Unindo perfeitamente uma instância Amazon EC2 Linux ao seu Microsoft AD Active Directory AWS gerenciado

Esse procedimento une perfeitamente uma instância do Amazon EC2 Linux ao seu AWS Microsoft AD Active Directory gerenciado. Se você precisar realizar uma união de domínio perfeita em várias AWS contas, opcionalmente, você pode optar por ativar o compartilhamento de diretórios.

As seguintes distribuições e versões de instância do Linux são suportadas:

• Amazon Linux AMI 2018.03.0

• Amazon Linux 2 (64 bits x86)

• Red Hat Enterprise Linux 8 (HVM) (64 bits x86)

• Servidor Ubuntu 18.04 LTS e Servidor Ubuntu 16.04 LTS

• CentOS 7 x86-64

• SUSEServidor corporativo Linux 15 SP1

nota

As distribuições anteriores ao Ubuntu 14 e ao Red Hat Enterprise Linux 7 não oferecem suporte ao recurso de associação direta a domínios.

Para uma demonstração do processo de unir perfeitamente uma instância Linux ao seu Microsoft AD Active Directory AWS gerenciado, veja o YouTube vídeo a seguir.

Pré-requisitos

Antes de configurar a união de domínio perfeita em uma instância Linux, você precisa concluir os procedimentos nesta seção.

Selecionar sua conta de serviço para associação direta ao domínio

Você pode unir perfeitamente computadores Linux ao seu Microsoft AD AWS gerenciado Active Directory domínio. Para fazer isso, é necessário usar uma conta de usuário com permissões de criação de conta de computador para associar as máquinas ao domínio. Embora os membros do grupo Administradores delegados da AWS ou outros grupos possam ter privilégios suficientes para associar computadores ao domínio, não recomendamos fazer isso. Como prática recomendada, sugerimos usar uma conta de serviço que tenha os privilégios mínimos necessários para associar os computadores ao domínio.

Para delegar uma conta com os privilégios mínimos necessários para associar os computadores ao domínio, você pode executar os seguintes PowerShell comandos. Você deve executar esses comandos em um computador Windows associado ao domínio com as Instalando as ferramentas de administração do Active Directory para o Microsoft AD AWS gerenciado instaladas. Além disso, você deve usar uma conta que tenha permissão para modificar as permissões na UO ou no contêiner do seu Computador. O PowerShell comando define permissões que permitem que a conta de serviço crie objetos de computador no contêiner de computadores padrão do seu domínio.

$AccountName = 'awsSeamlessDomain'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module 'ActiveDirectory'
$Domain = Get-ADDomain -ErrorAction Stop
$BaseDn = $Domain.DistinguishedName
$ComputersContainer = $Domain.ComputersContainer
$SchemaNamingContext = Get-ADRootDSE | Select-Object -ExpandProperty 'schemaNamingContext'
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $SchemaNamingContext -Filter { lDAPDisplayName -eq 'Computer' } -Properties 'schemaIDGUID').schemaIDGUID
# Getting Service account Information.
$AccountProperties = Get-ADUser -Identity $AccountName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
# Getting ACL settings for the Computers container.
$ObjectAcl = Get-ACL -Path "AD:\$ComputersContainer" 
# Setting ACL allowing the service account the ability to create child computer objects in the Computers container.
$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'CreateChild', 'Allow', $ServicePrincipalNameGUID, 'All'
$ObjectAcl.AddAccessRule($AddAccessRule)
Set-ACL -AclObject $ObjectAcl -Path "AD:\$ComputersContainer"

Se preferir usar uma interface gráfica de usuário (GUI), você pode usar o processo manual descrito emDelegar privilégios para sua conta de serviço.

Criar os segredos para armazenar a conta de serviço do domínio

Você pode usar AWS Secrets Manager para armazenar a conta de serviço de domínio.

Para criar segredos e armazenar as informações da conta de serviço do domínio

1. Faça login no AWS Management Console e abra o AWS Secrets Manager console em https://console.aws.amazon.com/secretsmanager/.

2. Selecione Armazenar um novo segredo.

3. Na página Store a new secret (Armazenar um novo segredo), faça o seguinte:

   1. Em Tipo de segredo, escolha Outro tipo de segredos.

   2. Em Pares de chave/valor, faça o seguinte:

      1. Na primeira caixa, insira awsSeamlessDomainUsername. Na mesma linha, na próxima caixa, insira o nome de usuário da sua conta de serviço. Por exemplo, se você usou o PowerShell comando anteriormente, o nome da conta de serviço seriaawsSeamlessDomain.

         nota

         Você deve inserir awsSeamlessDomainUsername exatamente como está. Certifique-se de que não haja espaços iniciais ou finais. Caso contrário, a associação ao domínio falhará.

         

      2. Escolha Adicionar linha.

      3. Na nova linha, na primeira caixa, insira awsSeamlessDomainPassword. Na mesma linha, na próxima caixa, insira a senha da sua conta de serviço.

         nota

         Você deve inserir awsSeamlessDomainPassword exatamente como está. Certifique-se de que não haja espaços iniciais ou finais. Caso contrário, a associação ao domínio falhará.

      4. Em Chave de criptografia, deixe o valor padrãoaws/secretsmanager. AWS Secrets Manager sempre criptografa o segredo quando você escolhe essa opção. Também é possível escolher uma chave criada por você.

         nota

         Existem taxas associadas AWS Secrets Manager, dependendo de qual segredo você usa. Para obter a lista de preços atual completa, consulte Definição de preço do AWS Secrets Manager.

         Você pode usar a chave AWS gerenciada aws/secretsmanager que o Secrets Manager cria para criptografar seus segredos gratuitamente. Se você criar suas próprias KMS chaves para criptografar seus segredos, AWS cobrará a AWS KMS taxa atual. Para obter mais informações, consulte Preços do AWS Key Management Service.

      5. Escolha Próximo.

4. Em Nome secreto, insira um nome secreto que inclua sua ID de diretório usando o seguinte formato, substituindo d-xxxxxxxxx com seu ID de diretório:

   aws/directory-services/d-xxxxxxxxx/seamless-domain-join

   Ele será usado para recuperar segredos no aplicativo.

   nota

   Você deve inserir aws/directory-services/d-xxxxxxxxx/seamless-domain-join exatamente como está, mas substituir d-xxxxxxxxxx com seu ID de diretório. Certifique-se de que não haja espaços iniciais ou finais. Caso contrário, a associação ao domínio falhará.

   

5. Mantenha todo o resto definido como padrão e, em seguida, escolha Próximo.

6. Em Configurar rotação automática, mantenha a opção Desabilitar rotação automática selecionada e escolha Próximo.

   Você pode ativar a rotação desse segredo depois de armazená-lo.

7. Revise as configurações e escolha Armazenar para salvar as alterações. O console do Secrets Manager leva você de volta para a lista de segredos da sua conta com o novo segredo agora incluído na lista.

8. Escolha seu nome secreto recém-criado na lista e anote o ARN valor do segredo. Ele será necessário na próxima seção.

Ative a rotação para o segredo da conta de serviço de domínio

Recomendamos que você alterne regularmente os segredos para melhorar sua postura de segurança.

Para ativar a rotação do segredo da conta de serviço de domínio

• Siga as instruções em Configurar a rotação automática para AWS Secrets Manager segredos no Guia do AWS Secrets Manager usuário.

  Para a Etapa 5, use o modelo de rotação das credenciais do Microsoft Active Directory no Guia do AWS Secrets Manager Usuário.

  Para obter ajuda, consulte Solucionar problemas AWS Secrets Manager de rotação no Guia do AWS Secrets Manager usuário.

Crie a IAM política e a função necessárias

Use as etapas de pré-requisito a seguir para criar uma política personalizada que permita acesso somente para leitura ao segredo de junção de domínio contínuo do Secrets Manager (que você criou anteriormente) e para criar uma nova função Linux. EC2DomainJoin IAM

Crie a política de IAM leitura do Secrets Manager

Você usa o IAM console para criar uma política que concede acesso somente de leitura ao seu segredo do Secrets Manager.

Para criar a política de IAM leitura do Secrets Manager

1. Faça login no AWS Management Console como um usuário que tem permissão para criar IAM políticas. Em seguida, abra o IAM console em https://console.aws.amazon.com/iam/.

2. No painel de navegação, Gerenciamento de acesso, escolha Políticas.

3. Escolha Criar política.

4. Escolha a JSONguia e copie o texto do seguinte documento JSON de política. Em seguida, cole-o na caixa de JSONtexto.

   nota

   Certifique-se de substituir a região e o recurso ARN pela região real e ARN pelo segredo que você criou anteriormente.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "secretsmanager:GetSecretValue",
                   "secretsmanager:DescribeSecret"
               ],
               "Resource": [
                   "arn:aws:secretsmanager:us-east-1:xxxxxxxxx:secret:aws/directory-services/d-xxxxxxxxx/seamless-domain-join"
               ]
           }
       ]
   }

5. Quando terminar, escolha Próximo. O validador de política indica se há qualquer erro de sintaxe. Para obter mais informações, consulte Validando IAM políticas.

6. Na página Revisar política, insira um nome de política, como SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read. Revise a seção Resumo para ver as permissões que são concedidas pela política. Em seguida, selecione Criar política para salvar suas alterações. A nova política aparece na lista de políticas gerenciadas e está pronta para ser anexada a uma identidade.

nota

Recomendamos criar uma política por segredo. Isso garante que as instâncias tenham acesso somente ao segredo apropriado e minimiza o impacto em caso de comprometimento de uma instância.

Crie a EC2DomainJoin função Linux

Você usa o IAM console para criar a função que usará para ingressar no domínio da sua EC2 instância Linux.

Para criar a EC2DomainJoin função Linux

1. Faça login no AWS Management Console como um usuário que tem permissão para criar IAM políticas. Em seguida, abra o IAM console em https://console.aws.amazon.com/iam/.

2. No painel de navegação, em Gerenciamento de acesso, escolha Perfis.

3. No painel de conteúdo, escolha Criar perfil.

4. Em Select type of trusted entity (Selecionar o tipo de entidade confiável), escolha AWS service (serviço).

5. Em Caso de uso, escolha e EC2, em seguida, escolha Avançar.

   

6. Em Políticas de filtro, faça o seguinte:

   1. Insira AmazonSSMManagedInstanceCore. Em seguida, marque a caixa de seleção para esse item na lista.

   2. Insira AmazonSSMDirectoryServiceAccess. Em seguida, marque a caixa de seleção para esse item na lista.

   3. Insira SM-Secret-Linux-DJ-d-xxxxxxxxxx-Read (ou o nome da política que você criou no procedimento anterior). Em seguida, marque a caixa de seleção para esse item na lista.

   4. Depois de adicionar as três políticas listadas acima, selecione Criar função.

   nota

   A mazonSSMDirectory ServiceAccess fornece as permissões para unir instâncias a um Active Directory gerenciado por AWS Directory Service. A mazonSSMManaged InstanceCore fornece as permissões mínimas necessárias para usar o AWS Systems Manager serviço. Para obter mais informações sobre a criação de uma função com essas permissões e sobre outras permissões e políticas que você pode atribuir à sua IAM função, consulte Criar um perfil de IAM instância para Systems Manager no Guia do AWS Systems Manager Usuário.

7. Insira um nome para sua nova função, como LinuxEC2DomainJoin ou outro nome de sua preferência no campo Nome da função.

8. (Opcional ) Em Role description (Descrição da função), insira uma descrição.

9. (Opcional) Escolha Adicionar nova tag na Etapa 3: Adicionar tags para adicionar tags. Os pares de chave-valor de tag são usados para organizar, rastrear ou controlar o acesso a essa função.

10. Selecione Criar função.

Junte-se perfeitamente à sua instância Linux

Para unir perfeitamente sua instância Linux

1. Faça login no AWS Management Console e abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

2. No seletor de região na barra de navegação, escolha o mesmo Região da AWS que o diretório existente.

3. No EC2Painel, na seção Launch instance, escolha Launch instance.

4. Na página Iniciar uma instância, na seção Nome e tags, insira o nome que você gostaria de usar para sua EC2 instância Linux.

5. (Opcional) Escolha Adicionar tags adicionais para adicionar um ou mais pares de chave-valor de tag para organizar, rastrear ou controlar o acesso a essa EC2 instância.

6. Na seção Imagem do aplicativo e do sistema operacional (Amazon Machine Image), escolha um Linux AMI que você deseja iniciar.

   nota

   O usuário AMI deve ter a versão 2.3.1644.0 ou superior AWS Systems Manager (SSMAgent). Para verificar a versão do SSM Agente instalada no seu AMI executando uma instância a partir delaAMI, consulte Obter a versão do SSM Agente atualmente instalada. Se você precisar atualizar o SSM Agente, consulte Instalação e configuração do SSM Agente em EC2 instâncias para Linux.

   SSMusa o aws:domainJoin plug-in ao unir uma instância Linux a um Active Directory domínio. O plug-in altera o nome do host das instâncias Linux para o formato EC2AMAZ -XXXXXXX. Para obter mais informações sobreaws:domainJoin, consulte a referência do plug-in do documento de AWS Systems Manager comando no Guia AWS Systems Manager do usuário.

7. Na seção Tipo de instância, escolha o tipo de instância que você gostaria de usar na lista suspensa Tipo de instância.

8. Na seção Par de chaves: login, é possível optar por criar um novo par de chaves ou escolher um par de chaves existente. Para criar um novo par de chaves, escolha Criar par de chaves. Insira um nome para o par de chaves e selecione uma opção para Tipo de par de chaves e Formato do arquivo de chave privada. Para salvar a chave privada em um formato que possa ser usado com AbrirSSH, escolha .pem. Para salvar a chave privada em um formato que possa ser usado com o PuTTY, escolha .ppk. Escolha Criar par de chaves. O arquivo de chave privada é baixado automaticamente pelo navegador. Salve o arquivo de chave privada em um lugar seguro.

   Importante

   Esta é a única chance de você salvar o arquivo de chave privada.

9. Na página Iniciar uma instância, na seção Configurações de rede, escolha Editar. Escolha VPCaquele em que seu diretório foi criado na lista suspensa VPC- obrigatória.

10. Escolha uma das sub-redes públicas na sua na lista VPC suspensa Sub-rede. A sub-rede escolhida deve ter todo o tráfego externo ser roteado para um gateway da Internet. Caso contrário, não será possível conectar-se à instância de maneira remota.

    Para obter mais informações sobre como se conectar a um gateway de internet, consulte Conectar à internet usando um gateway de internet no Guia VPC do usuário da Amazon.

11. Em Atribuir IP público automaticamente, escolha Habilitar.

    Para obter mais informações sobre endereçamento IP público e privado, consulte Endereçamento IP de EC2 instâncias da Amazon no Guia EC2 do usuário da Amazon.

12. Para configurações de Firewall (grupos de segurança), é possível usar as configurações padrão ou fazer alterações para atender às suas necessidades.

13. Para opções de Configurar armazenamento, é possível usar as configurações padrão ou fazer alterações para atender às suas necessidades.

14. Selecione a seção Detalhes avançados, escolha seu domínio na lista suspensa Diretório de associação ao domínio.

    nota

    Depois de escolher o diretório de ingresso no domínio, você poderá ver:

    

    Esse erro ocorre se o assistente de EC2 inicialização identificar um SSM documento existente com propriedades inesperadas. Você pode executar uma das seguintes ações:

    • Se você editou o SSM documento anteriormente e as propriedades são esperadas, escolha fechar e continue com a execução da EC2 instância sem alterações.

    • Selecione o link excluir o SSM documento existente aqui para excluir o SSM documento. Isso permitirá a criação de um SSM documento com as propriedades corretas. O SSM documento será criado automaticamente quando você iniciar a EC2 instância.

15. Por IAMexemplo, perfil, escolha a IAM função que você criou anteriormente na seção de pré-requisitos Etapa 2: Criar a função Linux. EC2DomainJoin

16. Escolha Iniciar instância.

nota

Se você estiver realizando uma união de domínio perfeita com o SUSE Linux, é necessária uma reinicialização antes que as autenticações funcionem. Para reinicializar a SUSE partir do terminal Linux, digite sudo reboot.