Bergabunglah dengan instans Amazon EC2 Linux dengan mulus ke Microsoft AD yang AWS Dikelola dengan AD Connector

Prosedur ini menggabungkan instans Amazon EC2 Linux dengan mulus ke direktori AD Microsoft AWS Terkelola Anda.

Distribusi instans Linux dan versi berikut ini didukung:

• Amazon Linux AMI 2018.03.0

• Amazon Linux 2 (64-bit x86)

• Red Hat Enterprise Linux 8 (HVM) (64-bit x86)

• Ubuntu Server 18.04 LTS & Ubuntu Server 16.04 LTS

• CentOS 7 x86-64

• SUSE Linux Enterprise Server 15 SP1

catatan

Distribusi sebelum Ubuntu 14 dan Red Hat Enterprise Linux 7 tidak mendukung fitur penggabungan domain mulus.

Prasyarat

Sebelum Anda dapat mengatur gabungan domain tanpa batas ke instans Linux EC2, Anda harus menyelesaikan prosedur di bagian ini.

Pilih akun layanan penggabungan domain mulus Anda

Anda dapat menggabungkan komputer Linux dengan mulus ke Active Directory domain lokal Anda melalui AD Connector. Untuk melakukannya, Anda harus membuat akun pengguna dengan membuat izin akun komputer untuk menggabungkan komputer ke domain. Anda dapat menggunakan akun layanan AD Connector jika Anda mau. Atau Anda dapat menggunakan akun lain yang memiliki hak istimewa yang memadai untuk menggabungkan komputer ke domain. Meskipun anggota Admin Domain atau grup lain mungkin memiliki hak istimewa yang memadai untuk menggabungkan komputer ke domain, kami tidak menyarankan untuk menggunakan ini. Sebagai praktik terbaik, kami rekomendasikan Anda menggunakan akun layanan yang memiliki hak istimewa minimum yang diperlukan untuk menggabungkan komputer ke domain.

Untuk mendelegasikan akun dengan hak istimewa minimum yang diperlukan untuk bergabung dengan komputer ke domain, Anda dapat menjalankan perintah berikut PowerShell . Anda harus menjalankan perintah ini dari Windows komputer yang bergabung dengan domain dengan yang diinstal. Instal Alat Administrasi Direktori Aktif untuk Microsoft AD yang AWS Dikelola Selain itu, Anda harus menggunakan akun yang memiliki izin untuk mengubah izin di OU komputer atau kontainer Anda. PowerShell Perintah menetapkan izin yang memungkinkan akun layanan untuk membuat objek komputer dalam wadah komputer default domain Anda. Jika Anda lebih suka menggunakan antarmuka pengguna grafis (GUI) Anda dapat menggunakan proses manual yang dijelaskan di Mendelegasikan hak istimewa ke akun layanan Anda.

$AccountName = 'awsSeamlessDomain'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module 'ActiveDirectory'
$Domain = Get-ADDomain -ErrorAction Stop
$BaseDn = $Domain.DistinguishedName
$ComputersContainer = $Domain.ComputersContainer
$SchemaNamingContext = Get-ADRootDSE | Select-Object -ExpandProperty 'schemaNamingContext'
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $SchemaNamingContext -Filter { lDAPDisplayName -eq 'Computer' } -Properties 'schemaIDGUID').schemaIDGUID
# Getting Service account Information.
$AccountProperties = Get-ADUser -Identity $AccountName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
# Getting ACL settings for the Computers container.
$ObjectAcl = Get-ACL -Path "AD:\$ComputersContainer" 
# Setting ACL allowing the service account the ability to create child computer objects in the Computers container.
$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'CreateChild', 'Allow', $ServicePrincipalNameGUID, 'All'
$ObjectAcl.AddAccessRule($AddAccessRule)
Set-ACL -AclObject $ObjectAcl -Path "AD:\$ComputersContainer"

Jika Anda lebih suka menggunakan antarmuka pengguna grafis (GUI) Anda dapat menggunakan proses manual yang dijelaskan di Mendelegasikan hak istimewa ke akun layanan Anda.

Membuat rahasia untuk menyimpan akun layanan domain

Anda dapat menggunakan AWS Secrets Manager untuk menyimpan akun layanan domain.

Untuk Membuat rahasia dan menyimpan informasi akun layanan domain

1. Masuk ke AWS Management Console dan buka AWS Secrets Manager konsol di https://console.aws.amazon.com/secretsmanager/.

2. Pilih Simpan rahasia baru.

3. Pada halaman Simpan rahasia baru, lakukan hal berikut:

   1. Di bawah Tipe rahasia, pilih Jenis rahasia lainnya.

   2. Di bawah pasangan kunci/nilai, lakukan hal berikut:

      1. Dalam kotak pertama, masukkan awsSeamlessDomainUsername. Pada baris yang sama, di kotak berikutnya, masukkan nama pengguna untuk akun layanan Anda. Misalnya, jika Anda menggunakan PowerShell perintah sebelumnya, nama akun layanan akan menjadiawsSeamlessDomain.

         catatan

         Anda harus memasukkan awsSeamlessDomainUsername persis seperti itu. Pastikan tidak ada spasi awal atau akhir. Jika tidak maka penggabungan domain akan gagal.

         

      2. Pilih Tambahkan baris.

      3. Pada baris baru, di kotak pertama, masukkan awsSeamlessDomainPassword. Pada baris yang sama, di kotak berikutnya, masukkan kata sandi untuk akun layanan Anda.

         catatan

         Anda harus memasukkan awsSeamlessDomainPassword persis seperti itu. Pastikan tidak ada spasi awal atau akhir. Jika tidak maka penggabungan domain akan gagal.

      4. Di bawah kunci Enkripsi, tinggalkan nilai defaultaws/secretsmanager. AWS Secrets Manager selalu mengenkripsi rahasia ketika Anda memilih opsi ini. Anda juga dapat memilih kunci yang Anda buat.

         catatan

         Ada biaya yang terkait AWS Secrets Manager, tergantung pada rahasia yang Anda gunakan. Untuk daftar harga lengkap saat ini, lihat AWS Secrets Manager Harga.

         Anda dapat menggunakan kunci AWS terkelola aws/secretsmanager yang dibuat Secrets Manager untuk mengenkripsi rahasia Anda secara gratis. Jika Anda membuat kunci KMS Anda sendiri untuk mengenkripsi rahasia Anda, AWS menagih Anda dengan tarif saat ini AWS KMS . Untuk informasi selengkapnya, silakan lihat Harga AWS Key Management Service.

      5. Pilih Selanjutnya.

4. Di bawah nama Rahasia, masukkan nama rahasia yang menyertakan ID direktori Anda menggunakan format berikut, ganti d-xxxxxxxxx dengan ID direktori Anda:

   aws/directory-services/d-xxxxxxxxx/seamless-domain-join

   Ini akan digunakan untuk mengambil rahasia dalam aplikasi.

   catatan

   Anda harus memasukkan aws/directory-services/d-xxxxxxxxx/seamless-domain-join persis seperti itu tapi ganti d-xxxxxxxx dengan ID direktori Anda. Pastikan tidak ada spasi awal atau akhir. Jika tidak maka penggabungan domain akan gagal.

   

5. Biarkan yang lainnya diatur ke default, dan kemudian pilih Selanjutnya.

6. Di bawah Konfigurasikan rotasi otomatis, pilih Nonaktifkan rotasi otomatis, lalu pilih Selanjutnya.

   Anda dapat mengaktifkan rotasi untuk rahasia ini setelah Anda menyimpannya.

7. Tinjau pengaturan, dan kemudian pilih Simpan untuk menyimpan perubahan Anda. Konsol Secrets Manager mengembalikan Anda ke daftar rahasia di akun Anda dengan rahasia baru Anda masuk di dalam daftar.

8. Pilih nama rahasia Anda yang baru dibuat dari daftar, dan perhatikan nilai ARN rahasia. Anda akan membutuhkannya di bagian selanjutnya.

Aktifkan rotasi untuk rahasia akun layanan domain

Kami menyarankan Anda memutar rahasia secara teratur untuk meningkatkan postur keamanan Anda.

Untuk mengaktifkan rotasi untuk rahasia akun layanan domain

• Ikuti petunjuk di Mengatur rotasi otomatis untuk AWS Secrets Manager rahasia di Panduan AWS Secrets Manager Pengguna.

  Untuk Langkah 5, gunakan template rotasi kredenal Microsoft Active Directory di AWS Secrets Manager Panduan Pengguna.

  Untuk bantuan, lihat Memecahkan masalah AWS Secrets Manager rotasi di AWS Secrets Manager Panduan Pengguna.

Untuk membuat kebijakan dan peran IAM yang diperlukan

Gunakan langkah-langkah prasyarat berikut untuk membuat kebijakan khusus yang memungkinkan akses hanya-baca ke rahasia gabungan domain tanpa batas Secrets Manager Anda (yang Anda buat sebelumnya), dan untuk membuat peran IAM LinuxEC2 baru. DomainJoin

Membuat kebijakan membaca IAM Secrets Manager

Anda menggunakan konsol IAM untuk membuat kebijakan yang memberikan akses hanya-baca ke rahasia Secrets Manager Anda.

Untuk membuat kebijakan membaca IAM Secrets Manager

1. Masuk ke pengguna AWS Management Console sebagai pengguna yang memiliki izin untuk membuat kebijakan IAM. Lalu buka konsol IAM di https://console.aws.amazon.com/iam/.

2. Di panel navigasi, Manajemen Akses, pilih Kebijakan.

3. Pilih Buat kebijakan.

4. Pilih tab JSON dan salin teks dari dokumen kebijakan JSON berikut. Kemudian tempelkan ke dalam kotak teks JSON.

   catatan

   Pastikan Anda mengganti Region and Resource ARN dengan Region dan ARN sebenarnya dari rahasia yang Anda buat sebelumnya.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "secretsmanager:GetSecretValue",
                   "secretsmanager:DescribeSecret"
               ],
               "Resource": [
                   "arn:aws:secretsmanager:us-east-1:xxxxxxxxx:secret:aws/directory-services/d-xxxxxxxxx/seamless-domain-join"
               ]
           }
       ]
   }

5. Setelah selesai, pilih Selanjutnya. Validator kebijakan melaporkan kesalahan sintaksis. Untuk informasi selengkapnya, lihat Memvalidasi kebijakan IAM.

6. Pada halaman Tinjau kebijakan, masukkan nama kebijakan, seperti SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read. Tinjau bagian Ringkasan untuk melihat izin yang diberikan oleh kebijakan Anda. Lalu pilih Buat kebijakan untuk menyimpan perubahan Anda. Kebijakan baru muncul di daftar kebijakan terkelola dan siap dilampirkan pada identitas.

catatan

Kami rekomendasikan Anda membuat satu kebijakan per rahasia. Melakukan hal tersebut memastikan bahwa instans hanya memiliki akses ke rahasia yang sesuai dan meminimalkan dampak jika sebuah instans dikompromikan.

Buat peran LinuXEC2 DomainJoin

Anda menggunakan konsol IAM untuk membuat peran yang akan Anda gunakan untuk penggabungan domain dengan instans EC2 Linux Anda.

Untuk membuat peran LinuXEC2 DomainJoin

1. Masuk ke pengguna AWS Management Console sebagai pengguna yang memiliki izin untuk membuat kebijakan IAM. Lalu buka konsol IAM di https://console.aws.amazon.com/iam/.

2. Di panel navigasi, di bawah Manajemen Akses, pilih Peran.

3. Di panel konten, pilih Buat peran.

4. Di bawah Pilih jenis entitas terpercaya, pilih AWS layanan.

5. Di bawah Kasus penggunaan, pilih EC2, lalu pilih Berikutnya.

   

6. Untuk Kebijakan filter, lakukan hal berikut:

   1. Masukkan AmazonSSMManagedInstanceCore. Lalu pilih kotak centang untuk item tersebut di dalam daftar.

   2. Masukkan AmazonSSMDirectoryServiceAccess. Lalu pilih kotak centang untuk item tersebut di dalam daftar.

   3. Masukkan SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read (atau nama kebijakan yang Anda buat dalam prosedur sebelumnya). Lalu pilih kotak centang untuk item tersebut di dalam daftar.

   4. Setelah menambahkan tiga kebijakan yang tercantum di atas, pilih Buat peran.

   catatan

   AmazonSSM DirectoryServiceAccess menyediakan izin untuk menggabungkan instance ke yang dikelola oleh. Active Directory AWS Directory Service AmazonSSM ManagedInstanceCore memberikan izin minimum yang diperlukan untuk menggunakan layanan ini. AWS Systems Manager Untuk informasi selengkapnya tentang cara membuat peran dengan izin ini, dan untuk informasi tentang izin dan kebijakan lain yang dapat Anda tetapkan ke IAM role, lihat Buat profil instans IAM untuk Systems Manager di Panduan Pengguna AWS Systems Manager .

7. Masukkan nama untuk peran baru Anda, seperti LinuxEC2DomainJoin atau nama lain yang Anda inginkan di bidang Nama peran.

8. (Opsional) Untuk Deskripsi peran, masukkan deskripsi.

9. (Opsional) Pilih Tambahkan tag baru di bawah Langkah 3: Tambahkan tag untuk menambahkan tag. Pasangan nilai kunci tag digunakan untuk mengatur, melacak, atau mengontrol akses untuk peran ini.

10. Pilih Buat peran.

Bergabunglah dengan instans Amazon EC2 Linux dengan mulus ke Microsoft AD yang AWS Dikelola Active Directory

Sekarang setelah Anda mengonfigurasi semua tugas prasyarat, Anda dapat menggunakan prosedur berikut untuk bergabung dengan instans Linux EC2 Anda dengan mulus.

Untuk bergabung dengan instans Linux Anda dengan mulus

1. Masuk ke AWS Management Console dan buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

2. Dari pemilih Region di bilah navigasi, pilih yang Wilayah AWS sama dengan direktori yang ada.

3. Di Dasbor EC2, di bagian Launch instance, pilih Launch instance.

4. Pada halaman Launch an instance, di bawah bagian Name and Tags, masukkan nama yang ingin Anda gunakan untuk instans Linux EC2 Anda.

5. (Opsional) Pilih Tambahkan tag tambahan untuk menambahkan satu atau beberapa pasangan nilai kunci tag untuk mengatur, melacak, atau mengontrol akses untuk instans EC2 ini.

6. Di bagian Application and OS Image (Amazon Machine Image), pilih AMI Linux yang ingin Anda luncurkan.

   catatan

   AMI yang digunakan harus memiliki AWS Systems Manager (Agen SSM) versi 2.3.1644.0 atau lebih tinggi. Untuk memeriksa versi SSM Agent yang diinstal di AMI Anda dengan meluncurkan sebuah instans dari AMI tersebut, lihat Mendapatkan versi Agen SSM yang saat ini diinstal. Jika Anda perlu meningkatkan Agen SSM, lihat Menginstal dan mengkonfigurasi SSM Agent pada instans EC2 untuk Linux.

   SSM menggunakan aws:domainJoin plugin saat menggabungkan instance Linux ke Active Directory domain. Plugin mengubah nama host untuk instance Linux ke format EC2AMAZ- XXXXXXX. Untuk informasi selengkapnyaaws:domainJoin, lihat referensi plugin dokumen AWS Systems Manager perintah di Panduan AWS Systems Manager Pengguna.

7. Di bagian Jenis instans, pilih jenis instance yang ingin Anda gunakan dari daftar dropdown tipe Instance.

8. Di bagian Key pair (login), Anda dapat memilih untuk membuat key pair baru atau memilih dari key pair yang ada. Untuk membuat key pair baru, pilih Create new key pair. Masukkan nama untuk key pair dan pilih opsi untuk Key pair type dan Private key file format. Untuk menyimpan kunci pribadi dalam format yang dapat digunakan dengan OpenSSH, pilih.pem. Untuk menyimpan kunci pribadi dalam format yang dapat digunakan dengan PuTTY, pilih.ppk. Pilih create key pair. File kunci privat tersebut akan secara otomatis diunduh oleh peramban Anda. Simpan file kunci privat di suatu tempat yang aman.

   penting

   Ini adalah satu-satunya kesempatan Anda untuk menyimpan file kunci privat tersebut.

9. Pada halaman Luncurkan instance, di bawah bagian Pengaturan jaringan, pilih Edit. Pilih VPC tempat direktori Anda dibuat dari daftar dropdown yang diperlukan VPC.

10. Pilih salah satu subnet publik di VPC Anda dari daftar dropdown Subnet. Subnet yang Anda pilih harus memiliki semua lalu lintas eksternal yang diarahkan ke gateway internet. Jika hal ini tidak terjadi, Anda tidak akan dapat terhubung ke instans dari jarak jauh.

    Untuk informasi selengkapnya tentang cara menyambung ke gateway internet, lihat Connect to the internet menggunakan gateway internet di Panduan Pengguna Amazon VPC.

11. Di bawah Auto-assign IP publik, pilih Aktifkan.

    Untuk informasi selengkapnya tentang pengalamatan IP publik dan pribadi, lihat pengalamatan IP instans Amazon EC2 di Panduan Pengguna Amazon EC2.

12. Untuk pengaturan Firewall (grup keamanan), Anda dapat menggunakan pengaturan default atau membuat perubahan untuk memenuhi kebutuhan Anda.

13. Untuk Konfigurasi pengaturan penyimpanan, Anda dapat menggunakan pengaturan default atau membuat perubahan untuk memenuhi kebutuhan Anda.

14. Pilih bagian Detail lanjutan, pilih domain Anda dari daftar dropdown direktori Gabung Domain.

    catatan

    Setelah memilih direktori Gabung Domain, Anda mungkin melihat:

    

    Kesalahan ini terjadi jika wizard peluncuran EC2 mengidentifikasi dokumen SSM yang ada dengan properti yang tidak terduga. Anda dapat melakukan salah satu dari yang berikut:

    • Jika sebelumnya Anda mengedit dokumen SSM dan properti diharapkan, pilih tutup dan lanjutkan untuk meluncurkan instans EC2 tanpa perubahan.

    • Pilih tautan hapus dokumen SSM yang ada di sini untuk menghapus dokumen SSM. Ini akan memungkinkan pembuatan dokumen SSM dengan properti yang benar. Dokumen SSM akan secara otomatis dibuat saat Anda meluncurkan instans EC2.

15. Untuk profil instans IAM, pilih peran IAM yang sebelumnya Anda buat di bagian prasyarat Langkah 2: Buat peran LinuxEC2. DomainJoin

16. Pilih Luncurkan instans.

catatan

Jika Anda menjalankan penggabungan domain yang mulus dengan SUSE Linux, reboot diperlukan sebelum autentikasi akan bekerja. Untuk me-reboot SUSE dari terminal Linux, ketik sudo reboot.