Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Unir sin problemas una instancia Amazon EC2 Linux a un AWS Microsoft AD gestionado compartido
<a name="seamlessly_join_linux_to_shared_MAD"></a>

En este procedimiento, se vinculará de forma fluida una instancia de Linux de Amazon EC2 a un AWS Managed Microsoft AD compartido. Para ello, creará una política de lectura de AWS Secrets Manager IAM en el rol de instancia EC2 de la cuenta en la que desee lanzar la instancia EC2 de Linux. Esto se denominará `Account 2` en este procedimiento. Esta instancia utilizará el AWS Managed Microsoft AD que se comparte desde la otra cuenta, que se denomina `Account 1`.

## Requisitos previos
<a name="seamlessly_join_linux_to_shared_MAD_prereqs"></a>

Para poder unir sin problemas una instancia Linux de Amazon EC2 a un AWS Microsoft AD gestionado compartido, tendrá que completar lo siguiente:
+ Pasos 1 a 3 del tutorial, [Tutorial: Cómo compartir su directorio AWS gestionado de Microsoft AD para unirse a dominios EC2 sin problemas](ms_ad_tutorial_directory_sharing.md). En este tutorial, se explica cómo configurar la red y cómo compartir su Microsoft AD AWS administrado.
+ El procedimiento descrito en [Unir sin problemas una instancia de Amazon EC2 Linux a su Active Directory AWS gestionado de Microsoft AD](seamlessly_join_linux_instance.md).

## Paso 1. Cree un EC2 DomainJoin rol de Linux en la cuenta 2
<a name="seamlessly_join_linux_to_shared_MAD_step_1"></a>

En este paso, deberá usar la consola de IAM para crear el rol de IAM que utilizará a efectos de vincularse al dominio de su instancia de EC2 en Linux mientras haya iniciado sesión en `Account 2`.

**Cree el EC2 DomainJoin rol de Linux**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, en **Administración del acceso**, elija **Roles**.

1. En la página **Roles**, elija **Crear rol**.

1. En **Seleccionar tipo de entidad de confianza**, seleccione **Servicio de AWS **.

1. En **Caso de uso**, seleccione **EC2** y **Siguiente**

1. En **Políticas de filtro**, haga lo siguiente:

   1. Escriba `AmazonSSMManagedInstanceCore`. A continuación, seleccione la casilla de verificación de ese elemento de la lista.

   1. Escriba `AmazonSSMDirectoryServiceAccess`. A continuación, seleccione la casilla de verificación de ese elemento de la lista.

   1. Después de agregar estas políticas, seleccione **Crear rol**.
**nota**  
`AmazonSSMDirectoryServiceAccess`proporciona los permisos para unir instancias a un Active Directory administrado por Directory Service. `AmazonSSMManagedInstanceCore`proporciona los permisos mínimos necesarios para su uso AWS Systems Manager. Para obtener más información sobre cómo crear un rol con estos permisos y sobre otros permisos y políticas que puede asignar a su rol de IAM, consulte [Configuración de permisos de instancia requeridos para Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html) en la *Guía del usuario de AWS Systems Manager *.

1. Ingrese un nombre para su nuevo rol, como `LinuxEC2DomainJoin` o cualquier otro nombre de su preferencia en el campo **Nombre del rol**.

1. *(Opcional)* En **Descripción del rol**, escriba una descripción.

1. *(Opcional)* Para agregar etiquetas, elija **Agregar nueva etiqueta** en el **Paso 3: Agregar etiquetas**. Los pares clave-valor con etiqueta se utilizan para organizar, realizar un seguimiento o controlar el acceso a este rol.

1. Elija **Crear rol**.

## Paso 2. Cree un acceso a los recursos entre cuentas para compartir AWS Secrets Manager secretos
<a name="seamlessly_join_linux_to_shared_MAD_step_2"></a>

En la siguiente sección se describen los requisitos adicionales que deben cumplirse para unir sin problemas las instancias EC2 Linux con un Microsoft AD AWS administrado compartido. Estos requisitos incluyen la creación de políticas de recursos y su vinculación a los servicios y recursos adecuados.

Para permitir que los usuarios de una cuenta accedan a AWS Secrets Manager los secretos de otra cuenta, debe permitir el acceso mediante una política de recursos y una política de identidad. Este tipo de acceso se denomina [acceso a recursos entre cuentas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).

Este tipo de acceso es diferente a conceder acceso a identidades en la misma cuenta que el secreto de Secrets Manager. También debe permitir que la identidad utilice la clave [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) (KMS) con la que está cifrado el secreto. Este permiso es necesario, ya que no puedes usar la clave AWS administrada (`aws/secretsmanager`) para el acceso entre cuentas. En su lugar, se debe cifrar el secreto con una clave de KMS que se cree y, a continuación, adjuntarle una política de claves. Para cambiar la clave de cifrado de un secreto, consulte [Modificar un secreto AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_update-secret.html).

**nota**  
Hay tarifas asociadas AWS Secrets Manager, según el secreto que utilices. Para obtener la lista de precios completa, consulte [Precios de AWS Secrets Manager](https://aws.amazon.com/secrets-manager/pricing/). Puedes usar el Clave administrada de AWS `aws/secretsmanager` que crea Secrets Manager para cifrar tus secretos de forma gratuita. Si crea sus propias claves de KMS para cifrar sus secretos, se le AWS cobrará según la tarifa de AWS KMS actual. Para obtener más información, consulte [AWS Key Management Service Precios](https://aws.amazon.com/kms/pricing/). 

Los siguientes pasos le permiten crear las políticas de recursos que permiten a los usuarios unir sin problemas una instancia EC2 Linux a un Microsoft AD AWS administrado compartido.

**Cómo adjuntar una política de recursos al secreto de Cuenta 1**

1. Abra la consola de Secrets Manager en [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. En la lista de secretos, elija el **Secreto** que creó durante [Requisitos previos](#seamlessly_join_linux_to_shared_MAD_prereqs).

1. En la **página Detalles del secreto**, en la pestaña **Descripción general**, desplácese hacia abajo hasta **Permisos de recursos**.

1. Seleccione **Editar permisos**.

   1. En el campo de políticas, escriba la siguiente política. La siguiente política permite a **Linux EC2 DomainJoin** in acceder `Account 2` a la entrada secreta`Account 1`. Sustituya el valor del ARN por el valor del ARN de su `Account 2` y el rol `LinuxEC2DomainJoin` que creó en el [paso 1](#seamlessly_join_linux_to_shared_MAD_step_1). Para usar esta política, consulte [Adjuntar una política de permisos a un AWS Secrets Manager secreto](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html).

------
#### [ JSON ]

****  

     ```
     {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
         {
           "Effect": "Allow",
           "Principal": {
             "AWS": "{{arn:aws:iam::123456789012:role/LinuxEC2DomainJoin}}"
           },
           "Action": "secretsmanager:GetSecretValue",
           "Resource": "*"
         }
       ]
     }
     ```

------

**Cómo agregar una instrucción a la política clave de la clave de KMS de Cuenta 1**

1. Abra la consola de Secrets Manager en [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. En el panel de navegación izquierdo, elija **Claves administradas por el cliente**.

1. En la página **Claves administradas por el cliente**, seleccione la clave que ha creado.

1. En la página **Detalles de claves**, navegue hasta **Política de claves** y seleccione **Editar**.

1. La siguiente instrucción de política de claves permite que `ApplicationRole` en `Account 2` use la clave de KMS en `Account 1` para descifrar el secreto en `Account 1`. Para utilizar esta instrucción, agréguela a la política de claves de la clave de KMS. Para obtener más información, consulte [Cambiar una política de claves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html).

   ```
   {
   {
     "Effect": "Allow",
     "Principal": {
       "AWS": "{{arn:aws:iam::Account2:role/ApplicationRole}}"
     },
     "Action": [
       "kms:Decrypt",
       "kms:DescribeKey"
     ],
     "Resource": "*"
   }
   ```

**Creación de una política de identidad para la identidad de Cuenta 2**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación izquierdo, en **Administración de acceso**, seleccione **Políticas**.

1. Seleccione **Create Policy (Crear política)**. Elija **JSON** en el **Editor de políticas**.

1. La siguiente política permite que `ApplicationRole` en `Account 2` acceda al secreto de `Account 1` y descifre el valor secreto mediante la clave de cifrado que también está en `Account 1`. Puede encontrar el ARN para el secreto en la consola de Secrets Manager en la página **Detalles secretos** en **ARN del secreto**. Como alternativa, puede llamar a [describe-secret](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/describe-secret.html) para identificar el ARN del secreto. Sustituya el ARN del recurso por el ARN del recurso del ARN secreto y la `Account 1`. Para usar esta política, consulte [Adjuntar una política de permisos a un AWS Secrets Manager secreto](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html). 

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "secretsmanager:GetSecretValue",
         "Resource": "arn:aws:secretsmanager:{{us-east-1}}:{{111122223333{{:secret:}}secretName-AbCdEf}}"
       },
       {
         "Effect": "Allow",
         "Action": [
           "kms:Decrypt",
           "kms:Describekey"
         ],
         "Resource": "arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/{{Your_Encryption_Key}}"
       }
     ]
   }
   ```

------

1. Seleccione **Siguiente** y, a continuación, **Guardar cambios**.

1. Busque y seleccione el rol que creó en `Account 2` en [Attach a resource policy to the secret in Account 1](#step1ResourcePolicy).

1. En **Agregar permisos**, elija **Asociar políticas**.

1. En la barra de búsqueda, busque la política que creó en [Add a statement to the key policy for the KMS key in Account 1](#step2KeyPolicy) y seleccione la casilla para agregar la política al rol. Luego, seleccione **Agregar permisos**.

## Paso 3. Cómo vincular de manera fluida una instancia de Linux
<a name="seamlessly_join_linux_to_shared_MAD_prereqs_step_3"></a>

Ahora puede usar el siguiente procedimiento para unir sin problemas su instancia EC2 Linux a su Microsoft AD AWS administrado compartido.

**Cómo vincular de manera fluida una instancia de Linux**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. En el selector de regiones de la barra de navegación, elija el Región de AWS mismo directorio que el existente.

1. En el **panel de control de EC2**, en la sección **Lanzar instancia**, elija **Lanzar instancia**.

1. En la página **Iniciar una instancia**, en la sección **Nombre y etiquetas**, ingrese el nombre que desee utilizar para la instancia de EC2 en Linux.

1.  *(Opcional)* Seleccione **Agregar etiquetas adicionales** para añadir uno o más pares clave-valor con etiquetas y así organizar, hacer un seguimiento o controlar el acceso a esta instancia de EC2. 

1. En la sección **Imagen de aplicación y sistema operativo (Imagen de máquina de Amazon)**, elija la AMI de Linux que desee iniciar.
**nota**  
La AMI utilizada debe tener AWS Systems Manager (SSM Agent) la versión 2.3.1644.0 o superior. Para comprobar la versión de SSM Agent instalada en la AMI mediante el lanzamiento de una instancia desde esa AMI, consulte [Obtener la versión de SSM Agent instalada actualmente](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-get-version.html). Si necesita actualizar SSM Agent, consulte [Instalación y configuración de SSM Agent en instancias de EC2 para Linux](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-agent.html).  
SSM usa el complemento `aws:domainJoin` al vincular una instancia de Linux a un dominio de Active Directory. El complemento cambia el nombre de host de las instancias de Linux al formato AMAZ-. EC2 {{XXXXXXX}} Para obtener más información sobre `aws:domainJoin`, consulte [Referencia de complementos del documento de comandos de AWS Systems Manager](https://docs.aws.amazon.com//systems-manager/latest/userguide/documents-command-ssm-plugin-reference.html#aws-domainJoin) en la *Guía del usuario de AWS Systems Manager *.

1. En la sección **Tipo de instancia**, elija el tipo de instancia que desee usar en la lista desplegable **Tipo de instancia**.

1. En la sección **Par de claves (inicio de sesión)**, puede elegir entre crear un nuevo par de claves o elegir un par de claves existente. Para crear un nuevo par de claves, elija **Crear nuevo par de claves**. Ingrese un nombre para el par de claves y seleccione una opción en **Tipo de par de claves** y **Formato de archivo de clave privada**. Para guardar la clave privada en un formato que se pueda utilizar con OpenSSH, elija **.pem**. Para guardar la clave privada en un formato que se pueda utilizar con PuTTY, elija **.ppk**. Elija **Crear par de claves**. Su navegador descargará el archivo de clave privada automáticamente. Guarde el archivo de clave privada en un lugar seguro.
**importante**  
Esta es la única oportunidad para guardar el archivo de clave privada.

1. En la página **Lanzar una instancia**, en la sección **Configuración de red**, elija **Editar**. Elija la **VPC** en la que se creó el directorio en la lista desplegable **VPC:* obligatoria***.

1. Elija una de las subredes públicas de su VPC en la lista desplegable **Subred**. La subred que elija debe tener todo el tráfico externo dirigido a una puerta de enlace de Internet. De lo contrario, no podrá conectarse a la instancia de forma remota.

   Para obtener más información sobre cómo conectar una puerta de enlace de Internet, consulte [Conexión a Internet mediante una puerta de enlace de Internet](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html) en la *Guía del usuario de Amazon VPC*.

1. En **Autoasignar IP pública**, elija **Habilitar**.

   Para obtener más información sobre direcciones IP públicas y privadas, consulte [Direccionamiento IP de instancias Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html) en la *Guía del usuario de Amazon EC2*.

1. En la configuración **Firewall (grupos de seguridad)**, puede usar la configuración predeterminada o hacer cambios para adaptarla a sus necesidades. 

1. En la configuración **Configurar almacenamiento**, puede utilizar los ajustes predeterminados o hacer los cambios necesarios para adaptarlos a sus necesidades.

1. Seleccione la sección **Detalles avanzados** y elija su dominio en el menú desplegable **Directorio de vinculación de dominios**.
**nota**  
Tras elegir el directorio de vinculación de dominios, es posible que vea lo siguiente:   

![Aparece un mensaje de error al seleccionar el directorio de vinculación de dominios. Hay un error en el documento SSM existente.](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/SSM-Error-Message.png)

Este error se produce si el asistente de inicialización de EC2 identifica un documento SSM existente con propiedades inesperadas. Puede elegir una de las opciones siguientes:  
Si ya ha editado el documento SSM y las propiedades son las esperadas, seleccione cerrar y proceda a inicializar la instancia de EC2 sin cambios.
Seleccione el enlace a continuación para eliminar el documento SSM existente. Esto permitirá crear un documento SSM con las propiedades correctas. El documento SSM se creará de forma automática cuando inicialice la instancia de EC2.

1. Para el **perfil de instancia de IAM**, elija el rol de IAM que creó anteriormente en la sección de requisitos previos. **Paso 2:** Crear el rol de Linux. EC2 DomainJoin 

1. Seleccione **Iniciar instancia**.

**nota**  
Si va a llevar a cabo una unión de dominio fluida con SUSE Linux, es necesario reiniciarla para que las autenticaciones funcionen. Para reiniciar SUSE desde el terminal Linux, escriba **sudo reboot**.