Requisitos previos

Los siguientes requisitos previos deben implementarse en su entorno antes de poder crear suscripciones basadas en usuarios.

Debe permitir que License Manager cree un rol vinculado a servicios para incorporar las suscripciones basadas en usuarios a su Cuenta de AWS . En la sección Suscripciones basadas en usuarios de la consola License Manager aparecerá un mensaje único en el que podrá aceptar conceder permiso a License Manager para crear el rol vinculado al servicio requerido. Tras conceder permiso a License Manager, elija Crear para crear el rol vinculado al servicio. Para obtener más información, consulte Uso de roles vinculados a servicios para AWS License Manager.
Debe haber creado un AWS Managed Microsoft AD directorio. AWS Managed Microsoft AD no se admiten los directorios que se han compartido. Para obtener más información sobre la creación de un AWS Managed Microsoft AD directorio, consulte AWS Managed Microsoft AD los requisitos previos y Cómo crear un AWS Managed Microsoft AD directorio en la Guía del AWS Directory Service usuario.
Debe asociar los usuarios a su AWS Managed Microsoft AD directorio o a un Active Directory autogestionado para utilizar las suscripciones basadas en usuarios.
- Para asociar usuarios AWS Managed Microsoft AD, debe aprovisionar los usuarios de su AWS Managed Microsoft AD directorio. Para obtener más información, consulte Administración de usuarios y grupos en AWS Managed Microsoft AD en la Guía de administración de AWS Directory Service .
- Para asociar usuarios en el directorio autogestionado, debe establecer una relación de confianza bidireccional entre bosques entre el directorio autogestionado y el directorio de AWS Managed Microsoft AD . Para obtener más información, consulte el tutorial: Crear una relación de confianza entre su dominio de Active Directory AWS Managed Microsoft AD y su dominio autogestionado de Active Directory en la Guía de AWS Directory Service administración.
- Todas las subredes configuradas para su directorio deben ser de la misma VPC que la suya. Cuenta de AWS
El acceso de salida a Internet desde las instancias que proporcionan suscripciones basadas en usuarios, o puntos de conexión de VPC, debe estar configurado para que las instancias se comuniquen con AWS Systems Manager. Para obtener más información, consulte Configuración de Systems Manager para instancias de EC2 en la Guía del usuario de AWS Systems Manager .
License Manager crea dos interfaces de red que utilizan el grupo de seguridad predeterminado de la VPC en la que se aprovisiona AWS Managed Microsoft AD . Estas interfaces se utilizan para la funcionalidad de servicio requerida con su directorio. Asegúrese de que su grupo de seguridad predeterminado permita el tráfico de salida a la dirección IPv4 de la interfaz de red de cada controlador de dominio, o bien al grupo de seguridad utilizado por los controladores de dominio. Para obtener más información, consulte Paso 1: Configure AWS Directory Service for Microsoft Active Directory y su nube privada virtual (VPC) y Qué se crea en la Guía de administración de AWS Directory Service .

Una vez finalizado el proceso de aprovisionamiento, puede asociar un grupo de seguridad diferente a las interfaces creadas por License Manager. El grupo de seguridad que seleccione también debe permitir el tráfico necesario a la dirección IPv4 o al grupo de seguridad de la interfaz de red de cada controlador de dominio. Para obtener más información, consulte Trabajar con grupos de seguridad en la Guía del usuario de Amazon Virtual Private Cloud.
Debe configurar el reenvío de DNS para cualquier VPC adicional a la AWS Managed Microsoft AD que registre para las suscripciones basadas en usuarios. Puede utilizar Amazon Route 53 o cualquier otro servicio DNS para el reenvío de DNS. Para obtener más información, consulte la entrada del blog “Integrating your Directory Service’s DNS resolution with Amazon Route 53 Resolvers”.
Si se suscribe a Microsoft Office con suscripciones basadas en usuarios, debe hacer lo siguiente:
- Habilitar los nombres de host DNS y la resolución de DNS en la VPC. Para obtener más información, consulte Ver y actualizar los atributos de DNS de su VPC.
- Asegúrese de que las instancias lanzadas para proporcionar suscripciones basadas en usuarios con Microsoft Office tengan una ruta a la subred en la que se aprovisionan los puntos de conexión de VPC.
- Identifique o cree un grupo de seguridad para los puntos de conexión de VPC que permita la conectividad de entrada del puerto TCP 1688. Este grupo de seguridad se especificará al configurar los ajustes de la nube privada virtual. Para obtener más información, consulte Trabajar con grupos de seguridad. License Manager asociará este grupo de seguridad a los puntos de conexión de VPC que cree por usted al configurar la VPC. Para obtener más información, consulte Acceda a un Servicio de AWS mediante un punto de conexión de VPC de interfaz en la Guía de AWS PrivateLink .
- Identifique o cree un grupo de seguridad para las instancias lanzadas a fin de proporcionar suscripciones basadas en usuarios que permitan la conectividad de entrada del puerto TCP 3389 desde las fuentes de conexión aprobadas. El grupo de seguridad también debe permitir que la conectividad de salida del puerto TCP 1688 llegue a los puntos de conexión de VPC. Para obtener más información, consulte Trabajar con grupos de seguridad.
  
  Si se está preparando para usar suscripciones basadas en usuarios por primera vez, complete los requisitos previos enumerados y consulte Introducción a las suscripciones basadas en usuarios. Si ya ha configurado las suscripciones basadas en usuarios y desea añadir estos productos a AWS Managed Microsoft AD y configurar la VPC para los productos de Microsoft Office, complete los requisitos previos enumerados y consulte Modificación de la configuración del directorio para las suscripciones basadas en usuarios.
Debe disponer de un rol de perfil de instancia asociado a las instancias que proporcionan los productos de suscripción basada en usuarios que permita a AWS Systems Manager administrar el recurso. Para obtener más información, consulte Crear un perfil de instancias de IAM para Systems Manager en la Guía del usuario de AWS Systems Manager .

aviso
Las instancias que proporcionan suscripciones basadas en usuarios deben gestionarse por sí mismas para que estén AWS Systems Manager en buen estado. Además, las instancias deben poder activar sus licencias de suscripción basadas en usuarios y garantizar la conformidad tras la activación de las licencias. License Manager intentará recuperar las instancias en mal estado, pero se terminarán las que no puedan volver a un estado correcto. Para obtener información sobre la solución de problemas en torno a cómo mantener las instancias administradas por Systems Manager y la conformidad de las instancias, consulte la sección Solución de problemas de suscripciones basadas en usuarios de esta guía.
Para crear suscripciones basadas en usuarios, su usuario o rol debe tener los siguientes permisos:
- ec2:CreateNetworkInterface
- ec2:DeleteNetworkInterface
- ec2:DescribeNetworkInterfaces
- ec2:CreateNetworkInterfacePermission
- ec2:DescribeSubnets
- ds:DescribeDirectories
- ds:AuthorizeApplication
- ds:UnauthorizeApplication
- ds:GetAuthorizedApplicationDetails
- ds:DescribeDomainControllers
Para crear suscripciones basadas en usuarios para los productos de Microsoft Office, su usuario o rol también debe tener los siguientes permisos adicionales:
- ec2:CreateVpcEndpoint
- ec2:DeleteVpcEndpoints
- ec2:DescribeVpcEndpoints
- ec2:ModifyVpcEndpoint
- ec2:DescribeSecurityGroups

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Administre las suscripciones basadas en usuarios

Consideraciones

Requisitos previos

aviso