前提条件ステップ 1. IAM ロールを作成するステップ 2. クロスアカウントリソースアクセスを作成するステップ 3. Linux インスタンスをシームレスに結合する

Amazon EC2 Linux インスタンスを共有 AWS Managed Microsoft AD にシームレスに結合する

この手順では、Amazon EC2 Linux インスタンスを共有 AWS Managed Microsoft AD にシームレスに結合します。これを行うには、EC2Linux EC2インスタンスを起動するアカウントのインスタンスロールに読み取りポリシーを作成します AWS Secrets Manager IAM。これは、この手順Account 2でと呼ばれます。このインスタンスは、と呼ばれる他のアカウントから共有されている AWS Managed Microsoft AD を使用しますAccount 1。

前提条件

Amazon EC2 Linux インスタンスを共有 AWS Managed Microsoft AD にシームレスに結合する前に、以下を完了する必要があります。

チュートリアルのステップ 1～3チュートリアル: シームレスなEC2ドメイン参加のために AWS Managed Microsoft AD ディレクトリを共有する。このチュートリアルでは、ネットワークの設定と AWS Managed Microsoft AD の共有について説明します。
に概説されている手順Amazon EC2 Linux インスタンスを AWS Managed Microsoft AD Active Directory にシームレスに結合する。

ステップ 1. アカウント 2 で LinuxEC2DomainJoin ロールを作成する

このステップでは、 IAM コンソールを使用して、にサインインしている間に EC2 Linux インスタンスにドメイン結合するために使用するIAMロールを作成しますAccount 2。

LinuxEC2DomainJoin ロールを作成する

でIAMコンソールを開きますhttps://console.aws.amazon.com/iam/。
左側のナビゲーションペインのアクセス管理 で、ロール を選択します。
[ロール] ページで、[ロールの作成] を選択します。
信頼されたエンティティの種類を選択 の下で、AWS サービス ( ) を選択します。
ユースケース でを選択しEC2、次へを選択します。
[Filter policies] (フィルターポリシー) で、以下を実行します。
1. AmazonSSMManagedInstanceCore と入力します。次に、リスト内のその項目のチェックボックスを選択します。
2. AmazonSSMDirectoryServiceAccess と入力します。次に、リスト内のその項目のチェックボックスを選択します。
3. これらのポリシーを追加したら、ロールの作成 を選択します。
  
  注記
  AmazonSSMDirectoryServiceAccess は、インスタンスをに結合するアクセス許可を提供します。Active Directory はによって管理されます AWS Directory Service。 AmazonSSMManagedInstanceCoreは、を使用するために必要な最小限のアクセス許可を提供します AWS Systems Manager。これらのアクセス許可を持つロールの作成、およびロールに割り当てることができるその他のアクセス許可とポリシーの詳細については、AWS Systems Manager 「ユーザーガイド」の「Systems Manager に必要なインスタンスアクセス許可の設定IAM」を参照してください。
LinuxEC2DomainJoin[Role name] (ロール名)欄に、 適宜の別の名前など新しいロールの名前を入力します。
（オプション） ロールの説明 には、説明を入力します。
（オプション） ステップ 3: タグを追加するで新しいタグを追加するを選択します。タグのキーと値のペアは、このロールのアクセスを整理、追跡、または制御するために使用されます。
[ロールの作成] を選択します。

ステップ 2. クロスアカウントリソースアクセスを作成してシー AWS Secrets Manager クレットを共有する

次のセクションでは、EC2Linux インスタンスを共有 AWS Managed Microsoft AD とシームレスに結合するために満たす必要がある追加要件について説明します。これらの要件には、リソースポリシーの作成と、適切なサービスとリソースへのアタッチが含まれます。

アカウントのユーザーが別のアカウントの AWS Secrets Manager シークレットにアクセスできるようにするには、リソースポリシーと ID ポリシーの両方でアクセスを許可する必要があります。このタイプのアクセスは、クロスアカウントリソースアクセスと呼ばれます。

このタイプのアクセスは、Secrets Manager シークレットと同じアカウントの ID へのアクセスを許可する場合とは異なります。また、シークレットが暗号化されている AWS Key Management Service (KMS) キーの使用を ID に許可する必要があります。クロスアカウントアクセスに AWS マネージドキー (aws/secretsmanager) を使用できないため、このアクセス許可が必要です。代わりに、作成したKMSキーでシークレットを暗号化し、キーポリシーをアタッチします。シークレットの暗号化キーを変更するには、「シークレットの変更 AWS Secrets Manager」を参照してください。

注記

使用するシークレットによっては AWS Secrets Manager、に関連する料金が発生します。現在の価格の詳細なリストについては、「AWS Secrets Manager 料金表」を参照してください。Secrets Manager AWS マネージドキー aws/secretsmanagerが作成するを使用して、シークレットを無料で暗号化できます。シークレットを暗号化するための独自のKMSキーを作成すると、は現在の AWS KMSレートで AWS 課金します。詳細については、「AWS Key Management Service 料金」を参照してください。

次の手順では、ユーザーが EC2 Linux インスタンスを共有 AWS Managed Microsoft AD にシームレスに参加できるように、リソースポリシーを作成できます。

アカウント 1 のシークレットにリソースポリシーをアタッチする

で Secrets Manager コンソールを開きますhttps://console.aws.amazon.com/secretsmanager/。
シークレットのリストから、中に作成したシークレットを選択します前提条件。
概要タブのシークレットの詳細ページで、リソースアクセス許可 までスクロールダウンします。
アクセス許可の編集 を選択します。
1. ポリシーフィールドに、次のポリシーを入力します。次のポリシーでは、の LinuxEC2DomainJoin がのシークレットにアクセスAccount 2することを許可していますAccount 1。ARN 値をAccount 2、ステップ 1 で作成したLinuxEC2DomainJoinロールである ARNの値に置き換えます。このポリシーを使用するには、「アクセス許可ポリシーを AWS Secrets Manager シークレットにアタッチする」を参照してください。
```
{
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::Account2:role/LinuxEC2DomainJoin"
      },
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "*"
    }
  ]
}
```

アカウント 1 のキーのKMSキーポリシーにステートメントを追加する

で Secrets Manager コンソールを開きますhttps://console.aws.amazon.com/secretsmanager/。
左側のナビゲーションペインで、カスタマーマネージドキー を選択します。
カスタマーマネージドキーページで、作成したキーを選択します。
キーの詳細ページで、キーポリシー に移動し、編集を選択します。
次のキーポリシーステートメントではAccount 2、 ApplicationRole で KMSキーを使用してのシークレットを復号Account 1することをに許可しますAccount 1。このステートメントを使用するには、KMSキーのキーポリシーに追加します。詳細については、キーポリシーの変更を参照してください。
```
{
{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::Account2:role/ApplicationRole"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey"
  ],
  "Resource": "*"
}
```

アカウント 2 の ID に ID ポリシーを作成する

でIAMコンソールを開きますhttps://console.aws.amazon.com/iam/。
左側のナビゲーションペインのアクセス管理 で、ポリシー を選択します。
[ポリシーの作成] を選択します。ポリシーエディタJSONでを選択します。
次のポリシーではAccount 2、 ApplicationRole でシークレットにアクセスしAccount 1、同じにある暗号化キーを使用してシークレット値を復号することをに許可しますAccount 1。シークレットARNのは、シークレットの詳細ページのシークレットマネージャーコンソールにありますARN。または、describe-secret を呼び出してシークレットのを識別することもできますARN。リソースをシークレットのリソースARNと ARNに置き換えARNますAccount 1。このポリシーを使用するには、「アクセス許可ポリシーを AWS Secrets Manager シークレットにアタッチする」を参照してください。
```
{
{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "SecretARN"
    },
    {
      "Effect": "Allow",
      "Action": [
"kms:Decrypt",
"kms:Describekey"     
],
      "Resource": "arn:aws:kms:Region:Account1:key/Your_Encryption_Key"
    }
  ]
}
```
次へを選択し、変更の保存 を選択します。
Account 2 で作成したロールを検索して選択しますAttach a resource policy to the secret in Account 1。
アクセス許可の追加 で、ポリシーのアタッチ を選択します。
検索バーで、で作成したポリシーを検索Add a statement to the key policy for the KMS key in Account 1し、ボックスを選択してポリシーをロールに追加します。次に、アクセス許可の追加 を選択します。

ステップ 3. Linux インスタンスをシームレスに結合する

次の手順を使用して、EC2Linux インスタンスを共有 AWS Managed Microsoft AD にシームレスに結合できるようになりました。

Linux インスタンスをシームレスに結合するには

にサインイン AWS Management Console し、で Amazon EC2コンソールを開きますhttps://console.aws.amazon.com/ec2/。
ナビゲーションバーのリージョンセレクタから、既存のディレクトリ AWS リージョンと同じを選択します。
EC2 ダッシュボード のインスタンスを起動セクションで、インスタンスを起動 を選択します。
インスタンスを起動するページの「名前とタグ」セクションで、Linux EC2インスタンスに使用する名前を入力します。
（オプション） 追加タグを選択して、このEC2インスタンスのアクセスを整理、追跡、または制御する 1 つ以上のタグキーと値のペアを追加します。
Application and OS Image (Amazon Machine Image) セクションで、起動AMIする Linux を選択します。

注記
AMI 使用するには AWS Systems Manager 、 (SSM エージェント) バージョン 2.3.1644.0 以降が必要です。そのからインスタンスを起動AMIしてにインストールされている SSM エージェントバージョンを確認するにはAMI、「現在インストールされている SSM エージェントバージョンの取得」を参照してください。SSM エージェントをアップグレードする必要がある場合は、Linux のEC2インスタンスでのSSMエージェントのインストールと設定を参照してください。
SSM Linux インスタンスをに結合するときに aws:domainJoin プラグインを使用します。Active Directory ドメイン。プラグインは、Linux インスタンスのホスト名を EC2AMAZ- の形式に変更します。XXXXXXX。の詳細についてはaws:domainJoin、「ユーザーガイド」のAWS Systems Manager 「コマンドドキュメントプラグインリファレンス」を参照してください。 AWS Systems Manager
[インスタンスタイプ] セクションで、[インスタンスタイプ] ドロップダウンリストから使用するインスタンスタイプを選択します。
[キーペア (ログイン)] セクションで、新しいキーペアを作成するか、既存のキーペアから選択します。新しいキーペアを作成するには、[新しいキーペアの作成] を選択します。キーペアの名前を入力し、[キーペアタイプ] と [プライベートキーファイル形式] のオプションを選択します。Open で使用できる形式でプライベートキーを保存するにはSSH、.pem を選択します。Pu で使用できる形式でプライベートキーを保存するにはTTY、.ppk を選択します。[キーペアの作成] を選択します。ブラウザによって秘密キーファイルが自動的にダウンロードされます。ダウンロードしたプライベートキーのファイルを安全な場所に保存します。

重要
プライベートキーのファイルを保存できるのは、このタイミングだけです。
[インスタンスを起動する] ページの [ネットワーク設定] セクションで、[編集] を選択します。ディレクトリVPCが作成されたを VPC- 必要なドロップダウンリストから選択します。
サブネットドロップダウンリストから、内のパブリックVPCサブネットのいずれかを選択します。選択するサブネットで、すべての外部トラフィックがインターネットゲートウェイにルーティングされるように選択する必要があります。そうでない場合は、インスタンスにリモート接続できません。

インターネットゲートウェイに接続する方法の詳細については、「Amazon VPCユーザーガイド」の「インターネットゲートウェイを使用してインターネットに接続する」を参照してください。
[自動割り当てパブリック IP] で、[有効化] を選択します。

パブリック IP アドレス指定とプライベート IP アドレス指定の詳細については、「Amazon ユーザーガイド」の「Amazon EC2インスタンス IP アドレス指定」を参照してください。 EC2
[ファイアウォール (セキュリティグループ)] 設定にはデフォルト設定を使用するか、必要に応じて変更を加えることができます。
[ストレージの設定] 設定にはデフォルト設定を使用するか、必要に応じて変更を加えることができます。
[高度な詳細] セクションを選択し、[ドメイン結合ディレクトリ] ドロップダウンリストからドメインを選択します。
注記
ドメイン結合ディレクトリを選択すると、次のようになります。

このエラーは、EC2起動ウィザードが予期しないプロパティを持つ既存のSSMドキュメントを識別した場合に発生します。次のいずれかを試すことができます。
- 以前にSSMドキュメントを編集し、プロパティが予想される場合は、閉じるを選択し、変更なしでEC2インスタンスを起動します。
- 既存のSSMドキュメントを削除するリンクを選択して、SSMドキュメントを削除します。これにより、正しいプロパティを持つSSMドキュメントを作成できます。SSM ドキュメントは、EC2インスタンスの起動時に自動的に作成されます。
IAM インスタンスプロファイル の場合、前提条件セクションのステップ 2: Linux ロールを作成するでIAM以前に作成したロールを選択します。 EC2DomainJoin
Launch instance (インスタンスの起動) を選択します。

注記

SUSE Linux でシームレスなドメイン結合を実行する場合は、認証が機能する前に再起動する必要があります。Linux ターミナルSUSEから再起動するには、sudo reboot と入力します。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Linux インスタンスをシームレスに結合する

Linux インスタンスを手動で結合する