本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
將 Amazon EC2 Linux 執行個體無縫加入共用 AWS 的 Managed Microsoft AD
在此程序中,您將無縫地將 Amazon EC2 Linux 執行個體加入共用的 AWS Managed Microsoft AD。若要這樣做,您將在想要啟動 EC2 Linux AWS Secrets Manager 執行個體的帳戶中,於 EC2 執行個體角色中建立 IAM 讀取政策。這在本Account 2
程序中會稱為 。此執行個體將使用 AWS Managed Microsoft AD,而該 AD 正在從稱為 的其他帳戶共用Account 1
。
先決條件
您必須先完成下列作業,才能將 Amazon EC2 Linux 執行個體無縫加入共用的 AWS Managed Microsoft AD:
-
教學課程中的步驟 1 到 3,教學課程:共用 AWS Managed Microsoft AD 目錄,實現無縫EC2網域加入。本教學課程會逐步引導您設定網路和共用 AWS Managed Microsoft AD。
-
中概述的程序將 Amazon EC2 Linux 執行個體無縫加入 AWS Managed Microsoft AD Active Directory。
步驟 1. 在帳戶 2 中建立 LinuxEC2DomainJoin 角色
在此步驟中,您將使用 IAM 主控台來建立 IAM 角色,用於登入 時加入 EC2 Linux 執行個體的網域Account 2
。
建立 LinuxEC2DomainJoin 角色
開啟位於 https://console.aws.amazon.com/iam/
的 IAM 主控台。 -
在左側導覽窗格的存取管理下,選擇角色。
-
在 Roles (角色) 頁面上,選擇 Create role (建立角色)。
-
在 Select type of trusted entity (選擇可信任執行個體類型) 下,選擇 AWS service ( 服務)。
-
在使用案例中,選擇 EC2,然後選擇下一步
-
對於篩選政策,請執行下列操作:
-
輸入
AmazonSSMManagedInstanceCore
。然後選取清單中該項目的核取方塊。 -
輸入
AmazonSSMDirectoryServiceAccess
。然後選取清單中該項目的核取方塊。 -
新增這些政策後,選取建立角色。
注意
AmazonSSMDirectoryServiceAccess
提供將執行個體加入 Active Directory受管 的許可 AWS Directory Service。AmazonSSMManagedInstanceCore
提供使用 所需的最低許可 AWS Systems Manager。如需使用這些許可建立角色的詳細資訊,以及您可以指派給 IAM 角色的其他許可和政策的相關資訊,請參閱AWS Systems Manager 《 使用者指南》中的設定 Systems Manager 所需的執行個體許可。
-
-
在角色名稱欄位中輸入新角色的名稱,例如
LinuxEC2DomainJoin
或您偏好的另一個名稱。 -
(選用) 針對角色描述,輸入描述。
-
(選用) 選擇步驟 3 下的新增標籤:新增標籤以新增標籤。 標籤鍵值對用於組織、追蹤或控制此角色的存取。
-
選擇建立角色。
步驟 2. 建立跨帳戶資源存取權以共用 AWS Secrets Manager 秘密
下一節是無縫加入 EC2 Linux 執行個體與共用 AWS Managed Microsoft AD 所需的其他需求。這些要求包括建立資源政策,並將其連接到適當的服務和資源。
若要允許 帳戶中的使用者存取另一個帳戶中的 AWS Secrets Manager 秘密,您必須同時允許 資源政策和身分政策的存取。這種類型的存取稱為跨帳戶資源存取。
這種存取類型與授予與 Secrets Manager 秘密相同帳戶中的身分存取權不同。您也必須允許身分使用 AWS Key Management Service(KMS) 金鑰,以加密秘密。此許可是必要的,因為您無法使用 AWS 受管金鑰 (aws/secretsmanager
) 進行跨帳戶存取。反之,您會使用您建立的 KMS 金鑰來加密秘密,然後將金鑰政策連接至該金鑰。若要變更秘密的加密金鑰,請參閱修改 AWS Secrets Manager 秘密。
注意
根據您使用的秘密 AWS Secrets Manager,會有相關的費用。如需目前完整定價清單,請參閱 AWS Secrets Manager 定價aws/secretsmanager
的 免費加密秘密。如果您建立自己的 KMS 金鑰來加密秘密, 會以目前的 AWS KMS 費率向您收取 AWS 費用。如需詳細資訊,請參閱 AWS Key Management Service 定價
下列步驟可讓您建立資源政策,讓使用者無縫地將 EC2 Linux 執行個體加入共用的 AWS Managed Microsoft AD。
將資源政策連接至帳戶 1 中的秘密
前往以下位置開啟機密管理員控制台:https://console.aws.amazon.com/secretsmanager/
。 -
從秘密清單中,選擇您在 期間建立的秘密先決條件。
-
在秘密的詳細資訊頁面的概觀索引標籤下,向下捲動至資源許可。
-
選取編輯許可。
-
在政策欄位中,輸入下列政策。下列政策允許 LinuxEC2DomainJoin 在 中
Account 2
存取 中的秘密Account 1
。將 ARN 值取代為您在步驟 1 中建立的Account 2
LinuxEC2DomainJoin
角色 ARN 值。若要使用此政策,請參閱將許可政策連接至 AWS Secrets Manager 秘密。{ { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "
arn:aws:iam::Account2:role/LinuxEC2DomainJoin
" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } ] }
-
將陳述式新增至帳戶 1 中 KMS 金鑰的金鑰政策
前往以下位置開啟機密管理員控制台:https://console.aws.amazon.com/secretsmanager/
。 -
在左側導覽窗格中,選取客戶受管金鑰。
-
在客戶受管金鑰頁面上,選取您建立的金鑰。
-
在金鑰詳細資訊頁面上,導覽至金鑰政策,然後選取編輯。
-
下列金鑰政策陳述式允許
ApplicationRole
中的Account 2
使用 中的 KMS 金鑰Account 1
來解密 中的秘密Account 1
。若要使用此陳述式,請將其新增至 KMS 金鑰的金鑰政策。如需詳細資訊,請參閱變更金鑰政策。{ { "Effect": "Allow", "Principal": { "AWS": "
arn:aws:iam::Account2:role/ApplicationRole
" }, "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*" }
為帳戶 2 中的身分建立身分政策
開啟位於 https://console.aws.amazon.com/iam/
的 IAM 主控台。 -
在左側導覽窗格中的存取管理下,選取政策。
-
選取 Create Policy (建立政策)。在政策編輯器中選擇 JSON。
-
下列政策允許
ApplicationRole
中的Account 2
存取秘密,Account 1
並使用 中的加密金鑰解密秘密值Account 1
。您可以在 Secret ARN 下秘密詳細資訊頁面的 Secrets Manager 主控台中找到秘密的 ARN。或者,您可以呼叫 describe-secret 來識別秘密的 ARN。將資源 ARN 取代為秘密 ARN 和 的資源 ARNAccount 1
。若要使用此政策,請參閱將許可政策連接至 AWS Secrets Manager 秘密。{ { "Version" : "2012-10-17", "Statement" : [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "
SecretARN
" }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Describekey" ], "Resource": "arn:aws:kms:Region:Account1:key/Your_Encryption_Key
" } ] } -
選取下一步,然後選取儲存變更。
-
尋找並選取您在
Account 2
中建立的角色Attach a resource policy to the secret in Account 1。 -
在新增許可下,選取連接政策。
-
在搜尋列中,尋找您在 中建立的政策Add a statement to the key policy for the KMS key in Account 1,然後選取方塊將政策新增至角色。然後選取新增許可。
步驟 3。無縫加入您的 Linux 執行個體
您現在可以使用下列程序,將 EC2 Linux 執行個體無縫加入共用的 AWS Managed Microsoft AD。
無縫加入您的 Linux 執行個體
-
登入 AWS Management Console ,並在 https://console.aws.amazon.com/ec2/
:// 開啟 Amazon EC2 主控台。 -
從導覽列中的區域選擇器中,選擇 AWS 區域 與現有目錄相同的 。
-
在 EC2 儀表板的啟動執行個體區段中,選擇啟動執行個體。
-
在啟動執行個體頁面的名稱和標籤區段下,輸入您要用於 Linux EC2 執行個體的名稱。
(選用) 選擇新增其他標籤以新增一或多個標籤鍵值對,以組織、追蹤或控制此 EC2 執行個體的存取。
-
在應用程式和作業系統映像 (Amazon Machine Image) 區段中,選擇您要啟動的 Linux AMI。
注意
使用的 AMI 必須有 AWS Systems Manager (SSM Agent) 2.3.1644.0 版或更新版本。若要透過從 AMI 啟動執行個體來檢查 AMI 中已安裝的 SSM 代理程式版本,請參閱取得目前安裝的 SSM 代理程式版本。如需升級 SSM 代理程式,請參閱在適用於 Linux 的 EC2 執行個體上安裝和設定 SSM 代理程式。
SSM 在將 Linux 執行個體加入Active Directory網域時使用
aws:domainJoin
外掛程式。外掛程式會將 Linux 執行個體的主機名稱變更為 EC2AMAZ-XXXXXXX
格式。如需 的詳細資訊aws:domainJoin
,請參閱AWS Systems Manager 《 使用者指南》中的AWS Systems Manager 命令文件外掛程式參考。 -
在執行個體類型區段中,從執行個體類型下拉式清單中選擇您要使用的執行個體類型。
-
在金鑰對 (登入) 區段中,您可以選擇建立新金鑰對或從現有金鑰對中進行選擇。若要建立新的金鑰對,請選擇建立新金鑰對。輸入金鑰對的名稱,然後選取金鑰對類型和私有金鑰檔案格式的選項。若要將私有金鑰儲存為可與 OpenSSH 搭配使用的格式,請選擇 .pem。若要將私有金鑰儲存為可與 PuTTY 搭配使用的格式,請選擇 .ppk。選擇建立金鑰對。您的瀏覽器會自動下載私有金鑰檔案。將私有金鑰檔案存放在安全的地方。
重要
這是您儲存私有金鑰檔案的唯一機會。
-
在啟動執行個體頁面上的網路設定區段下,選擇編輯。從 VPC – required 下拉式清單中選擇在其中建立目錄的 VPC。
-
從子網路下拉式清單中選擇 VPC 中的公有子網路之一。您所選取的子網路必須將所有外部流量路由到網際網路閘道。如果沒有,則將無法從遠端連線到執行個體。
如需有關連線至網際網路閘道的詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用網際網路閘道連線至網際網路一節。
-
在自動指派公有 IP 下,選擇啟用。
如需公有和私有 IP 定址的詳細資訊,請參閱《Amazon EC2 使用者指南》中的 Amazon EC2 執行個體 IP 定址。 Amazon EC2
-
對於防火牆 (安全群組)設定,您可以使用預設設定或根據需要進行變更。
-
對於設定儲存設定,您可以使用預設設定或根據需要進行變更。
-
選取進階詳細資訊區段,從域加入目錄下拉式清單中選取域。
注意
選擇網域聯結目錄後,您可能會看到:
如果 EC2 啟動精靈識別具有非預期屬性的現有 SSM 文件,則會發生此錯誤。您可以執行下列任一作業:
如果您先前已編輯 SSM 文件,且預期屬性,請選擇關閉,然後繼續啟動 EC2 執行個體,而不進行任何變更。
選取此處的刪除現有 SSM 文件連結,以刪除 SSM 文件。這將允許建立具有正確屬性的 SSM 文件。當您啟動 EC2 執行個體時,系統會自動建立 SSM 文件。
-
針對 IAM 執行個體設定檔,選擇您先前在先決條件區段 步驟 2:建立 LinuxEC2DomainJoin 角色中建立的 IAM 角色。
-
選擇啟動執行個體。
注意
如果您使用 SUSE Linux 執行無縫域加入,則需要重新啟動才能進行身分驗證。若要從 Linux 終端重新啟動 SUSE,請鍵入 sudo reboot。