先决条件

在创建基于用户的订阅之前，必须在您的环境中实现以下先决条件。

• 您必须允许 License Manager 创建服务相关角色，才能为基于用户的订阅注册 AWS 账户 。License Manager 控制台的基于用户的订阅部分将出现一次提示，您可以在其中同意授予 License Manager 创建所需服务相关角色的权限。向 License Manager 授予权限后，可以选择创建以创建服务相关角色。有关更多信息，请参阅 将服务相关角色用于 AWS License Manager。

• 必须创建 AWS Managed Microsoft AD 目录。 AWS Managed Microsoft AD 不支持已共享的目录。有关创建 AWS Managed Microsoft AD 目录的更多信息，请参阅《AWS Directory Service 用户指南》中的AWS Managed Microsoft AD 先决条件和创建您的 AWS Managed Microsoft AD 目录。

• 要使用基于用户的订阅，您必须将用户与您的 AWS Managed Microsoft AD 目录或自行管理的 Active Directory 关联起来。

  • 要将用户与关联 AWS Managed Microsoft AD，您必须在 AWS Managed Microsoft AD 目录中配置用户。有关更多信息，请参阅 AWS Directory Service 管理指南 中的管理 AWS Managed Microsoft AD中的用户和组。

  • 要关联自管理目录中的用户，必须在您的自管理目录和 AWS Managed Microsoft AD 目录之间建立双向林信任。有关更多信息，请参阅《管理指南》中的教程：在您 AWS Managed Microsoft AD 和您自行管理的 Active Directory 域之间创建信任关系。AWS Directory Service

  • 为您的目录配置的子网必须全部来自您的同一 VPC。 AWS 账户

• 必须配置来自提供基于用户的订阅的实例或 VPC 终端节点的出站 Internet 访问权限，您的实例才能与 AWS Systems Manager通信。有关更多信息，请参阅 AWS Systems Manager 用户指南中的为 EC2 实例设置 Systems Manager。

• License Manager 会创建两个网络接口，它们使用配置您 AWS Managed Microsoft AD 的 VPC 的默认安全组。此类接口用于实现目录所需的服务功能。确保您的默认安全组允许出站流量流向每个域控制器的网络接口 IPv4 地址或域控制器使用的安全组。有关更多信息，请参阅 AWS Directory Service 管理指南中的步骤 1：配置 AWS Directory Service for Microsoft Active Directory 和虚拟私有云 (VPC) 和创建的内容。

  预置过程完成后，您可以将不同的安全组关联到 License Manager 创建的接口。您选择的安全组还必须允许所需的流量流向每个域控制器的网络接口 IPv4 地址或安全组。有关更多信息，请参阅 Amazon Virtual Private Cloud 用户指南中的使用安全组。

• 除了您注册的基于用户的订阅外，您还必须为任何其他 VPC 配置 DNS 转发。 AWS Managed Microsoft AD 您可以使用 Amazon Route 53 或其它 DNS 服务进行 DNS 转发。有关更多信息，请参阅博客文章将 Directory Service 的 DNS 解析与 Amazon Route 53 Resolver 集成。

• 如果您使用基于用户的订阅来订阅 Microsoft Office，则必须：

  • 为 VPC 启用 DNS 主机名和 DNS 解析。有关更多信息，请参阅查看和更新 VPC 的 DNS 属性。

  • 确保为提供基于用户的 Microsoft Office 订阅而启动的实例有一条通往配置 VPC 终端节点的子网的路由。

  • 为您的 VPC 终端节点识别或创建一个允许入站 TCP 端口 1688 连接的安全组。此安全组将在您配置虚拟私有云设置时指定。有关更多信息，请参阅使用安全组。在配置 VPC 时，License Manager 会将此安全组关联到它代表您创建的 VPC 终端节点。有关 VPC 终端节点的更多信息，请参阅 AWS PrivateLink 指南中的使用接口 VPC 终端节点访问 AWS 服务。

  • 为启动的实例识别或创建安全组，以提供基于用户的订阅，允许从您批准的连接源进行入站 TCP 端口 3389 连接。安全组还应允许出站 TCP 端口 1688 连接到达 VPC 终端节点。有关更多信息，请参阅使用安全组。

    如果您已经准备好首次使用基于用户的订阅，请完成列出的先决条件并参阅基于用户的订阅入门。如果您已经设置了基于用户的订阅，并且想要将此类产品添加到您的 AWS Managed Microsoft AD 并为 Microsoft Office 产品配置 VPC，请完成列出的先决条件，然后参阅修改基于用户的订阅的目录设置。

• 您必须将实例配置文件角色附加到提供基于用户的订阅产品的实例，该产品允许由 AWS Systems Manager管理资源。有关更多信息，请参阅《AWS Systems Manager 用户指南》中的为 Systems Manager 创建 IAM 实例配置文件。

  警告

  提供基于用户的订阅的实例必须由 AWS Systems Manager 管理才能保持正常状态。此外，您的实例必须能够激活其基于用户的订阅许可，并在许可证激活后保持合规性。License Manager 将尝试恢复运行状况不佳的实例，但无法恢复正常状态的实例将被终止。有关如何让 Systems Manager 管理您的实例以及实例合规性的问题排查信息，请参阅本指南的排查基于用户的订阅问题章节。

• 要创建基于用户的订阅，您的用户或角色必须具有以下权限：

  • ec2:CreateNetworkInterface

  • ec2:DeleteNetworkInterface

  • ec2:DescribeNetworkInterfaces

  • ec2:CreateNetworkInterfacePermission

  • ec2:DescribeSubnets

  • ds:DescribeDirectories

  • ds:AuthorizeApplication

  • ds:UnauthorizeApplication

  • ds:GetAuthorizedApplicationDetails

  • ds:DescribeDomainControllers

• 要为 Microsoft Office 产品创建基于用户的订阅，您的用户或角色还必须具有以下额外权限：

  • ec2:CreateVpcEndpoint

  • ec2:DeleteVpcEndpoints

  • ec2:DescribeVpcEndpoints

  • ec2:ModifyVpcEndpoint

  • ec2:DescribeSecurityGroups