Étape 4 : testez de manière transparente l'action de jointure d'une instance EC2 pour Windows Server à un domaine - AWS Directory Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 4 : testez de manière transparente l'action de jointure d'une instance EC2 pour Windows Server à un domaine

Vous pouvez utiliser l'une des deux méthodes suivantes pour tester une jonction totalement transparente d'une instance EC2 à un domaine.

Effectuez ces étapes dans le compte consommateur de l'annuaire.

  1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans la barre de navigation, choisissez le même répertoire Région AWS que le répertoire existant.

  3. Sur le EC2 Dashboard (tableau de bord EC2), dans la section Launch instance (Lancer une instance), choisissez Launch instance (Lancer une instance).

  4. Sur la page Launch an instance (Lancer une instance), dans la section Name and Tags (Nom et balises), saisissez le nom que vous souhaitez utiliser pour votre instance Windows EC2.

  5. (Facultatif) Sélectionnez Add additional tags (Ajouter des balises supplémentaires) pour ajouter une ou plusieurs paires clé-valeur d'identification afin d'organiser, de suivre ou de contrôler l'accès pour cette instance EC2.

  6. Dans la section Application and OS Image (Amazon Machine Image) [Image de l'application et du système d'exploitation (Amazon Machine Image)], sélectionnez Windows dans le volet Quick Start (Démarrage rapide). Vous pouvez modifier Windows Amazon Machine Image (AMI) dans la liste déroulante Amazon Machine Image (AMI).

  7. Dans la section Type d'instance, choisissez le type d'instance que vous souhaitez utiliser dans la liste déroulante Type d'instance.

  8. Dans la section Paire de clés (connexion), vous pouvez choisir de créer une nouvelle paire de clés ou choisir une paire de clés existante.

    1. Pour créer une nouvelle paire de clés, choisissez Créer une paire de clés.

    2. Entrez le nom de la paire de clés et sélectionnez une option pour le type de paire de clés et le format de fichier de clé privée.

    3. Pour enregistrer la clé privée dans un format qui peut être utilisé avec OpenSSH, choisissez .pem. Pour enregistrer la clé privée dans un format qui peut être utilisé avec PuTTY, choisissez .ppk.

    4. Choisissez Créer une paire de clés.

    5. Le fichier de clé privée est automatiquement téléchargé dans votre navigateur. Enregistrez le fichier de clé privée en lieu sûr.

      Important

      C’est votre seule occasion d’enregistrer le fichier de clé privée.

  9. Sur la page Lancer une instance, dans la section Paramètres réseau, choisissez Modifier. Choisissez le VPC dans lequel votre répertoire a été créé dans la liste déroulante VPC obligatoire.

  10. Choisissez l'un des sous-réseaux publics de votre VPC dans la liste déroulante Sous-réseau. Tout le trafic externe du sous-réseau que vous choisissez doit être acheminé vers une passerelle Internet. Sinon, vous ne pourrez pas vous connecter à l'instance à distance.

    Pour obtenir plus d'informations sur la manière de se connecter à une passerelle Internet, veuillez consulter la section Connect to the internet using an internet gateway (français non garanti) dans le Guide de l'utilisateur Amazon VPC.

  11. Sous Auto-assign Public IP (Attribuer automatiquement l'adresse IP publique), choisissez Enable (Activer).

    Pour plus d'informations sur les adresses IP publiques et privées, veuillez consulter la section Amazon EC2 instance IP addressing (français non garanti) dans le Guide de l'utilisateur Amazon EC2 pour les instances Windows.

  12. Pour les paramètres Firewall (security groups) [Pare-feu (groupes de sécurité)], vous pouvez utiliser les paramètres par défaut ou les modifier selon vos besoins.

  13. Pour les paramètres Configure storage (Configurer le stockage), vous pouvez utiliser les paramètres par défaut ou les modifier selon vos besoins.

  14. Choisissez la section Advanced details (Détails avancés), puis sélectionnez votre domaine dans la liste déroulante Domain join directory (Annuaire de jonction de domaines).

    Note

    Après avoir choisi le répertoire de jointure du domaine, vous pouvez voir :

    Un message d'erreur s'affiche lors de la sélection de votre répertoire de jointure de domaines. Une erreur s'est produite dans votre document SSM existant.

    Cette erreur se produit si l'assistant de lancement EC2 identifie un document SSM existant présentant des propriétés inattendues. Vous pouvez effectuer l'une des actions suivantes :

    • Si vous avez déjà modifié le document SSM et que les propriétés sont attendues, choisissez Fermer et lancez l'instance EC2 sans aucune modification.

    • Cliquez sur le lien Supprimer le document SSM existant ici pour supprimer le document SSM. Cela permettra de créer un document SSM avec les propriétés correctes. Le document SSM sera automatiquement créé lorsque vous lancerez l'instance EC2.

  15. Pour l'IAM instance profile (profil d'instance IAM), vous pouvez sélectionner un profil d'instance IAM existant ou en créer un nouveau. Sélectionnez un profil d'instance IAM DirectoryServiceAccess auquel sont associées les politiques AWS gérées AmazonSSM ManagedInstanceCore et AmazonSSM dans la liste déroulante des profils d'instance IAM. Pour en créer un nouveau, choisissez Créer un nouveau lien de profil IAM, puis procédez comme suit :

    1. Sélectionnez Créer un rôle.

    2. Sous Select trusted entity (Sélectionner une entité approuvée), choisissez service AWS .

    3. Sous Use case (Cas d'utilisation), choisissez EC2.

    4. Sous Ajouter des autorisations, dans la liste des politiques, sélectionnez les politiques AmazonSSM ManagedInstanceCore et DirectoryServiceAccessAmazonSSM. Pour filtrer la liste, tapez SSM dans la zone de recherche. Choisissez Suivant.

      Note

      AmazonSSM DirectoryServiceAccess fournit les autorisations nécessaires pour joindre des instances à une instance Active Directory gérée par. AWS Directory ServiceAmazonSSM ManagedInstanceCore fournit les autorisations minimales nécessaires pour utiliser le AWS Systems Manager service. Pour plus d'informations sur la création d'un rôle doté de ces autorisations, ainsi que sur les autres autorisations et politiques que vous pouvez attribuer à votre rôle IAM, veuillez consulter la section Create an IAM instance profile for Systems Manager (français non garanti) dans le Guide de l'utilisateur AWS Systems Manager .

    5. Sur la page Name, review, and create (Nommer, vérifier et créer), saisissez un Role name (Nom du rôle). Vous aurez besoin de ce nom de rôle pour l'attacher à l'instance EC2.

    6. (Facultatif) Vous pouvez fournir une description du profil d'instance IAM dans le champ Description.

    7. Sélectionnez Créer un rôle.

    8. Revenez à la page Launch an instance (Lancer une instance) et choisissez l'icône d'actualisation à côté du profil d'instance IAM. Votre nouveau profil d'instance IAM doit être visible dans la liste déroulante des IAM instance profile (profil d'instance IAM). Choisissez le nouveau profil et laissez le reste de paramètres avec leurs valeurs par défaut.

  16. Choisissez Launch instance (Lancer une instance).

Effectuez ces étapes dans le compte consommateur de l'annuaire. Pour effectuer cette procédure, vous aurez besoin de certaines informations sur le compte du propriétaire de l'annuaire, telles que l'ID de l'annuaire, le nom de l'annuaire et les adresses IP DNS.

Prérequis

  • Configuration AWS Systems Manager.

  • Les instances auxquelles vous souhaitez rejoindre le domaine Microsoft Active Directory AWS géré doivent être associées à un rôle IAM contenant les politiques gérées par AmazonSSM ManagedInstanceCore et DirectoryServiceAccessAmazonSSM.

    • Pour plus d'informations sur ces stratégies gérées et sur les autres stratégies que vous pouvez attacher à un profil d'instance pour Systems Manager consultez Création d'un profil d'instance IAM pour Systems Manager dans le Guide de l'utilisateur AWS Systems Manager . Pour plus d'informations sur les stratégies gérées, veuillez consulter AWS Managed policies (français non garanti) dans le Guide de l'utilisateur IAM.

Pour plus d'informations sur l'utilisation de Systems Manager pour joindre des instances EC2 à un domaine Microsoft Active Directory AWS géré, voir Comment associer une instance EC2 Windows en cours d'exécution à mon domaine AWS Directory Service ? AWS Systems Manager .

  1. Ouvrez la AWS Systems Manager console à l'adressehttps://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sous Gestion des nœuds, choisissez Exécuter la commande.

  3. Sélectionnez Run Command (Exécuter la commande).

  4. Sur la page Exécuter la commande, recherchez AWS-JoinDirectoryServiceDomain. Lorsqu'elle s'affiche dans les résultats de recherche, sélectionnez l'option AWS-JoinDirectoryServiceDomain.

  5. Faites défiler jusqu'à la section Paramètres de la commande. Vous devez fournir les paramètres suivants :

    Note

    Vous pouvez localiser l'ID du répertoire, le nom du répertoire et les adresses IP DNS en revenant à la AWS Directory Service console, en sélectionnant Répertoires partagés avec moi, puis en sélectionnant votre répertoire. L'ID de votre annuaire se trouve dans la section Détails du répertoire partagé. Vous pouvez trouver les valeurs du nom du répertoire et des adresses IP DNS dans la section Détails de l'annuaire propriétaire.

    • Pour ID de répertoire, entrez le nom du répertoire Microsoft Active Directory AWS géré.

    • Pour Nom de l'annuaire, entrez le nom de l'annuaire AWS Managed Microsoft Active Directory (pour le compte du propriétaire de l'annuaire).

    • Pour les adresses IP DNS, entrez les adresses IP des serveurs DNS dans le répertoire Microsoft Active Directory AWS géré (pour le compte du propriétaire de l'annuaire).

  6. Pour Cibles, choisissez Choisir les instances manuellement, puis sélectionnez les instances que vous souhaitez joindre au domaine.

  7. Pour le reste du formulaire, laissez les valeurs par défaut, faites défiler la page, puis choisissez Exécuter.

  8. Le statut de la commande passe de En attente à Réussi une fois que les instances ont joint le domaine avec succès. Vous pouvez afficher le résultat de la commande en sélectionnant l'ID d'instance de l'instance qui a joint le domaine et Afficher le résultat.

Après avoir terminé l'une ou l'autre de ces étapes, vous devriez désormais être en mesure de joindre votre instance EC2 au domaine. Une fois cela fait, vous pouvez vous connecter à votre instance à l'aide d'un client RDP (Remote Desktop Protocol) avec les informations d'identification de votre compte utilisateur Microsoft AD AWS géré.