Nahtloses Hinzufügen einer Amazon EC2 Linux-Instance zu Ihrem AWS Managed Microsoft AD Active Directory - AWS Directory Service
VoraussetzungenTreten Sie Ihrer Linux-Instance nahtlos bei

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Nahtloses Hinzufügen einer Amazon EC2 Linux-Instance zu Ihrem AWS Managed Microsoft AD Active Directory

Durch dieses Verfahren wird eine Amazon EC2 Linux-Instance nahtlos mit Ihrem AWS verwalteten Microsoft AD Active Directory verbunden. Wenn Sie einen nahtlosen Domänenbeitritt über mehrere AWS Konten hinweg durchführen müssen, können Sie optional die gemeinsame Nutzung von Verzeichnissen aktivieren.

Die folgenden Linux-Instance-Distributionen und -Versionen werden unterstützt:

  • Amazon Linux AMI 2018.03.0

  • Amazon Linux 2 (64-Bit x86)

  • RedHat Enterprise Linux 8 (HVM) (64-Bit-x86)

  • Ubuntu Server 18.04 LTS und Ubuntu Server 16.04 LTS

  • CentOS 7 x86-64

  • SUSELinux Unternehmensserver 15 SP1

Anmerkung

Versionen vor Ubuntu 14 und Red Hat Enterprise Linux 7 unterstützen das Feature der nahtlosen Domainverbindung nicht.

Eine Demonstration des Prozesses zum nahtlosen Hinzufügen einer Linux-Instanz zu Ihrem AWS verwalteten Microsoft AD Active Directory finden Sie im folgenden YouTube Video.

Voraussetzungen

Bevor Sie einen nahtlosen Domänenbeitritt zu einer Linux-Instance einrichten können, müssen Sie die Verfahren in diesem Abschnitt abschließen.

Ihr Servicekonto für die nahtlose Domainverbindung auswählen

Sie können Linux-Computer nahtlos mit Ihrem AWS Managed Microsoft AD verbinden Active Directory Domäne. Dazu müssen Sie ein Benutzerkonto mit der Berechtigung zum Erstellen von Computerkonten verwenden, um die Rechner mit der Domain zu verbinden. Obwohl Mitglieder der AWS delegierten Administratoren oder anderer Gruppen über ausreichende Berechtigungen verfügen, um Computer mit der Domain zu verbinden, raten wir davon ab, diese zu verwenden. Als bewährte Methode empfehlen wir Ihnen, ein Servicekonto zu verwenden, das über die erforderlichen Mindestberechtigungen verfügt, um die Computer mit der Domain zu verbinden.

Um ein Konto mit den Mindestberechtigungen zu delegieren, die für den Beitritt der Computer zur Domäne erforderlich sind, können Sie die folgenden PowerShell Befehle ausführen. Sie müssen diese Befehle von einem mit der Domain verbundenen Windows-Computer ausführen, auf dem Installation der Active Directory-Verwaltungstools für AWS verwaltetes Microsoft AD installiert ist. Darüber hinaus müssen Sie ein Konto verwenden, das die Berechtigung hat, die Berechtigungen für Ihre Computer-OU oder Ihren Container zu ändern. Der PowerShell Befehl legt Berechtigungen fest, die es dem Dienstkonto ermöglichen, Computerobjekte im Standardcomputercontainer Ihrer Domäne zu erstellen.

$AccountName = 'awsSeamlessDomain'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module 'ActiveDirectory'
$Domain = Get-ADDomain -ErrorAction Stop
$BaseDn = $Domain.DistinguishedName
$ComputersContainer = $Domain.ComputersContainer
$SchemaNamingContext = Get-ADRootDSE | Select-Object -ExpandProperty 'schemaNamingContext'
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $SchemaNamingContext -Filter { lDAPDisplayName -eq 'Computer' } -Properties 'schemaIDGUID').schemaIDGUID
# Getting Service account Information.
$AccountProperties = Get-ADUser -Identity $AccountName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
# Getting ACL settings for the Computers container.
$ObjectAcl = Get-ACL -Path "AD:\$ComputersContainer" 
# Setting ACL allowing the service account the ability to create child computer objects in the Computers container.
$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'CreateChild', 'Allow', $ServicePrincipalNameGUID, 'All'
$ObjectAcl.AddAccessRule($AddAccessRule)
Set-ACL -AclObject $ObjectAcl -Path "AD:\$ComputersContainer"

Wenn Sie lieber eine grafische Benutzeroberfläche (GUI) verwenden möchten, können Sie das unter beschriebene manuelle Verfahren verwendenZuweisen von Berechtigungen zu Ihrem Servicekonto.

Die Secrets zum Speichern des Domain-Servicekontos erstellen

Sie können das Domänendienstkonto AWS Secrets Manager zum Speichern verwenden.

So erstellen Sie Secrets und speichern die Kontoinformationen des Domainservices

  1. Melden Sie sich bei an AWS Management Console und öffnen Sie die AWS Secrets Manager Konsole unter https://console.aws.amazon.com/secretsmanager/.

  2. Wählen Sie Store a new secret (Ein neues Secret speichern).

  3. Gehen Sie auf der Seite Neues Geheimnis speichern wie folgt vor:

    1. Wählen Sie unter Geheimtyp die Option Andere Art von Geheimnissen aus.

    2. Gehen Sie unter Schlüssel/Wert-Paare wie folgt vor:

      1. Geben Sie im ersten Feld awsSeamlessDomainUsername ein. Geben Sie in derselben Zeile im nächsten Feld den Benutzernamen für Ihr Dienstkonto ein. Wenn Sie den PowerShell Befehl beispielsweise zuvor verwendet haben, wäre der Name des DienstkontosawsSeamlessDomain.

        Anmerkung

        Sie müssen awsSeamlessDomainUsername genau so eingeben, wie er lautet. Stellen Sie sicher, dass keine führenden oder abschließenden Leerzeichen vorhanden sind. Andernfalls schlägt die Domainverbindung fehl.

        In der AWS Secrets Manager Konsole auf der Seite „Geheimtyp auswählen“. Unter Geheimtyp wird ein anderer Geheimtyp ausgewählt und awsSeamlessDomainUsername als Schlüsselwert eingegeben.

      2. Wählen Sie Zeile hinzufügen.

      3. Geben Sie in der neuen Zeile im ersten Feld awsSeamlessDomainPassword ein. Geben Sie in derselben Zeile im nächsten Feld das Passwort für Ihr Servicekonto ein.

        Anmerkung

        Sie müssen awsSeamlessDomainPassword genau so eingeben, wie er lautet. Stellen Sie sicher, dass keine führenden oder abschließenden Leerzeichen vorhanden sind. Andernfalls schlägt die Domainverbindung fehl.

      4. Behalten Sie unter Verschlüsselungsschlüssel den Standardwert beiaws/secretsmanager. AWS Secrets Manager verschlüsselt das Geheimnis immer, wenn Sie diese Option wählen. Sie können auch einen von Ihnen erstellten Schlüssel auswählen.

        Anmerkung

        Je nachdem AWS Secrets Manager, welches Geheimnis Sie verwenden, fallen Gebühren an. Die aktuelle vollständige Preisliste finden Sie unter AWS Secrets Manager – Preise.

        Sie können den AWS verwalteten Schlüsselaws/secretsmanager, den Secrets Manager erstellt, verwenden, um Ihre Geheimnisse kostenlos zu verschlüsseln. Wenn Sie Ihre eigenen KMS Schlüssel zur Verschlüsselung Ihrer Geheimnisse erstellen, wird Ihnen der aktuelle AWS KMS Tarif AWS berechnet. Weitere Informationen finden Sie unter AWS Key Management Service -Preisgestaltung.

      5. Wählen Sie Weiter.

  4. Geben Sie unter Geheimer Name einen geheimen Namen ein, der Ihre Verzeichnis-ID enthält. Verwenden Sie dabei das folgende Format und ersetzen Sie d-xxxxxxxxx mit Ihrer Verzeichnis-ID:

    aws/directory-services/d-xxxxxxxxx/seamless-domain-join

    Dies wird verwendet, um Secrets in der Anwendung abzurufen.

    Anmerkung

    Sie müssen aws/directory-services/d-xxxxxxxxx/seamless-domain-join genau so eingeben, wie es ist, aber ersetzen d-xxxxxxxxxx mit Ihrer Verzeichnis-ID. Stellen Sie sicher, dass keine führenden oder abschließenden Leerzeichen vorhanden sind. Andernfalls schlägt die Domainverbindung fehl.

    In der AWS Secrets Manager Konsole auf der Seite „Geheimes Passwort konfigurieren“. Der geheime Name wird eingegeben und hervorgehoben.

  5. Belassen Sie alles andere auf den eingestellten Standardwerte und wählen Sie dann Weiter.

  6. Wählen Sie unter Automatische Rotation konfigurieren die Option Automatische Rotation deaktivieren und wählen Sie dann Weiter.

    Sie können die Rotation für dieses Geheimnis aktivieren, nachdem Sie es gespeichert haben.

  7. Überprüfen Sie die Einstellungen und wählen Sie dann Speichern, um Ihre Änderungen zu speichern. Die Secrets-Manager-Konsole zeigt Ihnen wieder die Liste der Secrets in Ihrem Konto an, in der Ihr neues Secret nun enthalten ist.

  8. Wählen Sie Ihren neu erstellten geheimen Namen aus der Liste aus und notieren Sie sich den ARN Wert Geheim. Sie brauchen diesen im nächsten Abschnitt.

Aktivieren Sie die Rotation für das geheime Domänendienstkonto

Wir empfehlen, dass Sie die geheimen Daten regelmäßig wechseln, um Ihre Sicherheitslage zu verbessern.

Um die Rotation für das geheime Domänendienstkonto zu aktivieren

Erstellen Sie die erforderliche IAM Richtlinie und Rolle

Gehen Sie wie folgt vor, um eine benutzerdefinierte Richtlinie zu erstellen, die nur Lesezugriff auf Ihren Secrets Manager Seamless Domain Join Secret (den Sie zuvor erstellt haben) ermöglicht, und um eine neue EC2DomainJoin IAM Linux-Rolle zu erstellen.

Erstellen Sie die Secrets Manager IAM Manager-Leserichtlinie

Sie verwenden die IAM Konsole, um eine Richtlinie zu erstellen, die nur Lesezugriff auf Ihr Secrets Manager Manager-Geheimnis gewährt.

Um den Secrets Manager zu erstellen, IAM lesen Sie die Richtlinie

  1. Melden Sie sich AWS Management Console als Benutzer an, der berechtigt ist, IAM Richtlinien zu erstellen. Öffnen Sie dann die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Access Management die Option Richtlinien aus.

  3. Wählen Sie Create Policy (Richtlinie erstellen) aus.

  4. Wählen Sie die JSONRegisterkarte und kopieren Sie den Text aus dem folgenden JSON Richtliniendokument. Fügen Sie ihn dann in das JSONTextfeld ein.

    Anmerkung

    Stellen Sie sicher, dass Sie die Region und die Ressource ARN durch die tatsächliche Region und ARN das zuvor erstellte Geheimnis ersetzen.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:xxxxxxxxx:secret:aws/directory-services/d-xxxxxxxxx/seamless-domain-join"
            ]
        }
    ]
}

  5. Wählen Sie danach Next aus. Die Richtlinienvalidierung meldet mögliche Syntaxfehler. Weitere Informationen finden Sie unter IAMRichtlinien validieren.

  6. Geben Sie auf der Seite Richtlinie überprüfen einen Namen für die Richtlinie ein, z. B. SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read. Überprüfen Sie den Abschnitt Zusammenfassung, um die Berechtigungen einzusehen, die Ihre Richtlinie gewährt. Wählen Sie dann Richtlinie erstellen aus, um Ihre Änderungen zu speichern. Die neue Richtlinie erscheint in der Liste der verwalteten Richtlinien und ist nun bereit, einer Identität zugeordnet zu werden.

Anmerkung

Wir empfehlen Ihnen, eine Richtlinie pro Secret zu erstellen. Auf diese Weise wird sichergestellt, dass Instances nur auf das entsprechende Secret zugreifen können und die Auswirkungen einer Kompromittierung einer Instance minimiert werden.

Erstellen Sie die Linux-Rolle EC2DomainJoin

Sie verwenden die IAM Konsole, um die Rolle zu erstellen, die Sie für den Domänenbeitritt Ihrer EC2 Linux-Instance verwenden werden.

Um die EC2DomainJoin Linux-Rolle zu erstellen

  1. Melden Sie sich AWS Management Console als Benutzer an, der berechtigt ist, IAM Richtlinien zu erstellen. Öffnen Sie dann die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich unter Access Management die Option Rollen aus.

  3. Wählen Sie im Inhaltsbereich die Option Rolle erstellen.

  4. Wählen Sie unter Select type of trusted entity (Typ der vertrauenswürdigen Entität auswählen) die Option AWS -Service aus.

  5. Wählen Sie unter Anwendungsfall EC2die Option und dann Weiter aus.

    In der IAM Konsole auf der Seite „Vertrauenswürdige Entität auswählen“. AWS Dienst und EC2 sind ausgewählt.

  6. Gehen Sie für Filterrichtlinien wie folgt vor:

    1. Geben Sie AmazonSSMManagedInstanceCore ein. Aktivieren Sie dann das Kontrollkästchen für dieses Element in der Liste.

    2. Geben Sie AmazonSSMDirectoryServiceAccess ein. Aktivieren Sie dann das Kontrollkästchen für dieses Element in der Liste.

    3. Geben Sie SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read ein (oder den Namen der Richtlinie, die Sie im vorherigen Verfahren erstellt haben). Aktivieren Sie dann das Kontrollkästchen für dieses Element in der Liste.

    4. Nachdem Sie die drei oben aufgeführten Richtlinien hinzugefügt haben, wählen Sie Rolle erstellen aus.

    Anmerkung

    A mazonSSMDirectory ServiceAccess bietet die Berechtigungen zum Verbinden von Instanzen mit einem Active Directory verwaltet von AWS Directory Service. A mazonSSMManaged InstanceCore bietet die Mindestberechtigungen, die für die Nutzung des AWS Systems Manager Dienstes erforderlich sind. Weitere Informationen zum Erstellen einer Rolle mit diesen Berechtigungen und Informationen zu anderen Berechtigungen und Richtlinien, die Sie Ihrer IAM Rolle zuweisen können, finden Sie unter Erstellen eines IAM Instanzprofils für Systems Manager im AWS Systems Manager Benutzerhandbuch.

  7. Geben Sie im Feld Rollenname einen Namen für Ihre neue Rolle ein, z. B. LinuxEC2DomainJoin oder einen anderen Namen, den Sie bevorzugen.

  8. (Optional) Geben Sie im Feld Role description (Rollenbeschreibung) eine Beschreibung ein.

  9. (Optional) Wählen Sie unter Schritt 3: Stichwörter hinzufügen die Option Neues Tag hinzufügen aus, um Stichwörter hinzuzufügen. Tag-Schlüssel-Wert-Paare werden verwendet, um den Zugriff für diese Rolle zu organisieren, nachzuverfolgen oder zu kontrollieren.

  10. Wählen Sie Rolle erstellen.

Treten Sie Ihrer Linux-Instance nahtlos bei

Um Ihrer Linux-Instanz nahtlos beizutreten

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie in der Navigationsleiste in der Regionsauswahl dasselbe Verzeichnis aus AWS-Region wie das bestehende Verzeichnis.

  3. Wählen Sie auf dem EC2Dashboard im Abschnitt Launch instance die Option Launch instance aus.

  4. Geben Sie auf der Seite Launch a instance im Abschnitt Name und Tags den Namen ein, den Sie für Ihre EC2 Linux-Instance verwenden möchten.

  5. (Optional) Wählen Sie Zusätzliche Tags hinzufügen, um ein oder mehrere Tag-Schlüssel-Wert-Paare hinzuzufügen, um den Zugriff für diese EC2 Instance zu organisieren, zu verfolgen oder zu kontrollieren.

  6. Wählen Sie im Abschnitt Anwendungs- und Betriebssystem-Image (Amazon Machine Image) ein Linux aus, das AMI Sie starten möchten.

    Anmerkung

    Der Benutzer AMI muss die AWS Systems Manager (SSMAgent-) Version 2.3.1644.0 oder höher haben. Informationen zur Überprüfung der installierten SSM Agent-Version in Ihrem, AMI indem Sie von dort aus eine Instance startenAMI, finden Sie unter Abrufen der aktuell installierten Agent-Version. SSM Wenn Sie den SSM Agenten aktualisieren müssen, finden Sie weitere Informationen unter SSMAgent auf EC2 Linux-Instanzen installieren und konfigurieren.

    SSMverwendet das aws:domainJoin Plug-in beim Verbinden einer Linux-Instanz mit einem Active Directory Domäne. Das Plugin ändert den Hostnamen für die Linux-Instanzen in das Format EC2AMAZ -XXXXXXX. Weitere Informationen zu aws:domainJoin finden Sie in der Referenz zum AWS Systems Manager Befehlsdokument-Plug-In im AWS Systems Manager Benutzerhandbuch.

  7. Wählen Sie im Abschnitt Instance-Typ den Instance-Typ, den Sie verwenden möchten, aus der Dropdown-Liste Instance-Typ aus.

  8. Im Abschnitt Schlüsselpaar (Anmeldung) können Sie entweder ein neues Schlüsselpaar erstellen oder aus einem vorhandenen Schlüsselpaar auswählen. Um ein neues Schlüsselpaar zu erstellen, wählen Sie Neues Schlüsselpaar erstellen. Geben Sie einen Namen für das Schlüsselpaar ein und wählen Sie eine Option für den Schlüsselpaartyp und das Dateiformat des privaten Schlüssels. Um den privaten Schlüssel in einem Format zu speichern, das mit Open verwendet werden kannSSH, wählen Sie .pem. Um den privaten Schlüssel in einem Format zu speichern, das mit Pu verwendet werden kannTTY, wählen Sie .ppk. Wählen Sie Schlüsselpaar erstellen aus. Die private Schlüsseldatei wird von Ihrem Browser automatisch runtergeladen. Speichern Sie die Datei mit dem privaten Schlüssel an einem sicheren Ort.

    Wichtig

    Dies ist die einzige Möglichkeit, die private Schlüsseldatei zu speichern.

  9. Wählen Sie auf der Seite Eine Instance starten im Abschnitt Netzwerkeinstellungen die Option Bearbeiten aus. Wählen Sie aus der Dropdownliste VPC— erforderlich VPCdas Verzeichnis aus, in dem Ihr Verzeichnis erstellt wurde.

  10. Wählen Sie eines der öffentlichen Subnetze in Ihrem VPC aus der Dropdownliste Subnetz aus. Das von Ihnen gewählte Subnetz muss den gesamten externen Datenverkehr an ein Internet-Gateway weiterleiten. Ist dies nicht der Fall, können Sie keine Remote-Verbindung zur Instance einrichten.

    Weitere Informationen zum Herstellen einer Connect zu einem Internet-Gateway finden Sie unter Herstellen einer Verbindung zum Internet mithilfe eines Internet-Gateways im VPCAmazon-Benutzerhandbuch.

  11. Wählen Sie unter Öffentliche IP automatisch zuweisen die Option Aktivieren.

    Weitere Informationen zur öffentlichen und privaten IP-Adressierung finden Sie unter EC2Amazon-Instance-IP-Adressierung im EC2Amazon-Benutzerhandbuch.

  12. Für die Einstellungen zu Firewall (Sicherheitsgruppen) können Sie die Standardeinstellungen verwenden oder an Ihre Bedürfnisse angepasste Änderungen vornehmen.

  13. Für Speichereinstellungen konfigurieren können Sie die Standardeinstellungen verwenden oder an Ihre Bedürfnisse angepasste Änderungen vornehmen.

  14. Wählen Sie den Abschnitt Erweiterte Details aus und wählen Sie Ihre Domain aus der Dropdown-Liste für das Domainverbindungs-Verzeichnis aus.

    Anmerkung

    Nachdem Sie das Domain-Join-Verzeichnis ausgewählt haben, sehen Sie möglicherweise:

    Eine Fehlermeldung bei der Auswahl Ihres Domain-Join-Verzeichnisses. In Ihrem vorhandenen SSM Dokument ist ein Fehler aufgetreten.

    Dieser Fehler tritt auf, wenn der EC2 Startassistent ein vorhandenes SSM Dokument mit unerwarteten Eigenschaften identifiziert. Sie können einen der folgenden Schritte ausführen:

    • Wenn Sie das SSM Dokument bereits bearbeitet haben und die Eigenschaften erwartet werden, wählen Sie Schließen und fahren Sie fort, um die EC2 Instanz ohne Änderungen zu starten.

    • Wählen Sie den Link „Bestehendes SSM Dokument hier löschen“, um das SSM Dokument zu löschen. Dies ermöglicht die Erstellung eines SSM Dokuments mit den richtigen Eigenschaften. Das SSM Dokument wird automatisch erstellt, wenn Sie die EC2 Instanz starten.

  15. Wählen Sie zum Beispiel das IAMInstanzprofil die IAM Rolle aus, die Sie zuvor im Abschnitt Voraussetzungen erstellt haben. Schritt 2: EC2DomainJoin Linux-Rolle erstellen.

  16. Wählen Sie Launch Instance (Instance starten) aus.

Anmerkung

Wenn Sie einen nahtlosen Domänenbeitritt mit SUSE Linux durchführen, ist ein Neustart erforderlich, bevor die Authentifizierungen funktionieren. Um vom Linux-Terminal SUSE aus neu zu starten, geben Sie sudo reboot ein.