Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Vinculación fluida de una instancia de Amazon EC2 en Linux a Simple Active Directory (Simple AD)
Este procedimiento asocia, de manera fluida, una instancia de Amazon EC2 en Linux a Simple Active Directory (Simple AD).
Son compatibles las siguientes distribuciones y versiones de instancias de Linux:
+ Amazon Linux AMI 2018.03.0
+ Amazon Linux 2 (64 bits x86)
+ Red Hat Enterprise Linux 8 (HVM) (64 bits x86)
+ Ubuntu Server 18.04 LTS y Ubuntu Server 16.04 LTS
+ CentOS 7 x86-64
+ Servidor SUSE Linux Enterprise 15 SP1
**nota**
Las distribuciones anteriores a Ubuntu 14 y Red Hat Enterprise Linux 7 y 8 no admiten la característica de unión fluida de dominios.
## Requisitos previos
Para poder configurar una vinculación de dominios fluida a una instancia de Linux, debe completar los procedimientos de esta sección.
### Selección de la cuenta de servicio de unión de dominios fluida
Puede unir de forma fluida equipos Linux a su dominio de Simple AD. Para ello, debe crear una cuenta de usuario con permisos de creación de cuentas de equipos para unir los equipos al dominio. Si bien es posible que los miembros de los *administradores del dominio* u otros grupos tengan privilegios suficientes para unir los equipos al dominio, no lo recomendamos. Como práctica recomendada, le recomendamos que utilice una cuenta de servicio que tenga los privilegios mínimos necesarios para unir los equipos al dominio.
Para obtener información sobre cómo procesar y delegar los permisos de su cuenta de servicio para la creación de cuentas de equipo, consulte [Privilegios delegados a su cuenta de servicio](ad_connector_getting_started.md#connect_delegate_privileges).
### Creación de secretos para almacenar la cuenta de servicio de dominio
Se puede utilizar AWS Secrets Manager para almacenar la cuenta de servicio de dominio. Para obtener más información, consulta [Crear un AWS Secrets Manager secreto](https://docs.aws.amazon.com//secretsmanager/latest/userguide/create_secret.html).
**nota**
Hay tarifas asociadas con Secrets Manager. Para obtener más información, consulte [Precios](https://docs.aws.amazon.com//secretsmanager/latest/userguide/intro.html#asm_pricing) en la *Guía del usuario de AWS Secrets Manager *.
**Creación de secretos y almacenamiento de la información de la cuenta de servicio de dominio**
1. Inicie sesión en Consola de administración de AWS y abra la AWS Secrets Manager consola en [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Elija **Almacenar un secreto nuevo**.
1. En la página **Store a new secret** (Almacenar un nuevo secreto), haga lo siguiente:
1. En **Tipo de secreto**, seleccione **Otro tipo de secretos**.
1. En **Pares clave/valor**, haga lo siguiente:
1. En el cuadro de filtro, escriba **awsSeamlessDomainUsername**. En la misma fila, en el cuadro siguiente, ingrese el nombre de usuario de su cuenta de servicio. Por ejemplo, si utilizó el PowerShell comando anteriormente, el nombre de la cuenta de servicio sería**awsSeamlessDomain**.
**nota**
Debe ingresar **awsSeamlessDomainUsername** exactamente como está. Asegúrese de que no haya espacios al principio ni al final. De lo contrario, la unión de dominio fallará.
![\[En la AWS Secrets Manager consola, en la página de selección de un tipo de secreto. En el tipo de secreto, se selecciona otro tipo de secreto y se introduce awsSeamlessDomainUsername como valor clave.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/secrets_manager_1.png)
1. Seleccione **Agregar regla**.
1. En la nueva fila, en el primer cuadro, ingrese **awsSeamlessDomainPassword**. En la misma fila, en el cuadro siguiente, ingrese la contraseña de su cuenta de servicio.
**nota**
Debe ingresar **awsSeamlessDomainPassword** exactamente como está. Asegúrese de que no haya espacios al principio ni al final. De lo contrario, la unión de dominio fallará.
1. En **Clave de cifrado**, deje el valor predeterminado `aws/secretsmanager`. AWS Secrets Manager siempre cifra el secreto al elegir esta opción. También puede elegir una clave que haya creado.
1. Elija **Siguiente**.
1. En **Nombre secreto**, introduce un nombre secreto que incluya tu ID de directorio *d-xxxxxxxxx* con el siguiente formato y sustitúyelo por tu ID de directorio:
```
aws/directory-services/d-xxxxxxxxx/seamless-domain-join
```
Se usará para recuperar los secretos de la aplicación.
**nota**
Debe introducirlo **aws/directory-services/*d-xxxxxxxxx*/seamless-domain-join** exactamente como está, pero *d-xxxxxxxxxx* sustitúyalo por su ID de directorio. Asegúrese de que no haya espacios al principio ni al final. De lo contrario, la unión de dominio fallará.
![\[En la AWS Secrets Manager consola, en la página secreta de configuración. Se introduce el nombre del secreto y se resalta.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/secrets_manager_2.png)
1. Deje todo lo demás con los valores predeterminados y, a continuación, elija **Siguiente**.
1. En **Configurar rotación automática**, elija **Deshabilitar rotación automática** y, a continuación, **Siguiente**.
Puede activar la rotación de este secreto después de almacenarlo.
1. Revise la configuración y, a continuación, elija **Almacenar** para guardar los cambios. La consola de Secrets Manager vuelve a la lista de secretos de su cuenta con el nuevo secreto ahora incluido en la lista.
1. Elija el nombre del secreto recién creado de la lista y tome nota del valor del **ARN del secreto**. Lo necesitará en la sección siguiente.
### Activación de la rotación para el secreto de la cuenta de servicio de dominio
Se recomienda modificar los secretos de manera regular para mejorar la postura de seguridad.
**Activación de la rotación para el secreto de la cuenta de servicio de dominio**
+ Siga las instrucciones de la *Guía del AWS Secrets Manager usuario sobre cómo configurar la rotación automática de* [los AWS Secrets Manager secretos](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html).
Para el paso 5, utilice la plantilla de rotación [Credenciales de Microsoft Active Directory](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_available-rotation-templates.html#template-AD-password) en la *Guía del usuario de AWS Secrets Manager *.
Para obtener ayuda, consulte [Solucionar problemas de AWS Secrets Manager rotación](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html) en la *Guía del AWS Secrets Manager usuario*.
### Creación del rol y la política de IAM obligatorios
Siga los siguientes pasos previos para crear una política personalizada que permita el acceso de solo lectura a su secreto de unión a dominios integrada de Secrets Manager (que creó anteriormente) y para crear un nuevo rol de EC2 DomainJoin IAM de Linux.
#### Creación de la política de lectura de IAM de Secrets Manager
Utilizará la consola de IAM para crear una política que concede acceso de solo lectura a su secreto de Secrets Manager.
**Creación de la política de lectura de IAM de Secrets Manager**
1. Inicie sesión Consola de administración de AWS como usuario con permiso para crear políticas de IAM. A continuación, abra la consola de IAM en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. En el panel de navegación, en **Administración de acceso**, seleccione **Políticas**.
1. Elija **Crear política**.
1. Seleccione la pestaña **JSON** y copie el texto del siguiente documento de política JSON. A continuación, péguelo en el cuadro de texto **JSON**.
**nota**
Asegúrese de reemplazar la región y el ARN del recurso con la región real y el ARN del secreto que creó con anterioridad.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:xxxxxxxxx:secret:aws/directory-services/d-xxxxxxxxx/seamless-domain-join"
]
}
]
}
```
1. Cuando haya terminado, elija **Next**. El validador de políticas notifica los errores de sintaxis. Para obtener más información, consulte [Validación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html).
1. En la página **Revisar política**, ingrese un nombre para la política, como **SM-Secret-Linux-DJ-*d-xxxxxxxxxx*-Read**. Revise el **Resumen** de la política para ver los permisos concedidos por su política. Seleccione **Crear política** para guardar los cambios. La nueva política aparece en la lista de las políticas administradas y está lista para asociar a una identidad.
**nota**
Se recomienda que cree una política por secreto. De este modo, se garantiza que las instancias solo tengan acceso al secreto adecuado y se minimiza el impacto en caso de que una instancia se vea comprometida.
#### Cree el rol de Linux EC2 DomainJoin
Utilice la consola de IAM para crear el rol que utilizará para unirse al dominio de su instancia de EC2 de Linux.
**Para crear el EC2 DomainJoin rol de Linux**
1. Inicie sesión Consola de administración de AWS como usuario con permiso para crear políticas de IAM. A continuación, abra la consola de IAM en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. En el panel de navegación, en **Administración del acceso**, elija **Roles**.
1. En el panel de contenido, elija **Crear rol**.
1. En **Seleccionar tipo de entidad de confianza**, seleccione **Servicio de AWS **.
1. En **Caso de uso**, seleccione **EC2** y luego elija **Siguiente**.
![\[En la consola de IAM, en la página de selección de la entidad de confianza. AWS se seleccionan el servicio y el EC2.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/iam-console-trusted-entity.png)
1. En **Políticas de filtro**, haga lo siguiente:
1. Escriba **AmazonSSMManagedInstanceCore**. A continuación, seleccione la casilla de verificación de ese elemento de la lista.
1. Escriba **AmazonSSMDirectoryServiceAccess**. A continuación, seleccione la casilla de verificación de ese elemento de la lista.
1. Ingrese **SM-Secret-Linux-DJ-*d-xxxxxxxxxx*-Read** (o el nombre de la política creada en el procedimiento anterior). A continuación, seleccione la casilla de verificación de ese elemento de la lista.
1. Tras añadir las tres políticas enumeradas anteriormente, seleccione **Crear rol**.
**nota**
Amazon SSMDirectory ServiceAccess proporciona los permisos para unir instancias a un Active Directory administrado por Directory Service. Amazon SSMManaged InstanceCore proporciona los permisos mínimos necesarios para utilizar el AWS Systems Manager servicio. Para obtener más información sobre la creación de un rol con estos permisos y para obtener información sobre otros permisos y políticas que puede asignar a su rol de IAM, consulte [Creación de un perfil de instancia de IAM para Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html) en la *Guía del usuario de AWS Systems Manager *.
1. Ingrese un nombre para su nuevo rol, como **LinuxEC2DomainJoin** o cualquier otro nombre de su preferencia en el campo **Nombre del rol**.
1. (Opcional) En **Role description (Descripción del rol)**, escriba una descripción.
1. (Opcional) Para añadir etiquetas, elija **Agregar nueva etiqueta** en el **Paso 3: agregar etiquetas**. Los pares clave-valor con etiqueta se utilizan para organizar, realizar un seguimiento o controlar el acceso a este rol.
1. Elija **Crear rol**.
## Vinculación fluida de una instancia de Linux a Simple Active Directory (Simple AD)
**Cómo vincular de manera fluida una instancia de Linux**
1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. En el selector de regiones de la barra de navegación, elija el Región de AWS mismo directorio que el existente.
1. En el **panel de control de EC2**, en la sección **Lanzar instancia**, elija **Lanzar instancia**.
1. En la página **Iniciar una instancia**, en la sección **Nombre y etiquetas**, ingrese el nombre que desee utilizar para la instancia de EC2 en Linux.
1. *(Opcional)* Seleccione **Agregar etiquetas adicionales** para añadir uno o más pares clave-valor con etiquetas y así organizar, hacer un seguimiento o controlar el acceso a esta instancia de EC2.
1. En la sección **Imagen de aplicación y sistema operativo (Imagen de máquina de Amazon)**, elija la AMI de Linux que desee iniciar.
**nota**
La AMI utilizada debe tener AWS Systems Manager (SSM Agent) la versión 2.3.1644.0 o superior. Para comprobar la versión de SSM Agent instalada en la AMI mediante el lanzamiento de una instancia desde esa AMI, consulte [Obtener la versión de SSM Agent instalada actualmente](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-get-version.html). Si necesita actualizar SSM Agent, consulte [Instalación y configuración de SSM Agent en instancias de EC2 para Linux](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-agent.html).
SSM usa el complemento `aws:domainJoin` al vincular una instancia de Linux a un dominio de Active Directory. El complemento cambia el nombre de host de las instancias de Linux al formato AMAZ-. EC2 *XXXXXXX* Para obtener más información sobre `aws:domainJoin`, consulte [Referencia de complementos del documento de comandos de AWS Systems Manager](https://docs.aws.amazon.com//systems-manager/latest/userguide/documents-command-ssm-plugin-reference.html#aws-domainJoin) en la *Guía del usuario de AWS Systems Manager *.
1. En la sección **Tipo de instancia**, elija el tipo de instancia que desee usar en la lista desplegable **Tipo de instancia**.
1. En la sección **Par de claves (inicio de sesión)**, puede elegir entre crear un nuevo par de claves o elegir un par de claves existente. Para crear un nuevo par de claves, elija **Crear nuevo par de claves**. Ingrese un nombre para el par de claves y seleccione una opción en **Tipo de par de claves** y **Formato de archivo de clave privada**. Para guardar la clave privada en un formato que se pueda utilizar con OpenSSH, elija **.pem**. Para guardar la clave privada en un formato que se pueda utilizar con PuTTY, elija **.ppk**. Elija **Crear par de claves**. Su navegador descargará el archivo de clave privada automáticamente. Guarde el archivo de clave privada en un lugar seguro.
**importante**
Esta es la única oportunidad para guardar el archivo de clave privada.
1. En la página **Lanzar una instancia**, en la sección **Configuración de red**, elija **Editar**. Elija la **VPC** en la que se creó el directorio en la lista desplegable **VPC:* obligatoria***.
1. Elija una de las subredes públicas de su VPC en la lista desplegable **Subred**. La subred que elija debe tener todo el tráfico externo dirigido a una puerta de enlace de Internet. De lo contrario, no podrá conectarse a la instancia de forma remota.
Para obtener más información sobre cómo conectar una puerta de enlace de Internet, consulte [Conexión a Internet mediante una puerta de enlace de Internet](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html) en la *Guía del usuario de Amazon VPC*.
1. En **Autoasignar IP pública**, elija **Habilitar**.
Para obtener más información sobre direcciones IP públicas y privadas, consulte [Direccionamiento IP de instancias Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html) en la *Guía del usuario de Amazon EC2*.
1. En la configuración **Firewall (grupos de seguridad)**, puede usar la configuración predeterminada o hacer cambios para adaptarla a sus necesidades.
1. En la configuración **Configurar almacenamiento**, puede utilizar los ajustes predeterminados o hacer los cambios necesarios para adaptarlos a sus necesidades.
1. Seleccione la sección **Detalles avanzados** y elija su dominio en el menú desplegable **Directorio de vinculación de dominios**.
**nota**
Tras elegir el directorio de vinculación de dominios, es posible que vea lo siguiente:
![\[Aparece un mensaje de error al seleccionar el directorio de vinculación de dominios. Hay un error en el documento SSM existente.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/SSM-Error-Message.png)
Este error se produce si el asistente de inicialización de EC2 identifica un documento SSM existente con propiedades inesperadas. Puede elegir una de las opciones siguientes:
Si ya ha editado el documento SSM y las propiedades son las esperadas, seleccione cerrar y proceda a inicializar la instancia de EC2 sin cambios.
Seleccione el enlace a continuación para eliminar el documento SSM existente. Esto permitirá crear un documento SSM con las propiedades correctas. El documento SSM se creará de forma automática cuando inicialice la instancia de EC2.
1. Para el **perfil de instancia de IAM**, elija el rol de IAM que creó anteriormente en la sección de requisitos previos. **Paso 2:** Crear el rol de Linux. EC2 DomainJoin
1. Seleccione **Iniciar instancia**.
**nota**
Si va a llevar a cabo una unión de dominio fluida con SUSE Linux, es necesario reiniciarla para que las autenticaciones funcionen. Para reiniciar SUSE desde el terminal Linux, escriba **sudo reboot**.