Unire senza problemi un'istanza Amazon EC2 Linux al tuo AWS Managed Microsoft AD Active Directory - AWS Directory Service
PrerequisitiUnisciti senza problemi alla tua istanza Linux

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Unire senza problemi un'istanza Amazon EC2 Linux al tuo AWS Managed Microsoft AD Active Directory

Questa procedura unisce senza problemi un'istanza Amazon EC2 Linux alla tua directory gestita di AWS Microsoft AD Active Directory. Per completare questa procedura, dovrai creare un AWS Secrets Manager segreto che può comportare costi aggiuntivi. Per ulteriori informazioni, consulta AWS Secrets Manager Prezzi.

Se devi eseguire un'unione fluida del dominio su più AWS account, puoi facoltativamente scegliere di abilitare la condivisione della Directory.

Sono supportate le seguenti distribuzioni e versioni di istanze Linux:

  • AMI Amazon Linux 2018.03.0

  • Amazon Linux 2 (64-bit x86)

  • Red Hat Enterprise Linux 8 (HVM) (64-bit x86)

  • Ubuntu Server 18.04 LTS e Ubuntu Server 16.04 LTS

  • CentOS 7 x86-64

  • SUSE Linux Enterprise Server 15 SP1

Nota

Le distribuzioni precedenti a Ubuntu 14 e Red Hat Enterprise Linux 7 e 8 non supportano la funzionalità seamless domain join.

Per una dimostrazione sul processo di collegamento senza problemi di un'istanza Linux al tuo Managed AWS Microsoft AD Active Directory, guarda il video seguente YouTube .

Prerequisiti

Prima di poter configurare l'aggiunta senza soluzione di continuità al dominio EC2 su un'istanza Linux, devi completare le procedure descritte in queste sezioni.

Prerequisiti di rete per un'unione fluida del dominio

Per aggiungere facilmente un dominio a un'istanza EC2 Linux, devi completare quanto segue:

  • Avere un Microsoft AD AWS gestito. Per ulteriori informazioni, consulta Creazione del tuo AWS Managed Microsoft AD.

  • Avrai bisogno delle seguenti autorizzazioni IAM per unirti senza problemi a un'istanza EC2 Linux:

    • Avere un Microsoft AD AWS gestito. Per ulteriori informazioni, consulta Creazione del tuo AWS Managed Microsoft AD.

    • Avrai bisogno delle seguenti autorizzazioni IAM per partecipare senza problemi a un EC2 Windows esempio:

      • Profilo di istanza IAM con le seguenti autorizzazioni IAM:

        • AmazonSSMManagedInstanceCore

        • AmazonSSMDirectoryServiceAccess

      • Il dominio utente che si unisce perfettamente EC2 a AWS Managed Microsoft AD necessita delle seguenti autorizzazioni IAM:

        • AWS Directory Service Autorizzazioni:

          • "ds:DescribeDirectories"

          • "ds:CreateComputer"

        • Autorizzazioni Amazon VPC:

          • "ec2:DescribeVpcs"

          • "ec2:DescribeSubnets"

          • "ec2:DescribeNetworkInterfaces"

          • "ec2:CreateNetworkInterface"

          • "ec2:AttachNetworkInterface"

        • EC2 Autorizzazioni:

          • "ec2:DescribeInstances"

          • "ec2:DescribeImages"

          • "ec2:DescribeInstanceTypes"

          • "ec2:RunInstances"

          • "ec2:CreateTags"

        • AWS Systems Manager Autorizzazioni:

          • "ssm:DescribeInstanceInformation"

          • "ssm:SendCommand"

          • "ssm:GetCommandInvocation"

          • "ssm:CreateBatchAssociation"

  • Quando viene creato AWS Managed Microsoft AD, viene creato un gruppo di sicurezza con regole in entrata e in uscita. Per ulteriori informazioni su queste regole e porte, consulta. Cosa viene creato con AWS Managed Microsoft AD Per aggiungere facilmente un dominio a un'istanza EC2 Linux, il VPC su cui stai lanciando l'istanza deve consentire le stesse porte consentite nelle regole in entrata e in uscita del gruppo di sicurezza Microsoft AD AWS gestito.

    • A seconda della sicurezza di rete e delle impostazioni del firewall, potrebbe esserti richiesto di consentire traffico in uscita aggiuntivo. Questo traffico sarebbe destinato a HTTPS (porta 443) verso i seguenti endpoint:

      Endpoint Ruolo

      ec2messages.region.amazonaws.com

      Crea ed elimina i canali di sessione con il servizio Session Manager. Per ulteriori informazioni, consulta Endpoint e quote per AWS Systems Manager.

      ssm.region.amazonaws.com

      Endpoint per. AWS Systems Manager Session Manager Per ulteriori informazioni, consulta Endpoint e quote per AWS Systems Manager.

      ssmmessages.region.amazonaws.com

      Crea ed elimina i canali di sessione con il servizio Session Manager. Per ulteriori informazioni, consulta Endpoint e quote per AWS Systems Manager.

      ds.region.amazonaws.com

      Endpoint per. AWS Directory Service Per ulteriori informazioni, consulta Disponibilità regionale per AWS Directory Service.

      secretsmanager.region.amazonaws.com

      Endpoint per. AWS Secrets Manager Per ulteriori informazioni, consulta Endpoint e quote per AWS Secrets Manager.

  • Si consiglia di utilizzare un server DNS che risolva il nome di dominio Microsoft AD AWS gestito. A tale scopo, è possibile creare un set di opzioni DHCP. Per ulteriori informazioni, consulta Creazione o modifica di un set di opzioni DHCP per AWS Managed Microsoft AD.

    • Se scegli di non creare un set di opzioni DHCP, i tuoi server DNS saranno statici e configurati dal tuo Managed AWS Microsoft AD.

Selezione dell'account del servizio di aggiunta ottimizzata del dominio

Puoi unire senza problemi computer Linux al tuo AWS Managed Microsoft AD Active Directory dominio. A tale scopo, è necessario utilizzare un account utente con le autorizzazioni per la creazione di account computer per aggiungere i computer al dominio. Sebbene gli amministratori delegati AWS o i membri di altri gruppi possano disporre di privilegi sufficienti per aggiungere computer al dominio, non è consigliabile utilizzarli. Come best practice, si consiglia di utilizzare un account del servizio con i privilegi minimi necessari per aggiungere i computer al dominio.

Per delegare un account con i privilegi minimi necessari per aggiungere i computer al dominio, è possibile eseguire i seguenti PowerShell comandi. È necessario eseguire questi comandi da un computer Windows aggiunto al dominio su cui è installato Installazione degli strumenti di amministrazione di Active Directory per AWS Managed Microsoft AD. Inoltre, è necessario utilizzare un account che disponga dell'autorizzazione a modificare le autorizzazioni sull'unità organizzativa o sul container del computer. Il PowerShell comando imposta le autorizzazioni che consentono all'account del servizio di creare oggetti informatici nel contenitore di computer predefinito del dominio.

$AccountName = 'awsSeamlessDomain'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module 'ActiveDirectory'
$Domain = Get-ADDomain -ErrorAction Stop
$BaseDn = $Domain.DistinguishedName
$ComputersContainer = $Domain.ComputersContainer
$SchemaNamingContext = Get-ADRootDSE | Select-Object -ExpandProperty 'schemaNamingContext'
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $SchemaNamingContext -Filter { lDAPDisplayName -eq 'Computer' } -Properties 'schemaIDGUID').schemaIDGUID
# Getting Service account Information.
$AccountProperties = Get-ADUser -Identity $AccountName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
# Getting ACL settings for the Computers container.
$ObjectAcl = Get-ACL -Path "AD:\$ComputersContainer" 
# Setting ACL allowing the service account the ability to create child computer objects in the Computers container.
$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'CreateChild', 'Allow', $ServicePrincipalNameGUID, 'All'
$ObjectAcl.AddAccessRule($AddAccessRule)
Set-ACL -AclObject $ObjectAcl -Path "AD:\$ComputersContainer"

Se preferisci utilizzare un'interfaccia utente grafica (GUI), puoi utilizzare il processo manuale descritto in Delegare privilegi all'account del servizio.

Creazione dei segreti per archiviare l'account del servizio di dominio

È possibile utilizzare AWS Secrets Manager per archiviare l'account del servizio di dominio. Per ulteriori informazioni, consulta Creare un AWS Secrets Manager segreto.

Nota

Secrets Manager è a pagamento. Per ulteriori informazioni, consulta la sezione Prezzi nella Guida AWS Secrets Manager per l'utente.

Per creare segreti e archiviare le informazioni sull'account del servizio di dominio

  1. Accedi a AWS Management Console e apri la AWS Secrets Manager console all'indirizzo https://console.aws.amazon.com/secretsmanager/.

  2. Scegli Archivia un nuovo segreto.

  3. Nella pagina Archivia un nuovo segreto, procedere nel seguente modo:

    1. In Tipo segreto, scegli Altro tipo di segreti.

    2. In Coppie chiave/valore, procedi come segue:

      1. Nella prima casella, inserisci awsSeamlessDomainUsername. Nella stessa riga, nella casella successiva, inserisci il nome utente per il tuo account di servizio. Ad esempio, se hai utilizzato il PowerShell comando in precedenza, il nome dell'account del servizio sarebbeawsSeamlessDomain.

        Nota

        Devi inserire awsSeamlessDomainUsername esattamente come è. Assicurati che non vi siano spazi iniziali o finali. In caso contrario, l'aggiunta del dominio avrà esito negativo.

        Nella AWS Secrets Manager console nella pagina Scegli un tipo segreto. Un altro tipo di segreto viene selezionato in Tipo segreto e awsSeamlessDomainUsername immesso come valore chiave.

      2. Scegli Aggiungi riga.

      3. Nella nuova riga, nella prima casella, inserisci awsSeamlessDomainPassword. Nella stessa riga, nella casella successiva, inserisci la password per il tuo account del servizio.

        Nota

        Devi inserire awsSeamlessDomainPassword esattamente come è. Assicurati che non vi siano spazi iniziali o finali. In caso contrario, l'aggiunta del dominio avrà esito negativo.

      4. In Chiave di crittografia, lascia il valore predefinitoaws/secretsmanager. AWS Secrets Manager crittografa sempre il segreto quando scegli questa opzione. Puoi anche scegliere una chiave creata da te.

      5. Scegli Next (Successivo).

  4. In Nome segreto, inserisci un nome segreto che includa l'ID della tua directory utilizzando il seguente formato, sostituendolo d-xxxxxxxxx con il tuo ID di directory:

    aws/directory-services/d-xxxxxxxxx/seamless-domain-join

    Questo nome viene utilizzato per recuperare i segreti nell'applicazione.

    Nota

    Devi inserirlo aws/directory-services/d-xxxxxxxxx/seamless-domain-join esattamente così com'è, ma sostituirlo d-xxxxxxxxxx con l'ID della tua directory. Assicurati che non vi siano spazi iniziali o finali. In caso contrario, l'aggiunta del dominio avrà esito negativo.

    Nella AWS Secrets Manager console nella pagina segreta di configurazione. Il nome segreto viene inserito ed evidenziato.

  5. Lascia tutto il resto impostato sui valori predefiniti, quindi scegli Avanti.

  6. In Configura rotazione automatica, lascia selezionata Disabilita rotazione automatica e scegli Successivo.

    Puoi attivare la rotazione di questo segreto dopo averlo archiviato.

  7. Controlla le impostazioni, quindi scegli Archivia per salvare le modifiche. La console Secrets Manager restituisce l'elenco dei segreti nel tuo account con il nuovo segreto ora incluso nell'elenco.

  8. Scegli il nome segreto appena creato dall'elenco e prendi nota del valore ARN segreto. Lo utilizzerai nella sezione successiva.

Attiva la rotazione per il segreto dell'account del servizio di dominio

Ti consigliamo di modificare regolarmente i segreti per migliorare il tuo livello di sicurezza.

Per attivare la rotazione per il segreto dell'account del servizio di dominio

Creazione della policy e del ruolo IAM richiesti

Utilizza i seguenti passaggi preliminari per creare una policy personalizzata che consenta l'accesso in sola lettura al tuo Secrets Manager seamless domain join secret (che hai creato in precedenza) e per creare un nuovo ruolo Linux IAM. EC2 DomainJoin

Creazione della policy di lettura IAM di Secrets Manager

Utilizzi la console IAM per creare una policy che conceda l'accesso in sola lettura al segreto di Secrets Manager.

Per creare la policy di lettura IAM di Secrets Manager

  1. Accedi AWS Management Console come utente autorizzato a creare policy IAM. Quindi apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, Gestione degli accessi, scegli Politiche.

  3. Scegli Create Policy (Crea policy).

  4. Seleziona la scheda JSON e copia il testo dal documento della seguente policy JSON. Quindi incollalo nella casella di testo JSON.

    Nota

    Assicurati di sostituire l'ARN della regione e della risorsa con la regione e l'ARN effettivi del segreto che hai creato in precedenza.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:xxxxxxxxx:secret:aws/directory-services/d-xxxxxxxxx/seamless-domain-join"
            ]
        }
    ]
}

  5. Quando hai terminato, seleziona Successivo. In Validatore di policy vengono segnalati eventuali errori di sintassi. Per ulteriori informazioni, consulta Convalida delle policy IAM.

  6. Nella pagina Verifica policy, inserisci un nome per la policy, ad esempio SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read. Consulta la sezione Riepilogo per visualizzare le autorizzazioni concesse dalla policy. Seleziona Crea policy per salvare le modifiche. La nuova policy appare nell'elenco delle policy gestite ed è pronta a collegarsi a un'identità.

Nota

Consigliamo di creare una policy per ogni segreto. In questo modo, ti assicuri che le istanze abbiano accesso solo al segreto in questione e riduci al minimo l'impatto se un'istanza viene compromessa.

Crea il ruolo Linux EC2 DomainJoin

Utilizzi la console IAM per creare il ruolo che utilizzerai per aggiungere il dominio alla tua EC2 istanza Linux.

Per creare il EC2 DomainJoin ruolo Linux

  1. Accedi AWS Management Console come utente autorizzato a creare policy IAM. Quindi apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, in Gestione degli accessi, scegli Ruoli.

  3. Nel riquadro del contenuto seleziona Crea ruolo.

  4. In Select type of trusted entity (Seleziona tipo di entità attendibile), scegli AWS service (Servizio).

  5. In Caso d'uso, scegli EC2, quindi scegli Avanti.

    Nella console IAM, nella pagina Seleziona l'entità affidabile. AWS servizio e EC2 sono selezionati.

  6. In Filtra policy‬, procedi come segue:

    1. Specificare AmazonSSMManagedInstanceCore. Dopodiché, seleziona la casella di controllo per tale elemento nell'elenco.

    2. Specificare AmazonSSMDirectoryServiceAccess. Dopodiché, seleziona la casella di controllo per tale elemento nell'elenco.

    3. Inserisci SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read (o il nome della policy creata nella procedura precedente). Dopodiché, seleziona la casella di controllo per tale elemento nell'elenco.

    4. Dopo aver aggiunto le tre politiche sopra elencate, seleziona Crea ruolo.

    Nota

    Amazon SSMDirectory ServiceAccess fornisce le autorizzazioni per unire le istanze a un Active Directory gestito da. AWS Directory Service Amazon SSMManaged InstanceCore fornisce le autorizzazioni minime necessarie per utilizzare il AWS Systems Manager servizio. Per ulteriori informazioni sulla creazione di un ruolo con queste autorizzazioni e per informazioni su altre autorizzazioni e policy che puoi assegnare al tuo ruolo IAM, consulta Creazione di un profilo dell'istanza IAM per Systems Manager nella Guida per l'utente di AWS Systems Manager .

  7. Inserisci un nome per il tuo nuovo ruolo, ad esempio LinuxEC2DomainJoin o un altro nome che preferisci nel campo Nome del ruolo.

  8. (Facoltativo) Per Role Description (Descrizione ruolo), immetti una descrizione.

  9. (Facoltativo) Scegli Aggiungi nuovo tag nel Passaggio 3: Aggiungi tag per aggiungere tag. Le coppie chiave-valore dei tag vengono utilizzate per organizzare, tracciare o controllare l'accesso per questo ruolo.

  10. Scegliere Crea ruolo.

Unisciti senza problemi alla tua istanza Linux

Per unirti senza problemi alla tua istanza Linux

  1. Accedi a AWS Management Console e apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Dal selettore della regione nella barra di navigazione, scegli la Regione AWS stessa cartella esistente.

  3. Nella EC2 Dashboard, nella sezione Launch instance, scegli Launch instance.

  4. Nella pagina Avvia un'istanza, nella sezione Nome e tag, inserisci il nome che desideri utilizzare per la tua EC2 istanza Linux.

  5. (Facoltativo) Scegli Aggiungi tag aggiuntivi per aggiungere una o più coppie chiave-valore di tag per organizzare, tracciare o controllare l'accesso per questa EC2 istanza.

  6. Nella sezione Applicazione e immagine del sistema operativo (Amazon Machine Image), scegli un'AMI Linux che desideri avviare.

    Nota

    L'AMI utilizzato deve avere AWS Systems Manager (SSM Agent) la versione 2.3.1644.0 o successiva. Per verificare la versione dell'Agente SSM installata nell'AMI avviando un'istanza da quest'ultima, consulta Ottenere la versione dell'Agente SSM attualmente installata. Se è necessario aggiornare l'agente SSM, vedere Installazione e configurazione dell'agente SSM su istanze per Linux. EC2

    SSM utilizza il aws:domainJoin plug-in quando unisce un'istanza Linux a un Active Directory dominio. Il plugin cambia il nome host per le istanze Linux nel formato EC2 AMAZ-. XXXXXXX Per ulteriori informazioni in meritoaws:domainJoin, consultate AWS Systems Manager Command Document Plugin reference nella Guida per l'AWS Systems Manager utente.

  7. Nella sezione Tipo di istanza, scegli il tipo di istanza che desideri utilizzare dall'elenco a discesa Tipo di istanza.

  8. Nella sezione Coppia di chiavi (accesso), puoi scegliere se creare una nuova coppia di chiavi o selezionare una coppia di chiavi esistente. Per creare una nuova coppia di chiavi, scegli Crea nuova coppia di chiavi. Inserisci un nome per la coppia di chiavi e seleziona un'opzione per il Tipo di coppia di chiavi e il Formato del file della chiave privata. Per salvare la chiave privata in un formato che può essere utilizzato con OpenSSH, scegli .pem. Per salvare la chiave privata in un formato che può essere utilizzato con PuTTY, scegli .ppk. Scegli crea coppia di chiavi. Il file della chiave privata viene automaticamente scaricato dal browser. Salvare il file della chiave privata in un luogo sicuro.

    Importante

    Questo è l'unico momento in cui salvare il file della chiave privata.

  9. Nella pagina Avvia un'istanza, nella sezione Impostazioni di rete, scegli Modifica. Scegli il VPC in cui è stata creata la tua directory dall'elenco a discesa VPC - obbligatorio.

  10. Scegli una delle sottoreti pubbliche nel tuo VPC dall'elenco a discesa Sottorete. La sottorete scelta deve avere tutto il traffico esterno instradato a un gateway Internet. In caso contrario, non potrai connetterti in remoto all'istanza.

    Per ulteriori informazioni su come connettersi a un gateway Internet, consulta Eseguire la connessione a Internet utilizzando un gateway Internet nella Guida per l'utente di Amazon VPC.

  11. In Assegna automaticamente IP pubblico, scegli Abilita.

    Per ulteriori informazioni sull'indirizzamento IP pubblico e privato, consulta l'indirizzo IP delle EC2 istanze Amazon nella Amazon EC2 User Guide.

  12. Nelle impostazioni Firewall (gruppi di sicurezza), puoi utilizzare le impostazioni predefinite o apportare modifiche per soddisfare le tue esigenze.

  13. Nelle impostazioni Configurazione dell'archiviazione, puoi utilizzare le impostazioni predefinite o apportare modifiche per soddisfare le tue esigenze.

  14. Seleziona la sezione Dettagli avanzati, scegli il tuo dominio dall'elenco a discesa Directory di aggiunta al dominio.

    Nota

    Dopo aver scelto la directory di accesso al dominio, potresti vedere:

    Un messaggio di errore quando si seleziona la directory di accesso al dominio. C'è un errore con il documento SSM esistente.

    Questo errore si verifica se la procedura guidata di EC2 avvio identifica un documento SSM esistente con proprietà impreviste. Puoi effettuare una delle seguenti operazioni:

    • Se in precedenza hai modificato il documento SSM e le proprietà sono previste, scegli chiudi e procedi all'avvio dell' EC2 istanza senza modifiche.

    • Seleziona qui il link Elimina il documento SSM esistente per eliminare il documento SSM. Ciò consentirà la creazione di un documento SSM con le proprietà corrette. Il documento SSM verrà creato automaticamente all'avvio dell' EC2 istanza.

  15. Per il profilo dell'istanza IAM, scegli il ruolo IAM creato in precedenza nella sezione dei prerequisiti Step 2: Creazione del ruolo Linux EC2 DomainJoin .

  16. Scegliere Launch Instance (Avvia istanza).

Nota

Se stai eseguendo l'aggiunta ottimizzata di un dominio con SUSE Linux, è necessario un riavvio prima che le autenticazioni funzionino. Per riavviare SUSE dal terminale Linux, digita sudo reboot.