Commencez avec Cross-Account en AWS License Manager utilisant Shared AWS Managed Microsoft AD - AWS License Manager
TerminologiePrérequisLimitesArchitecture réseauComment configurer la fonctionnalité License Manager entre comptesDépannageRessources supplémentaires

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Commencez avec Cross-Account en AWS License Manager utilisant Shared AWS Managed Microsoft AD

AWS License Manager prend en charge la fonctionnalité multi-comptes à l'aide d'un système partagé AWS Managed Microsoft AD, ce qui permet aux entreprises de gérer de manière centralisée les abonnements des utilisateurs à partir du compte du propriétaire d'un annuaire tout en déployant des instances sur plusieurs comptes.

Terminologie

  • Compte propriétaire du répertoire : compte d'administrateur de licence où existe l'AD géré et qui est également responsable de la gestion des abonnements.

  • Compte client d'annuaire : AWS comptes sur lesquels vous souhaitez lancer des instances d'abonnement utilisateur à l'aide d'AD partagé.

Prérequis

Avant de commencer, assurez-vous d'avoir :

Limites

  • La gestion des abonnements des utilisateurs est limitée au compte du propriétaire de l'annuaire.

  • Le partage entre régions n'est pas pris en charge.

  • Facturation consolidée via le compte du propriétaire de l'annuaire : tous les frais d'abonnement sont facturés au compte du propriétaire de l'annuaire, bien que les abonnements puissent exister sur plusieurs comptes.

  • La connectivité réseau est requise entre les comptes.

Architecture réseau

Comment configurer la fonctionnalité License Manager entre comptes

Pour configurer la fonctionnalité License Manager entre comptes, procédez comme suit :

  1. Configurez le compte account/license administrateur du propriétaire du répertoire.

  2. Configurez les comptes clients de l'annuaire.

  3. Établissez la connectivité réseau.

  4. Déployez des instances et gérez les associations d'utilisateurs.

Étape 1 : configurer le compte propriétaire du répertoire/administrateur de licence

Créez et partagez AWS Managed Microsoft AD

  1. Créez-en un AWS Managed Microsoft AD dans votre VPC s'il n'existe pas.

  2. Partagez le répertoire avec les comptes utilisateurs de l'annuaire, comme décrit dans la section Partage de votre répertoire.

  3. Assurez-vous que le répertoire est correctement configuré avec les utilisateurs et les groupes requis.

Abonnez-vous aux produits

  1. Naviguez vers AWS Marketplace.

  2. Localisez et abonnez-vous aux produits dont vous avez besoin, Visual Studio ou Office et RDS SAL.

  3. Partagez l'abonnement Visual Studio ou Office avec les comptes consommateurs de l'annuaire à l'aide de License Manager Create Grants. Vous pouvez également vous abonner à AWS Marketplace des produits sur ces comptes, car cela n'a aucune incidence sur la facturation. Voir Licences accordées.

  4. Vérifiez que le statut de l'abonnement est actif.

Inscrivez-vous auprès du License Manager

  1. Ouvrez la console License Manager.

  2. Accédez aux paramètres des abonnements basés sur l'utilisateur.

  3. Sélectionnez Enregistrer le fournisseur d'identité.

  4. Choisissez votre AWS Managed Microsoft AD.

  5. Terminez le processus d'inscription.

Étape 2 : Configuration des comptes consommateurs de l'annuaire - comptes avec AD partagé

Accepter le répertoire partagé

  1. Ouvrez la console AWS Directory Service.

  2. Accédez à Répertoires partagés.

  3. Localisez et acceptez l'invitation au répertoire partagé.

  4. Notez le nouvel ID de répertoire attribué dans votre compte.

Accepter l'abonnement MP

Dans License Manager, Grants accepte la subvention pour les AWS Marketplace produits. Vous pouvez également vous abonner aux AWS Marketplace produits. Pour en savoir plus, CreateGrant consultez l'API).

Inscrivez-vous auprès du License Manager

  1. Ouvrez la console License Manager.

  2. Accédez à Abonnements basés sur les utilisateurs et choisissez le produit.

  3. Inscrivez-vous à l'aide de l'ID du répertoire partagé et du produit.

  4. Vérifiez le statut d'inscription.

Étape 3 : établir une connectivité réseau entre VPCs

Pour joindre un domaine à vos EC2 instances Amazon Amazon à votre répertoire, vous devez établir une connectivité réseau entre les. VPCs Il existe plusieurs options pour établir une connectivité réseau entre deux VPCs. Cette section explique comment utiliser le peering Amazon VPC.

Configurer l'appairage de VPC

  1. Créez une connexion d'appairage VPC entre le propriétaire du répertoire VPC-0 et le consommateur d'annuaire VPC-1, puis créez une autre connexion entre le propriétaire du répertoire VPC-0 et le consommateur d'annuaire VPC-2.

  2. Activez le routage du trafic entre les VPC VPCs en ajoutant un itinéraire à votre table de routage VPC qui pointe vers la connexion d'appairage VPC pour acheminer le trafic vers l'autre VPC de la connexion d'appairage.

  3. Configurez chacune des tables de routage VPC consommant l'annuaire en ajoutant la connexion d'appairage avec le propriétaire de l'annuaire VPC-0. Si vous le souhaitez, vous pouvez également créer et associer une passerelle Internet Gateway à votre client d'annuaire VPCs. Cela permet aux instances du consommateur d'annuaire VPCs de communiquer avec l'agent Amazon EC2 Systems Manager qui effectue la jonction de domaine.

Configurer des groupes de sécurité

Configurez le groupe de VPCs sécurité du consommateur de votre annuaire pour activer le trafic sortant en ajoutant les AWS Managed Microsoft AD protocoles et les ports au tableau des règles sortantes. Configurez également le groupe de sécurité des contrôleurs VPCs de domaine de votre annuaire pour activer le trafic entrant en ajoutant les AWS Managed Microsoft AD protocoles et les ports au tableau des règles entrantes, afin d'autoriser le trafic provenant des comptes clients de l'annuaire.

Exigences de groupe de sécurité

Compte client VPCs :

  • Activer le trafic sortant vers le VPC du propriétaire de l'annuaire

  • Autoriser la communication sur les ports AD requis

VPC du propriétaire du répertoire :

  • Configuration du trafic entrant en provenance du consommateur VPCs

  • Ajoutez les AWS Managed Microsoft AD protocoles et ports nécessaires, notamment :

    • TCP 53 (DNS)

    • UDP 53 (DNS)

    • TCP 88 (Kerberos)

    • UDP 88 (Kerberos)

    • TCP 135 (RPC)

    • TCP 389 (LDAP)

    • UDP 389 (LDAP)

    • TCP 445 (SMB)

    • TCP 464 (mot de passe Kerberos)

    • UDP 464 (mot de passe Kerberos)

    • TCP 636 (LDAP)

    • TCP 3268-3269 (catalogue mondial)

    • TCP 1024-65535 (RPC dynamique)

Étape 4 : Déployer des instances et gérer les associations d'utilisateurs

Inscrire des utilisateurs (compte du propriétaire du répertoire uniquement)

  1. Ouvrez la console License Manager.

  2. Accédez à Abonnements basés sur les utilisateurs.

  3. Sélectionnez les utilisateurs abonnés

  4. Entrez les identifiants AWS Managed Microsoft AD d'utilisateur

  5. Choisissez le produit et confirmez l'abonnement.

Lancer des instances

Effectuez cette étape dans n'importe quel compte.

  1. Accédez à la EC2 console Amazon.

  2. Choisissez Launch Instances (Lancer les instances).

  3. Sélectionnez l'AMI License Manager appropriée.

  4. Configurez les paramètres réseau.

  5. Révision et lancement.

Associer des utilisateurs à des instances

Effectuez cette étape dans n'importe quel compte sur lequel l'instance existe.

  1. Ouvrez la console License Manager.

  2. Accédez à Associations d'utilisateurs.

  3. Sélectionnez l'instance cible.

  4. Choisissez Utilisateurs associés.

  5. Entrez les AWS Managed Microsoft AD noms d'utilisateur.

  6. Confirmez l'association.

Dépannage

Problèmes courants et solutions :

Défaillances de jonction de domaines

  1. Vérifiez la connectivité réseau entre les comptes.

  2. Vérifiez les configurations des groupes de sécurité.

  3. Vérifiez que la résolution DNS fonctionne.

  4. Validez les entrées de la table de routage.

Problèmes d'abonnement des utilisateurs

  1. Confirmez que l'utilisateur existe dans AWS Managed Microsoft AD.

  2. Vérifiez le statut de l'abonnement dans le compte du propriétaire du répertoire.

  3. Vérifiez la connectivité réseau.

  4. Consultez les journaux d'erreurs.

Problèmes de connectivité réseau

  1. Testez l'état de la connexion d'appairage VPC.

  2. Vérifiez les configurations des tables de routage.

  3. Vérifiez les règles du groupe de sécurité.

  4. Confirmez la résolution DNS.

Problèmes de résolution DNS

  1. Vérifiez les ensembles d'options DHCP.

  2. Vérifiez les configurations du serveur DNS.

  3. Testez la résolution des noms à partir d'instances de consommateurs.

Ressources supplémentaires