前提条件ステップ 1. IAM ロールを作成するステップ 2. クロスアカウントリソースアクセスを作成するステップ 3. Linux インスタンスをシームレスに結合する

Amazon EC2 Linux インスタンスを共有 AWS Managed Microsoft AD にシームレスに結合する

この手順では、Amazon EC2 Linux インスタンスを共有 AWS Managed Microsoft AD にシームレスに結合します。これを行うには、EC2Linux EC2インスタンスを起動するアカウントのインスタンスロールに読み取りポリシーを作成します AWS Secrets Manager IAM。これは、この手順Account 2ではと呼ばれます。このインスタンスは、と呼ばれる他のアカウントから共有されている AWS Managed Microsoft AD を使用しますAccount 1。

前提条件

Amazon EC2 Linux インスタンスを共有 AWS Managed Microsoft AD にシームレスに結合する前に、以下を完了する必要があります。

チュートリアルのステップ 1～3、チュートリアル: シームレスな EC2 ドメイン結合のための AWS Managed Microsoft AD ディレクトリの共有。このチュートリアルでは、ネットワークの設定と Managed Microsoft AD AWS の共有について説明します。
で概説されている手順Amazon EC2 Linux インスタンスを AWS Managed Microsoft AD Active Directory にシームレスに結合する。

ステップ 1. アカウント 2 で LinuxEC2DomainJoin ロールを作成する

このステップでは、 IAMコンソールを使用して、にサインインしているときに EC2 Linux インスタンスのドメイン結合に使用するIAMロールを作成しますAccount 2。

LinuxEC2DomainJoin ロールを作成する

でIAMコンソールを開きますhttps://console.aws.amazon.com/iam/。
左側のナビゲーションペインのアクセス管理 で、ロール を選択します。
[ロール] ページで、[ロールの作成] を選択します。
信頼されたエンティティの種類を選択 の下で、AWS サービス ( ) を選択します。
ユースケース でを選択しEC2、次へを選択します。
[Filter policies] (フィルターポリシー) で、以下を実行します。
1. AmazonSSMManagedInstanceCore と入力します。次に、リスト内のその項目のチェックボックスをオンにします。
2. AmazonSSMDirectoryServiceAccess と入力します。次に、リスト内のその項目のチェックボックスをオンにします。
3. これらのポリシーを追加したら、ロールの作成 を選択します。
  
  注記
  AmazonSSMDirectoryServiceAccess は、によってActive Directory管理されるにインスタンスを結合するためのアクセス許可を提供します AWS Directory Service。 AmazonSSMManagedInstanceCoreは、を使用するために必要な最小限のアクセス許可を提供します AWS Systems Manager。これらのアクセス許可を持つロールの作成、およびロールに割り当てることができるその他のアクセス許可とポリシーの詳細については、AWS Systems Manager 「ユーザーガイド」の「Systems Manager に必要なインスタンスアクセス許可を設定するIAM」を参照してください。
LinuxEC2DomainJoin[Role name] (ロール名)欄に、 適宜の別の名前など新しいロールの名前を入力します。
（オプション） ロールの説明 に、説明を入力します。
（オプション） ステップ 3: タグを追加する で新しいタグを追加するを選択します。タグのキーと値のペアは、このロールのアクセスを整理、追跡、または制御するために使用されます。
[ロールの作成] を選択します。

ステップ 2. シー AWS Secrets Manager クレットを共有するためのクロスアカウントリソースアクセスを作成する

次のセクションでは、EC2Linux インスタンスを共有 AWS Managed Microsoft AD にシームレスに結合するために満たす必要がある追加要件について説明します。これらの要件には、リソースポリシーの作成と、適切なサービスとリソースへのアタッチが含まれます。

アカウントのユーザーが別のアカウントの AWS Secrets Manager シークレットにアクセスできるようにするには、リソースポリシーと ID ポリシーの両方でアクセスを許可する必要があります。このタイプのアクセスは、クロスアカウントリソースアクセスと呼ばれます。

このタイプのアクセスは、Secrets Manager シークレットと同じアカウントの ID へのアクセスを許可する場合とは異なります。また、シークレットが暗号化されている AWS Key Management Service (KMS) キーの使用を ID に許可する必要があります。クロスアカウントアクセスに AWS マネージドキー (aws/secretsmanager) を使用できないため、このアクセス許可が必要です。代わりに、作成したKMSキーでシークレットを暗号化し、キーポリシーをアタッチします。シークレットの暗号化キーを変更するには、「シークレットの変更 AWS Secrets Manager」を参照してください。

注記

使用するシークレットに応じて AWS Secrets Manager、に関連する料金が発生します。現在の価格の詳細なリストについては、「AWS Secrets Manager 料金表」を参照してください。Secrets Manager aws/secretsmanagerが AWS マネージドキー作成するを使用して、シークレットを無料で暗号化できます。シークレットを暗号化するための独自のKMSキーを作成すると、は現在の AWS KMSレートで AWS 課金します。詳細については、「AWS Key Management Service 料金」を参照してください。

次の手順では、リソースポリシーを作成して、ユーザーが EC2 Linux インスタンスを共有 AWS Managed Microsoft AD にシームレスに結合できるようにします。

アカウント 1 のシークレットにリソースポリシーをアタッチする

で Secrets Manager コンソールを開きますhttps://console.aws.amazon.com/secretsmanager/。
シークレットのリストから、中に作成したシークレットを選択します前提条件。
概要タブのシークレットの詳細ページで、リソースアクセス許可 まで下にスクロールします。
アクセス許可の編集を選択します。
1. ポリシーフィールドに、次のポリシーを入力します。次のポリシーでは、の LinuxEC2DomainJoin がのシークレットにアクセスAccount 2することを許可しますAccount 1。ARN 値を、ステップ 1 で作成した Account 2LinuxEC2DomainJoinロールARNの値に置き換えます。このポリシーを使用するには、「 AWS Secrets Manager シークレットにアクセス許可ポリシーをアタッチする」を参照してください。
```
{
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::Account2:role/LinuxEC2DomainJoin"
      },
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "*"
    }
  ]
}
```

アカウント 1 のキーのKMSキーポリシーにステートメントを追加する

で Secrets Manager コンソールを開きますhttps://console.aws.amazon.com/secretsmanager/。
左側のナビゲーションペインで、カスタマーマネージドキー を選択します。
カスタマーマネージドキーページで、作成したキーを選択します。
キーの詳細ページで、キーポリシー に移動し、編集を選択します。
次のキーポリシーステートメントではAccount 2、 ApplicationRoleで KMS キーを使用してのシークレットを復号Account 1することをに許可しますAccount 1。このステートメントを使用するには、キーのキーポリシーに追加しますKMS。詳細については、キーポリシーの変更を参照してください。
```
{
{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::Account2:role/ApplicationRole"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey"
  ],
  "Resource": "*"
}
```

アカウント 2 の ID への ID ポリシーを作成する

でIAMコンソールを開きますhttps://console.aws.amazon.com/iam/。
左側のナビゲーションペインのアクセス管理 で、ポリシー を選択します。
[ポリシーの作成] を選択します。ポリシーエディタ JSON でを選択します。
次のポリシーではAccount 2、 ApplicationRoleでシークレットにアクセスしAccount 1、同じにある暗号化キーを使用してシークレット値を復号することをに許可しますAccount 1。シークレットARNのは、Secrets Manager コンソールのシークレットの詳細ページのシークレット ARNにあります。または、describe-secret を呼び出してシークレットのを識別することもできますARN。Resource をシークレットの Resource ARNと ARNに置き換えARNますAccount 1。このポリシーを使用するには、「 AWS Secrets Manager シークレットにアクセス許可ポリシーをアタッチする」を参照してください。
```
{
{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "SecretARN"
    },
    {
      "Effect": "Allow",
      "Action": [
"kms:Decrypt",
"kms:Describekey"     
],
      "Resource": "arn:aws:kms:Region:Account1:key/Your_Encryption_Key"
    }
  ]
}
```
次へを選択し、変更の保存 を選択します。
で作成したロールを見つけて選択しますAccount 2Attach a resource policy to the secret in Account 1。
アクセス許可の追加で、ポリシーのアタッチ を選択します。
検索バーで、「」で作成したポリシーを検索Add a statement to the key policy for the KMS key in Account 1し、そのポリシーをロールに追加するボックスを選択します。次に、アクセス許可の追加 を選択します。

ステップ 3. Linux インスタンスをシームレスに結合する

次の手順を使用して、EC2Linux インスタンスを共有 AWS Managed Microsoft AD にシームレスに結合できるようになりました。

Linux インスタンスをシームレスに結合するには

にサインイン AWS Management Console し、で Amazon EC2コンソールを開きますhttps://console.aws.amazon.com/ec2/。
ナビゲーションバーのリージョンセレクターから、既存のディレクトリ AWS リージョンと同じを選択します。
EC2 ダッシュボード のインスタンスを起動 セクションで、インスタンスを起動 を選択します。
インスタンスの起動ページの「名前とタグ」セクションで、Linux EC2インスタンスに使用する名前を入力します。
（オプション） 追加タグを選択して、このEC2インスタンスのアクセスを整理、追跡、または制御するタグキーと値のペアを 1 つ以上追加します。
アプリケーションと OS イメージ (Amazon マシンイメージ） セクションで、起動する Linux AMI を選択します。

注記
AMI 使用するには、 AWS Systems Manager （SSM エージェント) バージョン 2.3.1644.0 以降が必要です。そのからインスタンスを起動AMIしてにインストールされている SSM エージェントバージョンを確認するにはAMI、「現在インストールされている SSM エージェントバージョンの取得」を参照してください。SSM エージェントをアップグレードする必要がある場合は、「Linux 用EC2インスタンスでのSSMエージェントのインストールと設定」を参照してください。
SSM は、Linux インスタンスをActive Directoryドメインに結合するaws:domainJoinときにプラグインを使用します。プラグインは Linux インスタンスのホスト名を EC2AMAZ- の形式に変更します。XXXXXXX。の詳細についてはaws:domainJoin、「ユーザーガイド」のAWS Systems Manager 「コマンドドキュメントプラグインリファレンスAWS Systems Manager 」を参照してください。
[インスタンスタイプ] セクションで、[インスタンスタイプ] ドロップダウンリストから使用するインスタンスタイプを選択します。
[キーペア (ログイン)] セクションで、新しいキーペアを作成するか、既存のキーペアから選択します。新しいキーペアを作成するには、[新しいキーペアの作成] を選択します。キーペアの名前を入力し、[キーペアタイプ] と [プライベートキーファイル形式] のオプションを選択します。Open で使用できる形式でプライベートキーを保存するにはSSH、.pem を選択します。Pu で使用できる形式でプライベートキーを保存するにはTTY、.ppk を選択します。[キーペアの作成] を選択します。ブラウザによって秘密キーファイルが自動的にダウンロードされます。ダウンロードしたプライベートキーのファイルを安全な場所に保存します。

重要
プライベートキーのファイルを保存できるのは、このタイミングだけです。
[インスタンスを起動する] ページの [ネットワーク設定] セクションで、[編集] を選択します。- 必須のドロップダウンリストから、ディレクトリVPCが作成されたを選択します。 VPC
サブネットドロップダウンリストから、内のパブリックサブネットVPCのいずれかを選択します。選択するサブネットで、すべての外部トラフィックがインターネットゲートウェイにルーティングされるように選択する必要があります。そうでない場合は、インスタンスにリモート接続できません。

インターネットゲートウェイに接続する方法の詳細については、「Amazon ユーザーガイド」の「インターネットゲートウェイを使用してインターネットに接続する」を参照してください。 VPC
[自動割り当てパブリック IP] で、[有効化] を選択します。

パブリック IP アドレス指定とプライベート IP アドレス指定の詳細については、「Amazon ユーザーガイド」の「Amazon EC2インスタンス IP アドレス指定」を参照してください。 EC2
[ファイアウォール (セキュリティグループ)] 設定にはデフォルト設定を使用するか、必要に応じて変更を加えることができます。
[ストレージの設定] 設定にはデフォルト設定を使用するか、必要に応じて変更を加えることができます。
[高度な詳細] セクションを選択し、[ドメイン結合ディレクトリ] ドロップダウンリストからドメインを選択します。
注記
ドメイン結合ディレクトリを選択すると、以下が表示されることがあります。

このエラーは、EC2起動ウィザードが予期しないプロパティを持つ既存のSSMドキュメントを特定した場合に発生します。次のいずれかを試すことができます。
- 以前にSSMドキュメントを編集し、プロパティが想定されている場合は、閉じるを選択して変更なしでEC2インスタンスを起動します。
- 既存のSSMドキュメントを削除するリンクを選択して、SSMドキュメントを削除します。これにより、正しいプロパティを持つ SSMドキュメントを作成できます。SSM ドキュメントは、EC2インスタンスの起動時に自動的に作成されます。
IAM インスタンスプロファイル では、「前提条件」セクションの「ステップ 2: Linux IAMロールを作成する」で以前に作成したロールを選択します。 EC2DomainJoin
Launch instance (インスタンスの起動) を選択します。

注記

SUSE Linux でシームレスなドメイン結合を実行する場合は、認証が機能する前に再起動する必要があります。Linux ターミナルSUSEから再起動するには、sudo reboot と入力します。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Linux インスタンスをシームレスに結合する

Linux インスタンスを手動で結合する