Menggabungkan instans Amazon EC2 Linux dengan mulus ke Microsoft AD AWS Terkelola bersama - AWS Directory Service
PrasyaratLangkah 1. Buat IAM peranLangkah 2. Buat akses sumber daya lintas akunLangkah 3. Bergabung dengan instans Linux dengan mulus

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggabungkan instans Amazon EC2 Linux dengan mulus ke Microsoft AD AWS Terkelola bersama

Dalam prosedur ini, Anda akan menggabungkan instans Amazon EC2 Linux dengan mulus ke iklan Microsoft AWS Terkelola bersama. Untuk melakukan ini, Anda akan membuat kebijakan AWS Secrets Manager IAM baca dalam peran EC2 instance di akun tempat Anda ingin meluncurkan instance EC2 Linux. Ini akan disebut seperti Account 2 dalam prosedur ini. Instans ini akan menggunakan iklan Microsoft AWS Terkelola yang sedang dibagikan dari akun lain yang disebut sebagaiAccount 1.

Prasyarat

Sebelum Anda dapat menggabungkan instans Amazon EC2 Linux dengan mulus ke Microsoft AD AWS Dikelola bersama, Anda harus menyelesaikan hal berikut:

Langkah 1. Buat EC2DomainJoin peran Linux di Akun 2

Pada langkah ini, Anda akan menggunakan IAM konsol untuk membuat IAM peran yang akan Anda gunakan untuk bergabung dengan domain instance EC2 Linux Anda saat masukAccount 2.

Buat EC2DomainJoin peran Linux

  1. Buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi kiri, di bawah Manajemen Akses, pilih Peran.

  3. Pada halaman Peran, pilih Buat peran.

  4. Di bawah Pilih jenis entitas terpercaya, pilih AWS layanan.

  5. Di bawah Kasus penggunaan EC2, pilih, lalu pilih Berikutnya

  6. Untuk Kebijakan filter, lakukan hal berikut:

    1. Masukkan AmazonSSMManagedInstanceCore. Kemudian pilih kotak centang untuk item itu dalam daftar.

    2. Masukkan AmazonSSMDirectoryServiceAccess. Kemudian pilih kotak centang untuk item itu dalam daftar.

    3. Setelah menambahkan kebijakan ini, pilih Buat peran.

      catatan

      AmazonSSMDirectoryServiceAccessmemberikan izin untuk menggabungkan instance ke Active Directory dikelola oleh AWS Directory Service. AmazonSSMManagedInstanceCorememberikan izin minimum yang diperlukan untuk digunakan AWS Systems Manager. Untuk informasi selengkapnya tentang membuat peran dengan izin ini, dan untuk informasi tentang izin dan kebijakan lain yang dapat Anda tetapkan ke IAM peran Anda, lihat Mengonfigurasi izin instans yang diperlukan untuk Systems Manager di Panduan Pengguna.AWS Systems Manager

  7. Masukkan nama untuk peran baru Anda, seperti LinuxEC2DomainJoin atau nama lain yang Anda inginkan di bidang Nama peran.

  8. (Opsional) Untuk deskripsi Peran, masukkan deskripsi.

  9. (Opsional) Pilih Tambahkan tag baru di bawah Langkah 3: Tambahkan tag untuk menambahkan tag. Pasangan nilai kunci tag digunakan untuk mengatur, melacak, atau mengontrol akses untuk peran ini.

  10. Pilih Buat peran.

Langkah 2. Buat akses sumber daya lintas akun untuk berbagi AWS Secrets Manager rahasia

Bagian selanjutnya adalah persyaratan tambahan yang harus dipenuhi untuk menggabungkan instans EC2 Linux secara mulus dengan iklan AWS Microsoft Terkelola bersama. Persyaratan ini termasuk membuat kebijakan sumber daya dan melampirkannya ke layanan dan sumber daya yang sesuai.

Untuk memungkinkan pengguna di akun mengakses AWS Secrets Manager rahasia di akun lain, Anda harus mengizinkan akses dalam kebijakan sumber daya dan kebijakan identitas. Jenis akses ini disebut akses sumber daya lintas akun.

Jenis akses ini berbeda dengan memberikan akses ke identitas di akun yang sama dengan rahasia Secrets Manager. Anda juga harus mengizinkan identitas untuk menggunakan kunci AWS Key Management Service(KMS) yang rahasianya dienkripsi. Izin ini diperlukan karena Anda tidak dapat menggunakan kunci AWS terkelola (aws/secretsmanager) untuk akses lintas akun. Sebagai gantinya, Anda akan mengenkripsi rahasia Anda dengan KMS kunci yang Anda buat, dan kemudian melampirkan kebijakan kunci ke dalamnya. Untuk mengubah kunci enkripsi untuk rahasia, lihat Memodifikasi AWS Secrets Manager rahasia.

catatan

Ada biaya yang terkait AWS Secrets Manager, tergantung pada rahasia yang Anda gunakan. Untuk daftar harga lengkap saat ini, lihat AWS Secrets Manager Harga. Anda dapat menggunakan Secrets Manager Kunci yang dikelola AWS aws/secretsmanager yang dibuat untuk mengenkripsi rahasia Anda secara gratis. Jika Anda membuat KMS kunci sendiri untuk mengenkripsi rahasia Anda, AWS menagih Anda dengan AWS KMS tarif saat ini. Untuk informasi selengkapnya, silakan lihat Harga AWS Key Management Service.

Langkah-langkah berikut memungkinkan Anda membuat kebijakan sumber daya agar pengguna dapat menggabungkan instans EC2 Linux dengan mulus ke iklan Microsoft AWS Terkelola bersama.

Lampirkan kebijakan sumber daya ke rahasia di Akun 1

  1. Buka konsol Secrets Manager di https://console.aws.amazon.com/secretsmanager/.

  2. Dari daftar rahasia, pilih Rahasia yang Anda buat selamaPrasyarat.

  3. Pada halaman detail Rahasia di bawah tab Ikhtisar, gulir ke bawah ke Izin sumber daya.

  4. Pilih Edit izin.

    1. Di bidang kebijakan, masukkan kebijakan berikut. Kebijakan berikut memungkinkan Linux EC2DomainJoin Account 2 untuk mengakses rahasia diAccount 1. Ganti ARN nilai dengan ARN nilai untuk LinuxEC2DomainJoin peran Anda Account 2 yang Anda buat di Langkah 1. Untuk menggunakan kebijakan ini, lihat Melampirkan kebijakan izin ke AWS Secrets Manager rahasia.

      {
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::Account2:role/LinuxEC2DomainJoin"
      },
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "*"
    }
  ]
}
Tambahkan pernyataan ke kebijakan kunci untuk KMS kunci di Akun 1

  1. Buka konsol Secrets Manager di https://console.aws.amazon.com/secretsmanager/.

  2. Di panel navigasi kiri, pilih Kunci yang dikelola pelanggan.

  3. Pada halaman Customer managed keys, pilih kunci yang Anda buat.

  4. Pada halaman Detail Utama, navigasikan ke Kebijakan kunci, lalu pilih Edit.

  5. Pernyataan kebijakan kunci berikut memungkinkan ApplicationRole Account 2 untuk menggunakan KMS kunci Account 1 untuk mendekripsi rahasia di. Account 1 Untuk menggunakan pernyataan ini, tambahkan ke kebijakan kunci untuk KMS kunci Anda. Untuk informasi selengkapnya, lihat Mengubah kebijakan utama.

    {
{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::Account2:role/ApplicationRole"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey"
  ],
  "Resource": "*"
}
Membuat kebijakan identitas untuk identitas di Akun 2

  1. Buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi kiri, di bawah Manajemen akses, pilih Kebijakan.

  3. Pilih Buat Kebijakan. Pilih JSONdi editor Kebijakan.

  4. Kebijakan berikut memungkinkan ApplicationRole masuk Account 2 untuk mengakses rahasia Account 1 dan mendekripsi nilai rahasia dengan menggunakan kunci enkripsi yang juga ada di. Account 1 Anda dapat menemukan rahasia Anda di konsol Secrets Manager di halaman Detail Rahasia di bawah Rahasia ARN. ARN Atau, Anda dapat memanggil deskripsi-rahasia untuk mengidentifikasi rahasia. ARN Ganti Sumber Daya ARN dengan Sumber Daya ARN untuk rahasia ARN danAccount 1. Untuk menggunakan kebijakan ini, lihat Melampirkan kebijakan izin ke AWS Secrets Manager rahasia. 

    {
{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "SecretARN"
    },
    {
      "Effect": "Allow",
      "Action": [
"kms:Decrypt",
"kms:Describekey"     
],
      "Resource": "arn:aws:kms:Region:Account1:key/Your_Encryption_Key"
    }
  ]
}

  5. Pilih Berikutnya dan kemudian pilih Simpan perubahan.

  6. Temukan dan pilih Peran yang Anda buatAttach a resource policy to the secret in Account 1. Account 2

  7. Di bawah Tambahkan izin, pilih Lampirkan kebijakan.

  8. Di bilah pencarian, temukan kebijakan yang Anda buat Add a statement to the key policy for the KMS key in Account 1 dan pilih kotak untuk menambahkan kebijakan ke peran. Kemudian pilih Tambahkan izin.

Langkah 3. Bergabunglah dengan instans Linux Anda dengan mulus

Sekarang Anda dapat menggunakan prosedur berikut untuk menggabungkan instans EC2 Linux Anda dengan mulus ke Microsoft AD AWS Dikelola bersama.

Untuk bergabung dengan instans Linux Anda dengan mulus

  1. Masuk ke AWS Management Console dan buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Dari pemilih Region di bilah navigasi, pilih yang Wilayah AWS sama dengan direktori yang ada.

  3. Di EC2Dasbor, di bagian Launch instance, pilih Launch instance.

  4. Pada halaman Launch an instance, di bawah bagian Name and Tags, masukkan nama yang ingin Anda gunakan untuk EC2 instance Linux Anda.

  5. (Opsional) Pilih Tambahkan tag tambahan untuk menambahkan satu atau beberapa pasangan nilai kunci tag untuk mengatur, melacak, atau mengontrol akses untuk contoh iniEC2.

  6. Di bagian Application and OS Image (Amazon Machine Image), pilih Linux yang ingin AMI Anda luncurkan.

    catatan

    Yang AMI digunakan harus memiliki AWS Systems Manager (SSMAgen) versi 2.3.1644.0 atau lebih tinggi. Untuk memeriksa versi SSM Agen yang diinstal di Anda AMI dengan meluncurkan instance dari ituAMI, lihat Mendapatkan versi SSM Agen yang saat ini diinstal. Jika Anda perlu memutakhirkan SSM Agen, lihat Menginstal dan mengonfigurasi SSM Agen pada EC2 instance untuk Linux.

    SSMmenggunakan aws:domainJoin plugin saat menggabungkan instance Linux ke Active Directory domain. Plugin mengubah nama host untuk instance Linux ke format - EC2AMAZXXXXXXX. Untuk informasi selengkapnyaaws:domainJoin, lihat referensi plugin dokumen AWS Systems Manager perintah di Panduan AWS Systems Manager Pengguna.

  7. Di bagian Jenis instans, pilih jenis instance yang ingin Anda gunakan dari daftar dropdown tipe Instance.

  8. Di bagian Key pair (login), Anda dapat memilih untuk membuat key pair baru atau memilih dari key pair yang ada. Untuk membuat key pair baru, pilih Create new key pair. Masukkan nama untuk key pair dan pilih opsi untuk Key pair type dan Private key file format. Untuk menyimpan kunci pribadi dalam format yang dapat digunakan dengan OpenSSH, pilih .pem. Untuk menyimpan kunci pribadi dalam format yang dapat digunakan dengan PuTTY, pilih.ppk. Pilih create key pair. File kunci privat tersebut akan secara otomatis diunduh oleh peramban Anda. Simpan file kunci privat di suatu tempat yang aman.

    penting

    Ini adalah satu-satunya kesempatan Anda untuk menyimpan file kunci privat tersebut.

  9. Pada halaman Luncurkan instance, di bawah bagian Pengaturan jaringan, pilih Edit. Pilih tempat VPCdirektori Anda dibuat dari daftar dropdown yang diperlukan. VPC

  10. Pilih salah satu subnet publik di daftar VPC dropdown Subnet Anda. Subnet yang Anda pilih harus memiliki semua lalu lintas eksternal yang diarahkan ke gateway internet. Jika hal ini tidak terjadi, Anda tidak akan dapat terhubung ke instans dari jarak jauh.

    Untuk informasi selengkapnya tentang cara menyambung ke gateway internet, lihat Connect to the internet menggunakan gateway internet di Panduan VPC Pengguna Amazon.

  11. Di bawah Auto-assign IP publik, pilih Aktifkan.

    Untuk informasi selengkapnya tentang pengalamatan IP publik dan pribadi, lihat Pengalamatan IP EC2 instans Amazon di EC2Panduan Pengguna Amazon.

  12. Untuk pengaturan Firewall (grup keamanan), Anda dapat menggunakan pengaturan default atau membuat perubahan untuk memenuhi kebutuhan Anda.

  13. Untuk Konfigurasi pengaturan penyimpanan, Anda dapat menggunakan pengaturan default atau membuat perubahan untuk memenuhi kebutuhan Anda.

  14. Pilih bagian Detail lanjutan, pilih domain Anda dari daftar dropdown direktori Gabung Domain.

    catatan

    Setelah memilih direktori Gabung Domain, Anda mungkin melihat:

    Pesan galat saat memilih direktori Gabung Domain Anda. Ada kesalahan dengan SSM dokumen Anda yang ada.

    Kesalahan ini terjadi jika wizard EC2 peluncuran mengidentifikasi SSM dokumen yang ada dengan properti tak terduga. Anda dapat melakukan salah satu dari yang berikut:

    • Jika sebelumnya Anda mengedit SSM dokumen dan properti diharapkan, pilih tutup dan lanjutkan untuk meluncurkan EC2 instance tanpa perubahan.

    • Pilih tautan hapus SSM dokumen yang ada di sini untuk menghapus SSM dokumen. Ini akan memungkinkan pembuatan SSM dokumen dengan properti yang benar. SSMDokumen akan secara otomatis dibuat saat Anda meluncurkan EC2 instance.

  15. IAMMisalnya profil, pilih IAM peran yang sebelumnya Anda buat di bagian prasyarat Langkah 2: Buat peran Linux. EC2DomainJoin

  16. Pilih Luncurkan instans.

catatan

Jika Anda melakukan gabungan domain tanpa batas dengan SUSE Linux, reboot diperlukan sebelum otentikasi berfungsi. Untuk reboot SUSE dari terminal Linux, ketik sudo reboot.