Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Nahtloses Verbinden einer Amazon EC2 EC2-Linux-Instance mit einem gemeinsam genutzten AWS Managed Microsoft AD
In diesem Verfahren verbinden Sie eine Amazon EC2 EC2-Linux-Instance nahtlos mit einem gemeinsam genutzten AWS Managed Microsoft AD. Dazu erstellen Sie eine AWS Secrets Manager IAM-Leserichtlinie in der EC2-Instance-Rolle des Kontos, in dem Sie die EC2-Linux-Instance starten möchten. Dies wird in diesem Verfahren als `Account 2` bezeichnet. Diese Instanz verwendet das AWS verwaltete Microsoft AD, das von dem anderen Konto gemeinsam genutzt wird, das als bezeichnet wird`Account 1`.
## Voraussetzungen
Bevor Sie eine Amazon EC2 Linux-Instance nahtlos mit einem gemeinsam genutzten AWS Managed Microsoft AD verbinden können, müssen Sie die folgenden Schritte ausführen:
+ Schritte 1 bis 3 im Tutorial,[Tutorial: Teilen Ihres AWS verwalteten Microsoft AD-Verzeichnisses für einen nahtlosen EC2-Domänenbeitritt](ms_ad_tutorial_directory_sharing.md). Dieses Tutorial führt Sie durch die Einrichtung Ihres Netzwerks und die gemeinsame Nutzung Ihres AWS Managed Microsoft AD.
+ Das Verfahren wird in beschrieben[Nahtloses Hinzufügen einer Amazon EC2 EC2-Linux-Instance zu Ihrem AWS verwalteten Microsoft AD Active Directory](seamlessly_join_linux_instance.md).
## Schritt 1. Erstellen Sie die EC2 DomainJoin Linux-Rolle in Konto 2
In diesem Schritt verwenden Sie die IAM-Konsole, um die IAM-Rolle zu erstellen, die Sie für den Domänenbeitritt Ihrer EC2-Linux-Instance verwenden, während Sie angemeldet sind. `Account 2`
**Erstellen Sie die Linux-Rolle EC2 DomainJoin**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im linken Navigationsbereich unter **Access Management** die Option **Rollen** aus.
1. Klicken Sie auf der Seite **Roles (Rollen)** auf **Create role (Rolle erstellen)**.
1. Wählen Sie unter **Select type of trusted entity** (Typ der vertrauenswürdigen Entität auswählen) die Option **AWS -Service** aus.
1. **Wählen **Sie unter Anwendungsfall** die Option **EC2** und dann Weiter**
1. Gehen Sie für **Filterrichtlinien** wie folgt vor:
1. Geben Sie `AmazonSSMManagedInstanceCore` ein. Aktivieren Sie dann das Kontrollkästchen für dieses Element in der Liste.
1. Geben Sie `AmazonSSMDirectoryServiceAccess` ein. Aktivieren Sie dann das Kontrollkästchen für dieses Element in der Liste.
1. Nachdem Sie diese Richtlinien hinzugefügt haben, wählen Sie **Rolle erstellen** aus.
**Anmerkung**
`AmazonSSMDirectoryServiceAccess`bietet die Berechtigungen zum Hinzufügen von Instanzen zu einem Active Directory, das von verwaltet wird Directory Service. `AmazonSSMManagedInstanceCore`stellt die Mindestberechtigungen bereit, die zur Verwendung erforderlich sind AWS Systems Manager. Weitere Informationen zum Erstellen einer Rolle mit diesen Berechtigungen und Informationen zu anderen Berechtigungen und Richtlinien, die Sie Ihrer IAM-Rolle zuweisen können, finden Sie unter [Konfigurieren der für Systems Manager erforderlichen Instanzberechtigungen](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html) im *AWS Systems Manager Benutzerhandbuch*.
1. Geben Sie im Feld Rollenname einen Namen für Ihre neue Rolle ein, z. B. `LinuxEC2DomainJoin` oder einen anderen **Namen**, den Sie bevorzugen.
1. *(Optional)* Geben Sie für die **Rollenbeschreibung** eine Beschreibung ein.
1. *(Optional)* Wählen Sie unter **Schritt 3: Stichwörter **hinzufügen die Option Neues Tag** hinzufügen** aus, um Stichwörter hinzuzufügen. Tag-Schlüssel-Wert-Paare werden verwendet, um den Zugriff für diese Rolle zu organisieren, nachzuverfolgen oder zu kontrollieren.
1. Wählen Sie **Rolle erstellen** aus.
## Schritt 2. Richten Sie kontenübergreifenden Zugriff auf Ressourcen ein, um Geheimnisse zu teilen AWS Secrets Manager
Der nächste Abschnitt enthält zusätzliche Anforderungen, die erfüllt werden müssen, um EC2-Linux-Instances nahtlos mit einem gemeinsam genutzten AWS verwalteten Microsoft AD zu verbinden. Zu diesen Anforderungen gehören die Erstellung von Ressourcenrichtlinien und deren Verknüpfung mit den entsprechenden Diensten und Ressourcen.
Um Benutzern in einem Konto den Zugriff auf AWS Secrets Manager geheime Daten in einem anderen Konto zu ermöglichen, müssen Sie den Zugriff sowohl in einer Ressourcenrichtlinie als auch in einer Identitätsrichtlinie zulassen. Diese Art des Zugriffs wird als [kontoübergreifender Ressourcenzugriff](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) bezeichnet.
Diese Art des Zugriffs unterscheidet sich von der Gewährung des Zugriffs auf Identitäten in demselben Konto wie das Secrets Manager Manager-Geheimnis. Außerdem müssen Sie der Identität die Verwendung des [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)(KMS-Schlüssels) gestatten, mit dem das Geheimnis verschlüsselt ist. Diese Berechtigung ist erforderlich, da Sie den AWS verwalteten Schlüssel (`aws/secretsmanager`) nicht für den kontoübergreifenden Zugriff verwenden können. Stattdessen verschlüsseln Sie Ihr Geheimnis mit einem von Ihnen erstellten KMS-Schlüssel und fügen ihm dann eine Schlüsselrichtlinie hinzu. Informationen zum Ändern des Verschlüsselungsschlüssels für ein Geheimnis finden Sie unter [Ändern eines AWS Secrets Manager Geheimnisses](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_update-secret.html).
**Anmerkung**
Je nachdem AWS Secrets Manager, welches Geheimnis Sie verwenden, fallen Gebühren an. Die aktuelle vollständige Preisliste finden Sie unter [AWS Secrets Manager – Preise](https://aws.amazon.com/secrets-manager/pricing/). Sie können den Von AWS verwalteter Schlüssel `aws/secretsmanager`, den Secrets Manager erstellt, verwenden, um Ihre Geheimnisse kostenlos zu verschlüsseln. Wenn Sie Ihre eigenen KMS-Schlüssel erstellen, um Ihre Geheimnisse zu verschlüsseln, wird Ihnen der aktuelle AWS KMS-Tarif AWS berechnet. Weitere Informationen finden Sie unter [AWS Key Management Service – Preise](https://aws.amazon.com/kms/pricing/).
Mit den folgenden Schritten können Sie die Ressourcenrichtlinien erstellen, damit Benutzer eine EC2-Linux-Instance nahtlos mit einem gemeinsam genutzten AWS verwalteten Microsoft AD verbinden können.
**Fügen Sie dem Secret in Konto 1 eine Ressourcenrichtlinie hinzu**
1. Öffnen Sie die Secrets Manager Manager-Konsole unter [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Wählen Sie aus der Liste der Geheimnisse Ihr **Geheimnis** aus, das Sie während des erstellt haben[Voraussetzungen](#seamlessly_join_linux_to_shared_MAD_prereqs).
1. Scrollen Sie auf der **Detailseite des Geheimnisses** unter dem Tab **Übersicht** nach unten zu **Ressourcenberechtigungen**.
1. Wählen Sie **Berechtigungen bearbeiten** aus.
1. Geben Sie im Richtlinienfeld die folgende Richtlinie ein. Die folgende Richtlinie ermöglicht **Linux EC2 DomainJoin** den `Account 2` Zugriff auf das Secret in`Account 1`. Ersetzen Sie den ARN-Wert durch den ARN-Wert für Ihre `LinuxEC2DomainJoin` Rolle`Account 2`, die Sie in [Schritt 1](#seamlessly_join_linux_to_shared_MAD_step_1) erstellt haben. Informationen zur Verwendung dieser Richtlinie finden Sie unter [Anhängen einer Berechtigungsrichtlinie an ein AWS Secrets Manager Geheimnis](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "{{arn:aws:iam::123456789012:role/LinuxEC2DomainJoin}}"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "*"
}
]
}
```
------
**Fügen Sie der Schlüsselrichtlinie für den KMS-Schlüssel in Konto 1 eine Erklärung hinzu**
1. Öffnen Sie die Secrets Manager Manager-Konsole unter [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Wählen Sie im linken Navigationsbereich vom **Kunden verwaltete Schlüssel** aus.
1. Wählen Sie auf der Seite **Vom Kunden verwaltete Schlüssel** den Schlüssel aus, den Sie erstellt haben.
1. Navigieren Sie auf der Seite mit den **Schlüsseldetails** zu **Schlüsselrichtlinie** und wählen Sie **Bearbeiten** aus.
1. Die folgende wichtige Richtlinienanweisung ermöglicht `ApplicationRole` die Verwendung des KMS-Schlüssels in`Account 1`, um den geheimen Schlüssel in `Account 1` zu entschlüsseln. `Account 2` Um diese Anweisung zu verwenden, fügen Sie sie der Schlüsselrichtlinie für Ihren KMS-Schlüssel hinzu. Weitere Informationen finden Sie unter [Changing a key policy (Ändern einer Schlüsselrichtlinie)](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html).
```
{
{
"Effect": "Allow",
"Principal": {
"AWS": "{{arn:aws:iam::Account2:role/ApplicationRole}}"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
}
```
**Erstellen Sie eine Identitätsrichtlinie für die Identität in Konto 2**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im linken Navigationsbereich unter **Zugriffsverwaltung** die Option **Richtlinien** aus.
1. Wählen Sie **Create Policy (Richtlinie erstellen)**. Wählen Sie im **Richtlinien-Editor** **JSON** aus.
1. Die folgende Richtlinie ermöglicht `ApplicationRole` den `Account 2` Zugriff auf den geheimen Wert `Account 1` und die Entschlüsselung des Geheimwerts mithilfe des ebenfalls enthaltenen Verschlüsselungsschlüssels. `Account 1` Sie finden den ARN für Ihr Secret in der Secrets Manager-Konsole auf der Seite **Secret Details** unter **Secret ARN**. Alternativ können Sie [describe-secret](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/describe-secret.html) aufrufen, um den ARN des Secrets zu identifizieren. Ersetzen Sie den Ressourcen-ARN durch den Ressourcen-ARN für den geheimen ARN und`Account 1`. Informationen zur Verwendung dieser Richtlinie finden Sie unter [Anhängen einer Berechtigungsrichtlinie an ein AWS Secrets Manager Geheimnis](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:{{us-east-1}}:{{111122223333{{:secret:}}secretName-AbCdEf}}"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:Describekey"
],
"Resource": "arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/{{Your_Encryption_Key}}"
}
]
}
```
------
1. Wählen Sie **Weiter** und dann **Änderungen speichern** aus.
1. Suchen Sie die Rolle, die Sie `Account 2` in erstellt haben, und wählen Sie sie aus[Attach a resource policy to the secret in Account 1](#step1ResourcePolicy).
1. Wählen **Sie unter Berechtigungen hinzufügen** die Option **Richtlinien anhängen** aus.
1. Suchen Sie in der Suchleiste nach der Richtlinie, in der Sie sie erstellt haben, [Add a statement to the key policy for the KMS key in Account 1](#step2KeyPolicy) und wählen Sie das Feld aus, um die Richtlinie der Rolle hinzuzufügen. Wählen Sie dann **Berechtigungen hinzufügen** aus.
## Schritt 3. Treten Sie Ihrer Linux-Instanz nahtlos bei
Sie können jetzt das folgende Verfahren verwenden, um Ihre EC2-Linux-Instance nahtlos mit Ihrem gemeinsam genutzten AWS verwalteten Microsoft AD zu verbinden.
**Um Ihrer Linux-Instance nahtlos beizutreten**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie in der Regionsauswahl in der Navigationsleiste dasselbe Verzeichnis aus AWS-Region wie das bestehende Verzeichnis.
1. Wählen Sie auf dem **EC2-Dashboard** im Abschnitt **Instance starten** die Option **Instance starten** aus.
1. Geben Sie auf der Seite **Eine Instance starten** im Abschnitt **Name und Tags** den Namen ein, den Sie für Ihre Linux EC2-Instance verwenden möchten.
1. *(Optional)* Wählen Sie **Zusätzliche Tags hinzufügen**, um ein oder mehrere Tag-Schlüssel-Wert-Paare hinzuzufügen, um den Zugriff für diese EC2-Instance zu organisieren, zu verfolgen oder zu kontrollieren.
1. Wählen Sie im Abschnitt **Anwendungs- und Betriebssystem-Image (Amazon Machine Image)** ein Linux-AMI aus, das Sie starten möchten.
**Anmerkung**
Das verwendete AMI muss AWS Systems Manager (SSM Agent) Version 2.3.1644.0 oder höher haben. Um die installierte SSM-Agent-Version in Ihrem AMI zu überprüfen, indem Sie eine Instance von diesem AMI aus starten, lesen Sie den Abschnitt [Ermittlung der aktuell installierten SSM-Agent-Version](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-get-version.html). Wenn Sie den SSM Agent aktualisieren müssen, lesen Sie den Abschnitt [Installieren und Konfigurieren von SSM Agent in EC2-Instances für Linux](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-agent.html).
SSM verwendet das `aws:domainJoin` Plugin, wenn eine Linux-Instance einer Active Directory-Domäne hinzugefügt wird. Das Plugin ändert den Hostnamen für die Linux-Instanzen in das Format EC2 AMAZ-. {{XXXXXXX}} Weitere Informationen `aws:domainJoin` dazu finden Sie in der [Plugin-Referenz zum AWS Systems Manager Befehlsdokument](https://docs.aws.amazon.com//systems-manager/latest/userguide/documents-command-ssm-plugin-reference.html#aws-domainJoin) im *AWS Systems Manager Benutzerhandbuch*.
1. Wählen Sie im Abschnitt **Instance-Typ** den Instance-Typ, den Sie verwenden möchten, aus der Dropdown-Liste **Instance-Typ** aus.
1. Im Abschnitt **Schlüsselpaar (Anmeldung)** können Sie entweder ein neues Schlüsselpaar erstellen oder aus einem vorhandenen Schlüsselpaar auswählen. Um ein neues Schlüsselpaar zu erstellen, wählen Sie **Neues Schlüsselpaar erstellen**. Geben Sie einen Namen für das Schlüsselpaar ein und wählen Sie eine Option für den **Schlüsselpaartyp** und das **Dateiformat des privaten Schlüssels**. Um den privaten Schlüssel in einem Format zu speichern, das mit OpenSSH verwendet werden kann, wählen Sie **.pem**. Um den privaten Schlüssel in einem Format zu speichern, das mit PuTTY verwendet werden kann, wählen Sie **.ppk**. Wählen Sie **Schlüsselpaar erstellen** aus. Die private Schlüsseldatei wird von Ihrem Browser automatisch runtergeladen. Speichern Sie die Datei mit dem privaten Schlüssel an einem sicheren Ort.
**Wichtig**
Dies ist die einzige Möglichkeit, die private Schlüsseldatei zu speichern.
1. Wählen Sie auf der Seite **Eine Instance starten** im Abschnitt **Netzwerkeinstellungen** die Option **Bearbeiten** aus. Wählen Sie die **VPC**, in der Ihr Verzeichnis erstellt wurde, aus der Dropdown-Liste **VPC –* erforderlich*** aus.
1. Wählen Sie eines der öffentlichen Subnetze in Ihrer VPC aus der Dropdown-Liste **Subnetz** aus. Das von Ihnen gewählte Subnetz muss den gesamten externen Datenverkehr an ein Internet-Gateway weiterleiten. Ist dies nicht der Fall, können Sie keine Remote-Verbindung zur Instance einrichten.
Weitere Informationen zur Verbindung mit einem Internet-Gateway finden Sie unter [Verbinden mit dem Internet über ein Internet-Gateway](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html) im *Amazon-VPC-Benutzerhandbuch*.
1. Wählen Sie unter **Öffentliche IP automatisch zuweisen** die Option **Aktivieren**.
Weitere Informationen zur öffentlichen und privaten IP-Adressierung finden Sie unter [Amazon EC2 EC2-Instance-IP-Adressierung](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html) im *Amazon EC2 EC2-Benutzerhandbuch*.
1. Für die Einstellungen zu **Firewall (Sicherheitsgruppen)** können Sie die Standardeinstellungen verwenden oder an Ihre Bedürfnisse angepasste Änderungen vornehmen.
1. Für **Speichereinstellungen konfigurieren** können Sie die Standardeinstellungen verwenden oder an Ihre Bedürfnisse angepasste Änderungen vornehmen.
1. Wählen Sie den Abschnitt **Erweiterte Details** aus und wählen Sie Ihre Domain aus der Dropdown-Liste für das **Domainverbindungs-Verzeichnis** aus.
**Anmerkung**
Nachdem Sie das Domain-Join-Verzeichnis ausgewählt haben, sehen Sie möglicherweise:
Dieser Fehler tritt auf, wenn der EC2-Startassistent ein vorhandenes SSM-Dokument mit unerwarteten Eigenschaften identifiziert. Sie können einen der folgenden Schritte ausführen:
Wenn Sie das SSM-Dokument zuvor bearbeitet haben und die Eigenschaften erwartet werden, wählen Sie Schließen und fahren Sie fort, um die EC2-Instance ohne Änderungen zu starten.
Wählen Sie den Link „Bestehendes SSM-Dokument hier löschen“, um das SSM-Dokument zu löschen. Dies ermöglicht die Erstellung eines SSM-Dokuments mit den richtigen Eigenschaften. Das SSM-Dokument wird automatisch erstellt, wenn Sie die EC2-Instance starten.
1. Wählen Sie für das **IAM-Instanzprofil** die IAM-Rolle aus, die Sie zuvor im Abschnitt Voraussetzungen erstellt haben. **Schritt 2: Linux-Rolle erstellen**. EC2 DomainJoin
1. Wählen Sie **Launch Instance (Instance starten)** aus.
**Anmerkung**
Wenn Sie eine nahtlose Domainverbindung mit SUSE Linux durchführen, ist ein Neustart erforderlich, bevor die Authentifizierungen funktionieren. Um SUSE vom Linux-Terminal aus neu zu starten, geben Sie **sudo reboot** ein.