將 Amazon EC2 Linux 執行個體無縫加入您的 Simple AD Active Directory - AWS Directory Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將 Amazon EC2 Linux 執行個體無縫加入您的 Simple AD Active Directory

此程序會將 Amazon EC2 Linux 執行個體無縫加入您的 Simple AD Active Directory。

系統支援下列 Linux 執行個體分佈和版本:

  • Amazon Linux AMI 2018.03.0

  • Amazon Linux 2 (64 位元 x86)

  • Red Hat Enterprise Linux 8 (HVM) (64 位元 x86)

  • Ubuntu Server 18.04 LTS和 Ubuntu Server 16.04 LTS

  • CentOS 7 x86-64

  • SUSE Linux Enterprise Server 15 SP1

注意

Ubuntu 14 和 Red Hat Enterprise Linux 7 之前的發行版不支援無縫域加入功能。

必要條件

在設定無縫網域加入 Linux 執行個體之前,您需要完成本節中的程序。

選取無縫域加入服務帳戶

您可以將 Linux 電腦無縫加入 Simple AD 域。為此,您必須建立一個具有建立電腦帳戶許可的使用者帳戶,才能將電腦加入域。儘管 Domain Admins 或其他群組的成員可能有足夠的權限將電腦加入域,但我們不建議這樣做。我們建議您使用具有將電腦加入域所需的最低權限的服務帳戶,這才是最佳做法。

如需如何處理並向服務帳戶委派許可以建立電腦帳戶的資訊,請參閱 委派權限給您的服務帳戶

建立儲存域服務帳戶的機密

您可以使用 AWS Secrets Manager 來存放網域服務帳戶。

建立機密並儲存域服務帳戶資訊
  1. 登入 AWS Management Console 並在 開啟 AWS Secrets Manager 主控台https://console.aws.amazon.com/secretsmanager/

  2. 選擇 Store a new secret (存放新機密)。

  3. Store a new secret (儲存新機密) 頁面中,執行下列動作:

    1. 秘密類型 下,選擇其他類型的秘密

    2. 金鑰/值對 下,執行下列動作:

      1. 在第一個方塊中,輸入 awsSeamlessDomainUsername。在相同資料列的下一個方塊中,輸入服務帳戶的使用者名稱。例如,如果您先前使用 PowerShell 命令,則服務帳戶名稱將為 awsSeamlessDomain

        注意

        您必須輸入完全正確的 awsSeamlessDomainUsername。確認頭尾沒有任何空格。否則域加入將會失敗。

        在 AWS Secrets Manager 主控台中的選擇秘密類型頁面。其他類型的秘密是在秘密類型下選取awsSeamlessDomainUsername,並輸入 作為金鑰值。
      2. 選擇新增列

      3. 在新的一列的第一個方塊中,輸入 awsSeamlessDomainPassword。在同一列的下一個方塊中,輸入服務帳戶的密碼。

        注意

        您必須輸入完全正確的 awsSeamlessDomainPassword。確認頭尾沒有任何空格。否則域加入將會失敗。

      4. 加密金鑰下,保留預設值 aws/secretsmanager。 選擇此選項時, AWS Secrets Manager 一律會加密秘密。您也可以選擇您建立的金鑰。

        注意

        根據您使用的秘密 AWS Secrets Manager,會有與 相關的費用。如需目前完整定價清單,請參閱 AWS Secrets Manager 定價

        您可以使用 Secrets Manager 建立aws/secretsmanager的 AWS 受管金鑰免費加密您的秘密。如果您建立自己的KMS金鑰來加密秘密, 會以目前的 AWS KMS 費率 AWS 收費。如需詳細資訊,請參閱 AWS Key Management Service 定價

      5. 選擇 Next (下一步)

  4. 秘密名稱 下,使用下列格式輸入包含目錄 ID 的秘密名稱,取代 d-xxxxxxxxx 您的目錄 ID:

    aws/directory-services/d-xxxxxxxxx/seamless-domain-join

    這在應用程式中將用於擷取機密。

    注意

    您必須aws/directory-services/d-xxxxxxxxx/seamless-domain-join完全依照原樣輸入,但要取代 d-xxxxxxxxxx 您的目錄 ID。確認頭尾沒有任何空格。否則域加入將會失敗。

    在 AWS Secrets Manager 主控台的設定秘密頁面上。輸入秘密名稱並反白顯示。
  5. 將其他所有設定保留為預設值,然後選擇下一步

  6. 針對設定自動輪換,選擇停用自動輪換,然後選擇下一步

    您可以在儲存此秘密之後開啟輪換。

  7. 檢查設定,然後選擇儲存以儲存變更。Secrets Manager 主控台會傳回帳戶中的秘密清單,清單中包含現在的新秘密。

  8. 從清單中選擇新建立的秘密名稱,並記下秘密ARN值。您會在下一節中用到它。

開啟網域服務帳戶秘密的輪換

我們建議您定期輪換秘密,以改善您的安全狀態。

開啟網域服務帳戶秘密的輪換

建立必要的IAM政策和角色

使用下列先決條件步驟來建立自訂政策,允許對 Secrets Manager 無縫網域聯結秘密 (您先前建立的) 進行唯讀存取,並建立新的 LinuxEC2DomainJoin IAM角色。

建立 Secrets Manager IAM讀取政策

您可以使用IAM主控台建立政策,授予 Secrets Manager 機密的唯讀存取權。

若要建立 Secrets Manager IAM讀取政策
  1. 以具有建立IAM政策許可的使用者 AWS Management Console 身分登入 。然後在 開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,存取管理 ,選擇政策

  3. 選擇 建立政策

  4. 選擇 JSON索引標籤,並從下列JSON政策文件中複製文字。然後貼到JSON文字方塊中。

    注意

    請務必將區域和資源取代ARN為您先前建立ARN的秘密的實際區域和資源。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Resource": [ "arn:aws:secretsmanager:us-east-1:xxxxxxxxx:secret:aws/directory-services/d-xxxxxxxxx/seamless-domain-join" ] } ] }
  5. 完成時,選擇 Next (下一步)。政策驗證程式會回報任何語法錯誤。如需詳細資訊,請參閱驗證IAM政策

  6. 檢閱政策頁面上,輸入政策的名稱,例如 SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read。檢閱摘要區段來查看您的政策所授予的許可。然後選擇建立政策來儲存變更。新的政策會出現在受管政策清單中,並且已準備好連接至身分。

注意

我們建議您為每個機密建立一個政策。這樣做可以確保執行個體只能存取適當的機密,並在執行個體受到入侵時將影響降至最低。

建立 LinuxEC2DomainJoin 角色

您可以使用 IAM 主控台來建立用於網域加入 Linux EC2執行個體的角色。

若要建立 LinuxEC2DomainJoin 角色
  1. 以具有建立IAM政策許可的使用者 AWS Management Console 身分登入 。然後在 開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在導覽窗格中的存取管理 下,選擇角色

  3. 在內容窗格中,選擇建立角色

  4. Select type of trusted entity (選擇可信任執行個體類型) 下,選擇 AWS service ( 服務)。

  5. 使用案例 下,選擇 EC2,然後選擇下一步

    在IAM主控台的 中,選取信任的實體頁面 AWS 服務 和 EC2 。
  6. 對於篩選政策,請執行下列操作:

    1. 輸入 AmazonSSMManagedInstanceCore。然後選取清單中相應項目的核取方塊。

    2. 輸入 AmazonSSMDirectoryServiceAccess。然後選取清單中相應項目的核取方塊。

    3. 輸入 SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read 或您在上一個程序中建立的 IAM 政策名稱。然後選取清單中相應項目的核取方塊。

    4. 新增上述三個政策後,選取建立角色

    注意

    mazonSSMDirectoryServiceAccess 提供將執行個體加入 的許可 Active Directory 由 管理 AWS Directory Service。mazonSSMManagedInstanceCore 提供使用 AWS Systems Manager 服務所需的最低許可。如需使用這些許可建立角色的詳細資訊,以及您可以指派給IAM角色的其他許可和政策的相關資訊,請參閱 AWS Systems Manager 使用者指南 中的為 Systems Manager 建立IAM執行個體設定檔

  7. 在角色名稱欄位中輸入新角色的名稱,例如您偏好的LinuxEC2DomainJoin另一個名稱

  8. (選用) 針對 Role description (角色描述),輸入描述。

  9. (選用) 在步驟 3 下選擇新增標籤:新增標籤以新增標籤。 標籤鍵值對用於組織、追蹤或控制此角色的存取。

  10. 選擇建立角色

將 Linux 執行個體無縫加入您的 Simple AD Active Directory

若要無縫加入您的 Linux 執行個體
  1. 登入 AWS Management Console 並在 開啟 Amazon EC2主控台https://console.aws.amazon.com/ec2/

  2. 從導覽列中的區域選取器中,選擇 AWS 區域 與現有目錄相同的 。

  3. EC2儀表板 啟動執行個體區段中,選擇啟動執行個體

  4. 啟動執行個體頁面的名稱和標籤區段下,輸入您要用於 Linux EC2執行個體的名稱。

  5. (選用) 選擇新增其他標籤以新增一或多個標籤鍵值對,以組織、追蹤或控制此EC2執行個體的存取。

  6. 應用程式和作業系統映像 (Amazon Machine Image) 區段中,選擇AMI您要啟動的 Linux。

    注意

    AMI 使用的 必須具有 AWS Systems Manager (SSM Agent) 2.3.1644.0 版或更新版本。若要從 啟動執行個體AMI,檢查 中已安裝的SSM客服人員版本AMI,請參閱取得目前安裝的SSM客服人員版本 。如果您需要升級SSM代理程式,請參閱在 Linux 的EC2執行個體上安裝和設定SSM代理程式

    SSM 將 Linux 執行個體加入 時使用 aws:domainJoin 外掛程式 Active Directory 網域。外掛程式會將 Linux 執行個體的主機名稱變更為 格式 EC2AMAZ-XXXXXXX。 如需 的詳細資訊aws:domainJoin,請參閱 AWS Systems Manager 使用者指南 中的AWS Systems Manager 命令文件外掛程式參考

  7. 執行個體類型區段中,從執行個體類型下拉式清單中選擇您要使用的執行個體類型。

  8. 金鑰對 (登入) 區段中,您可以選擇建立新金鑰對或從現有金鑰對中進行選擇。若要建立新的金鑰對,請選擇建立新金鑰對。輸入金鑰對的名稱,然後選取金鑰對類型私有金鑰檔案格式的選項。若要以可與 Open 搭配使用的格式儲存私有金鑰SSH,請選擇 .pem 。若要以可與 Pu 搭配使用的格式儲存私有金鑰TTY,請選擇 .ppk 。選擇建立金鑰對。您的瀏覽器會自動下載私有金鑰檔案。將私有金鑰檔案存放在安全的地方。

    重要

    這是您儲存私有金鑰檔案的唯一機會。

  9. 啟動執行個體頁面上的網路設定區段下,選擇編輯。從 VPC 所需下拉式清單中選擇VPC在 中建立目錄的 。

  10. VPC 從子網路下拉式清單中選擇 中的其中一個公有子網路。您所選取的子網路必須將所有外部流量路由到網際網路閘道。如果沒有,則將無法從遠端連線到執行個體。

    如需如何連線至網際網路閘道的詳細資訊,請參閱 Amazon VPC使用者指南 中的使用網際網路閘道連線至網際網路

  11. 自動指派公有 IP 下,選擇啟用

    如需公有和私有 IP 定址的詳細資訊,請參閱 Amazon 使用者指南 中的 Amazon EC2執行個體 IP 定址 EC2

  12. 對於防火牆 (安全群組)設定,您可以使用預設設定或根據需要進行變更。

  13. 對於設定儲存設定,您可以使用預設設定或根據需要進行變更。

  14. 選取進階詳細資訊區段,從域加入目錄下拉式清單中選取域。

    注意

    選擇網域聯結目錄後,您可能會看到:

    選取網域聯結目錄時的錯誤訊息。您現有的SSM文件發生錯誤。

    如果EC2啟動精靈識別具有非預期屬性的現有SSM文件,則會發生此錯誤。您可以執行下列任一作業:

    • 如果您先前已編輯SSM文件且預期屬性,請選擇關閉並繼續以啟動EC2執行個體,而不會有任何變更。

    • 選取此處的刪除現有SSM文件連結以刪除SSM文件。這將允許建立具有正確屬性SSM的文件。啟動EC2執行個體時,系統會自動建立SSM文件。

  15. 針對IAM執行個體設定檔 ,選擇IAM您先前在先決條件區段 步驟 2:建立 LinuxEC2DomainJoin 角色 中建立的角色

  16. 選擇啟動執行個體

注意

如果您使用 SUSE Linux 執行無縫網域聯結,則需要重新啟動,才能進行身分驗證。若要SUSE從 Linux 終端機重新啟動,請輸入 sudo reboot