Unire senza problemi un'istanza Amazon EC2 Linux a un AWS Managed Microsoft AD condiviso - AWS Directory Service
PrerequisitiFase 1: Creare un ruolo IAM.Fase 2: Crea un accesso alle risorse tra accountFase 3. Unisciti senza problemi a un'istanza Linux

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Unire senza problemi un'istanza Amazon EC2 Linux a un AWS Managed Microsoft AD condiviso

In questa procedura, unirai senza problemi un'istanza Amazon EC2 Linux a un AWS Managed Microsoft AD condiviso. A tale scopo, creerai una policy di AWS Secrets Manager IAM lettura nel ruolo dell'EC2istanza nell'account in cui desideri avviare l'istanza EC2 Linux. A questo si farà riferimento Account 2 in questa procedura. Questa istanza utilizzerà l'AD AWS gestito di Microsoft che viene condiviso dall'altro account denominatoAccount 1.

Prerequisiti

Prima di poter unire senza problemi un'istanza Amazon EC2 Linux a un AWS Managed Microsoft AD condiviso, devi completare quanto segue:

Fase 1: Crea il EC2DomainJoin ruolo Linux nell'Account 2

In questo passaggio, utilizzerai la IAM console per creare il IAM ruolo che utilizzerai per aggiungere il dominio all'istanza EC2 Linux dopo aver effettuato l'accessoAccount 2.

Crea il EC2DomainJoin ruolo Linux

  1. Apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione a sinistra, in Gestione degli accessi, scegli Ruoli.

  3. Nella pagina Ruoli, seleziona Crea ruolo.

  4. In Select type of trusted entity (Seleziona tipo di entità attendibile), scegli AWS service (Servizio).

  5. In Caso d'uso, scegli EC2, quindi scegli Avanti

  6. In Filtra policy‬, procedi come segue:

    1. Specificare AmazonSSMManagedInstanceCore. Quindi seleziona la casella di controllo relativa all'elemento nell'elenco.

    2. Specificare AmazonSSMDirectoryServiceAccess. Quindi seleziona la casella di controllo relativa a quell'elemento nell'elenco.

    3. Dopo aver aggiunto queste politiche, seleziona Crea ruolo.

      Nota

      AmazonSSMDirectoryServiceAccessfornisce le autorizzazioni per unire le istanze a un Active Directory gestito da. AWS Directory ServiceAmazonSSMManagedInstanceCorefornisce le autorizzazioni minime necessarie per l'uso AWS Systems Manager. Per ulteriori informazioni sulla creazione di un ruolo con queste autorizzazioni e per informazioni su altre autorizzazioni e policy che è possibile assegnare al proprio IAM ruolo, vedere Configurare le autorizzazioni di istanza richieste per Systems Manager nella Guida per l'utente.AWS Systems Manager

  7. Inserisci un nome per il tuo nuovo ruolo, ad esempio LinuxEC2DomainJoin o un altro nome che preferisci nel campo Nome del ruolo.

  8. (Facoltativo) Per la descrizione del ruolo, inserisci una descrizione.

  9. (Facoltativo) Scegli Aggiungi nuovo tag nel Passaggio 3: Aggiungi tag per aggiungere tag. Le coppie chiave-valore dei tag vengono utilizzate per organizzare, tracciare o controllare l'accesso per questo ruolo.

  10. Scegliere Crea ruolo.

Fase 2: Crea un accesso alle risorse tra account per condividere segreti AWS Secrets Manager

La sezione successiva illustra i requisiti aggiuntivi che devono essere soddisfatti per unire senza problemi le istanze EC2 Linux con un Managed AWS Microsoft AD condiviso. Questi requisiti includono la creazione di politiche relative alle risorse e il loro collegamento ai servizi e alle risorse appropriati.

Per consentire agli utenti di un account di accedere ai AWS Secrets Manager segreti di un altro account, è necessario consentire l'accesso sia in una politica delle risorse che in una politica di identità. Questo tipo di accesso è denominato accesso alle risorse tra account.

Questo tipo di accesso è diverso dalla concessione dell'accesso alle identità nello stesso account del segreto di Secrets Manager. È inoltre necessario consentire all'identità di utilizzare la chiave AWS Key Management Service(KMS) con cui il segreto è crittografato. Questa autorizzazione è necessaria in quanto non è possibile utilizzare la chiave AWS gestita (aws/secretsmanager) per l'accesso tra account diversi. Invece, crittograferai il tuo segreto con una KMS chiave creata da te e quindi allegherai una politica di chiave. Per modificare la chiave di crittografia per un segreto, consulta Modificare un AWS Secrets Manager segreto.

Nota

Sono previste delle tariffe associate AWS Secrets Manager, a seconda del segreto utilizzato. Per l'elenco completo dei prezzi aggiornati, consulta la pagina dei prezzi AWS Secrets Manager. Puoi utilizzare il Chiave gestita da AWS aws/secretsmanager programma creato da Secrets Manager per crittografare i tuoi segreti gratuitamente. Se crei KMS le tue chiavi per crittografare i tuoi segreti, ti AWS addebiterà la tariffa attuale AWS KMS. Per ulteriori informazioni, consultare AWS Key Management Service Prezzi.

I passaggi seguenti consentono di creare le politiche delle risorse per consentire agli utenti di unire senza problemi un'istanza EC2 Linux a un AWS Managed Microsoft AD condiviso.

Allega una politica delle risorse al segreto nell'Account 1

  1. Apri la console Secrets Manager all'indirizzo https://console.aws.amazon.com/secretsmanager/.

  2. Dall'elenco dei segreti, scegli il tuo segreto che hai creato durante ilPrerequisiti.

  3. Nella pagina dei dettagli del segreto, nella scheda Panoramica, scorri verso il basso fino a Autorizzazioni per le risorse.

  4. Seleziona Modifica autorizzazioni.

    1. Nel campo della politica, inserisci la seguente politica. La seguente politica consente a Linux EC2DomainJoin in Account 2 di accedere al secret inAccount 1. Sostituisci il ARN ARN valore con quello relativo al Account 2 LinuxEC2DomainJoin ruolo che hai creato nella Fase 1. Per utilizzare questa politica, vedi Allegare una politica di autorizzazioni a un AWS Secrets Manager segreto.

      {
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::Account2:role/LinuxEC2DomainJoin"
      },
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "*"
    }
  ]
}
Aggiungi una dichiarazione alla politica chiave per la KMS chiave nell'Account 1

  1. Apri la console Secrets Manager all'indirizzo https://console.aws.amazon.com/secretsmanager/.

  2. Nel riquadro di navigazione a sinistra, seleziona Customer managed keys.

  3. Nella pagina Chiavi gestite dal cliente, seleziona la chiave che hai creato.

  4. Nella pagina Dettagli chiave, vai a Politica chiave e seleziona Modifica.

  5. La seguente dichiarazione sulla politica chiave consente di ApplicationRole Account 2 utilizzare la KMS chiave in Account 1 per decrittografare il secret in. Account 1 Per utilizzare questa dichiarazione, aggiungila alla policy chiave della tua KMS chiave. Per ulteriori informazioni, vedere Modifica di una policy delle chiavi.

    {
{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::Account2:role/ApplicationRole"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey"
  ],
  "Resource": "*"
}
Crea una politica di identità per l'identità nell'Account 2

  1. Apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione a sinistra, in Gestione degli accessi, seleziona Politiche.

  3. Seleziona Create Policy (Crea policy). Scegli JSONnell'editor delle politiche.

  4. La seguente politica consente di accedere ApplicationRole Account 2 all'ingresso segreto Account 1 e di decrittografare il valore segreto utilizzando la chiave di crittografia anch'essa presente. Account 1 Puoi trovare il codice ARN per il tuo segreto nella console Secrets Manager nella pagina Dettagli segreti sotto Segreto ARN. In alternativa, puoi chiamare describe-secret per identificare i segreti. ARN Sostituisci la risorsa ARN con la risorsa ARN per il segreto e. ARN Account 1 Per utilizzare questa politica, consulta Allegare una politica di autorizzazioni a un AWS Secrets Manager segreto. 

    {
{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "SecretARN"
    },
    {
      "Effect": "Allow",
      "Action": [
"kms:Decrypt",
"kms:Describekey"     
],
      "Resource": "arn:aws:kms:Region:Account1:key/Your_Encryption_Key"
    }
  ]
}

  5. Seleziona Avanti, quindi seleziona Salva modifiche.

  6. Trova e seleziona il ruolo Account 2 in cui hai creatoAttach a resource policy to the secret in Account 1.

  7. In Aggiungi autorizzazioni, seleziona Allega politiche.

  8. Nella barra di ricerca, trova la politica in cui hai creato Add a statement to the key policy for the KMS key in Account 1 e seleziona la casella per aggiungere la politica al ruolo. Quindi seleziona Aggiungi autorizzazioni.

Fase 3. Unisciti senza problemi alla tua istanza Linux

Ora puoi utilizzare la procedura seguente per unire senza problemi la tua istanza EC2 Linux al tuo AWS Managed Microsoft AD condiviso.

Per unirti senza problemi alla tua istanza Linux

  1. Accedi a AWS Management Console e apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Dal selettore della regione nella barra di navigazione, scegli la Regione AWS stessa cartella esistente.

  3. Nella EC2Dashboard, nella sezione Launch instance, scegli Launch instance.

  4. Nella pagina Avvia un'istanza, nella sezione Nome e tag, inserisci il nome che desideri utilizzare per la tua EC2 istanza Linux.

  5. (Facoltativo) Scegli Aggiungi tag aggiuntivi per aggiungere una o più coppie chiave-valore di tag per organizzare, tracciare o controllare l'accesso per questa EC2 istanza.

  6. Nella sezione Applicazione e immagine del sistema operativo (Amazon Machine Image), scegli un Linux AMI che desideri avviare.

    Nota

    L'utente AMI deve avere la versione AWS Systems Manager (SSMAgent) 2.3.1644.0 o successiva. Per verificare la versione dell'SSMagente installata sul tuo computer avviando un'istanza AMI da tale istanzaAMI, consulta Ottenere la versione dell'agente attualmente installata. SSM Se è necessario aggiornare l'SSMagente, vedere Installazione e configurazione SSM dell'agente su EC2 istanze per Linux.

    SSMutilizza il aws:domainJoin plugin quando unisce un'istanza Linux a un Active Directory dominio. Il plugin cambia il nome host per le istanze Linux nel formato - EC2AMAZXXXXXXX. Per ulteriori informazioni in meritoaws:domainJoin, consultate il riferimento al plugin del documento di AWS Systems Manager comando nella Guida AWS Systems Manager per l'utente.

  7. Nella sezione Tipo di istanza, scegli il tipo di istanza che desideri utilizzare dall'elenco a discesa Tipo di istanza.

  8. Nella sezione Coppia di chiavi (accesso), puoi scegliere se creare una nuova coppia di chiavi o selezionare una coppia di chiavi esistente. Per creare una nuova coppia di chiavi, scegli Crea nuova coppia di chiavi. Inserisci un nome per la coppia di chiavi e seleziona un'opzione per il Tipo di coppia di chiavi e il Formato del file della chiave privata. Per salvare la chiave privata in un formato utilizzabile con OpenSSH, scegliete .pem. Per salvare la chiave privata in un formato utilizzabile con PuTTY, scegliete .ppk. Scegli crea coppia di chiavi. Il file della chiave privata viene automaticamente scaricato dal browser. Salvare il file della chiave privata in un luogo sicuro.

    Importante

    Questo è l'unico momento in cui salvare il file della chiave privata.

  9. Nella pagina Avvia un'istanza, nella sezione Impostazioni di rete, scegli Modifica. Scegli VPCquello in cui è stata creata la tua directory dall'VPCelenco a discesa richiesto.

  10. Scegli una delle sottoreti pubbliche VPC dal menu a discesa Subnet. La sottorete scelta deve avere tutto il traffico esterno instradato a un gateway Internet. In caso contrario, non potrai connetterti in remoto all'istanza.

    Per ulteriori informazioni su come connettersi a un gateway Internet, consulta Connettersi a Internet utilizzando un gateway Internet nella Amazon VPC User Guide.

  11. In Assegna automaticamente IP pubblico, scegli Abilita.

    Per ulteriori informazioni sull'indirizzamento IP pubblico e privato, consulta l'indirizzo IP delle EC2 istanze Amazon nella Amazon EC2 User Guide.

  12. Nelle impostazioni Firewall (gruppi di sicurezza), puoi utilizzare le impostazioni predefinite o apportare modifiche per soddisfare le tue esigenze.

  13. Nelle impostazioni Configurazione dell'archiviazione, puoi utilizzare le impostazioni predefinite o apportare modifiche per soddisfare le tue esigenze.

  14. Seleziona la sezione Dettagli avanzati, scegli il tuo dominio dall'elenco a discesa Directory di aggiunta al dominio.

    Nota

    Dopo aver scelto la directory di accesso al dominio, potresti vedere:

    Un messaggio di errore quando si seleziona la directory di accesso al dominio. C'è un errore con il SSM documento esistente.

    Questo errore si verifica se la procedura guidata di EC2 avvio identifica un SSM documento esistente con proprietà impreviste. Puoi effettuare una delle seguenti operazioni:

    • Se avete già modificato il SSM documento e le proprietà sono previste, scegliete chiudi e procedete all'avvio dell'EC2istanza senza modifiche.

    • Selezionate il link Elimina qui il SSM documento esistente per eliminare il SSM documento. Ciò consentirà la creazione di un SSM documento con le proprietà corrette. Il SSM documento verrà creato automaticamente all'avvio dell'EC2istanza.

  15. Ad IAMesempio, profilo, scegli il IAM ruolo che hai creato in precedenza nella sezione dei prerequisiti Passaggio 2: creazione del EC2DomainJoin ruolo Linux.

  16. Scegliere Launch Instance (Avvia istanza).

Nota

Se stai eseguendo un'unione di dominio senza interruzioni con SUSE Linux, è necessario un riavvio prima che le autenticazioni funzionino. Per riavviare SUSE dal terminale Linux, digita sudo reboot.