本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 為您的 WorkSpaces 集區目錄指定 Active Directory 詳細資訊
<a name="pools-service-account-details"></a>

在本主題中，我們會示範如何在 ** WorkSpaces 主控台的建立 WorkSpaces 集區目錄**頁面中指定 Active Directory WorkSpaces詳細資訊。建立 WorkSpaces 集區目錄時，如果您計劃搭配 WorkSpaces 集區使用 AD，則應指定 AD 詳細資訊。您無法在建立 WorkSpaces 集區目錄之後編輯其 **Active Directory Config**。以下是**建立 WorkSpaces 集區目錄**頁面的 **Active Directory Config** 區段範例。

![\[建立 WorkSpaces 集區目錄頁面的 Active Directory Config 區段\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/pools-wsp-active-directory-config.png)


**注意**  
建立 WorkSpaces 集區目錄的完整程序概述於 [設定 SAML 2.0 並建立 WorkSpaces 集區目錄](create-directory-pools.md)主題。本頁概述的程序僅代表建立 WorkSpaces 集區目錄的完整程序步驟子集。

**Topics**
+ [指定 AD 的組織單位和目錄網域名稱](#pools-specify-ou-and-directory-domain)
+ [為您的 AD 指定服務帳戶](#pools-specify-access-account)

## 指定 AD 的組織單位和目錄網域名稱
<a name="pools-specify-ou-and-directory-domain"></a>

完成下列程序，在**建立 WorkSpaces 集區目錄頁面中指定 AD 的組織單位 (OU) 和目錄**網域名稱。

1. 針對**組織單位**，輸入集區所屬的 OU。WorkSpace 機器帳戶會放置在您為 WorkSpaces 集區目錄指定的組織單位 (OU) 中。
**注意**  
OU 名稱不可包含有空格。如果您指定包含空格的 OU 名稱，當其嘗試重新加入 Active Directory 網域時，WorkSpaces 無法正確循環電腦物件，且網域重新加入無法運作。

1. 在**目錄網域名稱**中，輸入 Active Directory 網域的完整網域名稱 (FQDN) （例如 `corp.example.com`)。每個 AWS 區域只能有一個具有特定目錄名稱的目錄組態值。
   + 您可以將 WorkSpaces 集區目錄加入 Microsoft Active Directory 中的網域。您也可以使用現有的 Active Directory 網域，無論是雲端或內部部署，來啟動加入網域的 WorkSpaces。
   + 您也可以使用 AWS Directory Service for Microsoft Active Directory AWS Managed Microsoft AD來建立 Active Directory 網域。然後，您可以使用該網域來支援 WorkSpaces 資源。
   + 透過將 WorkSpaces 加入 Active Directory 網域，您可以：
     + 允許使用者和應用程式存取 Active Directory 資源，例如來自串流工作階段的印表機和檔案共用。
     + 使用群組政策管理主控台 (GPMC) 中可用的群組政策設定，定義最終使用者體驗。
     + 串流需要使用者利用其 Active Directory 登入資料進行身分驗證的應用程式。
     + 將企業合規和安全性政策套用至 WorkSpaces 串流執行個體。

1. 對於**服務帳戶**，請繼續前往此頁面的[為您的 AD 指定服務帳戶](#pools-specify-access-account)下一節。

## 為您的 AD 指定服務帳戶
<a name="pools-specify-access-account"></a>

當您為 WorkSpaces 集區設定 Active Directory (AD) 做為目錄建立程序的一部分時，您必須指定要用於管理 AD 的 AD 服務帳戶。這需要您提供服務帳戶登入資料，這些登入資料必須存放在 中， AWS Secrets Manager 並使用 a AWS Key Management Service (AWS KMS) 客戶受管金鑰加密。在本節中，我們會示範如何建立 AWS KMS 客戶受管金鑰和 Secrets Manager 秘密，以存放您的 AD 服務帳戶憑證。

### 步驟 1：建立 AWS KMS 客戶受管金鑰
<a name="pools-create-kms-cust-managed-key"></a>

完成下列程序以建立 AWS KMS 客戶受管金鑰

1. 在 https：//[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 開啟 AWS KMS 主控台。

1. 若要變更 AWS 區域，請使用頁面右上角的區域選擇器。

1. 選擇**建立金鑰**，然後選擇**下一步**。

1. 為金鑰類型選擇**對稱**，並為金鑰用量選擇**加密和解密**，然後選擇**下一步**。

1. 輸入金鑰的別名，例如 `WorkSpacesPoolDomainSecretKey`，然後選擇**下一步**。

1. 請勿選擇金鑰管理員。選擇 **Next** (下一步) 繼續。

1. 請勿定義金鑰使用許可。選擇 **Next** (下一步) 繼續。

1. 在頁面的金鑰政策區段中，新增下列項目：

   ```
           {
               "Sid": "Allow access for Workspaces SP",
               "Effect": "Allow",
               "Principal": {
                   "Service": "workspaces.amazonaws.com"
               },
               "Action": "kms:Decrypt",
               "Resource": "*"
           }
   ```

   結果應如下所示。  
![\[AWS KMS 金鑰政策的範例。\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/kms-key-policy-for-wsp-pools-service-account.png)

1. 選擇**完成**。

   您的 AWS KMS 客戶受管金鑰現在已準備好與 Secrets Manager 搭配使用。繼續前往此頁面的 [步驟 2：建立 Secrets Manager 秘密以存放 AD 服務帳戶登入資料](#pools-create-asm-secret)區段。

### 步驟 2：建立 Secrets Manager 秘密以存放 AD 服務帳戶登入資料
<a name="pools-create-asm-secret"></a>

完成下列程序，以建立 Secrets Manager 秘密來存放 AD 服務帳戶登入資料。

1. 在 https：//[https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/) 開啟 AWS Secrets Manager 主控台。

1. 選擇 **Create a new secret (建立新的私密金鑰)**。

1. 選擇**其他類型的秘密**。

1. 對於第一個索引鍵/值對，輸入 `Service Account Name` 表示索引鍵，輸入 表示值的服務帳戶名稱，例如 `domain\username`。

1. 針對第二個金鑰/值對，輸入金鑰`Service Account Password`的 ，以及該值的服務帳戶密碼。

1. 針對加密金鑰，選擇您先前建立 AWS KMS 的客戶受管金鑰，然後選擇**下一步**。

1. 輸入秘密的名稱，例如 `WorkSpacesPoolDomainSecretAD`。

1. 在頁面的資源許可區段中選擇**編輯****許可**。

1. 輸入下列許可政策：

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": [
                       "workspaces.amazonaws.com"
                   ]
               },
               "Action": "secretsmanager:GetSecretValue",
               "Resource": "*"
           }
       ]
   }
   ```

------

1. 選擇**儲存**以儲存許可政策。

1. 選擇 **Next** (下一步) 繼續。

1. 請勿設定自動輪換。選擇 **Next** (下一步) 繼續。

1. 選擇**儲存**以完成儲存您的秘密。

您的 AD 服務帳戶登入資料現在存放在 Secrets Manager 中。繼續前往此頁面的 [步驟 3：選取包含 AD 服務帳戶詳細資訊的 Secrets Manager 秘密](#continue-creating-pools-directory)區段。

### 步驟 3：選取包含 AD 服務帳戶詳細資訊的 Secrets Manager 秘密
<a name="continue-creating-pools-directory"></a>

完成下列程序，以選取您在 WorkSpaces 集區目錄的 Active Directory 組態中建立的 Secrets Manager 秘密。
+ 針對**服務帳戶**，選擇包含您服務帳戶登入資料的 AWS Secrets Manager 秘密。如果您尚未建立秘密，請完成以下步驟。秘密必須使用 AWS Key Management Service 客戶受管金鑰加密。

現在您已完成**建立 WorkSpaces 集區目錄**頁面的 **Active Directory Config** 區段中的所有欄位，您可以繼續建立 WorkSpaces 集區目錄。前往 [步驟 4：建立 WorkSpace 集區目錄](create-directory-pools.md#saml-directory-create-wsp-pools-directory) 並在程序的步驟 9 開始。