Unir sin problemas una instancia de Amazon EC2 Linux a un Microsoft AD AWS gestionado compartido - AWS Directory Service
Requisitos previosPaso 1. Creación de un rol de IAMPaso 2. Creación de un acceso a recursos entre cuentasPaso 3. Vinculación fluida de una instancia de Linux

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Unir sin problemas una instancia de Amazon EC2 Linux a un Microsoft AD AWS gestionado compartido

En este procedimiento, unirá sin problemas una instancia de Amazon EC2 Linux a un Microsoft AD AWS administrado compartido. Para ello, creará una política de lectura de AWS Secrets Manager IAM en el rol de EC2 instancia de la cuenta en la que desee lanzar la instancia de EC2 Linux. Esto se denominará Account 2 en este procedimiento. Esta instancia utilizará el AWS Managed Microsoft AD que se comparte desde la otra cuenta, que se denomina Account 1.

Requisitos previos

Para poder unir sin problemas una instancia de Amazon EC2 Linux a un Microsoft AD AWS gestionado compartido, tendrás que completar lo siguiente:

Paso 1. Cree un EC2 DomainJoin rol de Linux en la cuenta 2

En este paso, utilizarás la consola de IAM para crear el rol de IAM que utilizarás para unirte al dominio de tu instancia de EC2 Linux con la sesión iniciada. Account 2

Crea el rol de Linux EC2 DomainJoin

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, en Administración del acceso, elija Roles.

  3. En la página Roles, elija Crear rol.

  4. En Seleccionar tipo de entidad de confianza, seleccione Servicio de AWS .

  5. En Caso de uso, elija y EC2, a continuación, elija Siguiente

  6. En Políticas de filtro, haga lo siguiente:

    1. Escriba AmazonSSMManagedInstanceCore. A continuación, seleccione la casilla de verificación de ese elemento de la lista.

    2. Escriba AmazonSSMDirectoryServiceAccess. A continuación, seleccione la casilla de verificación de ese elemento de la lista.

    3. Después de agregar estas políticas, seleccione Crear rol.

      nota

      AmazonSSMDirectoryServiceAccessproporciona los permisos para unir instancias a una instancia Active Directory gestionada por AWS Directory Service. AmazonSSMManagedInstanceCoreproporciona los permisos mínimos necesarios para su uso AWS Systems Manager. Para obtener más información sobre cómo crear un rol con estos permisos y sobre otros permisos y políticas que puede asignar a su rol de IAM, consulte Configuración de permisos de instancia requeridos para Systems Manager en la Guía del usuario de AWS Systems Manager .

  7. Ingrese un nombre para su nuevo rol, como LinuxEC2DomainJoin o cualquier otro nombre de su preferencia en el campo Nombre del rol.

  8. (Opcional) En Descripción del rol, escriba una descripción.

  9. (Opcional) Para agregar etiquetas, elija Agregar nueva etiqueta en el Paso 3: Agregar etiquetas. Los pares clave-valor con etiqueta se utilizan para organizar, realizar un seguimiento o controlar el acceso a este rol.

  10. Seleccione Crear rol.

Paso 2. Cree un acceso a los recursos entre cuentas para compartir AWS Secrets Manager secretos

En la siguiente sección se describen los requisitos adicionales que deben cumplirse para unir sin problemas las instancias de EC2 Linux con un Microsoft AD AWS administrado compartido. Estos requisitos incluyen la creación de políticas de recursos y su vinculación a los servicios y recursos adecuados.

Para permitir que los usuarios de una cuenta accedan a AWS Secrets Manager los secretos de otra cuenta, debes permitir el acceso mediante una política de recursos y una política de identidad. Este tipo de acceso se denomina acceso a recursos entre cuentas.

Este tipo de acceso es diferente a conceder acceso a identidades en la misma cuenta que el secreto de Secrets Manager. También debe permitir que la identidad utilice la clave AWS Key Management Service (KMS) con la que está cifrado el secreto. Este permiso es necesario, ya que no puedes usar la clave AWS administrada (aws/secretsmanager) para el acceso entre cuentas. En su lugar, debe cifrar el secreto con una clave de KMS que cree y, a continuación, adjuntarle una política de claves. Para cambiar la clave de cifrado de un secreto, consulte Modificar un secreto AWS Secrets Manager.

nota

Hay tarifas asociadas AWS Secrets Manager, según el secreto que utilices. Para obtener la lista de precios completa, consulte Precios de AWS Secrets Manager. Puedes usar el Clave administrada de AWS aws/secretsmanager que crea Secrets Manager para cifrar tus secretos de forma gratuita. Si crea sus propias claves de KMS para cifrar sus secretos, se le AWS cobrará según la tarifa de AWS KMS actual. Para obtener más información, consulte AWS Key Management Service Precios.

Los siguientes pasos le permiten crear las políticas de recursos que permiten a los usuarios unir sin problemas una instancia de EC2 Linux a un Microsoft AD AWS administrado compartido.

Cómo adjuntar una política de recursos al secreto de Cuenta 1

  1. Abra la consola de Secrets Manager en https://console.aws.amazon.com/secretsmanager/.

  2. En la lista de secretos, elija el Secreto que creó durante Requisitos previos.

  3. En la página Detalles del secreto, en la pestaña Descripción general, desplácese hacia abajo hasta Permisos de recursos.

  4. Seleccione Editar permisos.

    1. En el campo de políticas, escriba la siguiente política. La siguiente política permite a Linux EC2 DomainJoin in acceder Account 2 a la entrada secretaAccount 1. Sustituya el valor del ARN por el valor del ARN de su Account 2 y el rol LinuxEC2DomainJoin que creó en el paso 1. Para usar esta política, consulte Adjuntar una política de permisos a un AWS Secrets Manager secreto.

      {
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::Account2:role/LinuxEC2DomainJoin"
      },
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "*"
    }
  ]
}
Cómo agregar una instrucción a la política clave de la clave de KMS de Cuenta 1

  1. Abra la consola de Secrets Manager en https://console.aws.amazon.com/secretsmanager/.

  2. En el panel de navegación izquierdo, elija Claves administradas por el cliente.

  3. En la página Claves administradas por el cliente, seleccione la clave que ha creado.

  4. En la página Detalles de claves, navegue hasta Política de claves y seleccione Editar.

  5. La siguiente instrucción de política de claves permite que ApplicationRole en Account 2 use la clave de KMS en Account 1 para descifrar el secreto en Account 1. Para utilizar esta instrucción, agréguela a la política de claves de la clave de KMS. Para obtener más información, consulte Cambiar una política de claves.

    {
{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::Account2:role/ApplicationRole"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey"
  ],
  "Resource": "*"
}
Creación de una política de identidad para la identidad de Cuenta 2

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación izquierdo, en Administración de acceso, seleccione Políticas.

  3. Seleccione Create Policy (Crear política). Elija JSON en el Editor de políticas.

  4. La siguiente política permite que ApplicationRole en Account 2 acceda al secreto de Account 1 y descifre el valor secreto mediante la clave de cifrado que también está en Account 1. Puede encontrar el ARN para el secreto en la consola de Secrets Manager en la página Detalles secretos en ARN del secreto. Como alternativa, puedes llamar a describe-secret para identificar el ARN del secreto. Sustituya el ARN del recurso por el ARN del recurso del ARN secreto y la Account 1. Para usar esta política, consulta Adjuntar una política de permisos a un secreto. AWS Secrets Manager 

    {
{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "SecretARN"
    },
    {
      "Effect": "Allow",
      "Action": [
"kms:Decrypt",
"kms:Describekey"
],
      "Resource": "arn:aws:kms:Region:Account1:key/Your_Encryption_Key"
    }
  ]
}

  5. Seleccione Siguiente y, a continuación, Guardar cambios.

  6. Busque y seleccione el rol que creó en Account 2 en Attach a resource policy to the secret in Account 1.

  7. En Agregar permisos, elija Asociar políticas.

  8. En la barra de búsqueda, busque la política que creó en Add a statement to the key policy for the KMS key in Account 1 y seleccione la casilla para agregar la política al rol. Luego, seleccione Agregar permisos.

Paso 3. Cómo vincular de manera fluida una instancia de Linux

Ahora puede usar el siguiente procedimiento para unir sin problemas su instancia de EC2 Linux a su Microsoft AD AWS administrado compartido.

Cómo vincular de manera fluida una instancia de Linux

  1. Inicia sesión en la EC2 consola de Amazon AWS Management Console y ábrela en https://console.aws.amazon.com/ec2/.

  2. En el selector de regiones de la barra de navegación, elige el Región de AWS mismo directorio que el existente.

  3. En el EC2 panel de control, en la sección Lanzar instancia, elija Launch instance.

  4. En la página Lanzar una instancia, en la sección Nombre y etiquetas, introduce el nombre que te gustaría usar para tu EC2 instancia de Linux.

  5. (Opcional) Selecciona Añadir etiquetas adicionales para añadir uno o más pares de etiquetas y valores para organizar, realizar un seguimiento o controlar el acceso a esta EC2 instancia.

  6. En la sección Imagen de aplicación y sistema operativo (Imagen de máquina de Amazon), elija la AMI de Linux que desee iniciar.

    nota

    La AMI utilizada debe tener AWS Systems Manager (SSM Agent) la versión 2.3.1644.0 o superior. Para comprobar la versión de SSM Agent instalada en la AMI mediante el lanzamiento de una instancia desde esa AMI, consulte Obtener la versión de SSM Agent instalada actualmente. Si necesita actualizar el agente SSM, consulte Instalación y configuración del agente SSM en instancias para Linux. EC2

    SSM usa el complemento aws:domainJoin al vincular una instancia de Linux a un dominio de Active Directory. El complemento cambia el nombre de host de las instancias de Linux al formato EC2 AMAZ-. XXXXXXX Para obtener más información sobre aws:domainJoin, consulte Referencia de complementos del documento de comandos de AWS Systems Manager en la Guía del usuario de AWS Systems Manager .

  7. En la sección Tipo de instancia, elija el tipo de instancia que desee usar en la lista desplegable Tipo de instancia.

  8. En la sección Par de claves (inicio de sesión), puede elegir entre crear un nuevo par de claves o elegir un par de claves existente. Para crear un nuevo par de claves, elija Crear nuevo par de claves. Ingrese un nombre para el par de claves y seleccione una opción en Tipo de par de claves y Formato de archivo de clave privada. Para guardar la clave privada en un formato que se pueda utilizar con OpenSSH, elija .pem. Para guardar la clave privada en un formato que se pueda utilizar con PuTTY, elija .ppk. Elija Crear par de claves. Su navegador descargará el archivo de clave privada automáticamente. Guarde el archivo de clave privada en un lugar seguro.

    importante

    Esta es la única oportunidad para guardar el archivo de clave privada.

  9. En la página Lanzar una instancia, en la sección Configuración de red, elija Editar. Elija la VPC en la que se creó el directorio en la lista desplegable VPC: obligatoria.

  10. Elija una de las subredes públicas de su VPC en la lista desplegable Subred. La subred que elija debe tener todo el tráfico externo dirigido a una puerta de enlace de Internet. De lo contrario, no podrá conectarse a la instancia de forma remota.

    Para obtener más información sobre cómo conectar una puerta de enlace de Internet, consulte Conexión a Internet mediante una puerta de enlace de Internet en la Guía del usuario de Amazon VPC.

  11. En Autoasignar IP pública, elija Habilitar.

    Para obtener más información sobre las direcciones IP públicas y privadas, consulte Direcciones IP de EC2 instancias de Amazon en la Guía del EC2 usuario de Amazon.

  12. En la configuración Firewall (grupos de seguridad), puede usar la configuración predeterminada o hacer cambios para adaptarla a sus necesidades.

  13. En la configuración Configurar almacenamiento, puede utilizar los ajustes predeterminados o hacer los cambios necesarios para adaptarlos a sus necesidades.

  14. Seleccione la sección Detalles avanzados y elija su dominio en el menú desplegable Directorio de vinculación de dominios.

    nota

    Tras elegir el directorio de vinculación de dominios, es posible que vea lo siguiente:

    Aparece un mensaje de error al seleccionar el directorio de vinculación de dominios. Hay un error en el documento SSM existente.

    Este error se produce si el asistente de EC2 lanzamiento identifica un documento SSM existente con propiedades inesperadas. Puede elegir una de las opciones siguientes:

    • Si ya ha editado el documento SSM y las propiedades son las esperadas, seleccione cerrar y proceda a lanzar la EC2 instancia sin cambios.

    • Seleccione el enlace a continuación para eliminar el documento SSM existente. Esto permitirá crear un documento SSM con las propiedades correctas. El documento SSM se creará automáticamente al lanzar la EC2 instancia.

  15. Para el perfil de instancia de IAM, elija el rol de IAM que creó anteriormente en la sección de requisitos previos. Paso 2: Crear el rol de Linux. EC2 DomainJoin

  16. Seleccione Iniciar instancia.

nota

Si va a llevar a cabo una unión de dominio fluida con SUSE Linux, es necesario reiniciarla para que las autenticaciones funcionen. Para reiniciar SUSE desde el terminal Linux, escriba sudo reboot.