Joignez facilement une instance Amazon EC2 Linux à votre annuaire Microsoft AD Active Directory AWS géré - AWS Directory Service
PrérequisRejoignez facilement votre instance Linux

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Joignez facilement une instance Amazon EC2 Linux à votre annuaire Microsoft AD Active Directory AWS géré

Cette procédure permet de joindre facilement une instance Amazon EC2 Linux à votre répertoire Microsoft AD Active Directory AWS géré. Si vous devez effectuer une jonction de domaine fluide entre plusieurs AWS comptes, vous pouvez éventuellement choisir d'activer le partage d'annuaires.

Les distributions et les versions d'instance Linux suivantes sont prises en charge :

  • Amazon Linux AMI 2018.03.0

  • Amazon Linux 2 (64 bits x86)

  • Red Hat Enterprise Linux 8 (HVM) (64 bits x86)

  • Ubuntu Server 18.04 LTS et Ubuntu Server 16.04 LTS

  • CentOS 7 x86-64

  • SUSEServeur Linux Enterprise 15 SP1

Note

Les distributions antérieures à Ubuntu 14 et Red Hat Enterprise Linux 7 ne prennent pas en charge la fonctionnalité de jonction de domaine transparente.

Pour une démonstration du processus permettant de joindre facilement une instance Linux à votre annuaire Microsoft AD Active Directory AWS géré, regardez la YouTube vidéo suivante.

Prérequis

Avant de pouvoir configurer une jointure de domaine fluide à une instance Linux, vous devez suivre les procédures décrites dans cette section.

Sélectionnez votre compte de service de jonction transparente à un domaine

Vous pouvez facilement associer des ordinateurs Linux à votre domaine Microsoft AD Active Directory AWS géré. Pour ce faire, vous devez utiliser un compte utilisateur autorisé à créer un compte d'ordinateur pour joindre les machines au domaine. Bien que les administrateurs délégués AWS ou les membres d'autres groupes puissent disposer de privilèges suffisants pour joindre des ordinateurs au domaine, nous vous déconseillons ce type d'utilisation. À titre de bonne pratique, nous vous recommandons d'utiliser un compte de service disposant des privilèges minimaux nécessaires pour joindre les ordinateurs au domaine.

Pour déléguer un compte doté des privilèges minimaux nécessaires pour associer les ordinateurs au domaine, vous pouvez exécuter les PowerShell commandes suivantes. Vous devez exécuter ces commandes à partir d'un ordinateur Windows joint au domaine sur lequel le Installation des outils d'administration Active Directory pour Microsoft AD AWS géré est installé. En outre, vous devez utiliser un compte autorisé à modifier les autorisations sur l'unité d'organisation ou le conteneur de votre ordinateur. La PowerShell commande définit les autorisations permettant au compte de service de créer des objets informatiques dans le conteneur d'ordinateurs par défaut de votre domaine.

$AccountName = 'awsSeamlessDomain'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module 'ActiveDirectory'
$Domain = Get-ADDomain -ErrorAction Stop
$BaseDn = $Domain.DistinguishedName
$ComputersContainer = $Domain.ComputersContainer
$SchemaNamingContext = Get-ADRootDSE | Select-Object -ExpandProperty 'schemaNamingContext'
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $SchemaNamingContext -Filter { lDAPDisplayName -eq 'Computer' } -Properties 'schemaIDGUID').schemaIDGUID
# Getting Service account Information.
$AccountProperties = Get-ADUser -Identity $AccountName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
# Getting ACL settings for the Computers container.
$ObjectAcl = Get-ACL -Path "AD:\$ComputersContainer" 
# Setting ACL allowing the service account the ability to create child computer objects in the Computers container.
$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'CreateChild', 'Allow', $ServicePrincipalNameGUID, 'All'
$ObjectAcl.AddAccessRule($AddAccessRule)
Set-ACL -AclObject $ObjectAcl -Path "AD:\$ComputersContainer"

Si vous préférez utiliser une interface utilisateur graphique (GUI), vous pouvez utiliser le processus manuel décrit dansDélégation de privilèges à votre compte de service.

Créer les secrets pour stocker le compte de service de domaine

Vous pouvez l'utiliser AWS Secrets Manager pour stocker le compte de service de domaine.

Pour créer des secrets et stocker les informations du compte de service de domaine

  1. Connectez-vous à la AWS Secrets Manager console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/secretsmanager/.

  2. Choisissez Store a new secret (Stocker un nouveau secret).

  3. Sur la page Store a new secret (Stocker un nouveau secret), procédez comme suit :

    1. Sous Type de secret, sélectionnez Autre type de secret.

    2. Sous Paires clé/valeur, procédez comme suit :

      1. Dans la première case, saisissez awsSeamlessDomainUsername. Sur la même ligne, dans la case suivante, entrez le nom d'utilisateur de votre compte de service. Par exemple, si vous avez déjà utilisé la PowerShell commande, le nom du compte de service seraitawsSeamlessDomain.

        Note

        Vous devez saisir awsSeamlessDomainUsername exactement tel quel. Assurez-vous qu'il n'y a pas d'espaces au début ni à la fin. Sinon, la jonction de domaine échouera.

        Dans la AWS Secrets Manager console, sur la page Choisissez un type de secret. Un autre type de secret est sélectionné sous le type secret et awsSeamlessDomainUsername est saisi comme valeur clé.

      2. Choisissez Add row (Ajouter une ligne).

      3. Sur la nouvelle ligne, dans la première case, saisissez awsSeamlessDomainPassword. Sur la même ligne, dans la case suivante, saisissez le mot de passe de votre compte de service.

        Note

        Vous devez saisir awsSeamlessDomainPassword exactement tel quel. Assurez-vous qu'il n'y a pas d'espaces au début ni à la fin. Sinon, la jonction de domaine échouera.

      4. Sous Clé de chiffrement, laissez la valeur par défautaws/secretsmanager. AWS Secrets Manager chiffre toujours le secret lorsque vous choisissez cette option. Vous pouvez également choisir une clé que vous avez créée.

        Note

        Des frais sont associés AWS Secrets Manager, selon le secret que vous utilisez. Pour obtenir la liste de prix actuelle complète, consultez Tarification AWS Secrets Manager.

        Vous pouvez utiliser la clé AWS aws/secretsmanager gérée créée par Secrets Manager pour chiffrer vos secrets gratuitement. Si vous créez vos propres KMS clés pour chiffrer vos secrets, cela vous AWS sera facturé au AWS KMS tarif en vigueur. Pour plus d'informations, consultez AWS Key Management Service Pricing (Tarification CTlong).

      5. Choisissez Suivant.

  4. Sous Nom secret, entrez un nom secret qui inclut l'ID de votre répertoire en utilisant le format suivant, en remplaçant d-xxxxxxxxx avec votre identifiant de répertoire :

    aws/directory-services/d-xxxxxxxxx/seamless-domain-join

    Cela servira à récupérer des secrets dans l'application.

    Note

    Vous devez entrer aws/directory-services/d-xxxxxxxxx/seamless-domain-join exactement tel quel mais remplacer d-xxxxxxxxxx avec votre identifiant de répertoire. Assurez-vous qu'il n'y a pas d'espaces au début ni à la fin. Sinon, la jonction de domaine échouera.

    Dans la AWS Secrets Manager console, sur la page secrète de configuration. Le nom du secret est saisi et surligné.

  5. Laissez le reste des paramètres définis par défaut, puis choisissez Next (Suivant).

  6. Sous Configure automatic rotation (Configurer la rotation automatique), choisissez Disable automatic rotation (Désactiver la rotation automatique), puis cliquez sur Next (Suivant).

    Vous pouvez activer la rotation pour ce secret une fois que vous l'avez enregistré.

  7. Vérifiez les paramètres, puis choisissez Store (Stocker) pour enregistrer vos modifications. La console Secrets Manager vous redirige à la liste des secrets de votre compte, où votre nouveau secret est désormais inclus.

  8. Choisissez le nom du secret que vous venez de créer dans la liste et prenez note de la ARN valeur du secret. Vous en aurez besoin pour la section suivante.

Activer la rotation pour le secret du compte de service de domaine

Nous vous recommandons d'alterner régulièrement les secrets afin d'améliorer votre niveau de sécurité.

Pour activer la rotation pour le secret du compte de service de domaine

Créez la IAM politique et le rôle requis

Suivez les étapes préalables suivantes pour créer une politique personnalisée qui autorise un accès en lecture seule à votre secret de jonction de domaine transparent Secrets Manager (que vous avez créé précédemment) et pour créer un nouveau rôle Linux EC2DomainJoinIAM.

Création de la politique de IAM lecture de Secrets Manager

Vous utilisez la IAM console pour créer une politique qui accorde un accès en lecture seule à votre secret Secrets Manager.

Pour créer la politique de IAM lecture de Secrets Manager

  1. Connectez-vous au en AWS Management Console tant qu'utilisateur autorisé à créer des IAM politiques. Ouvrez ensuite la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, Gestion des accès, sélectionnez Policies.

  3. Choisissez Create Policy (Créer une politique).

  4. Choisissez l'JSONonglet et copiez le texte du document de JSON politique suivant. Collez-le ensuite dans la zone de JSONtexte.

    Note

    Assurez-vous de remplacer la région et la ressource ARN par la région réelle et ARN le secret que vous avez créé précédemment.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:xxxxxxxxx:secret:aws/directory-services/d-xxxxxxxxx/seamless-domain-join"
            ]
        }
    ]
}

  5. Lorsque vous avez terminé, choisissez Next. Le programme de validation des politiques signale les éventuelles erreurs de syntaxe. Pour plus d'informations, consultez la section Validation des IAM politiques.

  6. Sur la page Review policy (Réviser la politique), saisissez un nom pour la politique, tel que SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read. Vérifiez la section Summary (Récapitulatif) pour voir les autorisations accordées par votre politique. Sélectionnez Create Policy (Créer une politique) pour enregistrer vos changements. La nouvelle politique s'affiche dans la liste des politiques gérées et est prête à être attachée à une identité.

Note

Nous vous recommandons de créer une politique par secret. Cela garantit que les instances n'ont accès qu'au secret approprié et minimise les répercussions si une instance est compromise.

Création du EC2DomainJoin rôle Linux

Vous utilisez la IAM console pour créer le rôle que vous utiliserez pour joindre un domaine à votre EC2 instance Linux.

Pour créer le EC2DomainJoin rôle Linux

  1. Connectez-vous au en AWS Management Console tant qu'utilisateur autorisé à créer des IAM politiques. Ouvrez ensuite la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, sous Gestion des accès, sélectionnez Rôles.

  3. Dans le panneau de contenu, sélectionnez Create role (Créer un rôle).

  4. Sous Select type of trusted entity (Sélectionner le type d'entité approuvée), choisissez service AWS .

  5. Sous Cas d'utilisation, choisissez EC2, puis cliquez sur Suivant.

    Dans la IAM console, sur la page de sélection de l'entité de confiance. AWS service et EC2 sont sélectionnés.

  6. Pour Filter policies (Filtrer les politiques), procédez comme suit :

    1. Saisissez AmazonSSMManagedInstanceCore. Cochez ensuite la case correspondant à cet élément de la liste.

    2. Saisissez AmazonSSMDirectoryServiceAccess. Cochez ensuite la case correspondant à cet élément de la liste.

    3. Saisissez SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read (ou le nom de la politique que vous avez créée dans la procédure précédente). Cochez ensuite la case correspondant à cet élément de la liste.

    4. Après avoir ajouté les trois politiques répertoriées ci-dessus, sélectionnez Créer un rôle.

    Note

    A mazonSSMDirectory ServiceAccess fournit les autorisations nécessaires pour joindre des instances à une instance Active Directory gérée par AWS Directory Service. A mazonSSMManaged InstanceCore fournit les autorisations minimales nécessaires pour utiliser le AWS Systems Manager service. Pour plus d'informations sur la création d'un rôle doté de ces autorisations, ainsi que sur les autres autorisations et politiques que vous pouvez attribuer à votre IAM rôle, consultez la section Créer un profil d'IAMinstance pour Systems Manager dans le guide de AWS Systems Manager l'utilisateur.

  7. Entrez un nom pour votre nouveau rôle, par exemple un autre nom que vous préférez dans le champ Nom du rôle. LinuxEC2DomainJoin

  8. (Facultatif) Pour Role description (Description du rôle), entrez une description.

  9. (Facultatif) Choisissez Ajouter une nouvelle balise à l'étape 3 : Ajouter des balises pour ajouter des balises. Les paires clé-valeur de balise sont utilisées pour organiser, suivre ou contrôler l'accès pour ce rôle.

  10. Sélectionnez Créer un rôle.

Rejoignez facilement votre instance Linux

Pour rejoindre facilement votre instance Linux

  1. Connectez-vous à la EC2 console Amazon AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le sélecteur de région de la barre de navigation, choisissez le même répertoire Région AWS que le répertoire existant.

  3. Sur le EC2tableau de bord, dans la section Launch instance, choisissez Launch instance.

  4. Sur la page Lancer une instance, dans la section Nom et balises, entrez le nom que vous souhaitez utiliser pour votre EC2 instance Linux.

  5. (Facultatif) Choisissez Ajouter des balises supplémentaires pour ajouter une ou plusieurs paires clé-valeur de balise afin d'organiser, de suivre ou de contrôler l'accès à cette EC2 instance.

  6. Dans la section Image de l'application et du système d'exploitation (Amazon Machine Image), choisissez le Linux AMI que vous souhaitez lancer.

    Note

    L'utilisateur AMI doit disposer de la version AWS Systems Manager (SSMAgent) 2.3.1644.0 ou supérieure. Pour vérifier la version de l'SSMagent installée dans votre ordinateur en AMI lançant une instance à partir de celle-ciAMI, consultez Obtenir la version de l'SSMagent actuellement installée. Si vous devez mettre à niveau l'SSMagent, consultez la section Installation et configuration de SSM l'agent sur EC2 des instances pour Linux.

    SSMutilise le aws:domainJoin plugin lors de la liaison d'une instance Linux à un Active Directory domaine. Le plugin remplace le nom d'hôte des instances Linux par le format - EC2AMAZXXXXXXX. Pour plus d'informationsaws:domainJoin, consultez la référence du plug-in du document de AWS Systems Manager commande dans le guide de AWS Systems Manager l'utilisateur.

  7. Dans la section Type d'instance, choisissez le type d'instance que vous souhaitez utiliser dans la liste déroulante Type d'instance.

  8. Dans la section Paire de clés (connexion), vous pouvez choisir de créer une nouvelle paire de clés ou choisir une paire de clés existante. Pour créer une nouvelle paire de clés, choisissez Créer une paire de clés. Entrez le nom de la paire de clés et sélectionnez une option pour le type de paire de clés et le format de fichier de clé privée. Pour enregistrer la clé privée dans un format utilisable avec OpenSSH, choisissez .pem. Pour enregistrer la clé privée dans un format utilisable avec PuTTY, choisissez .ppk. Choisissez Créer une paire de clés. Le fichier de clé privée est automatiquement téléchargé dans votre navigateur. Enregistrez le fichier de clé privée en lieu sûr.

    Important

    C’est votre seule occasion d’enregistrer le fichier de clé privée.

  9. Sur la page Lancer une instance, dans la section Paramètres réseau, choisissez Modifier. Choisissez le répertoire dans VPClequel votre répertoire a été créé dans la liste déroulante VPC- obligatoire.

  10. Choisissez l'un des sous-réseaux publics de votre choix dans la liste VPC déroulante des sous-réseaux. Tout le trafic externe du sous-réseau que vous choisissez doit être acheminé vers une passerelle Internet. Sinon, vous ne pourrez pas vous connecter à l'instance à distance.

    Pour plus d'informations sur la connexion à une passerelle Internet, consultez la section Se connecter à Internet à l'aide d'une passerelle Internet dans le guide de VPC l'utilisateur Amazon.

  11. Sous Auto-assign Public IP (Attribuer automatiquement l'adresse IP publique), choisissez Enable (Activer).

    Pour plus d'informations sur l'adressage IP public et privé, consultez la section Adressage IP des EC2 instances Amazon dans le guide de EC2 l'utilisateur Amazon.

  12. Pour les paramètres Firewall (security groups) [Pare-feu (groupes de sécurité)], vous pouvez utiliser les paramètres par défaut ou les modifier selon vos besoins.

  13. Pour les paramètres Configure storage (Configurer le stockage), vous pouvez utiliser les paramètres par défaut ou les modifier selon vos besoins.

  14. Choisissez la section Advanced details (Détails avancés), puis sélectionnez votre domaine dans la liste déroulante Domain join directory (Annuaire de jonction de domaines).

    Note

    Après avoir choisi le répertoire de jointure du domaine, vous pouvez voir :

    Un message d'erreur s'affiche lors de la sélection de votre répertoire de jointure de domaines. Une erreur s'est produite dans votre SSM document existant.

    Cette erreur se produit si l'assistant de EC2 lancement identifie un SSM document existant présentant des propriétés inattendues. Vous pouvez effectuer l'une des actions suivantes :

    • Si vous avez déjà modifié le SSM document et que les propriétés sont attendues, choisissez Fermer et lancez l'EC2instance sans aucune modification.

    • Cliquez sur le lien Supprimer le SSM document existant ici pour supprimer le SSM document. Cela permettra de créer un SSM document doté des propriétés correctes. Le SSM document sera automatiquement créé lorsque vous lancerez l'EC2instance.

  15. Pour le profil d'IAMinstance, choisissez le IAM rôle que vous avez créé précédemment dans la section des prérequis Étape 2 : Création du EC2DomainJoin rôle Linux.

  16. Choisissez Launch instance (Lancer une instance).

Note

Si vous effectuez une jonction de domaine fluide avec SUSE Linux, un redémarrage est nécessaire pour que les authentifications fonctionnent. Pour redémarrer SUSE depuis le terminal Linux, tapez sudo reboot.