Unir sin problemas una instancia de Amazon EC2 Linux a un Microsoft AD AWS gestionado compartido - AWS Directory Service
Requisitos previosPaso 1. Crea un IAM rolPaso 2. Cree un acceso a los recursos entre cuentasPaso 3. Únase sin problemas a la instancia de Linux

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Unir sin problemas una instancia de Amazon EC2 Linux a un Microsoft AD AWS gestionado compartido

En este procedimiento, unirá sin problemas una instancia de Amazon EC2 Linux a un Microsoft AD AWS administrado compartido. Para ello, creará una política de AWS Secrets Manager IAM lectura en el rol de EC2 instancia de la cuenta en la que desee lanzar la instancia de EC2 Linux. Esto se denominará Account 2 en este procedimiento. Esta instancia utilizará el Microsoft AD AWS administrado que se comparte desde la otra cuenta, que se denominaAccount 1.

Requisitos previos

Para poder unir sin problemas una instancia de Amazon EC2 Linux a un Microsoft AD AWS gestionado compartido, tendrás que completar lo siguiente:

Paso 1. Cree un EC2DomainJoin rol de Linux en la cuenta 2

En este paso, usarás la IAM consola para crear el IAM rol que usarás para unirte al dominio de tu instancia de EC2 Linux con la sesión iniciadaAccount 2.

Crea el EC2DomainJoin rol de Linux

  1. Abra la IAM consola en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación izquierdo, en Administración de acceso, elija Funciones.

  3. En la página Roles, elija Crear rol.

  4. En Seleccionar tipo de entidad de confianza, seleccione Servicio de AWS .

  5. En Caso de uso, elija y EC2, a continuación, elija Siguiente

  6. En Políticas de filtro, haga lo siguiente:

    1. Escriba AmazonSSMManagedInstanceCore. A continuación, selecciona la casilla de verificación correspondiente a ese elemento de la lista.

    2. Escriba AmazonSSMDirectoryServiceAccess. A continuación, seleccione la casilla de verificación correspondiente a ese elemento de la lista.

    3. Tras añadir estas políticas, selecciona Crear rol.

      nota

      AmazonSSMDirectoryServiceAccessproporciona los permisos para unir instancias a una instancia Active Directory gestionada por AWS Directory Service. AmazonSSMManagedInstanceCoreproporciona los permisos mínimos necesarios para su uso AWS Systems Manager. Para obtener más información sobre la creación de un rol con estos permisos y para obtener información sobre otros permisos y políticas que puede asignar a su IAM rol, consulte Configurar los permisos de instancia necesarios para Systems Manager en la Guía del AWS Systems Manager usuario.

  7. Introduzca un nombre para su nueva función, por ejemplo, LinuxEC2DomainJoin u otro nombre que prefiera en el campo Nombre de la función.

  8. (Opcional) En la descripción del rol, introduzca una descripción.

  9. (Opcional) Seleccione Añadir nueva etiqueta en el paso 3: Añadir etiquetas para añadir etiquetas. Los pares clave-valor de etiquetas se utilizan para organizar, rastrear o controlar el acceso de este rol.

  10. Elija Crear rol.

Paso 2. Cree un acceso a recursos entre cuentas para compartir secretos AWS Secrets Manager

En la siguiente sección se describen los requisitos adicionales que deben cumplirse para unir sin problemas las instancias de EC2 Linux con un Microsoft AD AWS administrado compartido. Estos requisitos incluyen la creación de políticas de recursos y su vinculación a los servicios y recursos adecuados.

Para permitir que los usuarios de una cuenta accedan a AWS Secrets Manager los secretos de otra cuenta, debes permitir el acceso mediante una política de recursos y una política de identidad. Este tipo de acceso se denomina acceso a recursos entre cuentas.

Este tipo de acceso es diferente a conceder acceso a las identidades de la misma cuenta que el secreto de Secrets Manager. También debes permitir que la identidad utilice la clave AWS Key Management Service(KMS) con la que se cifra el secreto. Este permiso es necesario, ya que no puedes usar la clave AWS administrada (aws/secretsmanager) para el acceso entre cuentas. En su lugar, cifrarás tu secreto con una KMS clave que tú crees y, a continuación, le adjuntarás una política de claves. Para cambiar la clave de cifrado de un secreto, consulta Modificar un AWS Secrets Manager secreto.

nota

Hay tarifas asociadas AWS Secrets Manager, según el secreto que utilices. Para obtener la lista de precios completa, consulte Precios de AWS Secrets Manager. Puedes usar el Clave administrada de AWS aws/secretsmanager que crea Secrets Manager para cifrar tus secretos de forma gratuita. Si creas tus propias KMS claves para cifrar tus secretos, te AWS cobrará la tarifa actual AWS KMS. Para obtener más información, consulte AWS Key Management Service Precios.

Los siguientes pasos le permiten crear las políticas de recursos que permiten a los usuarios unir sin problemas una instancia de EC2 Linux a un Microsoft AD AWS administrado compartido.

Adjunta una política de recursos al secreto de la cuenta 1

  1. Abra la consola de Secrets Manager en https://console.aws.amazon.com/secretsmanager/.

  2. De la lista de secretos, elige el secreto que creaste durante elRequisitos previos.

  3. En la página de detalles del secreto, en la pestaña Descripción general, desplázate hacia abajo hasta Permisos de recursos.

  4. Selecciona Editar permisos.

    1. En el campo de política, introduce la siguiente política. La siguiente política permite a Linux EC2DomainJoin in acceder Account 2 a la entrada secretaAccount 1. Sustituya el ARN ARN valor por el valor del LinuxEC2DomainJoin rol que creó en el paso 1. Account 2 Para usar esta política, consulte Adjuntar una política de permisos a un AWS Secrets Manager secreto.

      {
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::Account2:role/LinuxEC2DomainJoin"
      },
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "*"
    }
  ]
}
Agregue una declaración a la política clave para la KMS clave de la cuenta 1

  1. Abra la consola de Secrets Manager en https://console.aws.amazon.com/secretsmanager/.

  2. En el panel de navegación izquierdo, selecciona Claves administradas por el cliente.

  3. En la página Claves gestionadas por el cliente, selecciona la clave que has creado.

  4. En la página de detalles clave, vaya a Política clave y seleccione Editar.

  5. La siguiente declaración de política clave Account 2 permite ApplicationRole utilizar la KMS clave Account 1 para descifrar el secreto. Account 1 Para usar esta declaración, agréguela a la política de claves de su KMS clave. Para obtener más información, consulte Cambiar una política de claves.

    {
{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::Account2:role/ApplicationRole"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey"
  ],
  "Resource": "*"
}
Cree una política de identidad para la identidad de la cuenta 2

  1. Abre la IAM consola en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación izquierdo, en Administración de acceso, seleccione Políticas.

  3. Seleccione Create Policy (Crear política). Elija JSONen el editor de políticas.

  4. La siguiente política permite ApplicationRole acceder Account 2 al valor secreto Account 1 y descifrarlo mediante la clave de cifrado que también se encuentra enAccount 1. Puedes encontrar el secreto ARN de tu secreto en la consola Secrets Manager, en la página de detalles del secreto, en Secreto ARN. También puedes llamar a describe-secret para identificar el secreto. ARN Sustituye el recurso ARN ARN por el recurso secreto y. ARN Account 1 Para usar esta política, consulte Adjuntar una política de permisos a un AWS Secrets Manager secreto. 

    {
{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "SecretARN"
    },
    {
      "Effect": "Allow",
      "Action": [
"kms:Decrypt",
"kms:Describekey"     
],
      "Resource": "arn:aws:kms:Region:Account1:key/Your_Encryption_Key"
    }
  ]
}

  5. Selecciona Siguiente y, a continuación, selecciona Guardar cambios.

  6. Busca y selecciona el rol Account 2 en el que creasteAttach a resource policy to the secret in Account 1.

  7. En Añadir permisos, selecciona Adjuntar políticas.

  8. En la barra de búsqueda, busca la política en la que creaste Add a statement to the key policy for the KMS key in Account 1 y selecciona la casilla para agregarla al rol. A continuación, selecciona Añadir permisos.

Paso 3. Únase a su instancia de Linux sin problemas

Ahora puede usar el siguiente procedimiento para unir sin problemas su instancia de EC2 Linux a su Microsoft AD AWS administrado compartido.

Para unir tu instancia de Linux sin problemas

  1. Inicia sesión en la EC2 consola de Amazon AWS Management Console y ábrela en https://console.aws.amazon.com/ec2/.

  2. En el selector de regiones de la barra de navegación, elige el Región de AWS mismo directorio que el existente.

  3. En el EC2panel de control, en la sección Lanzar instancia, elija Launch instance.

  4. En la página Lanzar una instancia, en la sección Nombre y etiquetas, introduce el nombre que te gustaría usar para tu EC2 instancia de Linux.

  5. (Opcional) Selecciona Añadir etiquetas adicionales para añadir uno o más pares de etiquetas y valores para organizar, realizar un seguimiento o controlar el acceso a esta EC2 instancia.

  6. En la sección Imagen de aplicación e sistema operativo (Amazon Machine Image), elija el Linux AMI que desee lanzar.

    nota

    El usuario AMI debe tener AWS Systems Manager (SSMAgent) la versión 2.3.1644.0 o superior. Para comprobar la versión del SSM agente instalada en su cuenta AMI mediante el lanzamiento de una instancia a partir de ellaAMI, consulte Obtener la versión del agente actualmente instalada. SSM Si necesita actualizar el SSM agente, consulte Instalación y configuración del SSM agente en EC2 instancias para Linux.

    SSMusa el aws:domainJoin complemento al unir una instancia de Linux a un Active Directory dominio. El complemento cambia el nombre de host de las instancias de Linux al formato - EC2AMAZXXXXXXX. Para obtener más información al respectoaws:domainJoin, consulte la referencia del complemento del documento de AWS Systems Manager comandos en la Guía del AWS Systems Manager usuario.

  7. En la sección Tipo de instancia, elija el tipo de instancia que desee usar en la lista desplegable Tipo de instancia.

  8. En la sección Par de claves (inicio de sesión), puede elegir entre crear un nuevo par de claves o elegir un par de claves existente. Para crear un nuevo par de claves, elija Crear nuevo par de claves. Ingrese un nombre para el par de claves y seleccione una opción en Tipo de par de claves y Formato de archivo de clave privada. Para guardar la clave privada en un formato que se pueda usar con OpenSSH, elija .pem. Para guardar la clave privada en un formato que se pueda usar con PuTTY, elija .ppk. Elija Crear par de claves. Su navegador descargará el archivo de clave privada automáticamente. Guarde el archivo de clave privada en un lugar seguro.

    importante

    Esta es la única oportunidad para guardar el archivo de clave privada.

  9. En la página Lanzar una instancia, en la sección Configuración de red, elija Editar. Seleccione el directorio en el VPCque se creó su directorio en la VPC lista desplegable requerida.

  10. Elija una de las subredes públicas de la lista VPC desplegable de subredes. La subred que elija debe tener todo el tráfico externo dirigido a una puerta de enlace de Internet. De lo contrario, no podrá conectarse a la instancia de forma remota.

    Para obtener más información sobre cómo conectarse a una puerta de enlace de Internet, consulte Conectarse a Internet mediante una puerta de enlace de Internet en la Guía del VPC usuario de Amazon.

  11. En Autoasignar IP pública, elija Habilitar.

    Para obtener más información sobre las direcciones IP públicas y privadas, consulte Direcciones IP de EC2 instancias de Amazon en la Guía del EC2 usuario de Amazon.

  12. En la configuración Firewall (grupos de seguridad), puede usar la configuración predeterminada o hacer cambios para adaptarla a sus necesidades.

  13. En la configuración Configurar almacenamiento, puede utilizar los ajustes predeterminados o hacer los cambios necesarios para adaptarlos a sus necesidades.

  14. Seleccione la sección Detalles avanzados y elija su dominio en la lista desplegable Directorio de unión de dominios.

    nota

    Tras elegir el directorio de unión de dominios, es posible que veas lo siguiente:

    Aparece un mensaje de error al seleccionar el directorio de unión de dominios. Se ha producido un error en el SSM documento existente.

    Este error se produce si el asistente de EC2 inicio identifica un SSM documento existente con propiedades inesperadas. Puede elegir una de las opciones siguientes:

    • Si ya ha editado el SSM documento y las propiedades son las esperadas, seleccione Cerrar y proceda a lanzar la EC2 instancia sin cambios.

    • Seleccione el enlace para eliminar el SSM documento existente aquí para eliminar el SSM documento. Esto permitirá crear un SSM documento con las propiedades correctas. El SSM documento se creará automáticamente al lanzar la EC2 instancia.

  15. Para el perfil de IAM ejemplo, elija el IAM rol que creó anteriormente en la sección de requisitos previos. Paso 2: Crear el EC2DomainJoin rol de Linux.

  16. Seleccione Iniciar instancia.

nota

Si va a realizar una unión de dominio perfecta con SUSE Linux, es necesario reiniciar el sistema antes de que las autenticaciones funcionen. Para reiniciar SUSE desde la terminal de Linux, escriba sudo reboot.