Unisci senza problemi un'istanza Amazon EC2 Linux al tuo AWS Microsoft AD Active Directory gestito - AWS Directory Service
PrerequisitiUnisciti senza problemi alla tua istanza Linux

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Unisci senza problemi un'istanza Amazon EC2 Linux al tuo AWS Microsoft AD Active Directory gestito

Questa procedura unisce senza problemi un'istanza Amazon EC2 Linux al tuo AWS Microsoft AD Active Directory gestito. Se è necessario eseguire un'unione di dominio senza interruzioni su più domini AWS account, puoi facoltativamente scegliere di abilitare la condivisione della Directory.

Sono supportate le seguenti distribuzioni e versioni di istanze Linux:

  • Amazon Linux AMI 2018.03.0

  • Amazon Linux 2 (64-bit x86)

  • Red Hat Enterprise Linux 8 (x86 a HVM 64 bit)

  • Ubuntu Server 18.04 LTS e Ubuntu Server 16.04 LTS

  • CentOS 7 x86-64

  • SUSELinux Enterprise Server 15 SP1

Nota

Le distribuzioni precedenti a Ubuntu 14 e Red Hat Enterprise Linux 7 non supportano la funzionalità di aggiunta ottimizzata del dominio.

Per una dimostrazione sul processo di unione perfetta di un'istanza Linux al tuo AWS Microsoft AD Active Directory gestito, vedere il seguente YouTube video.

Prerequisiti

Prima di poter configurare l'aggiunta senza soluzione di continuità al dominio su un'istanza Linux, devi completare le procedure descritte in questa sezione.

Selezione dell'account del servizio di aggiunta ottimizzata del dominio

Puoi unire senza problemi i computer Linux ai tuoi AWS Dominio Microsoft AD Active Directory gestito. A tale scopo, è necessario utilizzare un account utente con le autorizzazioni per la creazione di account computer per aggiungere i computer al dominio. Sebbene membri del AWS gli amministratori delegati o altri gruppi potrebbero disporre di privilegi sufficienti per aggiungere computer al dominio, si sconsiglia di utilizzarli. Come best practice, si consiglia di utilizzare un account del servizio con i privilegi minimi necessari per aggiungere i computer al dominio.

Per delegare un account con i privilegi minimi necessari per aggiungere i computer al dominio, puoi eseguire i seguenti comandi. PowerShell È necessario eseguire questi comandi da un computer Windows aggiunto al dominio su cui è installato Installare gli strumenti di amministrazione di Active Directory per AWS Managed Microsoft AD. Inoltre, è necessario utilizzare un account che disponga dell'autorizzazione a modificare le autorizzazioni sull'unità organizzativa o sul container del computer. Il PowerShell comando imposta le autorizzazioni che consentono all'account del servizio di creare oggetti informatici nel contenitore di computer predefinito del dominio.

$AccountName = 'awsSeamlessDomain'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module 'ActiveDirectory'
$Domain = Get-ADDomain -ErrorAction Stop
$BaseDn = $Domain.DistinguishedName
$ComputersContainer = $Domain.ComputersContainer
$SchemaNamingContext = Get-ADRootDSE | Select-Object -ExpandProperty 'schemaNamingContext'
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $SchemaNamingContext -Filter { lDAPDisplayName -eq 'Computer' } -Properties 'schemaIDGUID').schemaIDGUID
# Getting Service account Information.
$AccountProperties = Get-ADUser -Identity $AccountName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
# Getting ACL settings for the Computers container.
$ObjectAcl = Get-ACL -Path "AD:\$ComputersContainer" 
# Setting ACL allowing the service account the ability to create child computer objects in the Computers container.
$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'CreateChild', 'Allow', $ServicePrincipalNameGUID, 'All'
$ObjectAcl.AddAccessRule($AddAccessRule)
Set-ACL -AclObject $ObjectAcl -Path "AD:\$ComputersContainer"

Se si preferisce utilizzare un'interfaccia utente grafica (GUI), è possibile utilizzare il processo manuale descritto in. Delegare privilegi all'account del servizio

Creazione dei segreti per archiviare l'account del servizio di dominio

È possibile utilizzare… AWS Secrets Manager per memorizzare l'account del servizio di dominio.

Per creare segreti e archiviare le informazioni sull'account del servizio di dominio

  1. Accedi al AWS Management Console e apri il AWS Secrets Manager console presso https://console.aws.amazon.com/secretsmanager/.

  2. Scegli Archivia un nuovo segreto.

  3. Nella pagina Archivia un nuovo segreto, procedere nel seguente modo:

    1. In Tipo segreto, scegli Altro tipo di segreti.

    2. In Coppie chiave/valore, procedi come segue:

      1. Nella prima casella, inserisci awsSeamlessDomainUsername. Nella stessa riga, nella casella successiva, inserisci il nome utente per il tuo account di servizio. Ad esempio, se hai utilizzato il PowerShell comando in precedenza, il nome dell'account del servizio sarebbeawsSeamlessDomain.

        Nota

        Devi inserire awsSeamlessDomainUsername esattamente come è. Assicurati che non vi siano spazi iniziali o finali. In caso contrario, l'aggiunta del dominio avrà esito negativo.

        Nel AWS Secrets Manager console nella pagina Scegli un tipo segreto. Un altro tipo di segreto viene selezionato in Tipo di segreto e awsSeamlessDomainUsername viene immesso come valore chiave.

      2. Scegli Aggiungi riga.

      3. Nella nuova riga, nella prima casella, inserisci awsSeamlessDomainPassword. Nella stessa riga, nella casella successiva, inserisci la password per il tuo account del servizio.

        Nota

        Devi inserire awsSeamlessDomainPassword esattamente come è. Assicurati che non vi siano spazi iniziali o finali. In caso contrario, l'aggiunta del dominio avrà esito negativo.

      4. In Chiave di crittografia, lascia il valore predefinitoaws/secretsmanager. AWS Secrets Manager crittografa sempre il segreto quando scegli questa opzione. Puoi anche scegliere una chiave creata da te.

        Nota

        Sono previste commissioni associate a AWS Secrets Manager, a seconda del segreto utilizzato. Per l'attuale listino prezzi completo, vedi AWS Secrets Manager Prezzi.

        Puoi utilizzare il plugin AWS chiave gestita aws/secretsmanager che Secrets Manager crea per crittografare i tuoi segreti gratuitamente. Se crei le tue KMS chiavi per crittografare i tuoi segreti, AWS ti addebita alla corrente AWS KMS tasso. Per ulteriori informazioni, consulta AWS Key Management Service prezzi.

      5. Scegli Next (Successivo).

  4. In Nome segreto, inserisci un nome segreto che includa l'ID della tua directory utilizzando il seguente formato, sostituendo d-xxxxxxxxx con il tuo ID di directory:

    aws/directory-services/d-xxxxxxxxx/seamless-domain-join

    Questo nome viene utilizzato per recuperare i segreti nell'applicazione.

    Nota

    Devi inserirlo aws/directory-services/d-xxxxxxxxx/seamless-domain-join esattamente così com'è, ma sostituiscilo d-xxxxxxxxxx con il tuo ID di directory. Assicurati che non vi siano spazi iniziali o finali. In caso contrario, l'aggiunta del dominio avrà esito negativo.

    Nel AWS Secrets Manager console nella pagina segreta di configurazione. Il nome segreto viene inserito ed evidenziato.

  5. Lascia tutto il resto impostato sui valori predefiniti, quindi scegli Avanti.

  6. In Configura rotazione automatica, lascia selezionata Disabilita rotazione automatica e scegli Successivo.

    Puoi attivare la rotazione di questo segreto dopo averlo archiviato.

  7. Controlla le impostazioni, quindi scegli Archivia per salvare le modifiche. La console Secrets Manager restituisce l'elenco dei segreti nel tuo account con il nuovo segreto ora incluso nell'elenco.

  8. Scegli il nome segreto appena creato dall'elenco e prendi nota del ARN valore Segreto. Lo utilizzerai nella sezione successiva.

Attiva la rotazione per il segreto dell'account del servizio di dominio

Ti consigliamo di modificare regolarmente i segreti per migliorare il tuo livello di sicurezza.

Per attivare la rotazione per il segreto dell'account del servizio di dominio

Crea la IAM politica e il ruolo richiesti

Utilizza i seguenti passaggi preliminari per creare una policy personalizzata che consenta l'accesso in sola lettura al tuo Secrets Manager seamless domain join secret (creato in precedenza) e per creare un nuovo ruolo Linux. EC2DomainJoin IAM

Crea la policy di IAM lettura di Secrets Manager

Utilizzi la IAM console per creare una policy che garantisca l'accesso in sola lettura al tuo segreto di Secrets Manager.

Per creare il Secrets Manager IAM leggi la policy

  1. Accedi al AWS Management Console come utente autorizzato a creare IAM politiche. Quindi apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, Gestione degli accessi, scegli Politiche.

  3. Scegli Create Policy (Crea policy).

  4. Scegli la JSONscheda e copia il testo dal seguente documento di JSON policy. Quindi incollalo nella casella JSONdi testo.

    Nota

    Assicurati di sostituire la regione e la risorsa ARN con la regione effettiva e ARN il segreto che hai creato in precedenza.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:xxxxxxxxx:secret:aws/directory-services/d-xxxxxxxxx/seamless-domain-join"
            ]
        }
    ]
}

  5. Quando hai terminato, seleziona Successivo. In Validatore di policy vengono segnalati eventuali errori di sintassi. Per ulteriori informazioni, consulta Convalida delle IAM politiche.

  6. Nella pagina Verifica policy, inserisci un nome per la policy, ad esempio SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read. Consulta la sezione Riepilogo per visualizzare le autorizzazioni concesse dalla policy. Seleziona Crea policy per salvare le modifiche. La nuova policy appare nell'elenco delle policy gestite ed è pronta a collegarsi a un'identità.

Nota

Consigliamo di creare una policy per ogni segreto. In questo modo, ti assicuri che le istanze abbiano accesso solo al segreto in questione e riduci al minimo l'impatto se un'istanza viene compromessa.

Crea il ruolo Linux EC2DomainJoin

Usa la IAM console per creare il ruolo che utilizzerai per aggiungere il dominio alla tua EC2 istanza Linux.

Per creare il EC2DomainJoin ruolo Linux

  1. Accedere a AWS Management Console come utente autorizzato a creare IAM politiche. Quindi apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, in Gestione degli accessi, scegli Ruoli.

  3. Nel riquadro del contenuto seleziona Crea ruolo.

  4. In Seleziona il tipo di entità attendibile, scegli AWS servizio.

  5. In Caso d'uso, scegli EC2, quindi scegli Avanti.

    Nella IAM console, nella pagina Seleziona l'entità attendibile. AWS servizio e EC2 sono selezionati.

  6. In Filtra policy‬, procedi come segue:

    1. Specificare AmazonSSMManagedInstanceCore. Dopodiché, seleziona la casella di controllo per tale elemento nell'elenco.

    2. Specificare AmazonSSMDirectoryServiceAccess. Dopodiché, seleziona la casella di controllo per tale elemento nell'elenco.

    3. Inserisci SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read (o il nome della policy creata nella procedura precedente). Dopodiché, seleziona la casella di controllo per tale elemento nell'elenco.

    4. Dopo aver aggiunto le tre politiche sopra elencate, seleziona Crea ruolo.

    Nota

    A mazonSSMDirectory ServiceAccess fornisce le autorizzazioni per unire le istanze a un Active Directory gestito da AWS Directory Service. A mazonSSMManaged InstanceCore fornisce le autorizzazioni minime necessarie per utilizzare AWS Systems Manager servizio. Per ulteriori informazioni sulla creazione di un ruolo con queste autorizzazioni e per informazioni su altre autorizzazioni e policy che è possibile assegnare al proprio IAM ruolo, vedere Creare un profilo di IAM istanza per Systems Manager nel AWS Systems Manager Guida per l'utente.

  7. Inserisci un nome per il tuo nuovo ruolo, ad esempio un altro nome che preferisci nel campo Nome del ruolo. LinuxEC2DomainJoin

  8. (Facoltativo) Per Role Description (Descrizione ruolo), immetti una descrizione.

  9. (Facoltativo) Scegli Aggiungi nuovo tag nel Passaggio 3: Aggiungi tag per aggiungere tag. Le coppie chiave-valore dei tag vengono utilizzate per organizzare, tracciare o controllare l'accesso per questo ruolo.

  10. Scegliere Crea ruolo.

Unisciti senza problemi alla tua istanza Linux

Per unirti senza problemi alla tua istanza Linux

  1. Accedi al AWS Management Console e apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Dal selettore della regione nella barra di navigazione, scegli la stessa Regione AWS come cartella esistente.

  3. Nella EC2Dashboard, nella sezione Launch instance, scegli Launch instance.

  4. Nella pagina Avvia un'istanza, nella sezione Nome e tag, inserisci il nome che desideri utilizzare per la tua EC2 istanza Linux.

  5. (Facoltativo) Scegli Aggiungi tag aggiuntivi per aggiungere una o più coppie chiave-valore di tag per organizzare, tracciare o controllare l'accesso per questa EC2 istanza.

  6. Nella sezione Applicazione e immagine del sistema operativo (Amazon Machine Image), scegli un Linux AMI che desideri avviare.

    Nota

    L'AMIusato deve avere AWS Systems Manager (SSMAgent) versione 2.3.1644.0 o successiva. Per verificare la versione dell'SSMagente installata sul tuo computer avviando un'istanza AMI da tale istanzaAMI, consulta Ottenere la versione dell'agente attualmente installata. SSM Se è necessario aggiornare l'SSMagente, vedere Installazione e configurazione SSM dell'agente su EC2 istanze per Linux.

    SSMutilizza il aws:domainJoin plugin quando unisce un'istanza Linux a un Active Directory dominio. Il plugin cambia il nome host per le istanze Linux nel formato - EC2AMAZXXXXXXXPer ulteriori informazioni su aws:domainJoin, consulta .AWS Systems Manager riferimento al plug-in del documento di comando in AWS Systems Manager Guida per l'utente.

  7. Nella sezione Tipo di istanza, scegli il tipo di istanza che desideri utilizzare dall'elenco a discesa Tipo di istanza.

  8. Nella sezione Coppia di chiavi (accesso), puoi scegliere se creare una nuova coppia di chiavi o selezionare una coppia di chiavi esistente. Per creare una nuova coppia di chiavi, scegli Crea nuova coppia di chiavi. Inserisci un nome per la coppia di chiavi e seleziona un'opzione per il Tipo di coppia di chiavi e il Formato del file della chiave privata. Per salvare la chiave privata in un formato utilizzabile con OpenSSH, scegliete .pem. Per salvare la chiave privata in un formato utilizzabile con PuTTY, scegliete .ppk. Scegli crea coppia di chiavi. Il file della chiave privata viene automaticamente scaricato dal browser. Salvare il file della chiave privata in un luogo sicuro.

    Importante

    Questo è l'unico momento in cui salvare il file della chiave privata.

  9. Nella pagina Avvia un'istanza, nella sezione Impostazioni di rete, scegli Modifica. Scegli VPCquello in cui è stata creata la tua directory dall'VPCelenco a discesa richiesto.

  10. Scegli una delle sottoreti pubbliche VPC dal menu a discesa Subnet. La sottorete scelta deve avere tutto il traffico esterno instradato a un gateway Internet. In caso contrario, non potrai connetterti in remoto all'istanza.

    Per ulteriori informazioni su come connettersi a un gateway Internet, consulta Connettersi a Internet utilizzando un gateway Internet nella Amazon VPC User Guide.

  11. In Assegna automaticamente IP pubblico, scegli Abilita.

    Per ulteriori informazioni sull'indirizzamento IP pubblico e privato, consulta l'indirizzo IP delle EC2 istanze Amazon nella Amazon EC2 User Guide.

  12. Nelle impostazioni Firewall (gruppi di sicurezza), puoi utilizzare le impostazioni predefinite o apportare modifiche per soddisfare le tue esigenze.

  13. Nelle impostazioni Configurazione dell'archiviazione, puoi utilizzare le impostazioni predefinite o apportare modifiche per soddisfare le tue esigenze.

  14. Seleziona la sezione Dettagli avanzati, scegli il tuo dominio dall'elenco a discesa Directory di aggiunta al dominio.

    Nota

    Dopo aver scelto la directory di accesso al dominio, potresti vedere:

    Un messaggio di errore quando si seleziona la directory di accesso al dominio. C'è un errore con il SSM documento esistente.

    Questo errore si verifica se la procedura guidata di EC2 avvio identifica un SSM documento esistente con proprietà impreviste. Puoi effettuare una delle seguenti operazioni:

    • Se avete già modificato il SSM documento e le proprietà sono previste, scegliete chiudi e procedete all'avvio dell'EC2istanza senza modifiche.

    • Selezionate il link Elimina qui il SSM documento esistente per eliminare il SSM documento. Ciò consentirà la creazione di un SSM documento con le proprietà corrette. Il SSM documento verrà creato automaticamente all'avvio dell'EC2istanza.

  15. Ad IAMesempio, profilo, scegli il IAM ruolo che hai creato in precedenza nella sezione dei prerequisiti Passaggio 2: creazione del EC2DomainJoin ruolo Linux.

  16. Scegliere Launch Instance (Avvia istanza).

Nota

Se stai eseguendo un'unione di dominio senza interruzioni con SUSE Linux, è necessario un riavvio prima che le autenticazioni funzionino. Per riavviare SUSE dal terminale Linux, digita sudo reboot.