Unisci senza problemi un'istanza Amazon EC2 Linux alla tua AWS Managed Microsoft AD Active Directory - AWS Directory Service
PrerequisitiUnisciti senza problemi alla tua istanza Linux

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Unisci senza problemi un'istanza Amazon EC2 Linux alla tua AWS Managed Microsoft AD Active Directory

Questa procedura unisce senza problemi un'istanza Amazon EC2 Linux alla tua directory gestita di AWS Microsoft AD Active Directory. Se devi eseguire un'unione di dominio senza interruzioni su più AWS account, puoi facoltativamente scegliere di abilitare la condivisione della Directory.

Sono supportate le seguenti distribuzioni e versioni di istanze Linux:

  • Amazon Linux AMI 2018.03.0

  • Amazon Linux 2 (64-bit x86)

  • Red Hat Enterprise Linux 8 (x86 a HVM 64 bit)

  • Ubuntu Server 18.04 LTS e Ubuntu Server 16.04 LTS

  • CentOS 7 x86-64

  • SUSELinux Enterprise Server 15 SP1

Nota

Le distribuzioni precedenti a Ubuntu 14 e Red Hat Enterprise Linux 7 non supportano la funzionalità di aggiunta ottimizzata del dominio.

Per una dimostrazione sul processo di collegamento senza problemi di un'istanza Linux al tuo Managed AWS Microsoft AD Active Directory, guarda il video seguente YouTube .

Prerequisiti

Prima di poter configurare l'aggiunta senza soluzione di continuità al dominio su un'istanza Linux, devi completare le procedure descritte in questa sezione.

Selezione dell'account del servizio di aggiunta ottimizzata del dominio

Puoi aggiungere facilmente computer Linux al tuo dominio AWS gestito di Microsoft AD Active Directory. A tale scopo, è necessario utilizzare un account utente con le autorizzazioni per la creazione di account computer per aggiungere i computer al dominio. Sebbene gli amministratori delegati AWS o i membri di altri gruppi possano disporre di privilegi sufficienti per aggiungere computer al dominio, non è consigliabile utilizzarli. Come best practice, si consiglia di utilizzare un account del servizio con i privilegi minimi necessari per aggiungere i computer al dominio.

Per delegare un account con i privilegi minimi necessari per aggiungere i computer al dominio, puoi eseguire i seguenti comandi. PowerShell È necessario eseguire questi comandi da un computer Windows aggiunto al dominio su cui è installato Installare gli strumenti di amministrazione di Active Directory per AWS Managed Microsoft AD. Inoltre, è necessario utilizzare un account che disponga dell'autorizzazione a modificare le autorizzazioni sull'unità organizzativa o sul container del computer. Il PowerShell comando imposta le autorizzazioni che consentono all'account del servizio di creare oggetti informatici nel contenitore di computer predefinito del dominio.

$AccountName = 'awsSeamlessDomain'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module 'ActiveDirectory'
$Domain = Get-ADDomain -ErrorAction Stop
$BaseDn = $Domain.DistinguishedName
$ComputersContainer = $Domain.ComputersContainer
$SchemaNamingContext = Get-ADRootDSE | Select-Object -ExpandProperty 'schemaNamingContext'
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $SchemaNamingContext -Filter { lDAPDisplayName -eq 'Computer' } -Properties 'schemaIDGUID').schemaIDGUID
# Getting Service account Information.
$AccountProperties = Get-ADUser -Identity $AccountName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
# Getting ACL settings for the Computers container.
$ObjectAcl = Get-ACL -Path "AD:\$ComputersContainer" 
# Setting ACL allowing the service account the ability to create child computer objects in the Computers container.
$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'CreateChild', 'Allow', $ServicePrincipalNameGUID, 'All'
$ObjectAcl.AddAccessRule($AddAccessRule)
Set-ACL -AclObject $ObjectAcl -Path "AD:\$ComputersContainer"

Se si preferisce utilizzare un'interfaccia utente grafica (GUI), è possibile utilizzare il processo manuale descritto in. Delegare privilegi all'account del servizio

Creazione dei segreti per archiviare l'account del servizio di dominio

È possibile utilizzare AWS Secrets Manager per memorizzare l'account del servizio di dominio.

Per creare segreti e archiviare le informazioni sull'account del servizio di dominio

  1. Accedi a AWS Management Console e apri la AWS Secrets Manager console all'indirizzo https://console.aws.amazon.com/secretsmanager/.

  2. Scegli Archivia un nuovo segreto.

  3. Nella pagina Archivia un nuovo segreto, procedere nel seguente modo:

    1. In Tipo segreto, scegli Altro tipo di segreti.

    2. In Coppie chiave/valore, procedi come segue:

      1. Nella prima casella, inserisci awsSeamlessDomainUsername. Nella stessa riga, nella casella successiva, inserisci il nome utente per il tuo account di servizio. Ad esempio, se hai utilizzato il PowerShell comando in precedenza, il nome dell'account del servizio sarebbeawsSeamlessDomain.

        Nota

        Devi inserire awsSeamlessDomainUsername esattamente come è. Assicurati che non vi siano spazi iniziali o finali. In caso contrario, l'aggiunta del dominio avrà esito negativo.

        Nella AWS Secrets Manager console nella pagina Scegli un tipo segreto. Un altro tipo di segreto viene selezionato in Tipo segreto e awsSeamlessDomainUsername immesso come valore chiave.

      2. Scegli Aggiungi riga.

      3. Nella nuova riga, nella prima casella, inserisci awsSeamlessDomainPassword. Nella stessa riga, nella casella successiva, inserisci la password per il tuo account del servizio.

        Nota

        Devi inserire awsSeamlessDomainPassword esattamente come è. Assicurati che non vi siano spazi iniziali o finali. In caso contrario, l'aggiunta del dominio avrà esito negativo.

      4. In Chiave di crittografia, lascia il valore predefinitoaws/secretsmanager. AWS Secrets Manager crittografa sempre il segreto quando scegli questa opzione. Puoi anche scegliere una chiave creata da te.

        Nota

        Sono previste delle commissioni AWS Secrets Manager, a seconda del segreto utilizzato. Per l'elenco completo dei prezzi aggiornati, consulta la pagina dei prezzi AWS Secrets Manager.

        Puoi utilizzare la chiave AWS aws/secretsmanager gestita creata da Secrets Manager per crittografare i tuoi segreti gratuitamente. Se crei KMS le tue chiavi per crittografare i tuoi segreti, ti AWS addebiterà la tariffa attuale AWS KMS . Per ulteriori informazioni, consultare AWS Key Management Service Prezzi.

      5. Scegli Next (Successivo).

  4. In Nome segreto, inserisci un nome segreto che includa l'ID della tua directory utilizzando il seguente formato, sostituendo d-xxxxxxxxx con il tuo ID di directory:

    aws/directory-services/d-xxxxxxxxx/seamless-domain-join

    Questo nome viene utilizzato per recuperare i segreti nell'applicazione.

    Nota

    Devi inserirlo aws/directory-services/d-xxxxxxxxx/seamless-domain-join esattamente così com'è, ma sostituiscilo d-xxxxxxxxxx con il tuo ID di directory. Assicurati che non vi siano spazi iniziali o finali. In caso contrario, l'aggiunta del dominio avrà esito negativo.

    Nella AWS Secrets Manager console nella pagina segreta di configurazione. Il nome segreto viene inserito ed evidenziato.

  5. Lascia tutto il resto impostato sui valori predefiniti, quindi scegli Avanti.

  6. In Configura rotazione automatica, lascia selezionata Disabilita rotazione automatica e scegli Successivo.

    Puoi attivare la rotazione di questo segreto dopo averlo archiviato.

  7. Controlla le impostazioni, quindi scegli Archivia per salvare le modifiche. La console Secrets Manager restituisce l'elenco dei segreti nel tuo account con il nuovo segreto ora incluso nell'elenco.

  8. Scegli il nome segreto appena creato dall'elenco e prendi nota del ARN valore Segreto. Lo utilizzerai nella sezione successiva.

Attiva la rotazione per il segreto dell'account del servizio di dominio

Ti consigliamo di modificare regolarmente i segreti per migliorare il tuo livello di sicurezza.

Per attivare la rotazione per il segreto dell'account del servizio di dominio

Crea la IAM politica e il ruolo richiesti

Utilizza i seguenti passaggi preliminari per creare una policy personalizzata che consenta l'accesso in sola lettura al tuo Secrets Manager seamless domain join secret (creato in precedenza) e per creare un nuovo ruolo Linux. EC2DomainJoin IAM

Crea la policy di IAM lettura di Secrets Manager

Utilizzi la IAM console per creare una policy che garantisca l'accesso in sola lettura al tuo segreto di Secrets Manager.

Per creare il Secrets Manager IAM leggi la policy

  1. Accedi AWS Management Console come utente autorizzato a creare IAM politiche. Quindi apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, Gestione degli accessi, scegli Politiche.

  3. Scegli Create Policy (Crea policy).

  4. Scegli la JSONscheda e copia il testo dal seguente documento di JSON policy. Quindi incollalo nella casella JSONdi testo.

    Nota

    Assicurati di sostituire la regione e la risorsa ARN con la regione effettiva e ARN il segreto che hai creato in precedenza.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:xxxxxxxxx:secret:aws/directory-services/d-xxxxxxxxx/seamless-domain-join"
            ]
        }
    ]
}

  5. Quando hai terminato, seleziona Successivo. In Validatore di policy vengono segnalati eventuali errori di sintassi. Per ulteriori informazioni, consulta Convalida delle IAM politiche.

  6. Nella pagina Verifica policy, inserisci un nome per la policy, ad esempio SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read. Consulta la sezione Riepilogo per visualizzare le autorizzazioni concesse dalla policy. Seleziona Crea policy per salvare le modifiche. La nuova policy appare nell'elenco delle policy gestite ed è pronta a collegarsi a un'identità.

Nota

Consigliamo di creare una policy per ogni segreto. In questo modo, ti assicuri che le istanze abbiano accesso solo al segreto in questione e riduci al minimo l'impatto se un'istanza viene compromessa.

Crea il ruolo Linux EC2DomainJoin

Usa la IAM console per creare il ruolo che utilizzerai per aggiungere il dominio alla tua EC2 istanza Linux.

Per creare il EC2DomainJoin ruolo Linux

  1. Accedi AWS Management Console come utente autorizzato a creare IAM politiche. Quindi apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, in Gestione degli accessi, scegli Ruoli.

  3. Nel riquadro del contenuto seleziona Crea ruolo.

  4. In Select type of trusted entity (Seleziona tipo di entità attendibile), scegli AWS service (Servizio).

  5. In Caso d'uso, scegli EC2, quindi scegli Avanti.

    Nella IAM console, nella pagina Seleziona l'entità attendibile. AWS servizio e EC2 sono selezionati.

  6. In Filtra policy‬, procedi come segue:

    1. Specificare AmazonSSMManagedInstanceCore. Dopodiché, seleziona la casella di controllo per tale elemento nell'elenco.

    2. Specificare AmazonSSMDirectoryServiceAccess. Dopodiché, seleziona la casella di controllo per tale elemento nell'elenco.

    3. Inserisci SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read (o il nome della policy creata nella procedura precedente). Dopodiché, seleziona la casella di controllo per tale elemento nell'elenco.

    4. Dopo aver aggiunto le tre politiche sopra elencate, seleziona Crea ruolo.

    Nota

    A mazonSSMDirectory ServiceAccess fornisce le autorizzazioni per unire le istanze a un'istanza Active Directory gestita da. AWS Directory Service A mazonSSMManaged InstanceCore fornisce le autorizzazioni minime necessarie per utilizzare il servizio. AWS Systems Manager Per ulteriori informazioni sulla creazione di un ruolo con queste autorizzazioni e per informazioni su altre autorizzazioni e policy che è possibile assegnare al proprio IAM ruolo, vedere Creare un profilo di IAM istanza per Systems Manager nella Guida per l'AWS Systems Manager utente.

  7. Inserisci un nome per il tuo nuovo ruolo, ad esempio LinuxEC2DomainJoin o un altro nome che preferisci nel campo Nome del ruolo.

  8. (Facoltativo) Per Role Description (Descrizione ruolo), immetti una descrizione.

  9. (Facoltativo) Scegli Aggiungi nuovo tag nel Passaggio 3: Aggiungi tag per aggiungere tag. Le coppie chiave-valore dei tag vengono utilizzate per organizzare, tracciare o controllare l'accesso per questo ruolo.

  10. Scegliere Crea ruolo.

Unisciti senza problemi alla tua istanza Linux

Per unirti senza problemi alla tua istanza Linux

  1. Accedi a AWS Management Console e apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Dal selettore della regione nella barra di navigazione, scegli la Regione AWS stessa cartella esistente.

  3. Nella EC2Dashboard, nella sezione Launch instance, scegli Launch instance.

  4. Nella pagina Avvia un'istanza, nella sezione Nome e tag, inserisci il nome che desideri utilizzare per la tua EC2 istanza Linux.

  5. (Facoltativo) Scegli Aggiungi tag aggiuntivi per aggiungere una o più coppie chiave-valore di tag per organizzare, tracciare o controllare l'accesso per questa EC2 istanza.

  6. Nella sezione Applicazione e immagine del sistema operativo (Amazon Machine Image), scegli un Linux AMI che desideri avviare.

    Nota

    L'utente AMI deve avere la versione AWS Systems Manager (SSMAgent) 2.3.1644.0 o successiva. Per verificare la versione dell'SSMagente installata sul tuo computer avviando un'istanza AMI da tale istanzaAMI, consulta Ottenere la versione dell'agente attualmente installata. SSM Se è necessario aggiornare l'SSMagente, vedere Installazione e configurazione SSM dell'agente su EC2 istanze per Linux.

    SSMutilizza il aws:domainJoin plugin quando aggiunge un'istanza Linux a un Active Directory dominio. Il plugin cambia il nome host per le istanze Linux nel formato - EC2AMAZXXXXXXX. Per ulteriori informazioni in meritoaws:domainJoin, consultate il riferimento al plugin del documento di AWS Systems Manager comando nella Guida AWS Systems Manager per l'utente.

  7. Nella sezione Tipo di istanza, scegli il tipo di istanza che desideri utilizzare dall'elenco a discesa Tipo di istanza.

  8. Nella sezione Coppia di chiavi (accesso), puoi scegliere se creare una nuova coppia di chiavi o selezionare una coppia di chiavi esistente. Per creare una nuova coppia di chiavi, scegli Crea nuova coppia di chiavi. Inserisci un nome per la coppia di chiavi e seleziona un'opzione per il Tipo di coppia di chiavi e il Formato del file della chiave privata. Per salvare la chiave privata in un formato utilizzabile con OpenSSH, scegliete .pem. Per salvare la chiave privata in un formato utilizzabile con PuTTY, scegliete .ppk. Scegli crea coppia di chiavi. Il file della chiave privata viene automaticamente scaricato dal browser. Salvare il file della chiave privata in un luogo sicuro.

    Importante

    Questo è l'unico momento in cui salvare il file della chiave privata.

  9. Nella pagina Avvia un'istanza, nella sezione Impostazioni di rete, scegli Modifica. Scegli VPCquello in cui è stata creata la tua directory dall'VPCelenco a discesa richiesto.

  10. Scegli una delle sottoreti pubbliche VPC dal menu a discesa Subnet. La sottorete scelta deve avere tutto il traffico esterno instradato a un gateway Internet. In caso contrario, non potrai connetterti in remoto all'istanza.

    Per ulteriori informazioni su come connettersi a un gateway Internet, consulta Connettersi a Internet utilizzando un gateway Internet nella Amazon VPC User Guide.

  11. In Assegna automaticamente IP pubblico, scegli Abilita.

    Per ulteriori informazioni sull'indirizzamento IP pubblico e privato, consulta l'indirizzo IP delle EC2 istanze Amazon nella Amazon EC2 User Guide.

  12. Nelle impostazioni Firewall (gruppi di sicurezza), puoi utilizzare le impostazioni predefinite o apportare modifiche per soddisfare le tue esigenze.

  13. Nelle impostazioni Configurazione dell'archiviazione, puoi utilizzare le impostazioni predefinite o apportare modifiche per soddisfare le tue esigenze.

  14. Seleziona la sezione Dettagli avanzati, scegli il tuo dominio dall'elenco a discesa Directory di aggiunta al dominio.

    Nota

    Dopo aver scelto la directory di accesso al dominio, potresti vedere:

    Un messaggio di errore quando si seleziona la directory di accesso al dominio. C'è un errore con il SSM documento esistente.

    Questo errore si verifica se la procedura guidata di EC2 avvio identifica un SSM documento esistente con proprietà impreviste. Puoi effettuare una delle seguenti operazioni:

    • Se avete già modificato il SSM documento e le proprietà sono previste, scegliete chiudi e procedete all'avvio dell'EC2istanza senza modifiche.

    • Selezionate il link Elimina qui il SSM documento esistente per eliminare il SSM documento. Ciò consentirà la creazione di un SSM documento con le proprietà corrette. Il SSM documento verrà creato automaticamente all'avvio dell'EC2istanza.

  15. Ad IAMesempio, profilo, scegli il IAM ruolo che hai creato in precedenza nella sezione dei prerequisiti Passaggio 2: creazione del EC2DomainJoin ruolo Linux.

  16. Scegliere Launch Instance (Avvia istanza).

Nota

Se stai eseguendo un'unione di dominio senza interruzioni con SUSE Linux, è necessario un riavvio prima che le autenticazioni funzionino. Per riavviare SUSE dal terminale Linux, digita sudo reboot.