Junte perfeitamente uma instância Amazon EC2 Linux a um Microsoft AD AWS gerenciado compartilhado - AWS Directory Service
Pré-requisitosEtapa 1. Crie uma IAM funçãoEtapa 2. Crie acesso a recursos entre contasEtapa 3. Junte-se perfeitamente à instância Linux

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Junte perfeitamente uma instância Amazon EC2 Linux a um Microsoft AD AWS gerenciado compartilhado

Neste procedimento, você unirá perfeitamente uma instância Amazon EC2 Linux a um Microsoft AD AWS gerenciado compartilhado. Para fazer isso, você criará uma política de AWS Secrets Manager IAM leitura na função da EC2 instância na conta em que deseja iniciar a instância EC2 Linux. Isso será referido Account 2 neste procedimento. Essa instância usará o Microsoft AD AWS gerenciado que está sendo compartilhado da outra conta, chamada deAccount 1.

Pré-requisitos

Antes de unir perfeitamente uma instância do Amazon EC2 Linux a um Microsoft AD AWS gerenciado compartilhado, você precisará concluir o seguinte:

Etapa 1. Crie uma EC2DomainJoin função Linux na Conta 2

Nesta etapa, você usará o IAM console para criar a IAM função que usará para ingressar no domínio da sua instância EC2 Linux enquanto estiver conectadoAccount 2.

Crie a EC2DomainJoin função Linux

  1. Abra o IAM console em https://console.aws.amazon.com/iam/.

  2. No painel de navegação esquerdo, em Gerenciamento de acesso, escolha Funções.

  3. Na página Roles (Funções), selecione Create role (Criar função).

  4. Em Select type of trusted entity (Selecionar o tipo de entidade confiável), escolha AWS service (serviço).

  5. Em Caso de uso, escolha e EC2, em seguida, escolha Avançar

  6. Em Políticas de filtro, faça o seguinte:

    1. Digite AmazonSSMManagedInstanceCore. Em seguida, marque a caixa de seleção desse item na lista.

    2. Digite AmazonSSMDirectoryServiceAccess. Em seguida, marque a caixa de seleção desse item na lista.

    3. Depois de adicionar essas políticas, selecione Criar função.

      nota

      AmazonSSMDirectoryServiceAccessfornece as permissões para unir instâncias a uma instância Active Directory gerenciada por AWS Directory Service. AmazonSSMManagedInstanceCorefornece as permissões mínimas necessárias para uso AWS Systems Manager. Para obter mais informações sobre a criação de uma função com essas permissões e sobre outras permissões e políticas que você pode atribuir à sua IAM função, consulte Configurar as permissões de instância necessárias para o Systems Manager no Guia do AWS Systems Manager Usuário.

  7. Insira um nome para sua nova função, como LinuxEC2DomainJoin ou outro nome de sua preferência no campo Nome da função.

  8. (Opcional) Em Descrição da função, insira uma descrição.

  9. (Opcional) Escolha Adicionar nova tag na Etapa 3: Adicionar tags para adicionar tags. Os pares de chave-valor de tag são usados para organizar, rastrear ou controlar o acesso a essa função.

  10. Selecione Criar função.

Etapa 2. Crie acesso a recursos entre contas para compartilhar AWS Secrets Manager segredos

A próxima seção contém requisitos adicionais que precisam ser atendidos para unir perfeitamente instâncias EC2 Linux a um Microsoft AD AWS gerenciado compartilhado. Esses requisitos incluem criar políticas de recursos e vinculá-las aos serviços e recursos apropriados.

Para permitir que os usuários de uma conta acessem AWS Secrets Manager segredos em outra conta, você deve permitir o acesso em uma política de recursos e em uma política de identidade. Esse tipo de acesso é chamado de acesso a recursos entre contas.

Esse tipo de acesso é diferente de conceder acesso a identidades na mesma conta que o segredo do Secrets Manager. Você também deve permitir que a identidade use a chave AWS Key Management Service(KMS) com a qual o segredo está criptografado. Essa permissão é necessária porque você não pode usar a chave AWS gerenciada (aws/secretsmanager) para acesso entre contas. Em vez disso, você criptografará seu segredo com uma KMS chave criada por você e, em seguida, anexará uma política de chaves a ela. Para alterar a chave de criptografia de um segredo, consulte Modificar um AWS Secrets Manager segredo.

nota

Existem taxas associadas AWS Secrets Manager, dependendo de qual segredo você usa. Para obter a lista de preços atual completa, consulte Definição de preço do AWS Secrets Manager. Você pode usar o Chave gerenciada pela AWS aws/secretsmanager que o Secrets Manager cria para criptografar seus segredos gratuitamente. Se você criar suas próprias KMS chaves para criptografar seus segredos, AWS cobrará a AWS KMS taxa atual. Para obter mais informações, consulte Preços do AWS Key Management Service.

As etapas a seguir permitem que você crie as políticas de recursos para permitir que os usuários unam perfeitamente uma instância EC2 Linux a um Microsoft AD AWS gerenciado compartilhado.

Anexe uma política de recursos ao segredo na Conta 1

  1. Abra o console do Secrets Manager em https://console.aws.amazon.com/secretsmanager/.

  2. Na lista de segredos, escolha o segredo que você criou durante Pré-requisitos o.

  3. Na página de detalhes do segredo, na guia Visão geral, role para baixo até Permissões de recursos.

  4. Selecione Editar permissões.

    1. No campo de política, insira a política a seguir. A política a seguir permite que o Linux EC2DomainJoin in acesse Account 2 a entrada secretaAccount 1. Substitua ARN o ARN valor pelo valor da sua Account 2 LinuxEC2DomainJoin função que você criou na Etapa 1. Para usar essa política, consulte Anexar uma política de permissões a um AWS Secrets Manager segredo.

      {
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::Account2:role/LinuxEC2DomainJoin"
      },
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "*"
    }
  ]
}
Adicione uma declaração à política de chaves para a KMS chave na Conta 1

  1. Abra o console do Secrets Manager em https://console.aws.amazon.com/secretsmanager/.

  2. No painel de navegação esquerdo, selecione Chaves gerenciadas pelo cliente.

  3. Na página Chaves gerenciadas pelo cliente, selecione a chave que você criou.

  4. Na página Detalhes da chave, navegue até Política de chaves e selecione Editar.

  5. A seguinte declaração de política chave permite ApplicationRole usar Account 2 a KMS chave para Account 1 decifrar a entrada secreta. Account 1 Para usar essa declaração, adicione-a à política de chaves da sua KMS chave. Para obter mais informações, consulte Alterar uma política de chaves.

    {
{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::Account2:role/ApplicationRole"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey"
  ],
  "Resource": "*"
}
Crie uma política de identidade para a identidade na Conta 2

  1. Abra o IAM console em https://console.aws.amazon.com/iam/.

  2. No painel de navegação esquerdo, em Gerenciamento de acesso, selecione Políticas.

  3. Selecione Create Policy (Criar política). Escolha JSONno editor de políticas.

  4. A política a seguir permite ApplicationRole Account 2 acessar o segredo Account 1 e descriptografar o valor secreto usando a chave de criptografia que também está dentro. Account 1 Você pode encontrar o ARN segredo no console do Secrets Manager, na página Detalhes secretos, em Segredo ARN. Como alternativa, você pode ligar para describe-secret para identificar os segredos. ARN Substitua o recurso ARN pelo recurso do segredo ARN Account 1 e. ARN Para usar essa política, consulte Anexar uma política de permissões a um AWS Secrets Manager segredo. 

    {
{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "SecretARN"
    },
    {
      "Effect": "Allow",
      "Action": [
"kms:Decrypt",
"kms:Describekey"     
],
      "Resource": "arn:aws:kms:Region:Account1:key/Your_Encryption_Key"
    }
  ]
}

  5. Selecione Avançar e, em seguida, selecione Salvar alterações.

  6. Encontre e selecione a função que você criou Account 2 emAttach a resource policy to the secret in Account 1.

  7. Em Adicionar permissões, selecione Anexar políticas.

  8. Na barra de pesquisa, encontre a política que você criou Add a statement to the key policy for the KMS key in Account 1 e marque a caixa para adicionar a política à função. Em seguida, selecione Adicionar permissões.

Etapa 3. Junte-se perfeitamente à sua instância Linux

Agora você pode usar o procedimento a seguir para unir perfeitamente sua instância EC2 Linux ao seu Microsoft AD AWS gerenciado compartilhado.

Para unir perfeitamente sua instância Linux

  1. Faça login no AWS Management Console e abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No seletor de região na barra de navegação, escolha o mesmo Região da AWS que o diretório existente.

  3. No EC2Painel, na seção Launch instance, escolha Launch instance.

  4. Na página Iniciar uma instância, na seção Nome e tags, insira o nome que você gostaria de usar para sua EC2 instância Linux.

  5. (Opcional) Escolha Adicionar tags adicionais para adicionar um ou mais pares de chave-valor de tag para organizar, rastrear ou controlar o acesso a essa EC2 instância.

  6. Na seção Imagem do aplicativo e do sistema operacional (Amazon Machine Image), escolha um Linux AMI que você deseja iniciar.

    nota

    O usuário AMI deve ter a versão 2.3.1644.0 ou superior AWS Systems Manager (SSMAgent). Para verificar a versão do SSM Agente instalada no seu AMI executando uma instância a partir delaAMI, consulte Obter a versão do SSM Agente atualmente instalada. Se você precisar atualizar o SSM Agente, consulte Instalação e configuração do SSM Agente em EC2 instâncias para Linux.

    SSMusa o aws:domainJoin plug-in ao unir uma instância Linux a um Active Directory domínio. O plug-in altera o nome do host das instâncias Linux para o formato EC2AMAZ -XXXXXXX. Para obter mais informações sobreaws:domainJoin, consulte a referência do plug-in do documento de AWS Systems Manager comando no Guia AWS Systems Manager do usuário.

  7. Na seção Tipo de instância, escolha o tipo de instância que você gostaria de usar na lista suspensa Tipo de instância.

  8. Na seção Par de chaves: login, é possível optar por criar um novo par de chaves ou escolher um par de chaves existente. Para criar um novo par de chaves, escolha Criar par de chaves. Insira um nome para o par de chaves e selecione uma opção para Tipo de par de chaves e Formato do arquivo de chave privada. Para salvar a chave privada em um formato que possa ser usado com AbrirSSH, escolha .pem. Para salvar a chave privada em um formato que possa ser usado com o PuTTY, escolha .ppk. Escolha Criar par de chaves. O arquivo de chave privada é baixado automaticamente pelo navegador. Salve o arquivo de chave privada em um lugar seguro.

    Importante

    Esta é a única chance de você salvar o arquivo de chave privada.

  9. Na página Iniciar uma instância, na seção Configurações de rede, escolha Editar. Escolha VPCaquele em que seu diretório foi criado na lista suspensa VPC- obrigatória.

  10. Escolha uma das sub-redes públicas na sua na lista VPC suspensa Sub-rede. A sub-rede escolhida deve ter todo o tráfego externo ser roteado para um gateway da Internet. Caso contrário, não será possível conectar-se à instância de maneira remota.

    Para obter mais informações sobre como se conectar a um gateway de internet, consulte Conectar à internet usando um gateway de internet no Guia VPC do usuário da Amazon.

  11. Em Atribuir IP público automaticamente, escolha Habilitar.

    Para obter mais informações sobre endereçamento IP público e privado, consulte Endereçamento IP de EC2 instâncias da Amazon no Guia EC2 do usuário da Amazon.

  12. Para configurações de Firewall (grupos de segurança), é possível usar as configurações padrão ou fazer alterações para atender às suas necessidades.

  13. Para opções de Configurar armazenamento, é possível usar as configurações padrão ou fazer alterações para atender às suas necessidades.

  14. Selecione a seção Detalhes avançados, escolha seu domínio na lista suspensa Diretório de associação ao domínio.

    nota

    Depois de escolher o diretório de ingresso no domínio, você poderá ver:

    Uma mensagem de erro ao selecionar seu diretório de ingresso no domínio. Há um erro com seu SSM documento existente.

    Esse erro ocorre se o assistente de EC2 inicialização identificar um SSM documento existente com propriedades inesperadas. Você pode executar uma das seguintes ações:

    • Se você editou o SSM documento anteriormente e as propriedades são esperadas, escolha fechar e continue com a execução da EC2 instância sem alterações.

    • Selecione o link excluir o SSM documento existente aqui para excluir o SSM documento. Isso permitirá a criação de um SSM documento com as propriedades corretas. O SSM documento será criado automaticamente quando você iniciar a EC2 instância.

  15. Por IAMexemplo, perfil, escolha a IAM função que você criou anteriormente na seção de pré-requisitos Etapa 2: Criar a função Linux. EC2DomainJoin

  16. Escolha Iniciar instância.

nota

Se você estiver realizando uma união de domínio perfeita com o SUSE Linux, é necessária uma reinicialização antes que as autenticações funcionem. Para reinicializar a SUSE partir do terminal Linux, digite sudo reboot.