Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Joindre facilement une instance Linux Amazon EC2 à un Managed AWS Microsoft AD partagé
<a name="seamlessly_join_linux_to_shared_MAD"></a>

Au cours de cette procédure, vous allez facilement joindre une instance Linux Amazon EC2 à un AWS Microsoft AD géré partagé. Pour ce faire, vous allez créer une politique de lecture AWS Secrets Manager IAM dans le rôle d'instance EC2 du compte sur lequel vous souhaitez lancer l'instance EC2 Linux. C'est ce que l'on appellera cela `Account 2` dans la présente procédure. Cette instance utilisera le AWS Managed Microsoft AD qui est partagé depuis l'autre compte appelé`Account 1`.

## Conditions préalables
<a name="seamlessly_join_linux_to_shared_MAD_prereqs"></a>

Avant de pouvoir joindre facilement une instance Linux Amazon EC2 à un AWS Microsoft AD géré partagé, vous devez effectuer les opérations suivantes :
+ Étapes 1 à 3 du didacticiel,[Tutoriel : Partage de votre répertoire Microsoft AD AWS géré pour une jonction de domaine EC2 fluide](ms_ad_tutorial_directory_sharing.md). Ce didacticiel vous explique comment configurer votre réseau et partager votre AWS Managed Microsoft AD.
+ La procédure décrite dans[Joindre facilement une instance Linux Amazon EC2 à votre annuaire AWS Microsoft AD Active Directory géré](seamlessly_join_linux_instance.md).

## Étape 1. Créer un EC2 DomainJoin rôle Linux dans le compte 2
<a name="seamlessly_join_linux_to_shared_MAD_step_1"></a>

Au cours de cette étape, vous allez utiliser la console IAM pour créer le rôle IAM que vous utiliserez pour joindre un domaine à votre instance Linux EC2 lorsque vous êtes connecté à. `Account 2`

**Création du EC2 DomainJoin rôle Linux**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le volet de navigation de gauche, sous **Gestion des accès**, sélectionnez **Rôles**.

1. Sur la page **Rôles**, choisissez **Créer un rôle**.

1. Sous **Select type of trusted entity** (Sélectionner le type d'entité approuvée), choisissez ** service AWS **.

1. **Sous **Cas d'utilisation**, choisissez **EC2**, puis Next**

1. Pour **Filter policies** (Filtrer les politiques), procédez comme suit :

   1. Saisissez `AmazonSSMManagedInstanceCore`. Cochez ensuite la case correspondant à cet élément dans la liste.

   1. Saisissez `AmazonSSMDirectoryServiceAccess`. Cochez ensuite la case correspondant à cet élément dans la liste.

   1. Après avoir ajouté ces politiques, sélectionnez **Créer un rôle**.
**Note**  
`AmazonSSMDirectoryServiceAccess`fournit les autorisations nécessaires pour joindre des instances à un Active Directory géré par Directory Service. `AmazonSSMManagedInstanceCore`fournit les autorisations minimales nécessaires à l'utilisation AWS Systems Manager. Pour plus d'informations sur la création d'un rôle doté de ces autorisations, ainsi que sur les autres autorisations et politiques que vous pouvez attribuer à votre rôle IAM, consultez la section [Configurer les autorisations d'instance requises pour Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html) dans le *Guide de l'AWS Systems Manager utilisateur*.

1. Entrez un nom pour votre nouveau rôle, par exemple un autre nom que vous préférez dans le champ **Nom du rôle**. `LinuxEC2DomainJoin`

1. *(Facultatif)* **Dans Description du rôle**, entrez une description.

1. *(Facultatif)* Choisissez **Ajouter une nouvelle balise** à **l'étape 3 : Ajouter des balises** pour ajouter des balises. Les paires clé-valeur de balise sont utilisées pour organiser, suivre ou contrôler l'accès pour ce rôle.

1. Choisissez **Créer un rôle**.

## Étape 2. Créez un accès aux ressources entre comptes pour partager des AWS Secrets Manager secrets
<a name="seamlessly_join_linux_to_shared_MAD_step_2"></a>

La section suivante présente les exigences supplémentaires qui doivent être satisfaites pour joindre facilement des instances EC2 Linux avec un Microsoft AD AWS géré partagé. Ces exigences incluent la création de politiques de ressources et leur rattachement aux services et ressources appropriés.

Pour permettre aux utilisateurs d'un compte d'accéder aux AWS Secrets Manager secrets d'un autre compte, vous devez autoriser l'accès à la fois dans le cadre d'une politique de ressources et d'une politique d'identité. Ce type d'accès est appelé [accès aux ressources entre comptes](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).

Ce type d'accès est différent de l'accès aux identités du même compte que le secret de Secrets Manager. Vous devez également autoriser la clé d'identité à utiliser [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)(KMS) avec laquelle le secret est chiffré. Cette autorisation est nécessaire car vous ne pouvez pas utiliser la clé AWS gérée (`aws/secretsmanager`) pour un accès entre comptes. Au lieu de cela, vous chiffrerez votre secret avec une clé KMS que vous aurez créée, puis vous y associerez une politique de clé. Pour modifier la clé de chiffrement d'un secret, voir [Modifier un AWS Secrets Manager secret](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_update-secret.html).

**Note**  
Des frais sont associés AWS Secrets Manager, selon le secret que vous utilisez. Pour obtenir la liste de prix actuelle complète, consultez [Tarification AWS Secrets Manager](https://aws.amazon.com/secrets-manager/pricing/). Vous pouvez utiliser le Clé gérée par AWS `aws/secretsmanager` logiciel créé par Secrets Manager pour chiffrer vos secrets gratuitement. Si vous créez vos propres clés KMS pour chiffrer vos secrets, cela vous sera AWS facturé au tarif AWS KMS en vigueur. Pour plus d’informations, consultez [Tarification d’AWS Key Management Service](https://aws.amazon.com/kms/pricing/). 

Les étapes suivantes vous permettent de créer les politiques de ressources permettant aux utilisateurs de joindre facilement une instance Linux EC2 à un Microsoft AD AWS géré partagé.

**Associez une politique de ressources au secret dans le compte 1**

1. Ouvrez la console Secrets Manager à l'adresse [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Dans la liste des secrets, choisissez le **secret** que vous avez créé pendant le[Conditions préalables](#seamlessly_join_linux_to_shared_MAD_prereqs).

1. Sur la **page des détails du secret**, sous l'onglet **Vue d'ensemble**, faites défiler la page vers le bas jusqu'à **Autorisations relatives aux ressources**.

1. Sélectionnez **Modifier les autorisations**.

   1. Dans le champ de stratégie, entrez la politique suivante. La politique suivante autorise **Linux EC2 DomainJoin** in `Account 2` à accéder au secret dans`Account 1`. Remplacez la valeur ARN par la valeur ARN de votre `Account 2` `LinuxEC2DomainJoin` rôle que vous avez créé à [l'étape 1](#seamlessly_join_linux_to_shared_MAD_step_1). Pour utiliser cette politique, voir [Associer une politique d'autorisation à un AWS Secrets Manager secret](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html).

------
#### [ JSON ]

****  

     ```
     {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
         {
           "Effect": "Allow",
           "Principal": {
             "AWS": "{{arn:aws:iam::123456789012:role/LinuxEC2DomainJoin}}"
           },
           "Action": "secretsmanager:GetSecretValue",
           "Resource": "*"
         }
       ]
     }
     ```

------

**Ajoutez une déclaration à la politique clé pour la clé KMS dans le compte 1**

1. Ouvrez la console Secrets Manager à l'adresse [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Dans le volet de navigation de gauche, sélectionnez **Clés gérées par le client**.

1. Sur la page **Clés gérées par le client**, sélectionnez la clé que vous avez créée.

1. Sur la page **Informations clés**, accédez à **Politique clé**, puis sélectionnez **Modifier**.

1. La déclaration de politique clé suivante permet `Account 2` à `ApplicationRole` in d'utiliser la clé KMS `Account 1` pour déchiffrer le secret dans`Account 1`. Pour utiliser cette déclaration, ajoutez-la à la stratégie de clé de votre clé KMS. Consultez [Modification d'une stratégie de clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) pour de plus amples informations.

   ```
   {
   {
     "Effect": "Allow",
     "Principal": {
       "AWS": "{{arn:aws:iam::Account2:role/ApplicationRole}}"
     },
     "Action": [
       "kms:Decrypt",
       "kms:DescribeKey"
     ],
     "Resource": "*"
   }
   ```

**Créez une politique d'identité pour l'identité du compte 2**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le volet de navigation de gauche, sous **Gestion des accès**, sélectionnez **Politiques**.

1. Sélectionnez **Create Policy (Créer une politique)**. Choisissez **JSON** dans l'**éditeur de politiques**.

1. La politique suivante permet d'accéder `ApplicationRole` `Account 2` au secret `Account 1` et de déchiffrer la valeur du secret en utilisant la clé de chiffrement qui se trouve également dans`Account 1`. Vous pouvez trouver l'ARN de votre secret dans la console Secrets Manager, sur la page **Détails du secret**, sous **Secret ARN**. Vous pouvez également appeler [describe-secret](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/describe-secret.html) pour identifier l'ARN du secret. Remplacez l'ARN de ressource par l'ARN de ressource pour l'ARN secret et`Account 1`. Pour utiliser cette politique, voir [Associer une politique d'autorisation à un AWS Secrets Manager secret](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html). 

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "secretsmanager:GetSecretValue",
         "Resource": "arn:aws:secretsmanager:{{us-east-1}}:{{111122223333{{:secret:}}secretName-AbCdEf}}"
       },
       {
         "Effect": "Allow",
         "Action": [
           "kms:Decrypt",
           "kms:Describekey"
         ],
         "Resource": "arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/{{Your_Encryption_Key}}"
       }
     ]
   }
   ```

------

1. Sélectionnez **Suivant**, puis sélectionnez **Enregistrer les modifications**.

1. Recherchez et sélectionnez le rôle que vous avez créé `Account 2` dans[Attach a resource policy to the secret in Account 1](#step1ResourcePolicy).

1. Sous **Ajouter des autorisations**, sélectionnez **Joindre des politiques**.

1. Dans la barre de recherche, recherchez la politique que vous avez créée [Add a statement to the key policy for the KMS key in Account 1](#step2KeyPolicy) et cochez la case pour ajouter la politique au rôle. Sélectionnez ensuite **Ajouter des autorisations**.

## Étape 3. Rejoignez facilement votre instance Linux
<a name="seamlessly_join_linux_to_shared_MAD_prereqs_step_3"></a>

Vous pouvez désormais utiliser la procédure suivante pour joindre facilement votre instance Linux EC2 à votre AWS Managed Microsoft AD partagé.

**Pour rejoindre facilement votre instance Linux**

1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Dans le sélecteur de région de la barre de navigation, choisissez le même répertoire Région AWS que le répertoire existant.

1. Sur le **EC2 Dashboard** (tableau de bord EC2), dans la section **Launch instance** (Lancer une instance), choisissez **Launch instance** (Lancer une instance).

1. Sur la page **Lancer une instance**, dans la section **Nom et balises**, entrez le nom que vous souhaitez utiliser pour votre instance Linux EC2.

1.  *(Facultatif)* Choisissez **Ajouter des balises supplémentaires** pour ajouter une ou plusieurs paires clé-valeur de balise afin d'organiser, de suivre ou de contrôler l'accès à cette instance EC2. 

1. Dans la section **Image de l'application et du système d'exploitation (Amazon Machine Image)**, choisissez l'AMI Linux que vous souhaitez lancer.
**Note**  
L'AMI utilisée doit avoir la version 2.3.1644.0 ou supérieure AWS Systems Manager (agent SSM). Pour vérifier la version de l'agent SSM installée dans votre AMI en lançant une instance à partir de cette AMI, veuillez consulter [Getting the currently installed SSM Agent version](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-get-version.html) (français non garanti). Si vous devez mettre à niveau l'agent SSM, veuillez consulter [Installing and configuring SSM Agent on EC2 instances for Linux](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-agent.html) (français non garanti).  
SSM utilise le `aws:domainJoin` plugin pour joindre une instance Linux à un domaine Active Directory. Le plugin remplace le nom d'hôte des instances Linux par le format EC2 AMAZ-. {{XXXXXXX}} Pour plus d'informations à ce sujet`aws:domainJoin`, consultez [AWS Systems Manager la référence du plug-in du document de commande](https://docs.aws.amazon.com//systems-manager/latest/userguide/documents-command-ssm-plugin-reference.html#aws-domainJoin) dans le *guide de AWS Systems Manager l'utilisateur*.

1. Dans la section **Type d'instance**, choisissez le type d'instance que vous souhaitez utiliser dans la liste déroulante **Type d'instance**.

1. Dans la section **Paire de clés (connexion)**, vous pouvez choisir de créer une nouvelle paire de clés ou choisir une paire de clés existante. Pour créer une nouvelle paire de clés, choisissez **Créer une paire de clés**. Entrez le nom de la paire de clés et sélectionnez une option pour le **type de paire de clés** et le **format de fichier de clé privée**. Pour enregistrer la clé privée dans un format qui peut être utilisé avec OpenSSH, choisissez **.pem**. Pour enregistrer la clé privée dans un format qui peut être utilisé avec PuTTY, choisissez **.ppk**. Choisissez **Créer une paire de clés**. Le fichier de clé privée est automatiquement téléchargé dans votre navigateur. Enregistrez le fichier de clé privée en lieu sûr.
**Important**  
C’est votre seule occasion d’enregistrer le fichier de clé privée.

1. Sur la page **Lancer une instance**, dans la section **Paramètres réseau**, choisissez **Modifier**. Choisissez le **VPC** dans lequel votre répertoire a été créé dans la liste déroulante **VPC *obligatoire***.

1. Choisissez l'un des sous-réseaux publics de votre VPC dans la liste déroulante **Sous-réseau**. Tout le trafic externe du sous-réseau que vous choisissez doit être acheminé vers une passerelle Internet. Sinon, vous ne pourrez pas vous connecter à l'instance à distance.

   Pour obtenir plus d'informations sur la manière de se connecter à une passerelle Internet, veuillez consulter la section [Connect to the internet using an internet gateway](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html) (français non garanti) dans le *Guide de l'utilisateur Amazon VPC*.

1. Sous **Auto-assign Public IP** (Attribuer automatiquement l'adresse IP publique), choisissez **Enable** (Activer).

   Pour plus d'informations sur l'adressage IP public et privé, consultez la section Adressage [IP des instances Amazon EC2 dans le guide](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html) de l'utilisateur *Amazon EC2*.

1. Pour les paramètres **Firewall (security groups)** [Pare-feu (groupes de sécurité)], vous pouvez utiliser les paramètres par défaut ou les modifier selon vos besoins. 

1. Pour les paramètres **Configure storage** (Configurer le stockage), vous pouvez utiliser les paramètres par défaut ou les modifier selon vos besoins.

1. Choisissez la section **Advanced details** (Détails avancés), puis sélectionnez votre **domaine dans la liste déroulante Domain join directory** (Annuaire de jonction de domaines).
**Note**  
Après avoir choisi le répertoire de jointure du domaine, vous pouvez voir :   

![Un message d'erreur s'affiche lors de la sélection de votre répertoire de jointure de domaines. Une erreur s'est produite dans votre document SSM existant.](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/SSM-Error-Message.png)

Cette erreur se produit si l'assistant de lancement EC2 identifie un document SSM existant présentant des propriétés inattendues. Vous pouvez effectuer l’une des actions suivantes :  
Si vous avez déjà modifié le document SSM et que les propriétés sont attendues, choisissez Fermer et lancez l'instance EC2 sans aucune modification.
Cliquez sur le lien Supprimer le document SSM existant ici pour supprimer le document SSM. Cela permettra de créer un document SSM avec les propriétés correctes. Le document SSM est automatiquement créé lorsque vous lancez l'instance EC2.

1. Pour le **profil d'instance IAM**, choisissez le rôle IAM que vous avez créé précédemment dans la section Conditions préalables **Étape 2 : Création du** rôle Linux. EC2 DomainJoin 

1. Choisissez **Launch instance** (Lancer une instance).

**Note**  
Si vous effectuez une jonction de domaine transparente avec SUSE Linux, un redémarrage est nécessaire pour que les authentifications fonctionnent. Pour redémarrer SUSE depuis le terminal Linux, tapez **sudo reboot**.