As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Unindo perfeitamente uma instância Linux do Amazon EC2 a um Microsoft AD AWS gerenciado compartilhado
Neste procedimento, você associará diretamente uma instância do Amazon EC2 Linux a um AWS Managed Microsoft AD compartilhado. Para fazer isso, você criará uma política de leitura AWS Secrets Manager do IAM na função de instância do EC2 na conta em que deseja iniciar a instância do EC2 Linux. Ela será chamada de `Account 2` neste procedimento. Essa instância usará o AWS Managed Microsoft AD que está sendo compartilhado da outra conta, chamada de `Account 1`.
## Pré-requisitos
Antes de unir perfeitamente uma instância Linux do Amazon EC2 a um Microsoft AD AWS gerenciado compartilhado, você precisará concluir o seguinte:
+ Etapas de 1 a 3 do tutorial, [Tutorial: Compartilhando seu diretório AWS gerenciado do Microsoft AD para uma associação perfeita ao domínio EC2](ms_ad_tutorial_directory_sharing.md). Este tutorial explica como configurar sua rede e compartilhar seu Microsoft AD AWS gerenciado.
+ O procedimento descrito em [Unindo perfeitamente uma instância Linux do Amazon EC2 ao seu Microsoft AD Active AWS Directory gerenciado](seamlessly_join_linux_instance.md).
## Etapa 1. Crie uma EC2 DomainJoin função Linux na Conta 2
Nesta etapa, você usará o console do IAM para criar o perfil do IAM que será usado para associar a instância EC2 Linux ao domínio enquanto estiver autenticado na `Account 2`.
**Crie a EC2 DomainJoin função Linux**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação esquerdo, em **Gerenciamento de acesso**, escolha **Perfis**.
1. Na página **Perfis**, selecione **Criar perfil**.
1. Em **Select type of trusted entity (Selecionar o tipo de entidade confiável)**, escolha **AWS service (serviço)**.
1. Em **Caso de uso**, escolha **EC2** e **Próximo**
1. Em **Políticas de filtro**, faça o seguinte:
1. Insira `AmazonSSMManagedInstanceCore`. Em seguida, marque a caixa de seleção para esse item na lista.
1. Insira `AmazonSSMDirectoryServiceAccess`. Em seguida, marque a caixa de seleção para esse item na lista.
1. Depois de adicionar essas políticas, selecione **Criar perfil**.
**nota**
`AmazonSSMDirectoryServiceAccess`fornece as permissões para unir instâncias a um Active Directory gerenciado por Directory Service. `AmazonSSMManagedInstanceCore`fornece as permissões mínimas necessárias para uso AWS Systems Manager. Para obter mais informações sobre a criação de um perfil com essas permissões e sobre outras permissões e políticas que você pode atribuir ao perfil do IAM, consulte [Configurar permissões de instância obrigatórias para o Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html) no *Guia do usuário do AWS Systems Manager *.
1. Insira um nome para o novo perfil, como `LinuxEC2DomainJoin` ou outro nome que você preferir, no campo **Nome do perfil**.
1. *(Opcional)* Em **Descrição do perfil**, insira uma descrição.
1. *(Opcional)* Escolha **Adicionar nova tag** na **Etapa 3: Adicionar tags** para adicionar tags. Os pares de chave-valor de tag são usados para organizar, rastrear ou controlar o acesso a esse perfil.
1. Selecione **Criar perfil**.
## Etapa 2. Crie acesso a recursos entre contas para compartilhar AWS Secrets Manager segredos
A próxima seção contém requisitos adicionais que precisam ser atendidos para unir perfeitamente as instâncias do EC2 Linux a um AWS Microsoft AD gerenciado compartilhado. Esses requisitos incluem criar políticas de recursos e vinculá-las aos serviços e recursos apropriados.
Para permitir que os usuários de uma conta acessem AWS Secrets Manager segredos em outra conta, você deve permitir o acesso em uma política de recursos e em uma política de identidade. Esse tipo de acesso é chamado de [acesso a recursos entre contas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).
Esse tipo de acesso é diferente de conceder acesso a identidades na mesma conta que o segredo do Secrets Manager. Você também deve permitir que a identidade use a chave do [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) (KMS) com a qual o segredo está criptografado. Essa permissão é necessária porque você não pode usar a chave AWS gerenciada (`aws/secretsmanager`) para acesso entre contas. Em vez disso, você criptografará o segredo com uma chave do KMS que criar e, em seguida, anexará uma política de chave a ele. Para alterar a chave de criptografia de um segredo, consulte [Modificação de um segredo do AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_update-secret.html).
**nota**
Existem taxas associadas AWS Secrets Manager, dependendo de qual segredo você usa. Para obter a lista de preços atual completa, consulte [Definição de preço do AWS Secrets Manager](https://aws.amazon.com/secrets-manager/pricing/). Você pode usar o Chave gerenciada pela AWS `aws/secretsmanager` que o Secrets Manager cria para criptografar seus segredos gratuitamente. Se você criar suas próprias chaves KMS para criptografar seus segredos, AWS cobrará de acordo com a taxa atual do AWS KMS. Para obter mais informações, consulte [AWS Key Management Service Preço](https://aws.amazon.com/kms/pricing/).
As etapas a seguir permitem que você crie as políticas de recursos para permitir que os usuários unam perfeitamente uma instância do EC2 Linux a um AWS Microsoft AD gerenciado compartilhado.
**Anexar uma política de recursos ao segredo na Conta 1**
1. Abra o console do Secrets Manager em [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Na lista de segredos, escolha o seu **Segredo** que foi criado durante o [Pré-requisitos](#seamlessly_join_linux_to_shared_MAD_prereqs).
1. Na **página de detalhes do segredo**, na guia **Visão geral**, role para baixo até **Permissões de recursos**.
1. Selecione **Editar permissões**.
1. No campo da política, insira a política a seguir. A política a seguir permite que o **Linux EC2 DomainJoin** in acesse `Account 2` a entrada secreta`Account 1`. Substitua o valor do ARN pelo valor do ARN da sua `Account 2`, o perfil `LinuxEC2DomainJoin` que você criou na [Etapa 1](#seamlessly_join_linux_to_shared_MAD_step_1). Para usar essa política, consulte [Anexar uma política de permissões a um AWS Secrets Manager segredo](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "{{arn:aws:iam::123456789012:role/LinuxEC2DomainJoin}}"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "*"
}
]
}
```
------
**Adicionar uma instrução à política de chave para a chave do KMS na Conta 1**
1. Abra o console do Secrets Manager em [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. No painel de navegação à esquerda, selecione **Chaves gerenciadas pelo cliente**.
1. Na página **Chaves gerenciadas pelo cliente**, selecione a chave que você criou.
1. Na página **Detalhes da chave**, navegue até **Política de chave** e selecione **Editar**.
1. A instrução de política de chave a seguir permite que o `ApplicationRole` na `Account 2` use a chave do KMS na `Account 1` para descriptografar o segredo na `Account 1`. Para usar essa declaração, adicione-a à política de chaves para sua chave do KMS. Para obter mais informações, consulte [Alterar uma política de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html).
```
{
{
"Effect": "Allow",
"Principal": {
"AWS": "{{arn:aws:iam::Account2:role/ApplicationRole}}"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
}
```
**Crie uma política de identidade para a identidade na Conta 2**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação esquerdo, em **Gerenciamento de acesso**, escolha **Políticas**.
1. Selecione **Create Policy (Criar política)**. Escolha **JSON** no **Editor de políticas**.
1. A política a seguir permite que o `ApplicationRole` na `Account 2` acesse o segredo na `Account 1` e descriptografe o valor do segredo usando a chave de criptografia, que também está na `Account 1`. Você pode encontrar o ARN do seu segredo no console do Secrets Manager na página **Detalhes do segredo** em **ARN do segredo**. Como alternativa, você pode chamar [describe-secret](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/describe-secret.html) para identificar o ARN do segredo. Substitua o ARN do recurso pelo ARN do recurso no ARN do segredo e `Account 1`. Para usar essa política, consulte [Anexar uma política de permissões a um AWS Secrets Manager segredo](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:{{us-east-1}}:{{111122223333{{:secret:}}secretName-AbCdEf}}"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:Describekey"
],
"Resource": "arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/{{Your_Encryption_Key}}"
}
]
}
```
------
1. Selecione **Próximo** e, em seguida, **Salvar alterações**.
1. Encontre e selecione o perfil criado em `Account 2` em [Attach a resource policy to the secret in Account 1](#step1ResourcePolicy).
1. Em **Adicionar permissões**, selecione **Anexar políticas**.
1. Na barra de pesquisa, encontre a política criada em [Add a statement to the key policy for the KMS key in Account 1](#step2KeyPolicy) e marque a caixa para adicionar a política ao perfil. Em seguida selecione **Adicionar permissões**.
## Etapa 3. Associação direta de uma instância do Linux
Agora você pode usar o procedimento a seguir para unir perfeitamente sua instância do EC2 Linux ao seu AWS Microsoft AD gerenciado compartilhado.
**Para associar diretamente sua instância do Linux**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. No seletor de região na barra de navegação, escolha o mesmo Região da AWS que o diretório existente.
1. No **Painel do EC2**, na seção **Iniciar instância**, escolha **Iniciar instância**.
1. Na página **Iniciar uma instância**, na seção **Nome e tags**, insira o nome que você gostaria de usar na instância do EC2 para Linux.
1. *(Opcional)* Escolha **Adicionar tags extras** para adicionar um ou mais pares de chave-valor de tag para organizar, monitorar ou controlar o acesso a essa instância do EC2.
1. Na seção **Imagem da aplicação e do sistema operacional (imagem de máquina da Amazon)**, escolha uma AMI do Linux que você deseja iniciar.
**nota**
A AMI usada deve ter AWS Systems Manager (SSM Agent) versão 2.3.1644.0 ou superior. Para verificar a versão do SSM Agent instalada em sua AMI iniciando uma instância por essa AMI, consulte [Obter a versão do SSM Agent instalada](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-get-version.html). Se você precisar atualizar o SSM Agent, consulte [Instalar e configurar o SSM Agent em instâncias do EC2 para Linux](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-agent.html).
O SSM usa o plug-in `aws:domainJoin` ao associar uma instância do Linux a um domínio do Active Directory. O plug-in altera o nome do host das instâncias Linux para o formato EC2 AMAZ-. {{XXXXXXX}} Para obter mais informações sobre `aws:domainJoin`, consulte a [Referência de plug-ins de documentos de comando do AWS Systems Manager](https://docs.aws.amazon.com//systems-manager/latest/userguide/documents-command-ssm-plugin-reference.html#aws-domainJoin) no *Guia do usuário do AWS Systems Manager *.
1. Na seção **Tipo de instância**, escolha o tipo de instância que você gostaria de usar na lista suspensa **Tipo de instância**.
1. Na seção **Par de chaves: login**, é possível optar por criar um novo par de chaves ou escolher um par de chaves existente. Para criar um novo par de chaves, escolha **Criar par de chaves**. Insira um nome para o par de chaves e selecione uma opção para **Tipo de par de chaves** e **Formato do arquivo de chave privada**. Para salvar a chave privada em um formato que possa ser usado com o OpenSSH, escolha **.pem**. Para salvar a chave privada em um formato que possa ser usado com o PuTTY, escolha **.ppk**. Escolha **Criar par de chaves**. O arquivo de chave privada é baixado automaticamente pelo navegador. Salve o arquivo de chave privada em um lugar seguro.
**Importante**
Esta é a única chance de você salvar o arquivo de chave privada.
1. Na página **Iniciar uma instância**, na seção **Configurações de rede**, escolha **Editar**. Escolha a **VPC** na qual seu diretório foi criado na lista suspensa **VPC: *obrigatório***.
1. Escolha uma das sub-redes públicas em sua VPC na lista suspensa **Sub-rede**. A sub-rede escolhida deve ter todo o tráfego externo ser roteado para um gateway da Internet. Caso contrário, não será possível conectar-se à instância de maneira remota.
Para obter mais informações sobre como conectar a um gateway da Internet, consulte [Conectar à Internet usando um gateway da Internet](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html) no *Guia do usuário da Amazon VPC*.
1. Em **Atribuir IP público automaticamente**, escolha **Habilitar**.
Para obter mais informações sobre endereçamento IP público e privado, consulte [Endereçamento IP de instâncias do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html) no *Guia do usuário do Amazon EC2*.
1. Para configurações de **Firewall (grupos de segurança)**, é possível usar as configurações padrão ou fazer alterações para atender às suas necessidades.
1. Para opções de **Configurar armazenamento**, é possível usar as configurações padrão ou fazer alterações para atender às suas necessidades.
1. Selecione a seção **Detalhes avançados**, escolha seu domínio na lista suspensa **Diretório de associação ao domínio**.
**nota**
Depois de escolher o diretório de associação do domínio, você verá:
Esse erro ocorre se o assistente de inicialização do EC2 identificar um documento do SSM existente com propriedades inesperadas. Você pode executar uma das seguintes ações:
Se você editou anteriormente o documento do SSM e as propriedades são esperadas, escolha fechar e continue executando a instância do EC2 sem alterações.
Selecione o link Excluir o documento do SSM existente aqui para excluir o documento do SSM. Isso permitirá a criação de um documento do SSM com as propriedades corretas. O documento do SSM será criado automaticamente quando você iniciar a instância do EC2.
1. Para o **perfil da instância** do IAM, escolha a função do IAM que você criou anteriormente na seção de pré-requisitos **Etapa 2: Criar a** função Linux. EC2 DomainJoin
1. Escolha **Iniciar instância**.
**nota**
Se você estiver realizando uma associação direta a domínio com o SUSE Linux, uma reinicialização será necessária antes que as autenticações funcionem. Para reinicializar o SUSE via terminal Linux, digite **sudo reboot**.