Comience a utilizar Cross-Account mediante Shared AWS License ManagerAWS Managed Microsoft AD - AWS License Manager
TerminologíaRequisitos previosLimitacionesArquitectura de redCómo configurar la funcionalidad License Manager multicuentaSolución de problemasRecursos adicionales

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Comience a utilizar Cross-Account mediante Shared AWS License ManagerAWS Managed Microsoft AD

AWS License Manager admite la funcionalidad multicuenta mediante una cuenta compartida AWS Managed Microsoft AD, lo que permite a las organizaciones administrar de forma centralizada las suscripciones de los usuarios desde una cuenta de propietario del directorio y, al mismo tiempo, implementar instancias en varias cuentas.

Terminología

  • Cuenta de propietario del directorio: cuenta de administrador de licencias en la que se encuentra el AD gestionado y que también se encarga de gestionar las suscripciones.

  • Cuenta de consumidor de directorio: AWS cuentas en las que desea lanzar instancias de suscripciones de usuarios mediante un AD compartido.

Requisitos previos

Antes de comenzar, asegúrese de que dispone de lo siguiente:

Limitaciones

  • La administración de las suscripciones de los usuarios está restringida a la cuenta del propietario del directorio.

  • No se admite el uso compartido entre regiones.

  • Facturación unificada a través de la cuenta del propietario del directorio: todos los costes de suscripción se facturan a la cuenta del propietario del directorio, aunque las suscripciones pueden existir en varias cuentas.

  • Se requiere conectividad de red entre las cuentas.

Arquitectura de red

Cómo configurar la funcionalidad License Manager multicuenta

Para configurar la funcionalidad de License Manager multicuenta:

  1. Configure la cuenta de account/license administrador del propietario del directorio.

  2. Configure las cuentas de consumidor del directorio.

  3. Establezca la conectividad de la red.

  4. Implemente instancias y gestione las asociaciones de usuarios.

Paso 1: Configurar la cuenta de propietario del directorio o administrador de licencias

Crea y comparte AWS Managed Microsoft AD

  1. Cree una AWS Managed Microsoft AD en su VPC si no existe.

  2. Comparta el directorio con las cuentas de los consumidores del directorio, tal y como se describe en Compartir su directorio.

  3. Asegúrese de que el directorio esté configurado correctamente con los usuarios y grupos necesarios.

Suscríbase a los productos

  1. Navega hasta AWS Marketplace.

  2. Busque los productos que necesite y suscríbase a ellos: Visual Studio u Office y RDS SAL.

  3. Comparta la suscripción a Visual Studio u Office con el directorio de cuentas de consumidores mediante License Manager Create Grants. Como alternativa, puede suscribirse a AWS Marketplace los productos de estas cuentas, ya que esto no afecta a la facturación. Consulte Licencias concedidas.

  4. Compruebe que el estado de la suscripción esté activo.

Regístrese con License Manager

  1. Abra la Consola de License Manager.

  2. Vaya a la configuración de suscripciones basadas en usuarios.

  3. Selecciona Registrar proveedor de identidad.

  4. Elige tu AWS Managed Microsoft AD.

  5. Complete el proceso de registro.

Paso 2: Configurar el directorio de cuentas de consumo (cuentas con AD compartido)

Acepte el directorio compartido

  1. Abra la consola de AWS Directory Service.

  2. Navegue hasta los directorios compartidos.

  3. Localice y acepte la invitación al directorio compartido.

  4. Anote el nuevo identificador de directorio asignado a su cuenta.

Acepte la suscripción a MP

En License Manager Grants, acepte la subvención para AWS Marketplace productos. También puede suscribirse a AWS Marketplace los productos. Más información en la CreateGrant API).

Regístrese con License Manager

  1. Abra la Consola de License Manager.

  2. Vaya a Suscripciones basadas en usuarios y elija el producto.

  3. Regístrese con el ID del directorio compartido y el producto.

  4. Verifique el estado de registro.

Paso 3: Establecer la conectividad de red entre VPCs

Para unir el dominio de sus EC2 instancias de Amazon a su directorio, debe establecer la conectividad de red entre. VPCs Existen varias opciones para establecer la conectividad de red entre dos. VPCs En esta sección, se muestra cómo utilizar el peering de Amazon VPC.

Configurar las interconexiones de VPC

  1. Cree una conexión de emparejamiento de VPC entre el propietario del directorio VPC-0 y el consumidor de directorios VPC-1 y, a continuación, cree otra conexión entre el propietario del directorio VPC-0 y el consumidor de directorios VPC-2.

  2. Habilite el enrutamiento de tráfico entre las VPC VPCs emparejadas agregando una ruta a su tabla de enrutamiento de VPC que apunte a la conexión de emparejamiento de VPC para enrutar el tráfico a la otra VPC de la conexión de emparejamiento.

  3. Configure cada una de las tablas de enrutamiento de VPC consumidoras de directorios añadiendo la conexión de emparejamiento con el propietario del directorio, VPC-0. Si lo desea, también puede crear y adjuntar un Internet Gateway a su directorio consumidor VPCs. Esto permite que las instancias del consumidor del directorio se VPCs comuniquen con el agente de Amazon EC2 Systems Manager que realiza la unión al dominio.

Configuración de grupos de seguridad

Configure el grupo de seguridad VPCs de los consumidores del directorio para habilitar el tráfico saliente añadiendo los AWS Managed Microsoft AD protocolos y puertos a la tabla de reglas de salida. Además, configure el grupo de seguridad de los controladores VPCs de dominio de su directorio para habilitar el tráfico entrante añadiendo AWS Managed Microsoft AD los protocolos y los puertos a la tabla de reglas de entrada, a fin de permitir el tráfico procedente de las cuentas de los consumidores del directorio.

Requisitos del grupo de seguridad

Cuenta de consumidor: VPCs

  • Habilitar el tráfico saliente a la VPC propietaria del directorio

  • Permita la comunicación en los puertos AD necesarios

VPC propietario del directorio:

  • Configure el tráfico entrante del consumidor VPCs

  • Agregue AWS Managed Microsoft AD los protocolos y puertos necesarios, incluidos:

    • TCP 53 (DNS)

    • UDP 53 (DNS)

    • TCP 88 (Kerberos)

    • UDP 88 (Kerberos)

    • TCP 135 (RPC)

    • TCP 389 (LDAP)

    • UDP 389 (LDAP)

    • TCP 445 (SMB)

    • TCP 464 (contraseña de Kerberos)

    • UDP 464 (contraseña de Kerberos)

    • TCP 636 (LDAPS)

    • TCP 3268-3269 (catálogo global)

    • TCP 1024-65535 (RPC dinámico)

Paso 4: implementar instancias y administrar las asociaciones de usuarios

Suscribir usuarios (solo para la cuenta del propietario del directorio)

  1. Abra la Consola de License Manager.

  2. Navegue hasta Suscripciones basadas en usuarios.

  3. Seleccione Suscribir usuarios

  4. Introduzca los identificadores AWS Managed Microsoft AD de usuario

  5. Elija el producto y confirme la suscripción.

iniciar instancias

Realice este paso en cualquier cuenta.

  1. Ve a la EC2 consola de Amazon.

  2. Elija Iniciar instancia.

  3. Seleccione la AMI de License Manager adecuada.

  4. Configure los ajustes de red.

  5. Revise y ejecute.

Asocia usuarios a instancias

Realice este paso en cualquier cuenta en la que exista la instancia.

  1. Abra la consola License Manager.

  2. Navegue hasta Asociaciones de usuarios.

  3. Seleccione la instancia de destino.

  4. Elija Asociar usuarios.

  5. Introduzca los AWS Managed Microsoft AD nombres de usuario.

  6. Confirme la asociación.

Solución de problemas

Problemas y soluciones comunes:

Fallos de unión de dominios

  1. Compruebe la conectividad de red entre las cuentas.

  2. Compruebe las configuraciones de los grupos de seguridad.

  3. Confirme que la resolución de DNS funciona.

  4. Valide las entradas de la tabla de rutas.

Problemas con la suscripción de los usuarios

  1. Confirma que el usuario existe en AWS Managed Microsoft AD.

  2. Compruebe el estado de la suscripción en la cuenta del propietario del directorio.

  3. Compruebe la conectividad de la red.

  4. Revise los registros de errores.

Problemas de conectividad de red

  1. Pruebe el estado de la conexión de emparejamiento de VPC.

  2. Verifique las configuraciones de la tabla de enrutamiento.

  3. Compruebe las reglas de los grupos de seguridad.

  4. Confirme la resolución del DNS.

Problemas de resolución de DNS

  1. Compruebe los conjuntos de opciones de DHCP.

  2. Compruebe las configuraciones del servidor DNS.

  3. Pruebe la resolución de nombres de las instancias de consumo.

Recursos adicionales