Associez facilement une instance Amazon EC2 Linux à votre répertoire Simple AD Active Directory - AWS Directory Service
PrérequisAssociez facilement une instance Linux à votre répertoire Simple AD Active Directory

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Associez facilement une instance Amazon EC2 Linux à votre répertoire Simple AD Active Directory

Cette procédure permet de joindre facilement une instance Amazon EC2 Linux à votre répertoire Simple AD Active Directory.

Les distributions et les versions d'instance Linux suivantes sont prises en charge :

  • AMI Amazon Linux 2018.03.0

  • Amazon Linux 2 (64 bits x86)

  • Red Hat Enterprise Linux 8 (HVM) (64 bits x86)

  • Ubuntu Server 18.04 LTS et Ubuntu Server 16.04 LTS

  • CentOS 7 x86-64

  • Serveur SUSE Linux Enterprise 15 SP1

Note

Les distributions antérieures à Ubuntu 14 et à Red Hat Enterprise Linux 7 et 8 ne prennent pas en charge la fonctionnalité de jonction de domaine transparente.

Prérequis

Avant de pouvoir configurer une jointure de domaine fluide à une instance Linux, vous devez suivre les procédures décrites dans cette section.

Sélectionnez votre compte de service de jonction transparente à un domaine

Vous pouvez joindre de manière transparente des ordinateurs Linux à votre domaine Simple AD. Pour ce faire, vous devez créer un compte utilisateur autorisé à créer un compte d'ordinateur pour joindre les ordinateurs au domaine. Bien que les Administrateurs de domaine ou les membres d'autres groupes puissent disposer de privilèges suffisants pour joindre des ordinateurs au domaine, nous vous le déconseillons. À titre de bonne pratique, nous vous recommandons d'utiliser un compte de service disposant des privilèges minimum nécessaires pour joindre les ordinateurs au domaine.

Pour plus d'informations sur le traitement et la délégation des autorisations à votre compte de service pour la création de comptes d'ordinateur, veuillez consulter Délégation de privilèges à votre compte de service.

Créer les secrets pour stocker le compte de service de domaine

Vous pouvez l'utiliser AWS Secrets Manager pour stocker le compte de service de domaine. Pour plus d'informations, voir Création d'un AWS Secrets Manager secret.

Note

Des frais sont associés à Secrets Manager. Pour plus d'informations, voir Tarification dans le guide de AWS Secrets Manager l'utilisateur.

Pour créer des secrets et stocker les informations du compte de service de domaine

  1. Connectez-vous à la AWS Secrets Manager console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/secretsmanager/.

  2. Choisissez Store a new secret (Stocker un nouveau secret).

  3. Sur la page Store a new secret (Stocker un nouveau secret), procédez comme suit :

    1. Sous Type de secret, sélectionnez Autre type de secret.

    2. Sous Paires clé/valeur, procédez comme suit :

      1. Dans la première case, saisissez awsSeamlessDomainUsername. Sur la même ligne, dans la case suivante, entrez le nom d'utilisateur de votre compte de service. Par exemple, si vous avez déjà utilisé la PowerShell commande, le nom du compte de service seraitawsSeamlessDomain.

        Note

        Vous devez saisir awsSeamlessDomainUsername exactement tel quel. Assurez-vous qu'il n'y a pas d'espaces au début ni à la fin. Sinon, la jonction de domaine échouera.

        Dans la AWS Secrets Manager console, sur la page Choisissez un type de secret. Un autre type de secret est sélectionné sous le type secret et awsSeamlessDomainUsername est saisi comme valeur clé.

      2. Choisissez Add row (Ajouter une ligne).

      3. Sur la nouvelle ligne, dans la première case, saisissez awsSeamlessDomainPassword. Sur la même ligne, dans la case suivante, saisissez le mot de passe de votre compte de service.

        Note

        Vous devez saisir awsSeamlessDomainPassword exactement tel quel. Assurez-vous qu'il n'y a pas d'espaces au début ni à la fin. Sinon, la jonction de domaine échouera.

      4. Sous Clé de chiffrement, laissez la valeur par défautaws/secretsmanager. AWS Secrets Manager chiffre toujours le secret lorsque vous choisissez cette option. Vous pouvez également choisir une clé que vous avez créée.

      5. Choisissez Suivant.

  4. Sous Nom secret, entrez un nom secret qui inclut votre identifiant de répertoire en utilisant le format suivant, en le d-xxxxxxxxx remplaçant par votre identifiant de répertoire :

    aws/directory-services/d-xxxxxxxxx/seamless-domain-join

    Cela servira à récupérer des secrets dans l'application.

    Note

    Vous devez le saisir aws/directory-services/d-xxxxxxxxx/seamless-domain-join exactement tel quel, mais le d-xxxxxxxxxx remplacer par votre identifiant de répertoire. Assurez-vous qu'il n'y a pas d'espaces au début ni à la fin. Sinon, la jonction de domaine échouera.

    Dans la AWS Secrets Manager console, sur la page secrète de configuration. Le nom du secret est saisi et surligné.

  5. Laissez le reste des paramètres définis par défaut, puis choisissez Next (Suivant).

  6. Sous Configure automatic rotation (Configurer la rotation automatique), choisissez Disable automatic rotation (Désactiver la rotation automatique), puis cliquez sur Next (Suivant).

    Vous pouvez activer la rotation pour ce secret une fois que vous l'avez enregistré.

  7. Vérifiez les paramètres, puis choisissez Store (Stocker) pour enregistrer vos modifications. La console Secrets Manager vous redirige à la liste des secrets de votre compte, où votre nouveau secret est désormais inclus.

  8. Choisissez le nom du secret que vous venez de créer dans la liste et prenez note de la valeur de l'ARN secret. Vous en aurez besoin pour la section suivante.

Activer la rotation pour le secret du compte de service de domaine

Nous vous recommandons d'alterner régulièrement les secrets afin d'améliorer votre niveau de sécurité.

Pour activer la rotation pour le secret du compte de service de domaine

Créez le rôle et la politique IAM requis

Suivez les étapes préalables suivantes pour créer une politique personnalisée qui autorise un accès en lecture seule à votre secret de jonction de domaine transparent Secrets Manager (que vous avez créé précédemment) et pour créer un nouveau rôle Linux EC2 DomainJoin IAM.

Créer la politique de lecture IAM Secrets Manager

Utilisez la console IAM pour créer une politique qui accorde un accès en lecture seule à votre secret Secrets Manager.

Pour créer la politique de lecture IAM Secrets Manager

  1. Connectez-vous au en AWS Management Console tant qu'utilisateur autorisé à créer des politiques IAM. Ouvrez ensuite la console IAM à https://console.aws.amazon.com/iam/l'adresse.

  2. Dans le volet de navigation, Gestion des accès, sélectionnez Policies.

  3. Choisissez Create Policy (Créer une politique).

  4. Choisissez l'onglet JSON et copiez le texte du document de politique JSON suivant. Collez-le ensuite dans la zone de texte JSON.

    Note

    Assurez-vous de remplacer l'ARN de la région et de la ressource par la région et l'ARN réels du secret que vous avez créé précédemment.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:xxxxxxxxx:secret:aws/directory-services/d-xxxxxxxxx/seamless-domain-join"
            ]
        }
    ]
}

  5. Lorsque vous avez terminé, choisissez Next. Le programme de validation des politiques signale les éventuelles erreurs de syntaxe. Pour plus d'informations, veuillez consulter la section Validating IAM policies (français non garanti).

  6. Sur la page Review policy (Réviser la politique), saisissez un nom pour la politique, tel que SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read. Vérifiez la section Summary (Récapitulatif) pour voir les autorisations accordées par votre politique. Sélectionnez Create Policy (Créer une politique) pour enregistrer vos changements. La nouvelle politique s'affiche dans la liste des politiques gérées et est prête à être attachée à une identité.

Note

Nous vous recommandons de créer une politique par secret. Cela garantit que les instances n'ont accès qu'au secret approprié et minimise les répercussions si une instance est compromise.

Création du EC2 DomainJoin rôle Linux

Vous utilisez la console IAM pour créer le rôle que vous utiliserez pour joindre un domaine à votre EC2 instance Linux.

Pour créer le EC2 DomainJoin rôle Linux

  1. Connectez-vous au en AWS Management Console tant qu'utilisateur autorisé à créer des politiques IAM. Ouvrez ensuite la console IAM à https://console.aws.amazon.com/iam/l'adresse.

  2. Dans le volet de navigation, sous Gestion des accès, sélectionnez Rôles.

  3. Dans le panneau de contenu, sélectionnez Create role (Créer un rôle).

  4. Sous Select type of trusted entity (Sélectionner le type d'entité approuvée), choisissez service AWS .

  5. Sous Cas d'utilisation, choisissez EC2, puis cliquez sur Suivant.

    Dans la console IAM, sur la page de sélection de l'entité de confiance. AWS service et EC2 sont sélectionnés.

  6. Pour Filter policies (Filtrer les politiques), procédez comme suit :

    1. Saisissez AmazonSSMManagedInstanceCore. Cochez ensuite la case correspondant à cet élément de la liste.

    2. Saisissez AmazonSSMDirectoryServiceAccess. Cochez ensuite la case correspondant à cet élément de la liste.

    3. Saisissez SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read (ou le nom de la politique que vous avez créée dans la procédure précédente). Cochez ensuite la case correspondant à cet élément de la liste.

    4. Après avoir ajouté les trois politiques répertoriées ci-dessus, sélectionnez Créer un rôle.

    Note

    Amazon SSMDirectory ServiceAccess fournit les autorisations nécessaires pour joindre des instances à un Active Directory géré par AWS Directory Service. Amazon SSMManaged InstanceCore fournit les autorisations minimales nécessaires pour utiliser le AWS Systems Manager service. Pour plus d'informations sur la création d'un rôle doté de ces autorisations, ainsi que sur les autres autorisations et politiques que vous pouvez attribuer à votre rôle IAM, veuillez consulter la section Create an IAM instance profile for Systems Manager (français non garanti) dans le Guide de l'utilisateur AWS Systems Manager .

  7. Entrez un nom pour votre nouveau rôle, par exemple un autre nom que vous préférez dans le champ Nom du rôle. LinuxEC2DomainJoin

  8. (Facultatif) Pour Role description (Description du rôle), entrez une description.

  9. (Facultatif) Choisissez Ajouter une nouvelle balise à l'étape 3 : Ajouter des balises pour ajouter des balises. Les paires clé-valeur de balise sont utilisées pour organiser, suivre ou contrôler l'accès pour ce rôle.

  10. Sélectionnez Créer un rôle.

Associez facilement une instance Linux à votre répertoire Simple AD Active Directory

Pour rejoindre facilement votre instance Linux

  1. Connectez-vous à la EC2 console Amazon AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le sélecteur de région de la barre de navigation, choisissez le même répertoire Région AWS que le répertoire existant.

  3. Sur le EC2 tableau de bord, dans la section Launch instance, choisissez Launch instance.

  4. Sur la page Lancer une instance, dans la section Nom et balises, entrez le nom que vous souhaitez utiliser pour votre EC2 instance Linux.

  5. (Facultatif) Choisissez Ajouter des balises supplémentaires pour ajouter une ou plusieurs paires clé-valeur de balise afin d'organiser, de suivre ou de contrôler l'accès à cette EC2 instance.

  6. Dans la section Image de l'application et du système d'exploitation (Amazon Machine Image), choisissez l'AMI Linux que vous souhaitez lancer.

    Note

    L'AMI utilisée doit avoir la version 2.3.1644.0 ou supérieure AWS Systems Manager (agent SSM). Pour vérifier la version de l'agent SSM installée dans votre AMI en lançant une instance à partir de cette AMI, veuillez consulter Getting the currently installed SSM Agent version (français non garanti). Si vous devez mettre à niveau l'agent SSM, consultez la section Installation et configuration de l'agent SSM sur des EC2 instances pour Linux.

    SSM utilise le aws:domainJoin plugin pour joindre une instance Linux à un Active Directory domaine. Le plugin remplace le nom d'hôte des instances Linux par le format EC2 AMAZ-. XXXXXXX Pour plus d'informations à ce sujetaws:domainJoin, consultez AWS Systems Manager la référence du plug-in du document de commande dans le guide de AWS Systems Manager l'utilisateur.

  7. Dans la section Type d'instance, choisissez le type d'instance que vous souhaitez utiliser dans la liste déroulante Type d'instance.

  8. Dans la section Paire de clés (connexion), vous pouvez choisir de créer une nouvelle paire de clés ou choisir une paire de clés existante. Pour créer une nouvelle paire de clés, choisissez Créer une paire de clés. Entrez le nom de la paire de clés et sélectionnez une option pour le type de paire de clés et le format de fichier de clé privée. Pour enregistrer la clé privée dans un format qui peut être utilisé avec OpenSSH, choisissez .pem. Pour enregistrer la clé privée dans un format qui peut être utilisé avec PuTTY, choisissez .ppk. Choisissez Créer une paire de clés. Le fichier de clé privée est automatiquement téléchargé dans votre navigateur. Enregistrez le fichier de clé privée en lieu sûr.

    Important

    C’est votre seule occasion d’enregistrer le fichier de clé privée.

  9. Sur la page Lancer une instance, dans la section Paramètres réseau, choisissez Modifier. Choisissez le VPC dans lequel votre répertoire a été créé dans la liste déroulante VPC obligatoire.

  10. Choisissez l'un des sous-réseaux publics de votre VPC dans la liste déroulante Sous-réseau. Tout le trafic externe du sous-réseau que vous choisissez doit être acheminé vers une passerelle Internet. Sinon, vous ne pourrez pas vous connecter à l'instance à distance.

    Pour obtenir plus d'informations sur la manière de se connecter à une passerelle Internet, veuillez consulter la section Connect to the internet using an internet gateway (français non garanti) dans le Guide de l'utilisateur Amazon VPC.

  11. Sous Auto-assign Public IP (Attribuer automatiquement l'adresse IP publique), choisissez Enable (Activer).

    Pour plus d'informations sur l'adressage IP public et privé, consultez la section Adressage IP des EC2 instances Amazon dans le guide de EC2 l'utilisateur Amazon.

  12. Pour les paramètres Firewall (security groups) [Pare-feu (groupes de sécurité)], vous pouvez utiliser les paramètres par défaut ou les modifier selon vos besoins.

  13. Pour les paramètres Configure storage (Configurer le stockage), vous pouvez utiliser les paramètres par défaut ou les modifier selon vos besoins.

  14. Choisissez la section Advanced details (Détails avancés), puis sélectionnez votre domaine dans la liste déroulante Domain join directory (Annuaire de jonction de domaines).

    Note

    Après avoir choisi le répertoire de jointure du domaine, vous pouvez voir :

    Un message d'erreur s'affiche lors de la sélection de votre répertoire de jointure de domaines. Une erreur s'est produite dans votre document SSM existant.

    Cette erreur se produit si l'assistant de EC2 lancement identifie un document SSM existant présentant des propriétés inattendues. Vous pouvez effectuer l'une des actions suivantes :

    • Si vous avez déjà modifié le document SSM et que les propriétés sont attendues, choisissez Fermer et lancez l' EC2 instance sans aucune modification.

    • Cliquez sur le lien Supprimer le document SSM existant ici pour supprimer le document SSM. Cela permettra de créer un document SSM avec les propriétés correctes. Le document SSM sera automatiquement créé lorsque vous lancerez l' EC2 instance.

  15. Pour le profil d'instance IAM, choisissez le rôle IAM que vous avez créé précédemment dans la section Conditions préalables Étape 2 : Création du rôle Linux. EC2 DomainJoin

  16. Choisissez Launch instance (Lancer une instance).

Note

Si vous effectuez une jonction de domaine transparente avec SUSE Linux, un redémarrage est nécessaire pour que les authentifications fonctionnent. Pour redémarrer SUSE depuis le terminal Linux, tapez sudo reboot.