Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggabungkan instans Amazon EC2 Linux dengan mulus ke Direktori Aktif Microsoft AD AWS Terkelola
Prosedur ini menggabungkan instans Amazon EC2 Linux dengan mulus ke Direktori Aktif AWS Microsoft AD Terkelola Anda. Jika Anda perlu melakukan gabungan domain tanpa batas di beberapa AWS akun, Anda dapat memilih untuk mengaktifkan Berbagi direktori.
Distribusi instans Linux dan versi berikut ini didukung:
-
Amazon Linux AMI 2018.03.0
-
Amazon Linux 2 (64-bit x86)
-
Perusahaan Topi Merah Linux 8 (HVM) (64-bit x86)
-
Server Ubuntu 18.04 LTS & Server Ubuntu 16.04 LTS
-
CentOS 7 x86-64
-
SUSELinux Server Perusahaan 15 SP1
catatan
Distribusi sebelum Ubuntu 14 dan Red Hat Enterprise Linux 7 tidak mendukung fitur penggabungan domain mulus.
Untuk demonstrasi tentang proses menggabungkan instans Linux dengan mulus ke Direktori Aktif AWS Microsoft AD Terkelola, lihat video berikut YouTube .
Prasyarat
Sebelum Anda dapat mengatur gabungan domain tanpa batas ke instance Linux, Anda harus menyelesaikan prosedur di bagian ini.
Pilih akun layanan penggabungan domain mulus Anda
Anda dapat menggabungkan komputer Linux dengan mulus ke Microsoft AD yang AWS Dikelola Active Directory domain. Untuk melakukannya, Anda harus membuat akun pengguna dengan membuat izin akun komputer untuk menggabungkan komputer ke domain. Meskipun anggota administrator yang didelegasikan AWS atau grup lain mungkin memiliki hak istimewa yang memadai untuk menggabungkan komputer ke domain, kami tidak menyarankan untuk menggunakan ini. Sebagai praktik terbaik, kami rekomendasikan Anda menggunakan akun layanan yang memiliki hak istimewa minimum yang diperlukan untuk menggabungkan komputer ke domain.
Untuk mendelegasikan akun dengan hak istimewa minimum yang diperlukan untuk bergabung dengan komputer ke domain, Anda dapat menjalankan perintah berikut PowerShell . Anda harus menjalankan perintah ini dari komputer Windows menggabungkan domain dengan Menginstal Alat Administrasi Direktori Aktif untuk Microsoft AD yang AWS Dikelola yang diinstal. Selain itu, Anda harus menggunakan akun yang memiliki izin untuk mengubah izin di OU komputer atau kontainer Anda. PowerShell Perintah menetapkan izin yang memungkinkan akun layanan untuk membuat objek komputer di wadah komputer default domain Anda.
$AccountName = 'awsSeamlessDomain' # DO NOT modify anything below this comment. # Getting Active Directory information. Import-Module 'ActiveDirectory' $Domain = Get-ADDomain -ErrorAction Stop $BaseDn = $Domain.DistinguishedName $ComputersContainer = $Domain.ComputersContainer $SchemaNamingContext = Get-ADRootDSE | Select-Object -ExpandProperty 'schemaNamingContext' [System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $SchemaNamingContext -Filter { lDAPDisplayName -eq 'Computer' } -Properties 'schemaIDGUID').schemaIDGUID # Getting Service account Information. $AccountProperties = Get-ADUser -Identity $AccountName $AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value # Getting ACL settings for the Computers container. $ObjectAcl = Get-ACL -Path "AD:\$ComputersContainer" # Setting ACL allowing the service account the ability to create child computer objects in the Computers container. $AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'CreateChild', 'Allow', $ServicePrincipalNameGUID, 'All' $ObjectAcl.AddAccessRule($AddAccessRule) Set-ACL -AclObject $ObjectAcl -Path "AD:\$ComputersContainer"
Jika Anda lebih suka menggunakan antarmuka pengguna grafis (GUI) Anda dapat menggunakan proses manual yang dijelaskan dalamMendelegasikan hak istimewa ke akun layanan Anda.
Membuat rahasia untuk menyimpan akun layanan domain
Anda dapat menggunakan AWS Secrets Manager untuk menyimpan akun layanan domain.
Untuk Membuat rahasia dan menyimpan informasi akun layanan domain
-
Masuk ke AWS Management Console dan buka AWS Secrets Manager konsol di https://console.aws.amazon.com/secretsmanager/
. -
Pilih Simpan rahasia baru.
-
Pada halaman Simpan rahasia baru, lakukan hal berikut:
-
Di bawah Jenis rahasia, pilih Jenis rahasia lainnya.
-
Di bawah pasangan kunci/nilai, lakukan hal berikut:
-
Dalam kotak pertama, masukkan
awsSeamlessDomainUsername
. Pada baris yang sama, di kotak berikutnya, masukkan nama pengguna untuk akun layanan Anda. Misalnya, jika Anda menggunakan PowerShell perintah sebelumnya, nama akun layanan akan menjadiawsSeamlessDomain
.catatan
Anda harus memasukkan
awsSeamlessDomainUsername
persis seperti itu. Pastikan tidak ada spasi awal atau akhir. Jika tidak maka penggabungan domain akan gagal. -
Pilih Tambahkan baris.
-
Pada baris baru, di kotak pertama, masukkan
awsSeamlessDomainPassword
. Pada baris yang sama, di kotak berikutnya, masukkan kata sandi untuk akun layanan Anda.catatan
Anda harus memasukkan
awsSeamlessDomainPassword
persis seperti itu. Pastikan tidak ada spasi awal atau akhir. Jika tidak maka penggabungan domain akan gagal. -
Di bawah kunci Enkripsi, tinggalkan nilai default
aws/secretsmanager
. AWS Secrets Manager selalu mengenkripsi rahasia ketika Anda memilih opsi ini. Anda juga dapat memilih kunci yang Anda buat.catatan
Ada biaya yang terkait AWS Secrets Manager, tergantung pada rahasia yang Anda gunakan. Untuk daftar harga lengkap saat ini, lihat AWS Secrets Manager Harga
. Anda dapat menggunakan kunci AWS terkelola
aws/secretsmanager
yang dibuat Secrets Manager untuk mengenkripsi rahasia Anda secara gratis. Jika Anda membuat KMS kunci sendiri untuk mengenkripsi rahasia Anda, AWS menagih Anda dengan AWS KMS tarif saat ini. Untuk informasi selengkapnya, silakan lihat Harga AWS Key Management Service. -
Pilih Berikutnya.
-
-
-
Di bawah nama Rahasia, masukkan nama rahasia yang menyertakan ID direktori Anda menggunakan format berikut, menggantikan
d-xxxxxxxxx
dengan ID direktori Anda:aws/directory-services/
d-xxxxxxxxx
/seamless-domain-joinIni akan digunakan untuk mengambil rahasia dalam aplikasi.
catatan
Anda harus memasukkan
aws/directory-services/
persis seperti apa adanya tetapi gantid-xxxxxxxxx
/seamless-domain-joind-xxxxxxxxxx
dengan ID direktori Anda. Pastikan tidak ada spasi awal atau akhir. Jika tidak maka penggabungan domain akan gagal. -
Biarkan yang lainnya diatur ke default, dan kemudian pilih Selanjutnya.
-
Di bawah Konfigurasikan rotasi otomatis, pilih Nonaktifkan rotasi otomatis, lalu pilih Selanjutnya.
Anda dapat mengaktifkan rotasi untuk rahasia ini setelah Anda menyimpannya.
-
Tinjau pengaturan, dan kemudian pilih Simpan untuk menyimpan perubahan Anda. Konsol Secrets Manager mengembalikan Anda ke daftar rahasia di akun Anda dengan rahasia baru Anda masuk di dalam daftar.
-
Pilih nama rahasia Anda yang baru dibuat dari daftar, dan catat ARN nilai Rahasia. Anda akan membutuhkannya di bagian selanjutnya.
Aktifkan rotasi untuk rahasia akun layanan domain
Kami menyarankan Anda memutar rahasia secara teratur untuk meningkatkan postur keamanan Anda.
Untuk mengaktifkan rotasi untuk rahasia akun layanan domain
-
Ikuti petunjuk di Mengatur rotasi otomatis untuk AWS Secrets Manager rahasia di Panduan AWS Secrets Manager Pengguna.
Untuk Langkah 5, gunakan template rotasi kredenal Microsoft Active Directory di AWS Secrets Manager Panduan Pengguna.
Untuk bantuan, lihat Memecahkan masalah AWS Secrets Manager rotasi di AWS Secrets Manager Panduan Pengguna.
Buat IAM kebijakan dan peran yang diperlukan
Gunakan langkah-langkah prasyarat berikut untuk membuat kebijakan khusus yang memungkinkan akses hanya-baca ke rahasia gabungan domain tanpa batas Secrets Manager Anda (yang Anda buat sebelumnya), dan untuk membuat peran Linux baru. EC2DomainJoin IAM
Buat kebijakan IAM baca Secrets Manager
Anda menggunakan IAM konsol untuk membuat kebijakan yang memberikan akses hanya-baca ke rahasia Secrets Manager Anda.
Untuk membuat kebijakan IAM baca Secrets Manager
-
Masuk ke pengguna AWS Management Console sebagai pengguna yang memiliki izin untuk membuat IAM kebijakan. Kemudian buka IAM konsol di https://console.aws.amazon.com/iam/
. -
Di panel navigasi, Manajemen Akses, pilih Kebijakan.
-
Pilih Buat kebijakan.
-
Pilih JSONtab dan salin teks dari dokumen JSON kebijakan berikut. Kemudian tempelkan ke dalam kotak JSONteks.
catatan
Pastikan Anda mengganti Region dan Resource ARN dengan Region ARN yang sebenarnya dan rahasia yang Anda buat sebelumnya.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Resource": [ "arn:aws:secretsmanager:
us-east-1:xxxxxxxxx
:secret:aws/directory-services/d-xxxxxxxxx
/seamless-domain-join" ] } ] } -
Setelah selesai, pilih Selanjutnya. Validator kebijakan melaporkan kesalahan sintaksis. Untuk informasi selengkapnya, lihat Memvalidasi IAM kebijakan.
-
Pada halaman Tinjau kebijakan, masukkan nama kebijakan, seperti
SM-Secret-Linux-DJ-
. Tinjau bagian Ringkasan untuk melihat izin yang diberikan oleh kebijakan Anda. Lalu pilih Buat kebijakan untuk menyimpan perubahan Anda. Kebijakan baru muncul di daftar kebijakan terkelola dan siap dilampirkan pada identitas.d-xxxxxxxxxx
-Read
catatan
Kami rekomendasikan Anda membuat satu kebijakan per rahasia. Melakukan hal tersebut memastikan bahwa instans hanya memiliki akses ke rahasia yang sesuai dan meminimalkan dampak jika sebuah instans dikompromikan.
Buat EC2DomainJoin peran Linux
Anda menggunakan IAM konsol untuk membuat peran yang akan Anda gunakan untuk domain bergabung dengan EC2 instance Linux Anda.
Untuk membuat EC2DomainJoin peran Linux
-
Masuk ke pengguna AWS Management Console sebagai pengguna yang memiliki izin untuk membuat IAM kebijakan. Kemudian buka IAM konsol di https://console.aws.amazon.com/iam/
. -
Di panel navigasi, di bawah Manajemen Akses, pilih Peran.
-
Di panel konten, pilih Buat peran.
-
Di bawah Pilih jenis entitas terpercaya, pilih AWS layanan.
-
Di bawah Kasus penggunaan EC2, pilih, lalu pilih Berikutnya.
-
Untuk Kebijakan filter, lakukan hal berikut:
-
Masukkan
AmazonSSMManagedInstanceCore
. Lalu pilih kotak centang untuk item tersebut di dalam daftar. -
Masukkan
AmazonSSMDirectoryServiceAccess
. Lalu pilih kotak centang untuk item tersebut di dalam daftar. -
Masukkan
SM-Secret-Linux-DJ-
(atau nama kebijakan yang Anda buat dalam prosedur sebelumnya). Lalu pilih kotak centang untuk item tersebut di dalam daftar.d-xxxxxxxxxx
-Read Setelah menambahkan tiga kebijakan yang tercantum di atas, pilih Buat peran.
catatan
A mazonSSMDirectory ServiceAccess memberikan izin untuk menggabungkan instance ke Active Directory dikelola oleh AWS Directory Service. A mazonSSMManaged InstanceCore memberikan izin minimum yang diperlukan untuk menggunakan AWS Systems Manager layanan. Untuk informasi selengkapnya tentang membuat peran dengan izin ini, dan untuk informasi tentang izin dan kebijakan lain yang dapat Anda tetapkan ke IAM peran Anda, lihat Membuat profil IAM instans untuk Systems Manager di Panduan Pengguna.AWS Systems Manager
-
Masukkan nama untuk peran baru Anda, seperti
LinuxEC2DomainJoin
atau nama lain yang Anda inginkan di bidang Nama peran.(Opsional) Untuk Deskripsi peran, masukkan deskripsi.
(Opsional) Pilih Tambahkan tag baru di bawah Langkah 3: Tambahkan tag untuk menambahkan tag. Pasangan nilai kunci tag digunakan untuk mengatur, melacak, atau mengontrol akses untuk peran ini.
-
Pilih Buat peran.
Bergabunglah dengan instans Linux Anda dengan mulus
Untuk bergabung dengan instans Linux Anda dengan mulus
-
Masuk ke AWS Management Console dan buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/
. -
Dari pemilih Region di bilah navigasi, pilih yang Wilayah AWS sama dengan direktori yang ada.
-
Di EC2Dasbor, di bagian Launch instance, pilih Launch instance.
-
Pada halaman Launch an instance, di bawah bagian Name and Tags, masukkan nama yang ingin Anda gunakan untuk EC2 instance Linux Anda.
(Opsional) Pilih Tambahkan tag tambahan untuk menambahkan satu atau beberapa pasangan nilai kunci tag untuk mengatur, melacak, atau mengontrol akses untuk contoh iniEC2.
-
Di bagian Application and OS Image (Amazon Machine Image), pilih Linux yang ingin AMI Anda luncurkan.
catatan
Yang AMI digunakan harus memiliki AWS Systems Manager (SSMAgen) versi 2.3.1644.0 atau lebih tinggi. Untuk memeriksa versi SSM Agen yang diinstal di Anda AMI dengan meluncurkan instance dari ituAMI, lihat Mendapatkan versi SSM Agen yang saat ini diinstal. Jika Anda perlu memutakhirkan SSM Agen, lihat Menginstal dan mengonfigurasi SSM Agen pada EC2 instance untuk Linux.
SSMmenggunakan
aws:domainJoin
plugin saat menggabungkan instance Linux ke Active Directory domain. Plugin mengubah nama host untuk instance Linux ke format - EC2AMAZXXXXXXX
. Untuk informasi selengkapnyaaws:domainJoin
, lihat referensi plugin dokumen AWS Systems Manager perintah di Panduan AWS Systems Manager Pengguna. -
Di bagian Jenis instans, pilih jenis instance yang ingin Anda gunakan dari daftar dropdown tipe Instance.
-
Di bagian Key pair (login), Anda dapat memilih untuk membuat key pair baru atau memilih dari key pair yang ada. Untuk membuat key pair baru, pilih Create new key pair. Masukkan nama untuk key pair dan pilih opsi untuk Key pair type dan Private key file format. Untuk menyimpan kunci pribadi dalam format yang dapat digunakan dengan OpenSSH, pilih .pem. Untuk menyimpan kunci pribadi dalam format yang dapat digunakan dengan PuTTY, pilih.ppk. Pilih create key pair. File kunci privat tersebut akan secara otomatis diunduh oleh peramban Anda. Simpan file kunci privat di suatu tempat yang aman.
penting
Ini adalah satu-satunya kesempatan Anda untuk menyimpan file kunci privat tersebut.
-
Pada halaman Luncurkan instance, di bawah bagian Pengaturan jaringan, pilih Edit. Pilih tempat VPCdirektori Anda dibuat dari daftar dropdown yang diperlukan. VPC
-
Pilih salah satu subnet publik di daftar VPC dropdown Subnet Anda. Subnet yang Anda pilih harus memiliki semua lalu lintas eksternal yang diarahkan ke gateway internet. Jika hal ini tidak terjadi, Anda tidak akan dapat terhubung ke instans dari jarak jauh.
Untuk informasi selengkapnya tentang cara menyambung ke gateway internet, lihat Connect to the internet menggunakan gateway internet di Panduan VPC Pengguna Amazon.
-
Di bawah Auto-assign IP publik, pilih Aktifkan.
Untuk informasi selengkapnya tentang pengalamatan IP publik dan pribadi, lihat Pengalamatan IP EC2 instans Amazon di EC2Panduan Pengguna Amazon.
-
Untuk pengaturan Firewall (grup keamanan), Anda dapat menggunakan pengaturan default atau membuat perubahan untuk memenuhi kebutuhan Anda.
-
Untuk Konfigurasi pengaturan penyimpanan, Anda dapat menggunakan pengaturan default atau membuat perubahan untuk memenuhi kebutuhan Anda.
-
Pilih bagian Detail lanjutan, pilih domain Anda dari daftar dropdown direktori Gabung Domain.
catatan
Setelah memilih direktori Gabung Domain, Anda mungkin melihat:
Kesalahan ini terjadi jika wizard EC2 peluncuran mengidentifikasi SSM dokumen yang ada dengan properti tak terduga. Anda dapat melakukan salah satu dari yang berikut:
Jika sebelumnya Anda mengedit SSM dokumen dan properti diharapkan, pilih tutup dan lanjutkan untuk meluncurkan EC2 instance tanpa perubahan.
Pilih tautan hapus SSM dokumen yang ada di sini untuk menghapus SSM dokumen. Ini akan memungkinkan pembuatan SSM dokumen dengan properti yang benar. SSMDokumen akan secara otomatis dibuat saat Anda meluncurkan EC2 instance.
-
IAMMisalnya profil, pilih IAM peran yang sebelumnya Anda buat di bagian prasyarat Langkah 2: Buat peran Linux. EC2DomainJoin
-
Pilih Luncurkan instans.
catatan
Jika Anda melakukan gabungan domain tanpa batas dengan SUSE Linux, reboot diperlukan sebelum otentikasi berfungsi. Untuk reboot SUSE dari terminal Linux, ketik sudo reboot.