Amazon EC2 Linux 인스턴스를 공유된 AWS 관리형 Microsoft AD에 원활하게 조인합니다. - AWS Directory Service
사전 조건단계 1. IAM 역할 생성단계 2. 교차 계정 리소스 액세스 생성단계 3. Linux 인스턴스에 원활하게 연결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon EC2 Linux 인스턴스를 공유된 AWS 관리형 Microsoft AD에 원활하게 조인합니다.

이 절차에서는 Amazon EC2 Linux 인스턴스를 공유된 AWS 관리형 Microsoft AD에 원활하게 조인할 수 있습니다. 이렇게 하려면 EC2 Linux 인스턴스를 시작하려는 계정의 EC2 인스턴스 역할에 AWS Secrets Manager IAM 읽기 정책을 생성해야 합니다. 이 Account 2 절차에서는 이를 참조합니다. 이 인스턴스는 다른 계정에서 AWS 공유되는 관리형 Microsoft AD를 사용합니다. 이 AD는 이라고 Account 1 합니다.

사전 조건

Amazon EC2 Linux 인스턴스를 공유된 AWS 관리형 Microsoft AD에 원활하게 조인하려면 먼저 다음 작업을 완료해야 합니다.

단계 1. 계정 2에서 Linux EC2DomainJoin 역할 생성

이 단계에서는 IAM 콘솔을 사용하여 로그인한 상태에서 EC2 Linux 인스턴스를 도메인 조인하는 데 사용할 IAM 역할을 생성합니다Account 2.

Linux EC2DomainJoin 역할 생성

  1. 에서 IAM 콘솔을 엽니다 https://console.aws.amazon.com/iam/.

  2. 왼쪽 탐색 창의 액세스 관리에서 역할을 선택합니다.

  3. 역할(Roles) 페이지에서 역할 생성(Create role)을 선택합니다.

  4. 신뢰할 수 있는 엔티티 유형 선택 아래에서 AWS 서비스를 선택합니다.

  5. 사용 사례에서 을 선택하고 EC2다음을 선택합니다.

  6. Filter policies(필터 정책)의 경우 다음을 수행합니다.

    1. AmazonSSMManagedInstanceCore을 입력합니다. 그런 다음 목록에서 해당 항목의 확인란을 선택합니다.

    2. AmazonSSMDirectoryServiceAccess을 입력합니다. 그런 다음 목록에서 해당 항목의 확인란을 선택합니다.

    3. 이러한 정책을 추가한 후 역할 생성을 선택합니다.

      참고

      AmazonSSMDirectoryServiceAccess인스턴스를 Active Directory 관리자에 조인할 권한을 제공합니다 AWS Directory Service. AmazonSSMManagedInstanceCore사용하는 데 필요한 최소 권한을 제공합니다 AWS Systems Manager. 이러한 권한이 있는 역할을 생성하는 방법에 대한 자세한 내용과 역할에 할당할 수 있는 기타 권한 및 정책에 대한 자세한 내용은 사용 AWS Systems Manager 설명서의 Systems Manager에 필요한 인스턴스 권한 구성을 참조하십시오. IAM

  7. 새 역할의 이름 (예: 역할 이름) LinuxEC2DomainJoin 또는 원하는 다른 이름을 역할 이름 필드에 입력합니다.

  8. (선택 사항) 역할 설명에 설명을 입력합니다.

  9. (선택 사항) 3단계: 태그 추가에서 새 태그 추가를 선택하여 태그를 추가합니다. 태그 키-값 쌍은 이 역할에 대한 액세스를 구성, 추적 또는 제어하는 데 사용됩니다.

  10. 역할 생성을 선택합니다.

단계 2. 계정 간 리소스 액세스를 생성하여 비밀을 공유하세요. AWS Secrets Manager

다음 섹션은 EC2 Linux 인스턴스를 공유된 AWS 관리형 Microsoft AD와 원활하게 조인하기 위해 충족해야 하는 추가 요구 사항입니다. 이러한 요구 사항에는 리소스 정책을 만들고 이를 적절한 서비스 및 리소스에 연결하는 것이 포함됩니다.

계정의 사용자가 다른 계정의 AWS Secrets Manager 비밀에 액세스할 수 있도록 허용하려면 리소스 정책과 ID 정책 모두에서 액세스를 허용해야 합니다. 이러한 유형의 액세스를 계정 간 자원 액세스라고 합니다.

이러한 유형의 액세스는 Secrets Manager 암호와 동일한 계정의 ID에 대한 액세스 권한을 부여하는 것과는 다릅니다. 또한 암호화된 AWS Key Management Service(KMS) 키를 ID가 사용할 수 있도록 허용해야 합니다. 계정 간 액세스에 AWS 관리 키 (aws/secretsmanager) 를 사용할 수 없으므로 이 권한이 필요합니다. 대신 직접 만든 키로 비밀번호를 암호화한 다음 KMS 키 정책을 추가해야 합니다. 암호의 암호화 키를 변경하려면 암호 수정을 참조하십시오. AWS Secrets Manager

참고

사용하는 비밀번호에 따라 AWS Secrets Manager관련 수수료가 부과됩니다. 현재 기준의 전체적인 요금 목록은 AWS Secrets Manager 요금을 참조하세요. Secrets Manager에서 AWS 관리형 키 aws/secretsmanager 생성한 데이터를 사용하여 비밀을 무료로 암호화할 수 있습니다. 암호를 암호화하기 위한 KMS 키를 직접 만들면 현재 AWS KMS 요율로 AWS 요금이 부과됩니다. 자세한 내용은 AWS Key Management Service 요금을 참조하세요.

다음 단계를 통해 사용자가 EC2 Linux 인스턴스를 공유된 AWS 관리형 Microsoft AD에 원활하게 가입할 수 있도록 리소스 정책을 생성할 수 있습니다.

계정 1의 비밀에 리소스 정책을 연결합니다.

  1. 에서 Secrets Manager 콘솔을 엽니다 https://console.aws.amazon.com/secretsmanager/.

  2. 시크릿 목록에서, 중에 생성한 시크릿을 선택합니다사전 조건.

  3. 개요 탭 아래의 시크릿 세부정보 페이지에서 리소스 권한까지 아래로 스크롤합니다.

  4. 권한 편집을 선택합니다.

    1. 정책 필드에 다음 정책을 입력합니다. 다음 정책은 Linux in이 시크릿 EC2DomainJoin Account 2 in에 액세스하는 것을 허용합니다Account 1. ARN값을 1단계에서 생성한 LinuxEC2DomainJoin 역할의 ARN 값으로 바꾸십시오Account 2. 이 정책을 사용하려면 AWS Secrets Manager 비밀에 권한 정책 연결을 참조하십시오.

      {
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::Account2:role/LinuxEC2DomainJoin"
      },
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "*"
    }
  ]
}
계정 1의 키에 KMS 대한 키 정책에 설명을 추가합니다.

  1. 에서 Secrets Manager 콘솔을 엽니다 https://console.aws.amazon.com/secretsmanager/.

  2. 왼쪽 탐색 창에서 고객 관리 키를 선택합니다.

  3. 고객 관리 키 페이지에서 생성한 키를 선택합니다.

  4. 키 세부 정보 페이지에서 키 정책으로 이동한 다음 편집을 선택합니다.

  5. 다음 키 정책 ApplicationRole 설명에서는 KMS 키 입력을 Account 2 사용하여 암호를 Account 1 해독할 수 있습니다. Account 1 이 명령문을 사용하려면 키의 키 정책에 추가하세요. KMS 자세한 내용은 키 정책 변경을 참조하세요.

    {
{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::Account2:role/ApplicationRole"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey"
  ],
  "Resource": "*"
}
계정 2의 ID에 대한 ID 정책을 생성하십시오.

  1. 에서 IAM 콘솔을 엽니다 https://console.aws.amazon.com/iam/.

  2. 왼쪽 탐색 창의 액세스 관리에서 정책을 선택합니다.

  3. 정책 생성을 선택합니다. 정책 JSON편집기에서 선택합니다.

  4. 다음 정책은 함께 ApplicationRole 들어 Account 2 있는 암호화 키를 사용하여 암호 입력에 Account 1 액세스하고 암호 값을 해독할 수 있도록 허용합니다. Account 1 Secrets Manager 콘솔의 시크릿 세부 정보 페이지에서 시크릿에 ARN 대한 정보를 찾을 수 ARN 있습니다. 아니면 describe-secret를 호출하여 시크릿을 식별할 수도 있다. ARN 리소스를 보안 ARN 및 비밀의 리소스로 ARN 바꾸십시오. ARN Account 1 이 정책을 사용하려면 AWS Secrets Manager 비밀에 권한 정책 연결을 참조하십시오.

    {
{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "SecretARN"
    },
    {
      "Effect": "Allow",
      "Action": [
"kms:Decrypt",
"kms:Describekey"     
],
      "Resource": "arn:aws:kms:Region:Account1:key/Your_Encryption_Key"
    }
  ]
}

  5. 다음을 선택한 후 변경 내용 저장을 선택합니다.

  6. Account 2에서 생성한 역할을 찾아 선택합니다Attach a resource policy to the secret in Account 1.

  7. 권한 추가에서 정책 연결을 선택합니다.

  8. 검색 표시줄에서 Add a statement to the key policy for the KMS key in Account 1 생성한 정책을 찾은 다음 상자를 선택하여 정책을 역할에 추가합니다. 그런 다음 권한 추가를 선택합니다.

단계 3. Linux 인스턴스에 원활하게 가입하세요.

이제 다음 절차를 사용하여 EC2 Linux 인스턴스를 공유된 AWS 관리형 Microsoft AD에 원활하게 연결할 수 있습니다.

Linux 인스턴스를 원활하게 연결하려면

  1. 에서 Amazon EC2 콘솔에 AWS Management Console 로그인하고 엽니다 https://console.aws.amazon.com/ec2/.

  2. 탐색 표시줄의 지역 선택기에서 기존 디렉토리와 AWS 리전 동일한 디렉토리를 선택합니다.

  3. EC2대시보드의 시작 인스턴스 섹션에서 인스턴스 시작을 선택합니다.

  4. 인스턴스 시작 페이지의 이름 및 태그 섹션에서 Linux EC2 인스턴스에 사용할 이름을 입력합니다.

  5. (선택 사항) 추가 태그를 선택하여 하나 이상의 태그 키-값 쌍을 추가하여 이 EC2 인스턴스에 대한 액세스를 구성, 추적 또는 제어할 수 있습니다.

  6. 애플리케이션 및 OS 이미지 (Amazon 머신 이미지) 섹션에서 AMI 시작하려는 Linux를 선택합니다.

    참고

    사용자는 AWS Systems Manager (SSM에이전트) 버전 2.3.1644.0 이상이어야 합니다. AMI 인스턴스를 AMI 실행하여 설치된 SSM 에이전트 버전을 확인하려면 현재 설치된 에이전트 버전 가져오기를 참조하십시오. AMI SSM SSM에이전트를 업그레이드해야 하는 경우 Linux용 EC2 인스턴스에 SSM 에이전트 설치 및 구성을 참조하십시오.

    SSMLinux 인스턴스를 Active Directory 도메인에 가입시킬 때 aws:domainJoin 플러그인을 사용합니다. 플러그인은 Linux 인스턴스의 호스트 이름을 다음과 같은 형식으로 EC2AMAZ 변경합니다.XXXXXXX. 에 대한 aws:domainJoin 자세한 내용은 AWS Systems Manager 사용 설명서의 AWS Systems Manager 명령 문서 플러그인 참조를 참조하십시오.

  7. 인스턴스 유형 섹션의 인스턴스 유형 드롭다운 목록에서 사용하려는 인스턴스 유형을 선택합니다.

  8. 키 페어(로그인) 섹션에서 새 키 페어 생성을 선택하거나 기존 키 페어에서 선택할 수 있습니다. 새로운 키 페어를 생성하려면 새 키 페어 생성을 선택합니다. 키 페어의 이름을 입력하고 키 페어 유형프라이빗 키 파일 형식에 대한 옵션을 선택합니다. SSHOpen과 함께 사용할 수 있는 형식으로 개인 키를 저장하려면.pem을 선택합니다. TTYPu에서 사용할 수 있는 형식으로 개인 키를 저장하려면.ppk를 선택합니다. Create key pair(키 페어 생성)를 선택합니다. 브라우저에서 프라이빗 키 파일이 자동으로 다운로드됩니다. 안전한 장소에 프라이빗 키 파일을 저장합니다.

    중요

    이때가 사용자가 프라이빗 키 파일을 저장할 수 있는 유일한 기회입니다.

  9. 인스턴스 시작 페이지의 네트워크 설정 섹션에서 편집을 선택합니다. VPC- 필수 드롭다운 목록에서 디렉토리를 생성할 때 사용한 디렉토리를 선택합니다. VPC

  10. 서브넷 드롭다운 목록에서 퍼블릭 서브넷 중 하나를 선택합니다. VPC 선택한 서브넷에서는 인터넷 게이트웨이로 모든 외부 트래픽이 라우팅되어야 합니다. 그렇지 않으면 인스턴스를 원격으로 연결할 수 없게 됩니다.

    인터넷 게이트웨이에 연결하는 방법에 대한 자세한 내용은 Amazon VPC User Guide의 인터넷 게이트웨이를 사용한 인터넷 연결을 참조하십시오.

  11. Auto-assign Public IP(퍼블릭 IP 자동 할당)에서 Enable(활성화)을 선택합니다.

    퍼블릭 및 프라이빗 IP 주소 지정에 대한 자세한 내용은 Amazon EC2사용 설명서의 Amazon EC2 인스턴스 IP 주소 지정을 참조하십시오.

  12. 방화벽(보안 그룹) 설정의 경우 기본 설정을 사용하거나 필요에 맞게 변경할 수 있습니다.

  13. 스토리지 구성 설정의 경우 기본 설정을 사용하거나 필요에 맞게 변경할 수 있습니다.

  14. 고급 세부 정보 섹션을 선택하고 도메인 조인 디렉터리 드롭다운 목록에서 도메인을 선택합니다.

    참고

    도메인 조인 디렉터리를 선택하면 다음이 표시될 수 있습니다.

    도메인 조인 디렉터리를 선택할 때 오류 메시지가 표시됩니다. 기존 SSM 문서에 오류가 있습니다.

    이 오류는 EC2 시작 마법사가 예상치 못한 속성을 가진 기존 SSM 문서를 식별할 때 발생합니다. 다음 중 하나를 수행할 수 있습니다.

    • 이전에 SSM 문서를 편집했는데 속성이 예상된 경우 [닫기] 를 선택하고 변경 없이 EC2 인스턴스를 계속 시작하십시오.

    • 문서를 삭제하려면 여기에서 기존 SSM 문서 삭제 링크를 선택합니다. SSM 이렇게 하면 올바른 속성을 가진 SSM 문서를 만들 수 있습니다. EC2인스턴스를 시작하면 SSM 문서가 자동으로 생성됩니다.

  15. IAM인스턴스 프로필의 경우 사전 요구 사항 섹션 2단계: Linux IAM EC2DomainJoin 역할 생성에서 이전에 생성한 역할을 선택합니다.

  16. 인스턴스 시작을 선택합니다.

참고

SUSELinux에서 원활한 도메인 가입을 수행하는 경우 인증이 작동하려면 재부팅해야 합니다. Linux SUSE 터미널에서 재부팅하려면 sudo reboot 를 입력합니다.