------- ------------ --------------------------
svmciad dns_ip_1 up Response time (msec): 1
svmciad dns_ip_2 up Response time (msec): 1
2 entries were displayed.
```
1. Active Directory 구성 자체를 수정해야 하는 경우 다음 명령에서 기존 필드를 변경할 수 있습니다.
+ SVM의 NetBIOS(시스템 계정) 이름을 수정하려는 경우 *computer\$1name*을 변경.
+ 도메인 이름을 수정하려는 경우 *domain\$1name*을 변경. 이는 이 섹션의 3단계에 기록된 DNS 도메인 항목(`corp.example.com`)과 일치해야 합니다.
+ OU(`OU=Computers,OU=example,DC=corp,DC=example,DC=com`)를 수정하려는 경우 `organizational_unit`을 변경.
이 디바이스를 Active Directory에 연결하는 데 사용한 Active Directory 보안 인증을 다시 입력해야 합니다.
```
::>vserver cifs modify -vserver svm_name -cifs-server computer_name -domain domain_name -OU organizational_unit
```
`vserver cifs check -vserver svm_name` 명령을 사용하여 Active Directory 연결의 연결 상태를 확인할 수 있습니다.
1. Active Directory 및 DNS 구성 수정을 완료하면 다음 명령을 실행하여 CIFS 서버의 가동을 재개합니다.
```
::>vserver cifs modify -vserver svm_name -status-admin up
```
## NetApp ONTAP CLI를 사용하여 SVM에서 Active Directory 조인 해제
NetApp ONTAP CLI를 사용하여 아래 단계에 따라 Active Directory에서 SVM을 조인 해제할 수도 있습니다.
1. ONTAP CLI에 액세스하려면 다음 명령을 실행하여 Amazon FSx for NetApp ONTAP 파일 시스템 또는 SVM의 관리 포트에 SSH 세션을 설정합니다. `management_endpoint_ip`를 파일 시스템의 관리 포트의 IP 주소로 바꿉니다.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
자세한 내용은 [ONTAP CLI를 사용한 파일 시스템 관리](managing-resources-ontap-apps.md#fsxadmin-ontap-cli) 단원을 참조하십시오.
1. 다음 명령을 실행하여 Active Directory에서 디바이스 조인을 해제한 CIFS 서버를 삭제합니다. ONTAP에서 SVM의 시스템 계정을 삭제하도록 하려면 원래 SVM을 Active Directory에 조인하는 데 사용한 보안 인증을 제공합니다.
```
FsxId0123456789a::>vserver cifs modify -vserver svm_name -status-admin down
```
1. Active Directory의 DNS 항목을 수정해야 하는 경우 다음 명령을 실행합니다.
```
FsxId0123456789a::vserver cifs delete -vserver svm_name
In order to delete an Active Directory machine account for the CIFS server, you must supply the name and password of a Windows account with
sufficient privileges to remove computers from the "CORP.ADEXAMPLE.COM" domain.
Enter the user name: user_name
Enter the password:
Warning: There are one or more shares associated with this CIFS server
Do you really want to delete this CIFS server and all its shares? {y|n}: y
```
1. 다음 명령을 실행하여 Active Directory용 DNS 서버를 삭제합니다.
```
::vserver services name-service dns delete -vserver svm_name
```
다음과 같이 `ns-switch`로 구성된 `dns`를 제거해야 한다는 경고 메시지가 표시되고 이 디바이스를 Active Directory에 다시 조인할 계획이 없는 경우 `ns-switch` 항목을 제거할 수 있습니다.
```
Warning: "DNS" is present as one of the sources in one or more ns-switch databases but no valid DNS configuration was found for Vserver
"svm_name". Remove "DNS" from ns-switch using the "vserver services name-service ns-switch" command. Configuring "DNS" as a source
in the ns-switch setting when there is no valid configuration can cause protocol access issues.
```
1. (선택 사항) 다음 명령을 실행하여 `dns`에 대한 `ns-switch` 항목을 제거합니다. 소스 순서를 확인한 다음 나열된 다른 소스만 `sources`에 포함되도록 수정하여 `hosts` 데이터베이스의 `dns` 항목을 제거합니다. 이 예제에서 유일한 다른 소스는 `files`입니다.
```
::>vserver services name-service ns-switch show -vserver svm_name -database hosts
Vserver: svm_name
Name Service Switch Database: hosts
Name Service Source Order: files, dns
```
```
::>vserver services name-service ns-switch modify -vserver svm_name -database hosts -sources files
```
1. (선택 사항) 데이터베이스 호스트의 `sources`가 `files`만 포함하도록 수정하여 `dns` 항목을 제거합니다.
```
::>vserver services name-service ns-switch modify -vserver svm_name -database hosts -sources files
```