Cómo unir sin problemas una instancia de Amazon EC2 Linux a su Active Directory AWS administrado de Microsoft AD - AWS Directory Service
Requisitos previosCómo vincular de manera fluida una instancia de Linux

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo unir sin problemas una instancia de Amazon EC2 Linux a su Active Directory AWS administrado de Microsoft AD

Este procedimiento une sin problemas una instancia de Amazon EC2 Linux a su Active Directory AWS administrado de Microsoft AD. Para completar este procedimiento, tendrá que crear un AWS Secrets Manager secreto, lo que puede suponer costes adicionales. Para obtener más información, consulte AWS Secrets Manager Precios.

Si necesita realizar una unión de dominios perfecta entre varias AWS cuentas, si lo desea, puede optar por habilitar el uso compartido del directorio.

Son compatibles las siguientes distribuciones y versiones de instancias de Linux:

  • Amazon Linux AMI 2018.03.0

  • Amazon Linux 2 (64 bits x86)

  • Red Hat Enterprise Linux 8 (HVM) (64 bits x86)

  • Ubuntu Server 18.04 LTS y Ubuntu Server 16.04 LTS

  • CentOS 7 x86-64

  • SUSE Linux Enterprise Server 15 SP1

nota

Las distribuciones anteriores a Ubuntu 14 y Red Hat Enterprise Linux 7 y 8 no admiten la función de unión fluida de dominios.

Para ver una demostración del proceso de unir sin problemas una instancia de Linux a su Active Directory AWS administrado de Microsoft AD, consulte el siguiente YouTube vídeo.

Requisitos previos

Para poder configurar la unión perfecta de un dominio a una instancia de EC2 Linux, debes completar los procedimientos de estas secciones.

Requisitos previos de red para una unión de dominios perfecta

Para unirte a un dominio de una instancia de EC2 Linux sin problemas, tendrás que completar lo siguiente:

  • Tenga un Microsoft AD AWS administrado. Para obtener más información, consulte Creación de su Microsoft AD AWS administrado.

  • Necesitará los siguientes permisos de IAM para unirse sin problemas a una instancia de EC2 Linux:

    • Tenga un Microsoft AD AWS administrado. Para obtener más información, consulte Creación de su Microsoft AD AWS administrado.

    • Necesitará los siguientes permisos de IAM para unirse sin problemas a un EC2 Windows instancia:

      • Perfil de instancia de IAM con los siguientes permisos de IAM:

        • AmazonSSMManagedInstanceCore

        • AmazonSSMDirectoryServiceAccess

      • El dominio del usuario que se une sin problemas EC2 al Microsoft AD AWS administrado necesita los siguientes permisos de IAM:

        • AWS Directory Service Permisos:

          • "ds:DescribeDirectories"

          • "ds:CreateComputer"

        • Permisos de Amazon VPC:

          • "ec2:DescribeVpcs"

          • "ec2:DescribeSubnets"

          • "ec2:DescribeNetworkInterfaces"

          • "ec2:CreateNetworkInterface"

          • "ec2:AttachNetworkInterface"

        • EC2 Permisos:

          • "ec2:DescribeInstances"

          • "ec2:DescribeImages"

          • "ec2:DescribeInstanceTypes"

          • "ec2:RunInstances"

          • "ec2:CreateTags"

        • AWS Systems Manager Permisos:

          • "ssm:DescribeInstanceInformation"

          • "ssm:SendCommand"

          • "ssm:GetCommandInvocation"

          • "ssm:CreateBatchAssociation"

  • Cuando se crea su Microsoft AD AWS administrado, se crea un grupo de seguridad con reglas de entrada y salida. Para obtener más información sobre estas reglas y puertos, consulte. ¿Qué se crea con AWS Managed Microsoft AD? Para unirse al dominio de una instancia de EC2 Linux sin problemas, la VPC en la que vaya a lanzar la instancia debe permitir los mismos puertos permitidos en las reglas de entrada y salida del grupo de seguridad AWS Microsoft AD administrado.

  • Le recomendamos que utilice un servidor DNS que resuelva su nombre de dominio de Microsoft AD AWS administrado. Para ello, puede crear un conjunto de opciones de DHCP. Para obtener más información, consulta Cómo crear o modificar un conjunto de opciones de DHCP de AWS Managed Microsoft AD.

    • Si decide no crear un conjunto de opciones de DHCP, sus servidores DNS serán estáticos y los configurará su Microsoft AD AWS administrado.

Selección de la cuenta de servicio de unión de dominios fluida

Puede unir sin problemas ordenadores Linux a su Microsoft AD AWS gestionado Active Directory dominio. Para ello, debe usar una cuenta de usuario con permisos de creación de cuentas de equipos para unir las máquinas al dominio. Si bien es posible que los miembros de los administradores delegados de AWS u otros grupos tengan privilegios suficientes para unir los equipos al dominio, no lo recomendamos. Como práctica recomendada, le recomendamos que utilice una cuenta de servicio que tenga los privilegios mínimos necesarios para unir los equipos al dominio.

Para delegar una cuenta con los privilegios mínimos necesarios para unir los equipos al dominio, puede ejecutar los siguientes PowerShell comandos. Debe ejecutar estos comandos desde un equipo Windows unido a un dominio con Instalación de herramientas de administración de Active Directory para Microsoft AD AWS administrado instalado. Además, debe utilizar una cuenta que tenga permiso para modificar los permisos de la unidad organizativa o el contenedor del equipo. El PowerShell comando establece los permisos que permiten a la cuenta de servicio crear objetos de ordenador en el contenedor de ordenadores predeterminado del dominio.

$AccountName = 'awsSeamlessDomain'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module 'ActiveDirectory'
$Domain = Get-ADDomain -ErrorAction Stop
$BaseDn = $Domain.DistinguishedName
$ComputersContainer = $Domain.ComputersContainer
$SchemaNamingContext = Get-ADRootDSE | Select-Object -ExpandProperty 'schemaNamingContext'
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $SchemaNamingContext -Filter { lDAPDisplayName -eq 'Computer' } -Properties 'schemaIDGUID').schemaIDGUID
# Getting Service account Information.
$AccountProperties = Get-ADUser -Identity $AccountName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
# Getting ACL settings for the Computers container.
$ObjectAcl = Get-ACL -Path "AD:\$ComputersContainer" 
# Setting ACL allowing the service account the ability to create child computer objects in the Computers container.
$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'CreateChild', 'Allow', $ServicePrincipalNameGUID, 'All'
$ObjectAcl.AddAccessRule($AddAccessRule)
Set-ACL -AclObject $ObjectAcl -Path "AD:\$ComputersContainer"

Si prefiere utilizar una interfaz de usuario gráfica (GUI), puede utilizar el proceso manual que se describe en Privilegios delegados a su cuenta de servicio.

Creación de secretos para almacenar la cuenta de servicio de dominio

Puede utilizarlos AWS Secrets Manager para almacenar la cuenta de servicio del dominio. Para obtener más información, consulta Crear un AWS Secrets Manager secreto.

nota

Hay tarifas asociadas a Secrets Manager. Para obtener más información, consulte los precios en la Guía AWS Secrets Manager del usuario.

Creación de secretos y almacenamiento de la información de la cuenta de servicio de dominio

  1. Inicie sesión en AWS Management Console y abra la AWS Secrets Manager consola en https://console.aws.amazon.com/secretsmanager/.

  2. Elija Almacenar un secreto nuevo.

  3. En la página Store a new secret (Almacenar un nuevo secreto), haga lo siguiente:

    1. En Tipo de secreto, seleccione Otro tipo de secretos.

    2. En Pares clave/valor, haga lo siguiente:

      1. En el cuadro de filtro, escriba awsSeamlessDomainUsername. En la misma fila, en el cuadro siguiente, ingrese el nombre de usuario de su cuenta de servicio. Por ejemplo, si utilizó el PowerShell comando anteriormente, el nombre de la cuenta de servicio seríaawsSeamlessDomain.

        nota

        Debe ingresar awsSeamlessDomainUsername exactamente como está. Asegúrese de que no haya espacios al principio ni al final. De lo contrario, la unión de dominio fallará.

        En la AWS Secrets Manager consola, en la página de selección de un tipo de secreto. En el tipo de secreto, se selecciona otro tipo de secreto y se introduce awsSeamlessDomainUsername como valor clave.

      2. Seleccione Agregar regla.

      3. En la nueva fila, en el primer cuadro, ingrese awsSeamlessDomainPassword. En la misma fila, en el cuadro siguiente, ingrese la contraseña de su cuenta de servicio.

        nota

        Debe ingresar awsSeamlessDomainPassword exactamente como está. Asegúrese de que no haya espacios al principio ni al final. De lo contrario, la unión de dominio fallará.

      4. En Clave de cifrado, deje el valor predeterminado aws/secretsmanager. AWS Secrets Manager siempre cifra el secreto al elegir esta opción. También puede elegir una clave que haya creado.

      5. Elija Next (Siguiente).

  4. En Nombre secreto, introduce un nombre secreto que incluya tu ID de directorio d-xxxxxxxxx con el siguiente formato y sustitúyelo por tu ID de directorio:

    aws/directory-services/d-xxxxxxxxx/seamless-domain-join

    Se usará para recuperar los secretos de la aplicación.

    nota

    Debe introducirlo aws/directory-services/d-xxxxxxxxx/seamless-domain-join exactamente como está, pero d-xxxxxxxxxx sustitúyalo por su ID de directorio. Asegúrese de que no haya espacios al principio ni al final. De lo contrario, la unión de dominio fallará.

    En la AWS Secrets Manager consola, en la página secreta de configuración. Se introduce el nombre del secreto y se resalta.

  5. Deje todo lo demás con los valores predeterminados y, a continuación, elija Siguiente.

  6. En Configurar rotación automática, elija Deshabilitar rotación automática y, a continuación, Siguiente.

    Puede activar la rotación de este secreto después de almacenarlo.

  7. Revise la configuración y, a continuación, elija Almacenar para guardar los cambios. La consola de Secrets Manager vuelve a la lista de secretos de su cuenta con el nuevo secreto ahora incluido en la lista.

  8. Elija el nombre del secreto recién creado de la lista y tome nota del valor del ARN del secreto. Lo necesitará en la sección siguiente.

Activación de la rotación para el secreto de la cuenta de servicio de dominio

Se recomienda modificar los secretos de manera regular para mejorar la postura de seguridad.

Activación de la rotación para el secreto de la cuenta de servicio de dominio

Creación del rol y la política de IAM obligatorios

Siga los siguientes pasos previos para crear una política personalizada que permita el acceso de solo lectura a su secreto de unión a dominios integrada de Secrets Manager (que creó anteriormente) y para crear un nuevo rol de EC2 DomainJoin IAM de Linux.

Creación de la política de lectura de IAM de Secrets Manager

Utilizará la consola de IAM para crear una política que concede acceso de solo lectura a su secreto de Secrets Manager.

Creación de la política de lectura de IAM de Secrets Manager

  1. Inicie sesión AWS Management Console como usuario con permiso para crear políticas de IAM. A continuación, abra la consola de IAM en. https://console.aws.amazon.com/iam/

  2. En el panel de navegación, en Administración de acceso, seleccione Políticas.

  3. Elija Crear política.

  4. Seleccione la pestaña JSON y copie el texto del siguiente documento de política JSON. A continuación, péguelo en el cuadro de texto JSON.

    nota

    Asegúrese de reemplazar la región y el ARN del recurso con la región real y el ARN del secreto que creó con anterioridad.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:xxxxxxxxx:secret:aws/directory-services/d-xxxxxxxxx/seamless-domain-join"
            ]
        }
    ]
}

  5. Cuando haya terminado, elija Next. El validador de políticas notifica los errores de sintaxis. Para obtener más información, consulte Validación de políticas de IAM.

  6. En la página Revisar política, ingrese un nombre para la política, como SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read. Revise el Resumen de la política para ver los permisos concedidos por su política. Seleccione Crear política para guardar los cambios. La nueva política aparece en la lista de las políticas administradas y está lista para asociar a una identidad.

nota

Le recomendamos que cree una política por secreto. De este modo, se garantiza que las instancias solo tengan acceso al secreto adecuado y se minimiza el impacto en caso de que una instancia se vea comprometida.

Cree el rol de Linux EC2 DomainJoin

Utiliza la consola de IAM para crear el rol que usará para unirse al dominio de su EC2 instancia de Linux.

Para crear el rol de Linux EC2 DomainJoin

  1. Inicie sesión AWS Management Console como usuario con permiso para crear políticas de IAM. A continuación, abra la consola de IAM en. https://console.aws.amazon.com/iam/

  2. En el panel de navegación, en Administración del acceso, elija Roles.

  3. En el panel de contenido, elija Crear rol.

  4. En Seleccionar tipo de entidad de confianza, seleccione Servicio de AWS .

  5. En Caso de uso, elija y EC2, a continuación, elija Siguiente.

    En la consola de IAM, en la página de selección de la entidad de confianza. AWS servicio y EC2 están seleccionados.

  6. En Políticas de filtro, haga lo siguiente:

    1. Escriba AmazonSSMManagedInstanceCore. A continuación, seleccione la casilla de verificación de ese elemento de la lista.

    2. Escriba AmazonSSMDirectoryServiceAccess. A continuación, seleccione la casilla de verificación de ese elemento de la lista.

    3. Ingrese SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read (o el nombre de la política creada en el procedimiento anterior). A continuación, seleccione la casilla de verificación de ese elemento de la lista.

    4. Tras añadir las tres políticas enumeradas anteriormente, seleccione Crear rol.

    nota

    Amazon SSMDirectory ServiceAccess proporciona los permisos para unir instancias a un Active Directory gestionado por AWS Directory Service. Amazon SSMManaged InstanceCore proporciona los permisos mínimos necesarios para utilizar el AWS Systems Manager servicio. Para obtener más información sobre la creación de un rol con estos permisos y para obtener información sobre otros permisos y políticas que puede asignar a su rol de IAM, consulte Creación de un perfil de instancia de IAM para Systems Manager en la Guía del usuario de AWS Systems Manager .

  7. Ingrese un nombre para su nuevo rol, como LinuxEC2DomainJoin o cualquier otro nombre de su preferencia en el campo Nombre del rol.

  8. (Opcional) En Role description (Descripción del rol), escriba una descripción.

  9. (Opcional) Para añadir etiquetas, elija Agregar nueva etiqueta en el Paso 3: agregar etiquetas. Los pares clave-valor con etiqueta se utilizan para organizar, realizar un seguimiento o controlar el acceso a este rol.

  10. Elija Crear rol.

Cómo vincular de manera fluida una instancia de Linux

Cómo vincular de manera fluida una instancia de Linux

  1. Inicia sesión en la EC2 consola de Amazon AWS Management Console y ábrela en https://console.aws.amazon.com/ec2/.

  2. En el selector de regiones de la barra de navegación, elige el Región de AWS mismo directorio que el existente.

  3. En el EC2 panel de control, en la sección Lanzar instancia, elija Launch instance.

  4. En la página Lanzar una instancia, en la sección Nombre y etiquetas, introduce el nombre que te gustaría usar para tu EC2 instancia de Linux.

  5. (Opcional) Selecciona Añadir etiquetas adicionales para añadir uno o más pares de etiquetas y valores para organizar, rastrear o controlar el acceso a esta EC2 instancia.

  6. En la sección Imagen de aplicación y sistema operativo (Imagen de máquina de Amazon), elija la AMI de Linux que desee iniciar.

    nota

    La AMI utilizada debe tener AWS Systems Manager (SSM Agent) la versión 2.3.1644.0 o superior. Para comprobar la versión de SSM Agent instalada en la AMI mediante el lanzamiento de una instancia desde esa AMI, consulte Obtener la versión de SSM Agent instalada actualmente. Si necesita actualizar el agente SSM, consulte Instalación y configuración del agente SSM en instancias para Linux. EC2

    SSM usa el aws:domainJoin complemento al unir una instancia de Linux a un Active Directory dominio. El complemento cambia el nombre de host de las instancias de Linux al formato EC2 AMAZ-. XXXXXXX Para obtener más información sobre aws:domainJoin, consulte Referencia de complementos del documento de comandos de AWS Systems Manager en la Guía del usuario de AWS Systems Manager .

  7. En la sección Tipo de instancia, elija el tipo de instancia que desee usar en la lista desplegable Tipo de instancia.

  8. En la sección Par de claves (inicio de sesión), puede elegir entre crear un nuevo par de claves o elegir un par de claves existente. Para crear un nuevo par de claves, elija Crear nuevo par de claves. Ingrese un nombre para el par de claves y seleccione una opción en Tipo de par de claves y Formato de archivo de clave privada. Para guardar la clave privada en un formato que se pueda utilizar con OpenSSH, elija .pem. Para guardar la clave privada en un formato que se pueda utilizar con PuTTY, elija .ppk. Elija Crear par de claves. Su navegador descargará el archivo de clave privada automáticamente. Guarde el archivo de clave privada en un lugar seguro.

    importante

    Esta es la única oportunidad para guardar el archivo de clave privada.

  9. En la página Lanzar una instancia, en la sección Configuración de red, elija Editar. Elija la VPC en la que se creó el directorio en la lista desplegable VPC: obligatoria.

  10. Elija una de las subredes públicas de su VPC en la lista desplegable Subred. La subred que elija debe tener todo el tráfico externo dirigido a una puerta de enlace de Internet. De lo contrario, no podrá conectarse a la instancia de forma remota.

    Para obtener más información sobre cómo conectar una puerta de enlace de Internet, consulte Conexión a Internet mediante una puerta de enlace de Internet en la Guía del usuario de Amazon VPC.

  11. En Autoasignar IP pública, elija Habilitar.

    Para obtener más información sobre las direcciones IP públicas y privadas, consulte Direcciones IP de EC2 instancias de Amazon en la Guía del EC2 usuario de Amazon.

  12. En la configuración Firewall (grupos de seguridad), puede usar la configuración predeterminada o hacer cambios para adaptarla a sus necesidades.

  13. En la configuración Configurar almacenamiento, puede utilizar los ajustes predeterminados o hacer los cambios necesarios para adaptarlos a sus necesidades.

  14. Seleccione la sección Detalles avanzados y elija su dominio en el menú desplegable Directorio de vinculación de dominios.

    nota

    Tras elegir el directorio de vinculación de dominios, es posible que vea lo siguiente:

    Aparece un mensaje de error al seleccionar el directorio de vinculación de dominios. Hay un error en el documento SSM existente.

    Este error se produce si el asistente de EC2 lanzamiento identifica un documento SSM existente con propiedades inesperadas. Puede elegir una de las opciones siguientes:

    • Si ya ha editado el documento SSM y las propiedades son las esperadas, seleccione cerrar y proceda a lanzar la EC2 instancia sin cambios.

    • Seleccione el enlace a continuación para eliminar el documento SSM existente. Esto permitirá crear un documento SSM con las propiedades correctas. El documento SSM se creará automáticamente al lanzar la EC2 instancia.

  15. Para el perfil de instancia de IAM, elija el rol de IAM que creó anteriormente en la sección de requisitos previos. Paso 2: Crear el rol de Linux. EC2 DomainJoin

  16. Seleccione Iniciar instancia.

nota

Si va a llevar a cabo una unión de dominio fluida con SUSE Linux, es necesario reiniciarla para que las autenticaciones funcionen. Para reiniciar SUSE desde el terminal Linux, escriba sudo reboot.