Associe perfeitamente uma instância Amazon EC2 Linux ao seu Simple AD Active Directory - AWS Directory Service
Pré-requisitosAssociação direta de uma instância do Linux ao Simple AD Active Directory

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Associe perfeitamente uma instância Amazon EC2 Linux ao seu Simple AD Active Directory

Esse procedimento une perfeitamente uma instância do Amazon EC2 Linux ao seu Simple AD Active Directory.

As seguintes distribuições e versões de instância do Linux são suportadas:

  • Amazon Linux AMI 2018.03.0

  • Amazon Linux 2 (64 bits x86)

  • Red Hat Enterprise Linux 8 (HVM) (64 bits x86)

  • Ubuntu Server 18.04 LTS e Ubuntu Server 16.04 LTS

  • CentOS 7 x86-64

  • Servidor SUSE Linux Enterprise 15 SP1

nota

As distribuições anteriores ao Ubuntu 14 e ao Red Hat Enterprise Linux 7 e 8 não oferecem suporte ao recurso de junção de domínio perfeita.

Pré-requisitos

Antes de configurar a associação direta a domínios em uma instância do Linux, é necessário concluir os procedimentos nesta seção.

Selecionar sua conta de serviço para associação direta ao domínio

É possível associar diretamente computadores Linux ao seu domínio do Simple AD. Para fazer isso, é necessário criar uma conta de usuário com permissões de criação de conta de computador para associar os computadores ao domínio. Embora os membros do grupo Administradores de Domínio ou outros grupos possam ter privilégios suficientes para associar computadores ao domínio, não recomendamos fazer isso. Como prática recomendada, sugerimos usar uma conta de serviço que tenha os privilégios mínimos necessários para associar os computadores ao domínio.

Para obter informações sobre como processar e delegar permissões à sua conta de serviço para criar uma conta de computador, consulte Delegar privilégios para sua conta de serviço.

Criar os segredos para armazenar a conta de serviço do domínio

Você pode usar AWS Secrets Manager para armazenar a conta de serviço de domínio. Para obter mais informações, consulte Criar um AWS Secrets Manager segredo.

nota

Existem taxas associadas ao Secrets Manager. Para obter mais informações, consulte Preços no Guia AWS Secrets Manager do usuário.

Para criar segredos e armazenar as informações da conta de serviço do domínio

  1. Faça login no AWS Management Console e abra o AWS Secrets Manager console em https://console.aws.amazon.com/secretsmanager/.

  2. Selecione Armazenar um novo segredo.

  3. Na página Store a new secret (Armazenar um novo segredo), faça o seguinte:

    1. Em Tipo de segredo, escolha Outro tipo de segredos.

    2. Em Pares de chave/valor, faça o seguinte:

      1. Na primeira caixa, insira awsSeamlessDomainUsername. Na mesma linha, na próxima caixa, insira o nome de usuário da sua conta de serviço. Por exemplo, se você usou o PowerShell comando anteriormente, o nome da conta de serviço seriaawsSeamlessDomain.

        nota

        Você deve inserir awsSeamlessDomainUsername exatamente como está. Certifique-se de que não haja espaços iniciais ou finais. Caso contrário, a associação ao domínio falhará.

        No AWS Secrets Manager console, na página Escolha um tipo secreto. Outro tipo de segredo é selecionado em Tipo de segredo e awsSeamlessDomainUsername é inserido como o valor da chave.

      2. Escolha Adicionar linha.

      3. Na nova linha, na primeira caixa, insira awsSeamlessDomainPassword. Na mesma linha, na próxima caixa, insira a senha da sua conta de serviço.

        nota

        Você deve inserir awsSeamlessDomainPassword exatamente como está. Certifique-se de que não haja espaços iniciais ou finais. Caso contrário, a associação ao domínio falhará.

      4. Em Chave de criptografia, deixe o valor padrão aws/secretsmanager. O AWS Secrets Manager sempre criptografa o segredo quando você escolhe essa opção. Também é possível escolher uma chave criada por você.

      5. Escolha Próximo.

  4. Em Nome secreto, insira um nome secreto que inclua seu ID de diretório usando o seguinte formato, d-xxxxxxxxx substituindo-o por seu ID de diretório:

    aws/directory-services/d-xxxxxxxxx/seamless-domain-join

    Ele será usado para recuperar segredos no aplicativo.

    nota

    Você deve inserir aws/directory-services/d-xxxxxxxxx/seamless-domain-join exatamente como está, mas d-xxxxxxxxxx substituir pelo ID do diretório. Certifique-se de que não haja espaços iniciais ou finais. Caso contrário, a associação ao domínio falhará.

    No AWS Secrets Manager console, na página de configuração secreta. O nome do segredo é inserido e destacado.

  5. Mantenha todo o resto definido como padrão e, em seguida, escolha Próximo.

  6. Em Configurar rotação automática, mantenha a opção Desabilitar rotação automática selecionada e escolha Próximo.

    Você pode ativar a alternância desse segredo depois de armazená-lo.

  7. Revise as configurações e escolha Armazenar para salvar as alterações. O console do Secrets Manager leva você de volta para a lista de segredos da sua conta com o novo segredo agora incluído na lista.

  8. Escolha seu nome de segredo recém-criado na lista e anote o valor do ARN do segredo. Ele será necessário na próxima seção.

Ativar a alternância do segredo da conta de serviço de domínio

Recomendamos que você alterne regularmente os segredos para melhorar sua postura de segurança.

Para ativar a alternância do segredo da conta de serviço de domínio

Criar a política e o perfil do IAM necessários

Use as etapas de pré-requisito a seguir para criar uma política personalizada que permita acesso somente para leitura ao segredo de junção de domínio contínuo do Secrets Manager (que você criou anteriormente) e para criar uma nova função do Linux IAM. EC2 DomainJoin

Criar a política de leitura do IAM para o Secrets Manager

Você usa o console do IAM para criar uma política que concede acesso somente de leitura ao seu segredo do Secrets Manager.

Para criar a política de leitura do IAM para o Secrets Manager

  1. Faça login no AWS Management Console como um usuário que tem permissão para criar políticas do IAM. Em seguida, abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, em Gerenciamento de acesso, escolha Políticas.

  3. Escolha Criar política.

  4. Escolha a guia JSON e copie o texto do documento de política JSON a seguir. Em seguida, cole-o na caixa de texto JSON.

    nota

    Certifique-se de substituir o ARN da região e do recurso pela região e ARN reais do segredo que você criou anteriormente.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:xxxxxxxxx:secret:aws/directory-services/d-xxxxxxxxx/seamless-domain-join"
            ]
        }
    ]
}

  5. Quando terminar, escolha Próximo. O validador de política indica se há qualquer erro de sintaxe. Para obter mais informações, consulte Validar políticas do IAM.

  6. Na página Revisar política, insira um nome de política, como SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read. Revise a seção Resumo para ver as permissões que são concedidas pela política. Em seguida, selecione Criar política para salvar suas alterações. A nova política aparece na lista de políticas gerenciadas e está pronta para ser anexada a uma identidade.

nota

Recomendamos criar uma política por segredo. Isso garante que as instâncias tenham acesso somente ao segredo apropriado e minimiza o impacto em caso de comprometimento de uma instância.

Crie a EC2 DomainJoin função Linux

Você usa o console do IAM para criar a função que usará para ingressar no domínio da sua EC2 instância Linux.

Para criar a EC2 DomainJoin função Linux

  1. Faça login no AWS Management Console como um usuário que tem permissão para criar políticas do IAM. Em seguida, abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, em Gerenciamento de acesso, escolha Perfis.

  3. No painel de conteúdo, escolha Criar perfil.

  4. Em Select type of trusted entity (Selecionar o tipo de entidade confiável), escolha AWS service (serviço).

  5. Em Caso de uso, escolha e EC2, em seguida, escolha Avançar.

    No console do IAM, na página de seleção da entidade confiável. AWS serviço e EC2 são selecionados.

  6. Em Políticas de filtro, faça o seguinte:

    1. Insira AmazonSSMManagedInstanceCore. Em seguida, marque a caixa de seleção para esse item na lista.

    2. Insira AmazonSSMDirectoryServiceAccess. Em seguida, marque a caixa de seleção para esse item na lista.

    3. Insira SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read (ou o nome da política que você criou no procedimento anterior). Em seguida, marque a caixa de seleção para esse item na lista.

    4. Depois de adicionar as três políticas listadas acima, selecione Criar perfil.

    nota

    A Amazon SSMDirectory ServiceAccess fornece as permissões para unir instâncias a um Active Directory gerenciado por AWS Directory Service. A Amazon SSMManaged InstanceCore fornece as permissões mínimas necessárias para usar o AWS Systems Manager serviço. Para obter mais informações sobre a criação de um perfil com essas permissões e sobre outras permissões e políticas que você pode atribuir ao seu perfil do IAM, consulte Criar um perfil de instância do IAM para Systems Manager no Guia do usuário do AWS Systems Manager .

  7. Insira um nome para o novo perfil, como LinuxEC2DomainJoin ou outro nome que você preferir, no campo Nome do perfil.

  8. (Opcional ) Em Role description (Descrição da função), insira uma descrição.

  9. (Opcional) Escolha Adicionar nova tag na Etapa 3: adicionar tags para adicionar tags. Os pares de chave-valor de tag são usados para organizar, rastrear ou controlar o acesso a esse perfil.

  10. Selecione Criar perfil.

Associação direta de uma instância do Linux ao Simple AD Active Directory

Para associar diretamente sua instância do Linux

  1. Faça login no AWS Management Console e abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No seletor de região na barra de navegação, escolha o mesmo Região da AWS que o diretório existente.

  3. No EC2 Painel, na seção Launch instance, escolha Launch instance.

  4. Na página Iniciar uma instância, na seção Nome e tags, insira o nome que você gostaria de usar para sua EC2 instância Linux.

  5. (Opcional) Escolha Adicionar tags adicionais para adicionar um ou mais pares de chave-valor de tag para organizar, rastrear ou controlar o acesso a essa EC2 instância.

  6. Na seção Imagem da aplicação e do sistema operacional (imagem de máquina da Amazon), escolha uma AMI do Linux que você deseja iniciar.

    nota

    A AMI usada deve ter AWS Systems Manager (SSM Agent) versão 2.3.1644.0 ou superior. Para verificar a versão do SSM Agent instalada em sua AMI iniciando uma instância por essa AMI, consulte Obter a versão do SSM Agent instalada. Se você precisar atualizar o SSM Agent, consulte Instalação e configuração do SSM Agent em EC2 instâncias para Linux.

    O SSM usa o aws:domainJoin plug-in ao unir uma instância Linux a um Active Directory domínio. O plug-in altera o nome do host das instâncias Linux para o formato EC2 AMAZ-. XXXXXXX Para obter mais informações sobre aws:domainJoin, consulte a Referência de plug-ins de documentos de comando do AWS Systems Manager no Guia do usuário do AWS Systems Manager .

  7. Na seção Tipo de instância, escolha o tipo de instância que você gostaria de usar na lista suspensa Tipo de instância.

  8. Na seção Par de chaves: login, é possível optar por criar um novo par de chaves ou escolher um par de chaves existente. Para criar um novo par de chaves, escolha Criar par de chaves. Insira um nome para o par de chaves e selecione uma opção para Tipo de par de chaves e Formato do arquivo de chave privada. Para salvar a chave privada em um formato que possa ser usado com o OpenSSH, escolha .pem. Para salvar a chave privada em um formato que possa ser usado com o PuTTY, escolha .ppk. Escolha Criar par de chaves. O arquivo de chave privada é baixado automaticamente pelo navegador. Salve o arquivo de chave privada em um lugar seguro.

    Importante

    Esta é a única chance de você salvar o arquivo de chave privada.

  9. Na página Iniciar uma instância, na seção Configurações de rede, escolha Editar. Escolha a VPC na qual seu diretório foi criado na lista suspensa VPC: obrigatório.

  10. Escolha uma das sub-redes públicas em sua VPC na lista suspensa Sub-rede. A sub-rede escolhida deve ter todo o tráfego externo ser roteado para um gateway da Internet. Caso contrário, não será possível conectar-se à instância de maneira remota.

    Para obter mais informações sobre como conectar a um gateway da Internet, consulte Conectar à Internet usando um gateway da Internet no Guia do usuário da Amazon VPC.

  11. Em Atribuir IP público automaticamente, escolha Habilitar.

    Para obter mais informações sobre endereçamento IP público e privado, consulte Endereçamento IP de EC2 instâncias da Amazon no Guia EC2 do usuário da Amazon.

  12. Para configurações de Firewall (grupos de segurança), é possível usar as configurações padrão ou fazer alterações para atender às suas necessidades.

  13. Para opções de Configurar armazenamento, é possível usar as configurações padrão ou fazer alterações para atender às suas necessidades.

  14. Selecione a seção Detalhes avançados, escolha seu domínio na lista suspensa Diretório de associação ao domínio.

    nota

    Depois de escolher o diretório de associação do domínio, você verá:

    Uma mensagem de erro ao selecionar seu diretório de associação do domínio. Há um erro com seu documento do SSM existente.

    Esse erro ocorre se o assistente de EC2 inicialização identificar um documento SSM existente com propriedades inesperadas. Você pode executar uma das seguintes ações:

    • Se você editou anteriormente o documento SSM e as propriedades são esperadas, escolha fechar e continue com a execução da EC2 instância sem alterações.

    • Selecione o link Excluir o documento do SSM existente aqui para excluir o documento do SSM. Isso permitirá a criação de um documento do SSM com as propriedades corretas. O documento SSM será criado automaticamente quando você iniciar a EC2 instância.

  15. Para o perfil da instância do IAM, escolha a função do IAM que você criou anteriormente na seção de pré-requisitos Etapa 2: Criar a função Linux. EC2 DomainJoin

  16. Escolha Iniciar instância.

nota

Se você estiver realizando uma associação direta a domínio com o SUSE Linux, uma reinicialização será necessária antes que as autenticações funcionem. Para reinicializar o SUSE via terminal Linux, digite sudo reboot.