本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 在托管的 Microsoft AD 活动目录中启动目录 AWS 管理实例
此过程在中启动 Amazon EC2 目录管理Windows实例, AWS 管理控制台 使用 AWS Systems Manager 自动化来管理您的目录。您也可以通过直接在 AWS Systems Manager 自动化控制台中运行自动化 [AWS-创建DSManagement实例](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-create-ds-management-instance.html)来完成此操作。
有关更多信息,请参阅以下链接:
+ [简化活动目录域名加入方式 AWS Systems Manager](https://aws.amazon.com/blogs//modernizing-with-aws/simplifying-active-directory-domain-join-with-aws-systems-manager-2/)
+ [AWS Systems Manager 如何使用将正在运行的 EC2 Windows 实例加入我的 Directory Service 域?](https://repost.aws/knowledge-center/ec2-systems-manager-dx-domain)
## 先决条件
需要满足以下先决条件才能完成本教程:
+ 你需要进行设置 AWS Systems Manager。有关更多信息,请参阅[设置 AWS Systems Manager](https://docs.aws.amazon.com//systems-manager/latest/userguide/systems-manager-setting-up-console.html)。
+ 您需要一个允许 Systems Manager 和 AWS 托管 Microsoft AD 的 [IAM 实例配置文件角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html)。
+ 有关 Systems Manager 的更多信息,请参阅[配置 Systems Manager 所需的实例权限](https://docs.aws.amazon.com//systems-manager/latest/userguide/setup-instance-permissions.html)。
+ IAM 实例角色需要以下 AWS 托管策略,这样您的 EC2 目录管理Windows实例才能加入您的 AWS 托管 Microsoft AD:
+ **`AmazonSSMManagedInstanceCore`**
+ **`AmazonSSMDirectoryServiceAccess`**
+ 连接到您的 AWS 托管 Microsoft AD 的 VPC 需要允许访问公共 Directory Service 终端节点。有关更多信息,请参阅 [创建 AWS 托管 Microsoft AD 的先决条件](ms_ad_getting_started.md#ms_ad_getting_started_prereqs)。
+ 要从控制台启动目录管理 EC2 实例,您必须在账户中启用以下权限:
+ `ds:DescribeDirectories`
+ `ec2:AuthorizeSecurityGroupIngress`
+ `ec2:CreateSecurityGroup`
+ `ec2:CreateTags`
+ `ec2:DeleteSecurityGroup`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceStatus`
+ `ec2:DescribeKeyPairs`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeVpcs`
+ `ec2:RunInstances`
+ `ec2:TerminateInstances`
+ `iam:AddRoleToInstanceProfile`
+ `iam:AttachRolePolicy`
+ `iam:CreateInstanceProfile`
+ `iam:CreateRole`
+ `iam:DeleteInstanceProfile`
+ `iam:DeleteRole`
+ `iam:DetachRolePolicy`
+ `iam:GetInstanceProfile`
+ `iam:GetRole`
+ `iam:ListAttachedRolePolicies`
+ `iam:ListInstanceProfiles`
+ `iam:ListInstanceProfilesForRole`
+ `iam:PassRole`
+ `iam:RemoveRoleFromInstanceProfile`
+ `iam:TagInstanceProfile`
+ `iam:TagRole`
+ `ssm:CreateDocument`
+ `ssm:DeleteDocument`
+ `ssm:DescribeInstanceInformation`
+ `ssm:GetAutomationExecution`
+ `ssm:GetParameters`
+ `ssm:ListCommandInvocations`
+ `ssm:ListCommands`
+ `ssm:ListDocuments`
+ `ssm:SendCommand`
+ `ssm:StartAutomationExecution`
+ `ssm:GetDocument`
## 在中启动目录管理 EC2 实例 AWS 管理控制台
1. 登录 [Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)。
1. 在 **Active Directory** 下,选择**目录**。
1. 对于要在其中启动目录管理 EC2 实例的目录,选择其**目录 ID**。
1. 在目录页面的右上角,选择**操作**。
1. 在**操作**下拉列表中,选择**启动目录管理 EC2 实例**。
1. 在**启动目录管理 EC2 实例**页面的**输入参数**下,填写字段。
1. (可选)您可以为实例提供密钥对。从**密钥对名称:*可选***下拉列表中,选择密钥对。
1. (可选)选择 “**查看” AWS CLI 命令**以查看您在中用于运行此自动化的示例。 AWS CLI
1. 选择**提交**。
1. 您将返回到目录页面。屏幕顶部会显示一个绿色闪烁栏,表示您已成功开始启动。
## 查看目录管理 EC2 实例
如果您尚未为目录启动任何 EC2 实例,则会在**目录管理 EC2 实例**下显示短划线(**-**)。
1. 在 **Active Directory** 下,选择**目录**,然后选择要查看的目录。
1. 在**目录详细信息**下,在**目录管理 EC2 实例**下,选择要查看的一个或所有实例。
1. 当您选择实例时,将被路由到 **EC2 连接到实例**页面,将远程桌面连接到实例。