Nahtloses Verbinden einer Amazon EC2 Linux-Instance mit einem gemeinsam genutzten AWS Managed Microsoft AD - AWS Directory Service
VoraussetzungenSchritt 1. Erstellen Sie eine IAM-RolleSchritt 2. Erstellen Sie kontenübergreifenden RessourcenzugriffSchritt 3. Treten Sie der Linux-Instanz nahtlos bei

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Nahtloses Verbinden einer Amazon EC2 Linux-Instance mit einem gemeinsam genutzten AWS Managed Microsoft AD

In diesem Verfahren verbinden Sie eine Amazon EC2 Linux-Instance nahtlos mit einem gemeinsam genutzten AWS Managed Microsoft AD. Dazu erstellen Sie in der EC2 Instance-Rolle des Kontos, in dem Sie die EC2 Linux-Instance starten möchten, eine AWS Secrets Manager IAM Leserichtlinie. Dies wird Account 2 in diesem Verfahren als bezeichnet. Diese Instanz verwendet das AWS verwaltete Microsoft AD, das von dem anderen Konto gemeinsam genutzt wird, das als bezeichnet wirdAccount 1.

Voraussetzungen

Bevor Sie eine Amazon EC2 Linux-Instance nahtlos mit einem gemeinsam genutzten AWS Managed Microsoft AD verbinden können, müssen Sie die folgenden Schritte ausführen:

Schritt 1. Erstellen Sie die EC2DomainJoin Linux-Rolle in Konto 2

In diesem Schritt verwenden Sie die IAM Konsole, um die IAM Rolle zu erstellen, die Sie für den Domänenbeitritt Ihrer EC2 Linux-Instance verwenden, während Sie angemeldet sindAccount 2.

Erstellen Sie die EC2DomainJoin Linux-Rolle

  1. Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im linken Navigationsbereich unter Access Management die Option Rollen aus.

  3. Klicken Sie auf der Seite Roles (Rollen) auf Create role (Rolle erstellen).

  4. Wählen Sie unter Select type of trusted entity (Typ der vertrauenswürdigen Entität auswählen) die Option AWS -Service aus.

  5. Wählen Sie unter Anwendungsfall EC2die Option und dann Weiter

  6. Gehen Sie für Filterrichtlinien wie folgt vor:

    1. Geben Sie AmazonSSMManagedInstanceCore ein. Aktivieren Sie dann das Kontrollkästchen für dieses Element in der Liste.

    2. Geben Sie AmazonSSMDirectoryServiceAccess ein. Aktivieren Sie dann das Kontrollkästchen für dieses Element in der Liste.

    3. Nachdem Sie diese Richtlinien hinzugefügt haben, wählen Sie Rolle erstellen aus.

      Anmerkung

      AmazonSSMDirectoryServiceAccessbietet die Berechtigungen zum Verbinden von Instanzen mit einem Active Directory verwaltet von AWS Directory Service. AmazonSSMManagedInstanceCorebietet die Mindestberechtigungen, die zur Verwendung erforderlich sind AWS Systems Manager. Weitere Informationen zum Erstellen einer Rolle mit diesen Berechtigungen und Informationen zu anderen Berechtigungen und Richtlinien, die Sie Ihrer IAM Rolle zuweisen können, finden Sie unter Konfigurieren der für Systems Manager erforderlichen Instanzberechtigungen im AWS Systems Manager Benutzerhandbuch.

  7. Geben Sie im Feld Rollenname einen Namen für Ihre neue Rolle ein, z. B. LinuxEC2DomainJoin oder einen anderen Namen, den Sie bevorzugen.

  8. (Optional) Geben Sie für die Rollenbeschreibung eine Beschreibung ein.

  9. (Optional) Wählen Sie unter Schritt 3: Stichwörter hinzufügen die Option Neues Tag hinzufügen aus, um Stichwörter hinzuzufügen. Tag-Schlüssel-Wert-Paare werden verwendet, um den Zugriff für diese Rolle zu organisieren, nachzuverfolgen oder zu kontrollieren.

  10. Wählen Sie Rolle erstellen.

Schritt 2. Richten Sie kontenübergreifenden Zugriff auf Ressourcen ein, um Geheimnisse auszutauschen AWS Secrets Manager

Der nächste Abschnitt enthält zusätzliche Anforderungen, die erfüllt werden müssen, um EC2 Linux-Instanzen nahtlos mit einem gemeinsam genutzten AWS verwalteten Microsoft AD zu verbinden. Zu diesen Anforderungen gehören die Erstellung von Ressourcenrichtlinien und deren Verknüpfung mit den entsprechenden Diensten und Ressourcen.

Um Benutzern in einem Konto den Zugriff auf AWS Secrets Manager geheime Daten in einem anderen Konto zu ermöglichen, müssen Sie den Zugriff sowohl in einer Ressourcenrichtlinie als auch in einer Identitätsrichtlinie zulassen. Diese Art des Zugriffs wird als kontoübergreifender Ressourcenzugriff bezeichnet.

Diese Art des Zugriffs unterscheidet sich von der Gewährung des Zugriffs auf Identitäten in demselben Konto wie das Secrets Manager Manager-Geheimnis. Sie müssen der Identität außerdem erlauben, den Schlüssel AWS Key Management Service(KMS) zu verwenden, mit dem das Geheimnis verschlüsselt ist. Diese Berechtigung ist erforderlich, da Sie den AWS verwalteten Schlüssel (aws/secretsmanager) nicht für den kontoübergreifenden Zugriff verwenden können. Stattdessen verschlüsseln Sie Ihr Geheimnis mit einem KMS Schlüssel, den Sie selbst erstellen, und fügen ihm dann eine Schlüsselrichtlinie hinzu. Informationen zum Ändern des Verschlüsselungsschlüssels für ein Geheimnis finden Sie unter Ändern eines AWS Secrets Manager Geheimnisses.

Anmerkung

Je nachdem AWS Secrets Manager, welches Geheimnis Sie verwenden, fallen Gebühren an. Die aktuelle vollständige Preisliste finden Sie unter AWS Secrets Manager – Preise. Sie können den Von AWS verwalteter Schlüssel aws/secretsmanager, den Secrets Manager erstellt, verwenden, um Ihre Geheimnisse kostenlos zu verschlüsseln. Wenn Sie Ihre eigenen KMS Schlüssel zur Verschlüsselung Ihrer Geheimnisse erstellen, wird Ihnen der aktuelle AWS KMS Tarif AWS berechnet. Weitere Informationen finden Sie unter AWS Key Management Service -Preisgestaltung.

Mit den folgenden Schritten können Sie die Ressourcenrichtlinien erstellen, damit Benutzer eine EC2 Linux-Instanz nahtlos mit einem gemeinsam genutzten AWS verwalteten Microsoft AD verbinden können.

Fügen Sie dem Secret in Konto 1 eine Ressourcenrichtlinie hinzu

  1. Öffnen Sie die Secrets Manager Manager-Konsole unter https://console.aws.amazon.com/secretsmanager/.

  2. Wählen Sie aus der Liste der Geheimnisse Ihr Geheimnis aus, das Sie während des erstellt habenVoraussetzungen.

  3. Scrollen Sie auf der Detailseite des Geheimnisses unter dem Tab Übersicht nach unten zu Ressourcenberechtigungen.

  4. Wählen Sie Berechtigungen bearbeiten aus.

    1. Geben Sie im Richtlinienfeld die folgende Richtlinie ein. Die folgende Richtlinie ermöglicht Linux EC2DomainJoin in den Account 2 Zugriff auf das Secret inAccount 1. Ersetzen Sie den ARN Wert durch den ARN Wert für Ihre LinuxEC2DomainJoin RolleAccount 2, die Sie in Schritt 1 erstellt haben. Informationen zur Verwendung dieser Richtlinie finden Sie unter Anhängen einer Berechtigungsrichtlinie an einen AWS Secrets Manager geheimen Schlüssel.

      {
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::Account2:role/LinuxEC2DomainJoin"
      },
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "*"
    }
  ]
}
Fügen Sie der Schlüsselrichtlinie für den KMS Schlüssel in Konto 1 eine Erklärung hinzu

  1. Öffnen Sie die Secrets Manager Manager-Konsole unter https://console.aws.amazon.com/secretsmanager/.

  2. Wählen Sie im linken Navigationsbereich vom Kunden verwaltete Schlüssel aus.

  3. Wählen Sie auf der Seite Vom Kunden verwaltete Schlüssel den Schlüssel aus, den Sie erstellt haben.

  4. Navigieren Sie auf der Seite mit den Schlüsseldetails zu Schlüsselrichtlinie und wählen Sie Bearbeiten aus.

  5. Die folgende wichtige Richtlinienanweisung ermöglicht es Ihnen, den KMS Schlüssel ApplicationRole in Account 2 zu verwendenAccount 1, um den geheimen Eingang zu entschlüsseln. Account 1 Um diese Aussage zu verwenden, fügen Sie sie der Schlüsselrichtlinie für Ihren KMS Schlüssel hinzu. Weitere Informationen finden Sie unter Changing a key policy (Ändern einer Schlüsselrichtlinie).

    {
{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::Account2:role/ApplicationRole"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey"
  ],
  "Resource": "*"
}
Erstellen Sie eine Identitätsrichtlinie für die Identität in Konto 2

  1. Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im linken Navigationsbereich unter Zugriffsverwaltung die Option Richtlinien aus.

  3. Wählen Sie Create Policy (Richtlinie erstellen). Wählen Sie JSONim Richtlinien-Editor.

  4. Die folgende Richtlinie ermöglicht den Account 2 Zugriff ApplicationRole auf den geheimen Wert Account 1 und die Entschlüsselung des Geheimwerts mithilfe des Verschlüsselungsschlüssels, der ebenfalls enthalten ist. Account 1 Sie finden das ARN für Ihr Geheimnis in der Secrets Manager-Konsole auf der Seite Secret Details unter Secret ARN. Alternativ können Sie describe-secret aufrufen, um das Geheimnis zu identifizieren. ARN Ersetzen Sie die Ressource ARN durch die Ressource ARN für das Geheimnis ARN und. Account 1 Informationen zur Verwendung dieser Richtlinie finden Sie unter Anhängen einer Berechtigungsrichtlinie an einen AWS Secrets Manager geheimen Schlüssel. 

    {
{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "SecretARN"
    },
    {
      "Effect": "Allow",
      "Action": [
"kms:Decrypt",
"kms:Describekey"     
],
      "Resource": "arn:aws:kms:Region:Account1:key/Your_Encryption_Key"
    }
  ]
}

  5. Wählen Sie Weiter und dann Änderungen speichern aus.

  6. Suchen Sie die Rolle, die Sie Account 2 in erstellt haben, und wählen Sie sie ausAttach a resource policy to the secret in Account 1.

  7. Wählen Sie unter Berechtigungen hinzufügen die Option Richtlinien anhängen aus.

  8. Suchen Sie in der Suchleiste nach der Richtlinie, in der Sie sie erstellt haben, Add a statement to the key policy for the KMS key in Account 1 und wählen Sie das Feld aus, um die Richtlinie der Rolle hinzuzufügen. Wählen Sie dann Berechtigungen hinzufügen aus.

Schritt 3. Treten Sie Ihrer Linux-Instanz nahtlos bei

Sie können jetzt das folgende Verfahren verwenden, um Ihre EC2 Linux-Instance nahtlos mit Ihrem gemeinsam genutzten AWS Managed Microsoft AD zu verbinden.

Um Ihrer Linux-Instanz nahtlos beizutreten

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie in der Navigationsleiste in der Regionsauswahl dasselbe Verzeichnis aus AWS-Region wie das bestehende Verzeichnis.

  3. Wählen Sie auf dem EC2Dashboard im Abschnitt Launch instance die Option Launch instance aus.

  4. Geben Sie auf der Seite Launch a instance im Abschnitt Name und Tags den Namen ein, den Sie für Ihre EC2 Linux-Instance verwenden möchten.

  5. (Optional) Wählen Sie Zusätzliche Tags hinzufügen, um ein oder mehrere Tag-Schlüssel-Wert-Paare hinzuzufügen, um den Zugriff für diese EC2 Instance zu organisieren, zu verfolgen oder zu kontrollieren.

  6. Wählen Sie im Abschnitt Anwendungs- und Betriebssystem-Image (Amazon Machine Image) ein Linux aus, das AMI Sie starten möchten.

    Anmerkung

    Der Benutzer AMI muss die AWS Systems Manager (SSMAgent-) Version 2.3.1644.0 oder höher haben. Informationen zur Überprüfung der installierten SSM Agent-Version in Ihrem, AMI indem Sie von dort aus eine Instance startenAMI, finden Sie unter Abrufen der aktuell installierten Agent-Version. SSM Wenn Sie den SSM Agenten aktualisieren müssen, finden Sie weitere Informationen unter SSMAgent auf EC2 Linux-Instanzen installieren und konfigurieren.

    SSMverwendet das aws:domainJoin Plug-in beim Verbinden einer Linux-Instanz mit einem Active Directory Domäne. Das Plugin ändert den Hostnamen für die Linux-Instanzen in das Format EC2AMAZ -XXXXXXX. Weitere Informationen zu aws:domainJoin finden Sie in der Referenz zum AWS Systems Manager Befehlsdokument-Plug-In im AWS Systems Manager Benutzerhandbuch.

  7. Wählen Sie im Abschnitt Instance-Typ den Instance-Typ, den Sie verwenden möchten, aus der Dropdown-Liste Instance-Typ aus.

  8. Im Abschnitt Schlüsselpaar (Anmeldung) können Sie entweder ein neues Schlüsselpaar erstellen oder aus einem vorhandenen Schlüsselpaar auswählen. Um ein neues Schlüsselpaar zu erstellen, wählen Sie Neues Schlüsselpaar erstellen. Geben Sie einen Namen für das Schlüsselpaar ein und wählen Sie eine Option für den Schlüsselpaartyp und das Dateiformat des privaten Schlüssels. Um den privaten Schlüssel in einem Format zu speichern, das mit Open verwendet werden kannSSH, wählen Sie .pem. Um den privaten Schlüssel in einem Format zu speichern, das mit Pu verwendet werden kannTTY, wählen Sie .ppk. Wählen Sie Schlüsselpaar erstellen aus. Die private Schlüsseldatei wird von Ihrem Browser automatisch runtergeladen. Speichern Sie die Datei mit dem privaten Schlüssel an einem sicheren Ort.

    Wichtig

    Dies ist die einzige Möglichkeit, die private Schlüsseldatei zu speichern.

  9. Wählen Sie auf der Seite Eine Instance starten im Abschnitt Netzwerkeinstellungen die Option Bearbeiten aus. Wählen Sie aus der Dropdownliste VPC— erforderlich VPCdas Verzeichnis aus, in dem Ihr Verzeichnis erstellt wurde.

  10. Wählen Sie eines der öffentlichen Subnetze in Ihrem VPC aus der Dropdownliste Subnetz aus. Das von Ihnen gewählte Subnetz muss den gesamten externen Datenverkehr an ein Internet-Gateway weiterleiten. Ist dies nicht der Fall, können Sie keine Remote-Verbindung zur Instance einrichten.

    Weitere Informationen zum Herstellen einer Connect zu einem Internet-Gateway finden Sie unter Herstellen einer Verbindung zum Internet mithilfe eines Internet-Gateways im VPCAmazon-Benutzerhandbuch.

  11. Wählen Sie unter Öffentliche IP automatisch zuweisen die Option Aktivieren.

    Weitere Informationen zur öffentlichen und privaten IP-Adressierung finden Sie unter EC2Amazon-Instance-IP-Adressierung im EC2Amazon-Benutzerhandbuch.

  12. Für die Einstellungen zu Firewall (Sicherheitsgruppen) können Sie die Standardeinstellungen verwenden oder an Ihre Bedürfnisse angepasste Änderungen vornehmen.

  13. Für Speichereinstellungen konfigurieren können Sie die Standardeinstellungen verwenden oder an Ihre Bedürfnisse angepasste Änderungen vornehmen.

  14. Wählen Sie den Abschnitt Erweiterte Details aus und wählen Sie Ihre Domain aus der Dropdown-Liste für das Domainverbindungs-Verzeichnis aus.

    Anmerkung

    Nachdem Sie das Domain-Join-Verzeichnis ausgewählt haben, sehen Sie möglicherweise:

    Eine Fehlermeldung bei der Auswahl Ihres Domain-Join-Verzeichnisses. In Ihrem vorhandenen SSM Dokument ist ein Fehler aufgetreten.

    Dieser Fehler tritt auf, wenn der EC2 Startassistent ein vorhandenes SSM Dokument mit unerwarteten Eigenschaften identifiziert. Sie können einen der folgenden Schritte ausführen:

    • Wenn Sie das SSM Dokument bereits bearbeitet haben und die Eigenschaften erwartet werden, wählen Sie Schließen und fahren Sie fort, um die EC2 Instanz ohne Änderungen zu starten.

    • Wählen Sie den Link „Bestehendes SSM Dokument hier löschen“, um das SSM Dokument zu löschen. Dies ermöglicht die Erstellung eines SSM Dokuments mit den richtigen Eigenschaften. Das SSM Dokument wird automatisch erstellt, wenn Sie die EC2 Instanz starten.

  15. Wählen Sie zum Beispiel das IAMInstanzprofil die IAM Rolle aus, die Sie zuvor im Abschnitt Voraussetzungen erstellt haben. Schritt 2: EC2DomainJoin Linux-Rolle erstellen.

  16. Wählen Sie Launch Instance (Instance starten) aus.

Anmerkung

Wenn Sie einen nahtlosen Domänenbeitritt mit SUSE Linux durchführen, ist ein Neustart erforderlich, bevor die Authentifizierungen funktionieren. Um vom Linux-Terminal SUSE aus neu zu starten, geben Sie sudo reboot ein.