本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为 P WorkSpaces ools 目录指定活动目录的详细信息
<a name="pools-service-account-details"></a>

在本主题中，我们将向您展示如何在 WorkSpaces 控制台的 “**创建 WorkSpaces 池目录**” 页面中指定 Active Directory (AD) 详细信息。在创建 WorkSpaces 池目录时，如果您计划在 WorkSpaces 池中使用 AD，则应指定 AD 详细信息。创建 WorkSpaces 池**目录的 Active Directory Config** 后，就无法对其进行编辑。以下是 “**创建 WorkSpaces 池目录****” 页面的 Active Directory Config** 部分的示例。

![\[创建 WorkSpaces 池目录页面的 Active Directory Config 部分\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/pools-wsp-active-directory-config.png)


**注意**  
[配置 SAML 2.0 并创建 WorkSpaces 池目录](create-directory-pools.md)主题概述了创建 WorkSpaces 池目录的完整过程。本页概述的过程仅代表创建 WorkSpaces 池目录的完整过程中的一部分步骤。

**Topics**
+ [为 AD 指定组织部门和目录域名](#pools-specify-ou-and-directory-domain)
+ [为 AD 指定服务账户](#pools-specify-access-account)

## 为 AD 指定组织部门和目录域名
<a name="pools-specify-ou-and-directory-domain"></a>

完成以下步骤，在 “**创建 WorkSpaces 池目录” 页面中为 AD 指定组织单位 (OU) 和目录**域名。

1. 在**组织单位**中，输入池所属的 OU。 WorkSpace 计算机帐户位于您为 WorkSpaces 池目录指定的组织单位 (OU) 中。
**注意**  
OU 名称中不得包含空格。如果您指定包含空格的 OU 名称，则当它尝试重新加入 Active Directory 域时，将 WorkSpaces 无法正确循环使用计算机对象，并且无法重新加入域。

1. 对于**目录域名**，输入 Active Directory 域的完全限定域名（FQDN）(例如，`corp.example.com`)。每个 AWS 区域只能有一个带有特定目录名称的目录配置值。
   + 你可以将你的 WorkSpaces 池目录加入到 Microsoft 活动目录中的域中。您还可以使用现有的 Active Directory 域（基于云或本地）来启动已加入域 WorkSpaces名。
   + 也可以使用 AWS Directory Service for Microsoft Active Directory（也称为 AWS Managed Microsoft AD）来创建 Active Directory 域。然后，您可以使用该域来支持您的 WorkSpaces 资源。
   +  WorkSpaces 加入您的活动目录域名后，您可以：
     + 允许您的用户和应用程序从流式传输会话访问 Active Directory 资源（如打印机和文件共享）。
     + 使用组策略管理控制台 (GPMC) 中可用的组策略设置定义最终用户体验。
     + 流式传输需要用户使用 Active Directory 登录凭证进行身份验证的应用程序。
     + 将企业合规性和安全策略应用于您的 WorkSpaces 流实例。

1. 对于**服务账户**，继续执行本页的下一节[为 AD 指定服务账户](#pools-specify-access-account)。

## 为 AD 指定服务账户
<a name="pools-specify-access-account"></a>

在目录创建过程中为 WorkSpaces 池配置 Active Directory (AD) 时，必须指定用于管理 AD 的 AD 服务帐户。这要求您提供服务帐号凭证，这些凭据必须存储在客户托管密钥中 AWS Secrets Manager 并使用 AWS Key Management Service (AWS KMS) 客户托管密钥进行加密。在本节中，我们将向您展示如何创建 AWS KMS 客户托管密钥和 Secrets Manager 密钥来存储您的 AD 服务帐号凭证。

### 步骤 1：创建 AWS KMS 客户托管密钥
<a name="pools-create-kms-cust-managed-key"></a>

完成以下步骤以创建 AWS KMS 客户托管密钥

1. 在 [https://console.aws.amazon.com/km AWS KMS](https://console.aws.amazon.com/kms) s 处打开控制台。

1. 要更改 AWS 区域，请使用页面右上角的区域选择器。

1. 选择**创建密钥**，然后选择**下一步**。

1. 为密钥类型选择**对称**，为密钥使用选择**加密和解密**，然后选择**下一步**。

1. 输入密钥的别名，例如 `WorkSpacesPoolDomainSecretKey`，然后选择**下一步**。

1. 不要选择密钥管理员。选择**下一步**以继续。

1. 不要定义密钥使用权限。选择**下一步**以继续。

1. 在该页面的“密钥策略”部分，添加以下内容：

   ```
           {
               "Sid": "Allow access for Workspaces SP",
               "Effect": "Allow",
               "Principal": {
                   "Service": "workspaces.amazonaws.com"
               },
               "Action": "kms:Decrypt",
               "Resource": "*"
           }
   ```

   结果应该类似以下示例。  
![\[AWS KMS 密钥策略的示例。\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/kms-key-policy-for-wsp-pools-service-account.png)

1. 选择**结束**。

   您的 AWS KMS 客户托管密钥现在可以与 Secrets Manager 一起使用了。继续执行本页的[步骤 2：创建 Secrets Manager 密钥来存储 AD 服务账户凭证](#pools-create-asm-secret)一节。

### 步骤 2：创建 Secrets Manager 密钥来存储 AD 服务账户凭证
<a name="pools-create-asm-secret"></a>

完成以下步骤，创建 Secrets Manager 密钥来存储您的 AD 服务账户凭证。

1. 打开 AWS Secrets Manager 控制台，网址为[https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)。

1. 选择 **Create a new secret (创建新密钥)**。

1. 选择**其他密钥类型**。

1. 对于第一 key/value 对，输入`Service Account Name`密钥和值的服务帐号名称，例如`domain\username`。

1. 对于第二 key/value 对，`Service Account Password`为密钥输入 a，为值输入服务帐户的密码。

1. 对于加密密钥，请选择您之前创建的 AWS KMS 客户托管密钥，然后选择**下一步**。

1. 输入密钥的名称，例如 `WorkSpacesPoolDomainSecretAD`。

1. 在该页面的**资源权限**部分，选择**编辑权限**。

1. 输入以下权限策略：

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": [
                       "workspaces.amazonaws.com"
                   ]
               },
               "Action": "secretsmanager:GetSecretValue",
               "Resource": "*"
           }
       ]
   }
   ```

------

1. 选择**保存**以保存权限策略。

1. 选择**下一步**以继续。

1. 不要配置自动轮换。选择**下一步**以继续。

1. 选择**存储**，以完成您密钥的存储。

您的 AD 服务账户凭证现存储在 Secrets Manager 中。继续执行本页的[步骤 3：选择包含您的 AD 服务账户凭证的 Secrets Manager 密钥](#continue-creating-pools-directory)一节。

### 步骤 3：选择包含您的 AD 服务账户凭证的 Secrets Manager 密钥
<a name="continue-creating-pools-directory"></a>

完成以下过程，选择你在 Active Directory 配置中为 WorkSpaces 池目录创建的 Secrets Manager 密钥。
+ 对于**服务帐号**，请选择包含您的服务帐号凭据的 AWS Secrets Manager 密钥。完成以下步骤，创建密钥（如果尚未执行此操作）。必须使用 AWS Key Management Service 客户管理的密钥对密钥进行加密。

现在，您已经完成了 “**创建 WorkSpaces 池目录” 页面的 Active Director** **y Config** 部分中的所有字段，您可以继续完成 WorkSpaces 池目录的创建。转至[步骤 4：创建 WorkSpace 池目录](create-directory-pools.md#saml-directory-create-wsp-pools-directory)，并从该过程的步骤 9 开始。