Joignez facilement une instance Linux Amazon EC2 à votre annuaire AWS Microsoft AD Active Directory géré - AWS Directory Service
PrérequisRejoignez facilement votre instance Linux

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Joignez facilement une instance Linux Amazon EC2 à votre annuaire AWS Microsoft AD Active Directory géré

Cette procédure permet de joindre facilement une instance Linux Amazon EC2 à votre annuaire AWS Microsoft AD Active Directory géré. Si vous devez effectuer une jonction de domaine fluide entre plusieurs AWS comptes, vous pouvez éventuellement choisir d'activer le partage d'annuaires.

Les distributions et les versions d'instance Linux suivantes sont prises en charge :

  • AMI Amazon Linux 2018.03.0

  • Amazon Linux 2 (64 bits x86)

  • Red Hat Enterprise Linux 8 (HVM) (64 bits x86)

  • Ubuntu Server 18.04 LTS et Ubuntu Server 16.04 LTS

  • CentOS 7 x86-64

  • SUSE Linux Enterprise Server 15 SP1

Note

Les distributions antérieures à Ubuntu 14 et Red Hat Enterprise Linux 7 ne prennent pas en charge la fonctionnalité de jonction de domaine transparente.

Pour une démonstration du processus permettant de joindre facilement une instance Linux à votre annuaire Microsoft AD Active Directory AWS géré, regardez la YouTube vidéo suivante.

Prérequis

Avant de pouvoir configurer une jointure de domaine fluide à une instance Linux, vous devez suivre les procédures décrites dans cette section.

Sélectionnez votre compte de service de jonction transparente à un domaine

Vous pouvez facilement associer des ordinateurs Linux à votre domaine Microsoft AD Active Directory AWS géré. Pour ce faire, vous devez utiliser un compte utilisateur autorisé à créer un compte d'ordinateur pour joindre les machines au domaine. Bien que les administrateurs délégués AWS ou les membres d'autres groupes puissent disposer de privilèges suffisants pour joindre des ordinateurs au domaine, nous vous déconseillons ce type d'utilisation. À titre de bonne pratique, nous vous recommandons d'utiliser un compte de service disposant des privilèges minimaux nécessaires pour joindre les ordinateurs au domaine.

Pour déléguer un compte doté des privilèges minimaux nécessaires pour associer les ordinateurs au domaine, vous pouvez exécuter les PowerShell commandes suivantes. Vous devez exécuter ces commandes à partir d'un ordinateur Windows joint au domaine sur lequel le Installation des outils d'administration Active Directory pour Microsoft AD AWS géré est installé. En outre, vous devez utiliser un compte autorisé à modifier les autorisations sur l'unité d'organisation ou le conteneur de votre ordinateur. La PowerShell commande définit les autorisations permettant au compte de service de créer des objets informatiques dans le conteneur d'ordinateurs par défaut de votre domaine.

$AccountName = 'awsSeamlessDomain'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module 'ActiveDirectory'
$Domain = Get-ADDomain -ErrorAction Stop
$BaseDn = $Domain.DistinguishedName
$ComputersContainer = $Domain.ComputersContainer
$SchemaNamingContext = Get-ADRootDSE | Select-Object -ExpandProperty 'schemaNamingContext'
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $SchemaNamingContext -Filter { lDAPDisplayName -eq 'Computer' } -Properties 'schemaIDGUID').schemaIDGUID
# Getting Service account Information.
$AccountProperties = Get-ADUser -Identity $AccountName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
# Getting ACL settings for the Computers container.
$ObjectAcl = Get-ACL -Path "AD:\$ComputersContainer" 
# Setting ACL allowing the service account the ability to create child computer objects in the Computers container.
$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'CreateChild', 'Allow', $ServicePrincipalNameGUID, 'All'
$ObjectAcl.AddAccessRule($AddAccessRule)
Set-ACL -AclObject $ObjectAcl -Path "AD:\$ComputersContainer"

Si vous préférez utiliser une interface utilisateur graphique (GUI), vous pouvez utiliser le processus manuel décrit dans Délégation de privilèges à votre compte de service.

Créer les secrets pour stocker le compte de service de domaine

Vous pouvez l'utiliser AWS Secrets Manager pour stocker le compte de service de domaine.

Pour créer des secrets et stocker les informations du compte de service de domaine

  1. Connectez-vous à la AWS Secrets Manager console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/secretsmanager/.

  2. Choisissez Store a new secret (Stocker un nouveau secret).

  3. Sur la page Store a new secret (Stocker un nouveau secret), procédez comme suit :

    1. Sous Type de secret, sélectionnez Autre type de secret.

    2. Sous Paires clé/valeur, procédez comme suit :

      1. Dans la première case, saisissez awsSeamlessDomainUsername. Sur la même ligne, dans la case suivante, entrez le nom d'utilisateur de votre compte de service. Par exemple, si vous avez déjà utilisé la PowerShell commande, le nom du compte de service seraitawsSeamlessDomain.

        Note

        Vous devez saisir awsSeamlessDomainUsername exactement tel quel. Assurez-vous qu'il n'y a pas d'espaces au début ni à la fin. Sinon, la jonction de domaine échouera.

        Dans la AWS Secrets Manager console, sur la page Choisissez un type de secret. Un autre type de secret est sélectionné sous le type secret et awsSeamlessDomainUsername est saisi comme valeur clé.

      2. Choisissez Add row (Ajouter une ligne).

      3. Sur la nouvelle ligne, dans la première case, saisissez awsSeamlessDomainPassword. Sur la même ligne, dans la case suivante, saisissez le mot de passe de votre compte de service.

        Note

        Vous devez saisir awsSeamlessDomainPassword exactement tel quel. Assurez-vous qu'il n'y a pas d'espaces au début ni à la fin. Sinon, la jonction de domaine échouera.

      4. Sous Clé de chiffrement, laissez la valeur par défautaws/secretsmanager. AWS Secrets Manager chiffre toujours le secret lorsque vous choisissez cette option. Vous pouvez également choisir une clé que vous avez créée.

        Note

        Des frais sont associés AWS Secrets Manager, selon le secret que vous utilisez. Pour obtenir la liste de prix actuelle complète, consultez Tarification AWS Secrets Manager.

        Vous pouvez utiliser la clé AWS aws/secretsmanager gérée créée par Secrets Manager pour chiffrer vos secrets gratuitement. Si vous créez vos propres clés KMS pour chiffrer vos secrets, cela vous AWS sera facturé au AWS KMS tarif en vigueur. Pour plus d’informations, consultez Tarification d’AWS Key Management Service.

      5. Choisissez Suivant.

  4. Sous Nom secret, entrez un nom secret qui inclut votre identifiant de répertoire en utilisant le format suivant, en remplaçant d-xxxxxxxxx par votre identifiant de répertoire :

    aws/directory-services/d-xxxxxxxxx/seamless-domain-join

    Cela servira à récupérer des secrets dans l'application.

    Note

    Vous devez saisir aws/directory-services/d-xxxxxxxxx/seamless-domain-join exactement tel quel, mais remplacez d-xxxxxxxxxx par votre ID d'annuaire. Assurez-vous qu'il n'y a pas d'espaces au début ni à la fin. Sinon, la jonction de domaine échouera.

    Dans la AWS Secrets Manager console, sur la page secrète de configuration. Le nom du secret est saisi et surligné.

  5. Laissez le reste des paramètres définis par défaut, puis choisissez Next (Suivant).

  6. Sous Configure automatic rotation (Configurer la rotation automatique), choisissez Disable automatic rotation (Désactiver la rotation automatique), puis cliquez sur Next (Suivant).

    Vous pouvez activer la rotation pour ce secret après l'avoir enregistré.

  7. Vérifiez les paramètres, puis choisissez Store (Stocker) pour enregistrer vos modifications. La console Secrets Manager vous redirige à la liste des secrets de votre compte, où votre nouveau secret est désormais inclus.

  8. Choisissez le nom du secret que vous venez de créer dans la liste et prenez note de la valeur de l'ARN secret. Vous en aurez besoin pour la section suivante.

Activer la rotation pour le secret du compte de service de domaine

Nous vous recommandons d'alterner régulièrement les secrets afin d'améliorer votre niveau de sécurité.

Pour activer la rotation pour le secret du compte de service de domaine

Créez le rôle et la politique IAM requis

Suivez les étapes préalables suivantes pour créer une politique personnalisée qui autorise un accès en lecture seule à votre secret de jonction de domaine transparent Secrets Manager (que vous avez créé précédemment) et pour créer un nouveau rôle IAM DomainJoin LinuxEC2.

Créer la politique de lecture IAM Secrets Manager

Utilisez la console IAM pour créer une politique qui accorde un accès en lecture seule à votre secret Secrets Manager.

Pour créer la politique de lecture IAM Secrets Manager

  1. Connectez-vous au en AWS Management Console tant qu'utilisateur autorisé à créer des politiques IAM. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, Gestion des accès, sélectionnez Policies.

  3. Choisissez Créer une politique.

  4. Choisissez l'onglet JSON et copiez le texte du document de politique JSON suivant. Collez-le ensuite dans la zone de texte JSON.

    Note

    Assurez-vous de remplacer l'ARN de la région et de la ressource par la région et l'ARN réels du secret que vous avez créé précédemment.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:xxxxxxxxx:secret:aws/directory-services/d-xxxxxxxxx/seamless-domain-join"
            ]
        }
    ]
}

  5. Lorsque vous avez terminé, choisissez Next. Le programme de validation des politiques signale les éventuelles erreurs de syntaxe. Pour plus d'informations, veuillez consulter la section Validating IAM policies (français non garanti).

  6. Sur la page Review policy (Réviser la politique), saisissez un nom pour la politique, tel que SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read. Vérifiez la section Summary (Récapitulatif) pour voir les autorisations accordées par votre politique. Sélectionnez Create Policy (Créer une politique) pour enregistrer vos changements. La nouvelle politique s'affiche dans la liste des politiques gérées et est prête à être attachée à une identité.

Note

Nous vous recommandons de créer une politique par secret. Cela garantit que les instances n'ont accès qu'au secret approprié et minimise les répercussions si une instance est compromise.

Création du rôle LinuxEC2 DomainJoin

Utilisez la console IAM pour créer le rôle que vous utiliserez pour joindre un domaine à votre instance Linux EC2.

Pour créer le rôle LinuxEC2 DomainJoin

  1. Connectez-vous au en AWS Management Console tant qu'utilisateur autorisé à créer des politiques IAM. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, sous Gestion des accès, sélectionnez Rôles.

  3. Dans le panneau de contenu, sélectionnez Create role (Créer un rôle).

  4. Sous Select type of trusted entity (Sélectionner le type d'entité approuvée), choisissez service AWS .

  5. Sous Cas d'utilisation, choisissez EC2, puis Next.

    Dans la console IAM, sur la page de sélection de l'entité de confiance. AWS service et EC2 sont sélectionnés.

  6. Pour Filter policies (Filtrer les politiques), procédez comme suit :

    1. Saisissez AmazonSSMManagedInstanceCore. Cochez ensuite la case correspondant à cet élément de la liste.

    2. Saisissez AmazonSSMDirectoryServiceAccess. Cochez ensuite la case correspondant à cet élément de la liste.

    3. Saisissez SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read (ou le nom de la politique que vous avez créée dans la procédure précédente). Cochez ensuite la case correspondant à cet élément de la liste.

    4. Après avoir ajouté les trois politiques répertoriées ci-dessus, sélectionnez Créer un rôle.

    Note

    AmazonSSM DirectoryServiceAccess fournit les autorisations nécessaires pour joindre des instances à une instance Active Directory gérée par. AWS Directory Service AmazonSSM ManagedInstanceCore fournit les autorisations minimales nécessaires pour utiliser le AWS Systems Manager service. Pour plus d'informations sur la création d'un rôle doté de ces autorisations, ainsi que sur les autres autorisations et politiques que vous pouvez attribuer à votre rôle IAM, veuillez consulter la section Create an IAM instance profile for Systems Manager (français non garanti) dans le Guide de l'utilisateur AWS Systems Manager .

  7. Entrez un nom pour votre nouveau rôle, par exemple un autre nom que vous préférez dans le champ Nom du rôle. LinuxEC2DomainJoin

  8. (Facultatif) Pour Role description (Description du rôle), entrez une description.

  9. (Facultatif) Choisissez Ajouter une nouvelle balise à l'étape 3 : Ajouter des balises pour ajouter des balises. Les paires clé-valeur de balise sont utilisées pour organiser, suivre ou contrôler l'accès pour ce rôle.

  10. Sélectionnez Créer un rôle.

Rejoignez facilement votre instance Linux

Maintenant que vous avez configuré toutes les tâches prérequises, vous pouvez utiliser la procédure suivante pour rejoindre facilement votre instance EC2 Linux.

Pour rejoindre facilement votre instance Linux

  1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le sélecteur de région de la barre de navigation, choisissez le même répertoire Région AWS que le répertoire existant.

  3. Sur le EC2 Dashboard (tableau de bord EC2), dans la section Launch instance (Lancer une instance), choisissez Launch instance (Lancer une instance).

  4. Sur la page Lancer une instance, dans la section Nom et balises, entrez le nom que vous souhaitez utiliser pour votre instance Linux EC2.

  5. (Facultatif) Sélectionnez Add additional tags (Ajouter des balises supplémentaires) pour ajouter une ou plusieurs paires clé-valeur d'identification afin d'organiser, de suivre ou de contrôler l'accès pour cette instance EC2.

  6. Dans la section Image de l'application et du système d'exploitation (Amazon Machine Image), choisissez l'AMI Linux que vous souhaitez lancer.

    Note

    L'AMI utilisée doit avoir la version 2.3.1644.0 ou supérieure AWS Systems Manager (agent SSM). Pour vérifier la version de l'agent SSM installée dans votre AMI en lançant une instance à partir de cette AMI, veuillez consulter Getting the currently installed SSM Agent version (français non garanti). Si vous devez mettre à niveau l'agent SSM, veuillez consulter Installing and configuring SSM Agent on EC2 instances for Linux (français non garanti).

    SSM utilise le aws:domainJoin plugin pour joindre une instance Linux à un Active Directory domaine. Le plugin remplace le nom d'hôte des instances Linux par le format EC2AMAZ-XXXXXXX. Pour plus d'informations à ce sujetaws:domainJoin, consultez AWS Systems Manager la référence du plug-in du document de commande dans le guide de AWS Systems Manager l'utilisateur.

  7. Dans la section Type d'instance, choisissez le type d'instance que vous souhaitez utiliser dans la liste déroulante Type d'instance.

  8. Dans la section Paire de clés (connexion), vous pouvez choisir de créer une nouvelle paire de clés ou choisir une paire de clés existante. Pour créer une nouvelle paire de clés, choisissez Créer une paire de clés. Entrez le nom de la paire de clés et sélectionnez une option pour le type de paire de clés et le format de fichier de clé privée. Pour enregistrer la clé privée dans un format qui peut être utilisé avec OpenSSH, choisissez .pem. Pour enregistrer la clé privée dans un format qui peut être utilisé avec PuTTY, choisissez .ppk. Choisissez Créer une paire de clés. Le fichier de clé privée est automatiquement téléchargé dans votre navigateur. Enregistrez le fichier de clé privée en lieu sûr.

    Important

    C’est votre seule occasion d’enregistrer le fichier de clé privée.

  9. Sur la page Lancer une instance, dans la section Paramètres réseau, choisissez Modifier. Choisissez le VPC dans lequel votre répertoire a été créé dans la liste déroulante VPC obligatoire.

  10. Choisissez l'un des sous-réseaux publics de votre VPC dans la liste déroulante Sous-réseau. Tout le trafic externe du sous-réseau que vous choisissez doit être acheminé vers une passerelle Internet. Sinon, vous ne pourrez pas vous connecter à l'instance à distance.

    Pour obtenir plus d'informations sur la manière de se connecter à une passerelle Internet, veuillez consulter la section Connect to the internet using an internet gateway (français non garanti) dans le Guide de l'utilisateur Amazon VPC.

  11. Sous Auto-assign Public IP (Attribuer automatiquement l'adresse IP publique), choisissez Enable (Activer).

    Pour plus d'informations sur l'adressage IP public et privé, consultez la section Adressage IP des instances Amazon EC2 dans le guide de l'utilisateur Amazon EC2.

  12. Pour les paramètres Firewall (security groups) [Pare-feu (groupes de sécurité)], vous pouvez utiliser les paramètres par défaut ou les modifier selon vos besoins.

  13. Pour les paramètres Configure storage (Configurer le stockage), vous pouvez utiliser les paramètres par défaut ou les modifier selon vos besoins.

  14. Choisissez la section Advanced details (Détails avancés), puis sélectionnez votre domaine dans la liste déroulante Domain join directory (Annuaire de jonction de domaines).

    Note

    Après avoir choisi le répertoire de jointure du domaine, vous pouvez voir :

    Un message d'erreur s'affiche lors de la sélection de votre répertoire de jointure de domaines. Une erreur s'est produite dans votre document SSM existant.

    Cette erreur se produit si l'assistant de lancement EC2 identifie un document SSM existant présentant des propriétés inattendues. Vous pouvez effectuer l'une des actions suivantes :

    • Si vous avez déjà modifié le document SSM et que les propriétés sont attendues, choisissez Fermer et lancez l'instance EC2 sans aucune modification.

    • Cliquez sur le lien Supprimer le document SSM existant ici pour supprimer le document SSM. Cela permettra de créer un document SSM avec les propriétés correctes. Le document SSM sera automatiquement créé lorsque vous lancerez l'instance EC2.

  15. Pour le profil d'instance IAM, choisissez le rôle IAM que vous avez créé précédemment dans la section des prérequis Étape 2 : Création du rôle LinuxEC2. DomainJoin

  16. Choisissez Launch instance (Lancer une instance).

Note

Si vous effectuez une jonction de domaine transparente avec SUSE Linux, un redémarrage est nécessaire pour que les authentifications fonctionnent. Pour redémarrer SUSE depuis le terminal Linux, tapez sudo reboot.