Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menggabungkan instans Amazon EC2 Linux dengan mulus ke Microsoft AD AWS Terkelola bersama
Dalam prosedur ini, Anda akan dengan mulus menggabungkan instans Amazon EC2 Linux ke iklan Microsoft AWS Terkelola bersama. Untuk melakukan ini, Anda akan membuat kebijakan baca AWS Secrets Manager IAM dalam peran instans EC2 di akun tempat Anda ingin meluncurkan instans Linux EC2. Ini akan disebut seperti `Account 2` dalam prosedur ini. Instans ini akan menggunakan iklan Microsoft AWS Terkelola yang sedang dibagikan dari akun lain yang disebut sebagai`Account 1`.
## Prasyarat
Sebelum Anda dapat bergabung dengan instans Amazon EC2 Linux dengan mulus ke Microsoft AD AWS Dikelola bersama, Anda harus menyelesaikan yang berikut ini:
+ Langkah 1 sampai 3 dalam tutorial,[Tutorial: Berbagi direktori Microsoft AD AWS Terkelola Anda untuk bergabung dengan domain EC2 yang mulus](ms_ad_tutorial_directory_sharing.md). Tutorial ini memandu Anda melalui pengaturan jaringan Anda dan berbagi iklan Microsoft AWS Terkelola Anda.
+ Prosedur yang diuraikan dalam[Menggabungkan instans Amazon EC2 Linux dengan mulus ke Direktori Aktif Microsoft AWS AD Terkelola](seamlessly_join_linux_instance.md).
## Langkah 1. Buat EC2 DomainJoin peran Linux di Akun 2
Pada langkah ini, Anda akan menggunakan konsol IAM untuk membuat peran IAM yang akan Anda gunakan untuk domain bergabung dengan instans Linux EC2 Anda saat masuk. `Account 2`
**Buat EC2 DomainJoin peran Linux**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi kiri, di bawah **Manajemen Akses**, pilih **Peran**.
1. Pada halaman **Peran**, pilih **Buat peran**.
1. Di bawah **Pilih jenis entitas terpercaya**, pilih **AWS layanan**.
1. **Di bawah **Kasus penggunaan**, pilih **EC2**, lalu pilih Berikutnya**
1. Untuk **Kebijakan filter**, lakukan hal berikut:
1. Masukkan `AmazonSSMManagedInstanceCore`. Kemudian pilih kotak centang untuk item itu dalam daftar.
1. Masukkan `AmazonSSMDirectoryServiceAccess`. Kemudian pilih kotak centang untuk item itu dalam daftar.
1. Setelah menambahkan kebijakan ini, pilih **Buat peran**.
**catatan**
`AmazonSSMDirectoryServiceAccess`memberikan izin untuk menggabungkan instance ke Active Directory yang dikelola oleh. Directory Service`AmazonSSMManagedInstanceCore`memberikan izin minimum yang diperlukan untuk digunakan AWS Systems Manager. *Untuk informasi selengkapnya tentang membuat peran dengan izin ini, dan untuk informasi tentang izin dan kebijakan lain yang dapat Anda tetapkan ke peran IAM, lihat [Mengonfigurasi izin instans yang diperlukan untuk Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html) di Panduan Pengguna.AWS Systems Manager *
1. Masukkan nama untuk peran baru Anda, seperti `LinuxEC2DomainJoin` atau nama lain yang Anda inginkan di bidang **Nama peran**.
1. *(Opsional)* Untuk **deskripsi Peran**, masukkan deskripsi.
1. *(Opsional)* Pilih **Tambahkan tag baru** di bawah **Langkah 3: Tambahkan tag** untuk menambahkan tag. Pasangan nilai kunci tag digunakan untuk mengatur, melacak, atau mengontrol akses untuk peran ini.
1. Pilih **Buat peran**.
## Langkah 2. Buat akses sumber daya lintas akun untuk berbagi AWS Secrets Manager rahasia
Bagian selanjutnya adalah persyaratan tambahan yang harus dipenuhi untuk bergabung dengan instans EC2 Linux dengan AWS Microsoft AD yang Dikelola bersama. Persyaratan ini termasuk membuat kebijakan sumber daya dan melampirkannya ke layanan dan sumber daya yang sesuai.
Untuk memungkinkan pengguna di akun mengakses AWS Secrets Manager rahasia di akun lain, Anda harus mengizinkan akses dalam kebijakan sumber daya dan kebijakan identitas. Jenis akses ini disebut [akses sumber daya lintas akun](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).
Jenis akses ini berbeda dengan memberikan akses ke identitas di akun yang sama dengan rahasia Secrets Manager. Anda juga harus mengizinkan kunci identitas untuk menggunakan [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)(KMS) yang rahasianya dienkripsi. Izin ini diperlukan karena Anda tidak dapat menggunakan kunci AWS terkelola (`aws/secretsmanager`) untuk akses lintas akun. Sebagai gantinya, Anda akan mengenkripsi rahasia Anda dengan kunci KMS yang Anda buat, dan kemudian melampirkan kebijakan kunci ke dalamnya. Untuk mengubah kunci enkripsi untuk rahasia, lihat [Memodifikasi AWS Secrets Manager rahasia](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_update-secret.html).
**catatan**
Ada biaya yang terkait AWS Secrets Manager, tergantung pada rahasia yang Anda gunakan. Untuk daftar harga lengkap saat ini, lihat [AWS Secrets Manager Harga](https://aws.amazon.com/secrets-manager/pricing/). Anda dapat menggunakan Secrets Manager Kunci yang dikelola AWS `aws/secretsmanager` yang dibuat untuk mengenkripsi rahasia Anda secara gratis. Jika Anda membuat kunci KMS Anda sendiri untuk mengenkripsi rahasia Anda, AWS menagih Anda dengan tarif AWS KMS saat ini. Untuk informasi selengkapnya, silakan lihat [Harga AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
Langkah-langkah berikut memungkinkan Anda membuat kebijakan sumber daya agar pengguna dapat menggabungkan instans Linux EC2 dengan mulus ke AWS Microsoft AD Terkelola bersama.
**Lampirkan kebijakan sumber daya ke rahasia di Akun 1**
1. Buka konsol Secrets Manager di [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Dari daftar rahasia, pilih **Rahasia** yang Anda buat selama[Prasyarat](#seamlessly_join_linux_to_shared_MAD_prereqs).
1. Pada **halaman detail Rahasia** di bawah tab **Ikhtisar**, gulir ke bawah ke **Izin sumber daya**.
1. Pilih **Edit izin**.
1. Di bidang kebijakan, masukkan kebijakan berikut. Kebijakan berikut memungkinkan **Linux EC2 DomainJoin** `Account 2` untuk mengakses rahasia di`Account 1`. [Ganti nilai ARN dengan nilai ARN untuk `LinuxEC2DomainJoin` peran Anda yang Anda `Account 2` buat di Langkah 1.](#seamlessly_join_linux_to_shared_MAD_step_1) Untuk menggunakan kebijakan ini, lihat [Melampirkan kebijakan izin ke AWS Secrets Manager rahasia](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "{{arn:aws:iam::123456789012:role/LinuxEC2DomainJoin}}"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "*"
}
]
}
```
------
**Tambahkan pernyataan ke kebijakan kunci untuk kunci KMS di Akun 1**
1. Buka konsol Secrets Manager di [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Di panel navigasi kiri, pilih **Kunci terkelola pelanggan**.
1. Pada halaman **Customer managed keys**, pilih kunci yang Anda buat.
1. Pada halaman **Detail Utama**, navigasikan ke **Kebijakan kunci**, lalu pilih **Edit**.
1. Pernyataan kebijakan kunci berikut memungkinkan `ApplicationRole` `Account 2` untuk menggunakan kunci KMS `Account 1` untuk mendekripsi rahasia di. `Account 1` Untuk menggunakan pernyataan ini, tambahkan ke kebijakan kunci untuk kunci KMS Anda. Untuk informasi selengkapnya, lihat [Mengubah kebijakan utama](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html).
```
{
{
"Effect": "Allow",
"Principal": {
"AWS": "{{arn:aws:iam::Account2:role/ApplicationRole}}"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
}
```
**Membuat kebijakan identitas untuk identitas di Akun 2**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi kiri, di bawah **Manajemen akses**, pilih **Kebijakan**.
1. Pilih **Buat Kebijakan**. Pilih **JSON** di **editor Kebijakan**.
1. Kebijakan berikut memungkinkan `ApplicationRole` masuk `Account 2` untuk mengakses rahasia `Account 1` dan mendekripsi nilai rahasia dengan menggunakan kunci enkripsi yang juga ada di. `Account 1` Anda dapat menemukan ARN untuk rahasia Anda di konsol Secrets Manager di halaman **Detail Rahasia di bawah Rahasia** **ARN**. Atau, Anda dapat memanggil [deskripsi-rahasia](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/describe-secret.html) untuk mengidentifikasi ARN rahasia. Ganti ARN Sumber Daya dengan ARN Sumber Daya untuk ARN rahasia dan. `Account 1` Untuk menggunakan kebijakan ini, lihat [Melampirkan kebijakan izin ke AWS Secrets Manager rahasia](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:{{us-east-1}}:{{111122223333{{:secret:}}secretName-AbCdEf}}"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:Describekey"
],
"Resource": "arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/{{Your_Encryption_Key}}"
}
]
}
```
------
1. Pilih **Berikutnya** dan kemudian pilih **Simpan perubahan**.
1. Temukan dan pilih Peran yang Anda buat[Attach a resource policy to the secret in Account 1](#step1ResourcePolicy). `Account 2`
1. Di bawah **Tambahkan izin**, pilih **Lampirkan kebijakan**.
1. Di bilah pencarian, temukan kebijakan yang Anda buat [Add a statement to the key policy for the KMS key in Account 1](#step2KeyPolicy) dan pilih kotak untuk menambahkan kebijakan ke peran. Kemudian pilih **Tambahkan izin**.
## Langkah 3. Bergabunglah dengan instans Linux Anda dengan mulus
Sekarang Anda dapat menggunakan prosedur berikut untuk menggabungkan instans Linux EC2 Anda dengan mulus ke AWS Microsoft AD Terkelola bersama Anda.
**Untuk bergabung dengan instans Linux Anda dengan mulus**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Dari pemilih Region di bilah navigasi, pilih yang Wilayah AWS sama dengan direktori yang ada.
1. Di **Dasbor EC2**, di bagian **Launch instance**, pilih **Launch instance**.
1. Pada halaman **Launch an instance**, di bawah bagian **Name and Tags**, masukkan nama yang ingin Anda gunakan untuk instans Linux EC2 Anda.
1. *(Opsional)* Pilih **Tambahkan tag tambahan** untuk menambahkan satu atau beberapa pasangan nilai kunci tag untuk mengatur, melacak, atau mengontrol akses untuk instans EC2 ini.
1. Di bagian **Application and OS Image (Amazon Machine Image)**, pilih AMI Linux yang ingin Anda luncurkan.
**catatan**
AMI yang digunakan harus memiliki AWS Systems Manager (Agen SSM) versi 2.3.1644.0 atau lebih tinggi. Untuk memeriksa versi SSM Agent yang diinstal di AMI Anda dengan meluncurkan sebuah instans dari AMI tersebut, lihat [Mendapatkan versi Agen SSM yang saat ini diinstal](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-get-version.html). Jika Anda perlu meningkatkan Agen SSM, lihat [Menginstal dan mengkonfigurasi SSM Agent pada instans EC2 untuk Linux](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-agent.html).
SSM menggunakan `aws:domainJoin` plugin saat menggabungkan instance Linux ke domain Active Directory. Plugin mengubah nama host untuk instance Linux ke format EC2 AMAZ-. {{XXXXXXX}} Untuk informasi selengkapnya`aws:domainJoin`, lihat [referensi plugin dokumen AWS Systems Manager perintah](https://docs.aws.amazon.com//systems-manager/latest/userguide/documents-command-ssm-plugin-reference.html#aws-domainJoin) di *Panduan AWS Systems Manager Pengguna*.
1. Di bagian **Jenis instans**, pilih jenis instance yang ingin Anda gunakan dari daftar dropdown **tipe Instance**.
1. Di bagian **Key pair (login)**, Anda dapat memilih untuk membuat key pair baru atau memilih dari key pair yang ada. Untuk membuat key pair baru, pilih **Create new key pair**. Masukkan nama untuk key pair dan pilih opsi untuk **Key pair type** dan **Private key file format**. **Untuk menyimpan kunci pribadi dalam format yang dapat digunakan dengan OpenSSH, pilih.pem.** **Untuk menyimpan kunci pribadi dalam format yang dapat digunakan dengan PuTTY, pilih.ppk.** Pilih **create key pair**. File kunci privat tersebut akan secara otomatis diunduh oleh peramban Anda. Simpan file kunci privat di suatu tempat yang aman.
**penting**
Ini adalah satu-satunya kesempatan Anda untuk menyimpan file kunci privat tersebut.
1. Pada halaman **Luncurkan instance**, di bawah bagian **Pengaturan jaringan**, pilih **Edit**. *Pilih **VPC** tempat direktori Anda dibuat dari daftar dropdown yang diperlukan **VPC**.*
1. **Pilih salah satu subnet publik di VPC Anda dari daftar dropdown Subnet.** Subnet yang Anda pilih harus memiliki semua lalu lintas eksternal yang diarahkan ke gateway internet. Jika hal ini tidak terjadi, Anda tidak akan dapat terhubung ke instans dari jarak jauh.
Untuk informasi selengkapnya tentang cara menyambung ke gateway internet, lihat [Connect to the internet menggunakan gateway internet](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html) di *Panduan Pengguna Amazon VPC*.
1. **Di bawah **Auto-assign IP publik**, pilih Aktifkan.**
Untuk informasi selengkapnya tentang pengalamatan IP publik dan pribadi, lihat pengalamatan [IP instans Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html) di Panduan Pengguna Amazon *EC2*.
1. Untuk pengaturan **Firewall (grup keamanan)**, Anda dapat menggunakan pengaturan default atau membuat perubahan untuk memenuhi kebutuhan Anda.
1. Untuk **Konfigurasi pengaturan penyimpanan**, Anda dapat menggunakan pengaturan default atau membuat perubahan untuk memenuhi kebutuhan Anda.
1. Pilih bagian **Detail lanjutan**, pilih domain Anda dari **daftar dropdown direktori Gabung Domain**.
**catatan**
Setelah memilih direktori Gabung Domain, Anda mungkin melihat:
Kesalahan ini terjadi jika wizard peluncuran EC2 mengidentifikasi dokumen SSM yang ada dengan properti yang tidak terduga. Anda dapat melakukan salah satu dari yang berikut:
Jika sebelumnya Anda mengedit dokumen SSM dan properti diharapkan, pilih tutup dan lanjutkan untuk meluncurkan instans EC2 tanpa perubahan.
Pilih tautan hapus dokumen SSM yang ada di sini untuk menghapus dokumen SSM. Ini akan memungkinkan pembuatan dokumen SSM dengan properti yang benar. Dokumen SSM akan secara otomatis dibuat saat Anda meluncurkan instans EC2.
1. Untuk **profil instans IAM**, pilih peran IAM yang sebelumnya Anda buat di bagian prasyarat **Langkah 2**: Buat peran Linux. EC2 DomainJoin
1. Pilih **Luncurkan instans**.
**catatan**
Jika Anda menjalankan penggabungan domain yang mulus dengan SUSE Linux, reboot diperlukan sebelum autentikasi akan bekerja. Untuk me-reboot SUSE dari terminal Linux, ketik **sudo reboot**.