기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AD용 Connector 설정
이 섹션의 단계는 AD용 커넥터를 사용하기 위한 사전 조건입니다. 이미 AWS 계정을 생성했다고 가정합니다. 이 페이지의 단계를 완료한 후 AD용 커넥터 생성을 시작할 수 있습니다.
## 1단계:를 사용하여 프라이빗 CA 생성 AWS Private CA
디렉터리 객체에 인증서를 발급하기 위한 사설 인증 기관(CA)을 설정합니다. 자세한 내용은 [의 인증 기관 AWS Private CA](creating-managing.md) 단원을 참조하십시오.
AD용 커넥터를 생성하려면 프라이빗 CA가 `Active` 상태여야 합니다. 프라이빗 CA의 보안 주체 이름에는 일반 이름이 포함되어야 합니다. 일반 이름이 없는 프라이빗 CA를 사용하여 커넥터를 만들려고 하면 커넥터 생성이 실패합니다.
## 2단계: Active Directory 설정
프라이빗 CA 외에도 Virtual Private Cloud(VPC)에 Active Directory가 필요합니다. AD용 커넥터는 Directory Service에서 제공하는 다음과 같은 디렉터리 유형을 지원합니다.
+ [AWS 관리형 Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad):를 Directory Service 사용하면 Microsoft Active Directory(AD)를 관리형 서비스로 실행할 수 있습니다. AWS Directory Service for Microsoft Active Directory 라고도 하는 AWS Managed Microsoft AD는 Windows Server 2019로 구동됩니다. 를 사용하면 Microsoft Sharepoint AWS 클라우드및 사용자 지정 .Net 및 SQL Server 기반 애플리케이션을 포함하여에서 디렉터리 인식 워크로드를 실행할 AWS Managed Microsoft AD수 있습니다.
+ [Active Directory Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector): AD Connector는 클라우드에 정보를 캐싱하지 않고 디렉터리 요청을 온프레미스 Microsoft Active Directory로 리디렉션할 수 있는 디렉터리 게이트웨이입니다. AD Connector는 Amazon EC2에 호스팅된 도메인으로의 연결을 지원합니다.
## (Active Directory 커넥터만 해당) 3단계: 서비스 계정에 권한 위임
**참고**
사용 중인 경우 디렉터리 AWS Managed Microsoft AD 로 AD용 커넥터 서비스에 권한을 부여하면 추가 권한이 자동으로 위임됩니다. 이 사전 필수 단계를 건너뛸 수 있습니다.
Directory Service AD Connector를 사용하는 경우 서비스 계정에 추가 권한을 위임해야 합니다. 서비스 계정에 액세스 제어 목록(ACL)을 설정하여 다음 기능을 허용합니다.
+ 서비스 보안 주체 이름(SPN)을 자체 추가 및 제거합니다.
+ 다음 컨테이너에서 인증 기관을 생성하고 업데이트합니다.
```
#containers
CN=Public Key Services,CN=Services,CN=Configuration
CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration
CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration
```
+ NTAuthCertificate 인증 기관(CA) 객체를 생성하고 업데이트합니다. 참고: NTAuthCertificate CA 객체가 있는 경우 해당 객체에 대한 권한을 위임해야 합니다. 객체가 없는 경우 퍼블릭 키 서비스 컨테이너에 하위 객체를 생성할 권한을 위임해야 합니다.
```
#objects
CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration
```
공식 [Active Directory용 커넥터 리포지토리](https://github.com/aws-samples/sample-aws-privateca-connector-for-active-directory)에서 사용할 수 있는 PowerShell 스크립트를 사용하여 Directory Service AD Connector 서비스 계정에 필요한 추가 권한을 위임할 수 있습니다.
이 스크립트는 NTAuthCertificates 인증 기관 객체를 생성합니다.
최신 버전의 스크립트 및 사용 세부 정보는 [GitHub 리포지토리](https://github.com/aws-samples/sample-aws-privateca-connector-for-active-directory)의 README를 참조하세요.
## 4단계: IAM 정책 생성
AD용 커넥터를 만들려면 커넥터 리소스를 만들고, 프라이빗 CA를 AD용 커넥터 서비스와 공유하고, 디렉터리를 통해 AD용 커넥터 서비스를 승인할 수 있는 IAM 정책이 필요합니다.
다음은 사용자 관리형 정책의 예제입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "pca-connector-ad:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"acm-pca:DescribeCertificateAuthority",
"acm-pca:GetCertificate",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:ListCertificateAuthorities",
"acm-pca:ListTags",
"acm-pca:PutPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "acm-pca:IssueCertificate",
"Resource": "*",
"Condition": {
"ArnLike": {
"acm-pca:TemplateArn": "arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V*"
},
"ForAnyValue:StringEquals": {
"aws:CalledVia": "pca-connector-ad.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:DescribeDirectories",
"ds:ListTagsForResource",
"ds:UnauthorizeApplication",
"ds:UpdateAuthorizedApplication"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ec2:DeleteVpcEndpoints"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeTags",
"ec2:DeleteTags",
"ec2:CreateTags"
],
"Resource": "arn:*:ec2:*:*:vpc-endpoint/*"
}
]
}
```
------
AD용 커넥터에는 콘솔 및 명령줄 사용에 대한 추가 AWS RAM 권한이 필요합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ram:CreateResourceShare",
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"ram:Principal": "pca-connector-ad.amazonaws.com",
"ram:RequestedResourceType": "acm-pca:CertificateAuthority"
}
}
},
{
"Effect": "Allow",
"Action": [
"ram:GetResourcePolicies",
"ram:GetResourceShareAssociations",
"ram:GetResourceShares",
"ram:ListPrincipals",
"ram:ListResources",
"ram:ListResourceSharePermissions",
"ram:ListResourceTypes"
],
"Resource": "*"
}
]
}
```
------
## 5단계: AD용 커넥터와 프라이빗 CA 공유
AWS Resource Access Manager 서비스 보안 주체 공유를 사용하여 커넥터 서비스와 프라이빗 CA를 공유해야 합니다.
AWS 콘솔에서 커넥터를 생성하면 리소스 공유가 자동으로 생성됩니다.
를 사용하여 리소스 공유를 생성할 때 **create-resource-share** 명령을 AWS CLI AWS RAM 사용합니다.
다음 명령은 리소스 공유를 생성합니다.
```
$ aws ram create-resource-share \
--region us-east-1 \
--name MyPcaConnectorAdResourceShare \
--permission-arns arn:aws:ram::aws:permission/AWSRAMBlankEndEntityCertificateAPIPassthroughIssuanceCertificateAuthority \
--resource-arns arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
--principals pca-connector-ad.amazonaws.com \
--sources account
```
CreateConnector를 호출하는 서비스 보안 주체는 PCA에 대한 인증서 발급 권한을 가집니다. AD용 커넥터를 사용하는 서비스 보안 주체가 AWS Private CA 리소스에 대한 일반적인 액세스 권한을 갖지 못하도록 하려면 `CalledVia`를 사용하여 해당 사용 권한을 제한합니다.
## 6단계: 디렉터리 등록 생성
커넥터가 디렉터리와 통신할 수 있도록 디렉터리로 AD용 커넥터 서비스를 승인합니다. AD용 커넥터 서비스를 승인하려면 디렉터리 등록을 생성해야 합니다. 디렉터리 등록 생성에 대한 자세한 내용은 [디렉터리 등록 관리](directory-registration.md) 섹션을 참조하세요.
## 7단계: 보안 그룹 구성
VPC와 AD 커넥터용 커넥터 간의 통신은를 통해 이루어 AWS PrivateLink지므로 VPC에서 포트 443 TCP를 여는 인바운드 규칙이 있는 보안 그룹(들)이 필요합니다. 커넥터를 생성하는 경우 이 보안 그룹을 입력하라는 메시지가 표시됩니다. 소스를 사용자 지정으로 지정하고 VPC의 CIDR 블록을 선택할 수 있습니다. 이를 더 제한하도록 선택할 수 있습니다(예: IP, CIDR, 보안 그룹 ID).
## 8단계: 디렉터리 객체에 대한 네트워크 액세스 구성
디렉터리 객체는 다음 도메인에서 온라인 인증서 상태 프로토콜(OCSP) 및 인증서 해지 목록(CRLs)을 검증하기 위해 퍼블릭 인터넷 액세스가 필요합니다.
```
*.windowsupdate.com
*.amazontrust.com
```
최소 필수 액세스 규칙:
+ OCSP 및 CRL 통신에 필요합니다.
```
TCP 80: (HTTP) to 0.0.0.0/0
```
+ AD용 커넥터에 필요합니다.
```
TCP 443: (HTTPS) to 0.0.0.0/0
```
+ Active Directory에 필요:
```
TCP 88: (Kerberos) to Domain Controller IP range
TCP/UDP 389/636: (LDAP/LDAPS) to Domain Controller IP range, depending on Domain Controller configuration
TCP/UDP 53: (DNS) to 0.0.0.0/0
```
디바이스에 퍼블릭 인터넷 액세스 권한이 없는 경우 오류 코드와 함께 인증서 발급이 간헐적으로 실패합니다. ` WS_E_OPERATION_TIMED_OUT. `
**참고**
Amazon EC2 인스턴스에 대한 보안 그룹을 구성하는 경우 7단계에서 동일한 그룹일 필요는 없습니다.