Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Bergabunglah dengan instans Amazon EC2 Linux dengan mulus ke Simple AD Active Directory
<a name="simple_ad_seamlessly_join_linux_instance"></a>

Prosedur ini menggabungkan instans Amazon EC2 Linux dengan mulus ke Simple AD Active Directory Anda.

Distribusi instans Linux dan versi berikut ini didukung:
+ Amazon Linux AMI 2018.03.0
+ Amazon Linux 2 (64-bit x86)
+ Red Hat Enterprise Linux 8 (HVM) (64-bit x86)
+ Ubuntu Server 18.04 LTS & Ubuntu Server 16.04 LTS
+ CentOS 7 x86-64
+ SUSE Linux Server Perusahaan 15 SP1

**catatan**  
Distribusi sebelum Ubuntu 14 dan Red Hat Enterprise Linux 7 dan 8 tidak mendukung fitur join domain yang mulus.

## Prasyarat
<a name="simple_ad_seamless-linux-prereqs"></a>

Sebelum Anda dapat mengatur gabungan domain tanpa batas ke instance Linux, Anda harus menyelesaikan prosedur di bagian ini.

### Pilih akun layanan penggabungan domain mulus Anda
<a name="simple_ad_seamless-linux-prereqs-select"></a>

Anda dapat menggabungkan komputer Linux secara mulus ke domain Simple AD Anda. Untuk melakukannya, Anda harus membuat akun pengguna dengan membuat izin akun komputer untuk menggabungkan komputer ke domain. Meskipun anggota *Admin Domain* atau grup lain mungkin memiliki hak istimewa yang memadai untuk menggabungkan komputer ke domain, kami tidak menyarankan untuk menggunakan ini. Sebagai praktik terbaik, kami rekomendasikan Anda menggunakan akun layanan yang memiliki hak istimewa minimum yang diperlukan untuk menggabungkan komputer ke domain.

Untuk informasi tentang cara memproses dan mendelegasikan izin ke akun layanan Anda untuk pembuatan akun komputer, lihat [Mendelegasikan hak istimewa ke akun layanan Anda](ad_connector_getting_started.md#connect_delegate_privileges).

### Membuat rahasia untuk menyimpan akun layanan domain
<a name="-create-secrets"></a>

Anda dapat menggunakan AWS Secrets Manager untuk menyimpan akun layanan domain. Untuk informasi selengkapnya, lihat [Membuat AWS Secrets Manager rahasia](https://docs.aws.amazon.com//secretsmanager/latest/userguide/create_secret.html).

**catatan**  
Ada biaya yang terkait dengan Secrets Manager. Untuk informasi selengkapnya lihat, [Harga](https://docs.aws.amazon.com//secretsmanager/latest/userguide/intro.html#asm_pricing) di *Panduan AWS Secrets Manager Pengguna*.

**Untuk Membuat rahasia dan menyimpan informasi akun layanan domain**

1. Masuk ke Konsol Manajemen AWS dan buka AWS Secrets Manager konsol di [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Pilih **Simpan rahasia baru**. 

1. Pada halaman **Simpan rahasia baru**, lakukan hal berikut:

   1. Di bawah **Tipe rahasia**, pilih **Jenis rahasia lainnya**.

   1. Di bawah **pasangan kunci/nilai**, lakukan hal berikut:

      1. Dalam kotak pertama, masukkan **awsSeamlessDomainUsername**. Pada baris yang sama, di kotak berikutnya, masukkan nama pengguna untuk akun layanan Anda. Misalnya, jika Anda menggunakan PowerShell perintah sebelumnya, nama akun layanan akan menjadi**awsSeamlessDomain**.
**catatan**  
Anda harus memasukkan **awsSeamlessDomainUsername** persis seperti itu. Pastikan tidak ada spasi awal atau akhir. Jika tidak maka penggabungan domain akan gagal.   
![\[Di AWS Secrets Manager konsol pada halaman pilih jenis rahasia. Jenis rahasia lainnya dipilih di bawah tipe rahasia dan awsSeamlessDomainUsername dimasukkan sebagai nilai kunci.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/secrets_manager_1.png)

      1. Pilih **Tambahkan baris**.

      1. Pada baris baru, di kotak pertama, masukkan **awsSeamlessDomainPassword**. Pada baris yang sama, di kotak berikutnya, masukkan kata sandi untuk akun layanan Anda.
**catatan**  
Anda harus memasukkan **awsSeamlessDomainPassword** persis seperti itu. Pastikan tidak ada spasi awal atau akhir. Jika tidak maka penggabungan domain akan gagal. 

      1. Di bawah **kunci Enkripsi,** tinggalkan nilai default`aws/secretsmanager`. AWS Secrets Manager selalu mengenkripsi rahasia ketika Anda memilih opsi ini. Anda juga dapat memilih kunci yang Anda buat.

      1. Pilih **Berikutnya**.

1. Di bawah **nama Rahasia**, masukkan nama rahasia yang menyertakan ID direktori Anda menggunakan format berikut, ganti *d-xxxxxxxxx* dengan ID direktori Anda:

   ```
   aws/directory-services/d-xxxxxxxxx/seamless-domain-join
   ```

   Ini akan digunakan untuk mengambil rahasia dalam aplikasi.
**catatan**  
Anda harus memasukkan **aws/directory-services/*d-xxxxxxxxx*/seamless-domain-join** persis seperti itu tetapi ganti *d-xxxxxxxxxx* dengan ID direktori Anda. Pastikan tidak ada spasi awal atau akhir. Jika tidak maka penggabungan domain akan gagal.   
![\[Di AWS Secrets Manager konsol pada halaman konfigurasikan rahasia. Nama rahasia dimasukkan dan disorot.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/secrets_manager_2.png)

1. Biarkan yang lainnya diatur ke default, dan kemudian pilih **Selanjutnya**.

1. Di bawah **Konfigurasikan rotasi otomatis**, pilih **Nonaktifkan rotasi otomatis**, lalu pilih **Selanjutnya**.

   Anda dapat mengaktifkan rotasi untuk rahasia ini setelah Anda menyimpannya.

1. Tinjau pengaturan, dan kemudian pilih **Simpan** untuk menyimpan perubahan Anda. Konsol Secrets Manager mengembalikan Anda ke daftar rahasia di akun Anda dengan rahasia baru Anda masuk di dalam daftar. 

1. Pilih nama rahasia Anda yang baru dibuat dari daftar, dan perhatikan nilai **ARN rahasia**. Anda akan membutuhkannya di bagian selanjutnya.

### Aktifkan rotasi untuk rahasia akun layanan domain
<a name="seamless-linux-prereqs-turn-on-rotation"></a>

Kami menyarankan Anda memutar rahasia secara teratur untuk meningkatkan postur keamanan Anda. 

**Untuk mengaktifkan rotasi untuk rahasia akun layanan domain**
+ Ikuti petunjuk di [Mengatur rotasi otomatis untuk AWS Secrets Manager rahasia](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) di *Panduan AWS Secrets Manager Pengguna*.

  Untuk Langkah 5, gunakan template rotasi [kredenal Microsoft Active Directory](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_available-rotation-templates.html#template-AD-password) di *AWS Secrets Manager Panduan Pengguna*.

  Untuk bantuan, lihat [Memecahkan masalah AWS Secrets Manager rotasi](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html) di *AWS Secrets Manager Panduan Pengguna*.

### Untuk membuat kebijakan dan peran IAM yang diperlukan
<a name="seamless-linux-prereqs-create-policy"></a>

Gunakan langkah-langkah prasyarat berikut untuk membuat kebijakan khusus yang memungkinkan akses hanya-baca ke rahasia gabungan domain tanpa batas Secrets Manager Anda (yang Anda buat sebelumnya), dan untuk membuat peran IAM Linux baru. EC2 DomainJoin 

#### Membuat kebijakan membaca IAM Secrets Manager
<a name="seamless-linux-prereqs-create-policy-step1"></a>

Anda menggunakan konsol IAM untuk membuat kebijakan yang memberikan akses hanya-baca ke rahasia Secrets Manager Anda.

**Untuk membuat kebijakan membaca IAM Secrets Manager**

1. Masuk ke pengguna Konsol Manajemen AWS sebagai pengguna yang memiliki izin untuk membuat kebijakan IAM. Kemudian buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, **Manajemen Akses**, pilih **Kebijakan**.

1. Pilih **Buat kebijakan**.

1. Pilih tab **JSON** dan salin teks dari dokumen kebijakan JSON berikut. Kemudian tempelkan ke dalam kotak teks **JSON**.
**catatan**  
Pastikan Anda mengganti Region and Resource ARN dengan Region dan ARN sebenarnya dari rahasia yang Anda buat sebelumnya.

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "secretsmanager:GetSecretValue",
                   "secretsmanager:DescribeSecret"
               ],
               "Resource": [
                   "arn:aws:secretsmanager:us-east-1:xxxxxxxxx:secret:aws/directory-services/d-xxxxxxxxx/seamless-domain-join"
               ]
           }
       ]
   }
   ```

1. Setelah selesai, pilih **Selanjutnya**. Validator kebijakan melaporkan kesalahan sintaksis. Untuk informasi selengkapnya, lihat [Memvalidasi kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html).

1. Pada halaman **Tinjau kebijakan**, masukkan nama kebijakan, seperti **SM-Secret-Linux-DJ-*d-xxxxxxxxxx*-Read**. Tinjau bagian **Ringkasan** untuk melihat izin yang diberikan oleh kebijakan Anda. Lalu pilih **Buat kebijakan** untuk menyimpan perubahan Anda. Kebijakan baru muncul di daftar kebijakan terkelola dan siap dilampirkan pada identitas.

**catatan**  
Kami rekomendasikan Anda membuat satu kebijakan per rahasia. Melakukan hal tersebut memastikan bahwa instans hanya memiliki akses ke rahasia yang sesuai dan meminimalkan dampak jika sebuah instans dikompromikan. 

#### Buat EC2 DomainJoin peran Linux
<a name="seamless-linux-prereqs-create-policy-step2"></a>

Anda menggunakan konsol IAM untuk membuat peran yang akan Anda gunakan untuk penggabungan domain dengan instans EC2 Linux Anda.

**Untuk membuat EC2 DomainJoin peran Linux**

1. Masuk ke pengguna Konsol Manajemen AWS sebagai pengguna yang memiliki izin untuk membuat kebijakan IAM. Kemudian buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, di bawah **Manajemen Akses**, pilih **Peran**.

1. Di panel konten, pilih **Buat peran**.

1. Di bawah **Pilih jenis entitas terpercaya**, pilih **AWS layanan**.

1. Di bawah **Kasus penggunaan**, pilih **EC2**, lalu pilih **Berikutnya**.  
![\[Di konsol IAM pada halaman pilih entitas tepercaya. AWS layanan dan EC2 dipilih.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/iam-console-trusted-entity.png)

1. Untuk **Kebijakan filter**, lakukan hal berikut:

   1. Masukkan **AmazonSSMManagedInstanceCore**. Lalu pilih kotak centang untuk item tersebut di dalam daftar.

   1. Masukkan **AmazonSSMDirectoryServiceAccess**. Lalu pilih kotak centang untuk item tersebut di dalam daftar.

   1. Masukkan **SM-Secret-Linux-DJ-*d-xxxxxxxxxx*-Read** (atau nama kebijakan yang Anda buat dalam prosedur sebelumnya). Lalu pilih kotak centang untuk item tersebut di dalam daftar.

   1. Setelah menambahkan tiga kebijakan yang tercantum di atas, pilih **Buat peran**.
**catatan**  
Amazon SSMDirectory ServiceAccess menyediakan izin untuk menggabungkan instance ke Active Directory yang dikelola oleh. Directory Service Amazon SSMManaged InstanceCore memberikan izin minimum yang diperlukan untuk menggunakan AWS Systems Manager layanan ini. Untuk informasi selengkapnya tentang cara membuat peran dengan izin ini, dan untuk informasi tentang izin dan kebijakan lain yang dapat Anda tetapkan ke IAM role, lihat [Buat profil instans IAM untuk Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html) di *Panduan Pengguna AWS Systems Manager *.

1. Masukkan nama untuk peran baru Anda, seperti **LinuxEC2DomainJoin** atau nama lain yang Anda inginkan di bidang **Nama peran**.

1. (Opsional) Untuk **Deskripsi peran**, masukkan deskripsi.

1. (Opsional) Pilih **Tambahkan tag baru** di bawah **Langkah 3: Tambahkan tag** untuk menambahkan tag. Pasangan nilai kunci tag digunakan untuk mengatur, melacak, atau mengontrol akses untuk peran ini.

1. Pilih **Buat peran**.

## Bergabunglah dengan instans Linux dengan mulus ke Simple AD Active Directory Anda
<a name="simple_ad_seamless-linux-join-instance"></a>

**Untuk bergabung dengan instans Linux Anda dengan mulus**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Dari pemilih Region di bilah navigasi, pilih yang Wilayah AWS sama dengan direktori yang ada.

1. Di **Dasbor EC2**, di bagian **Launch instance**, pilih **Launch instance**.

1. Pada halaman **Launch an instance**, di bawah bagian **Name and Tags**, masukkan nama yang ingin Anda gunakan untuk instans Linux EC2 Anda.

1.  *(Opsional)* Pilih **Tambahkan tag tambahan** untuk menambahkan satu atau beberapa pasangan nilai kunci tag untuk mengatur, melacak, atau mengontrol akses untuk instans EC2 ini. 

1. Di bagian **Application and OS Image (Amazon Machine Image)**, pilih AMI Linux yang ingin Anda luncurkan.
**catatan**  
AMI yang digunakan harus memiliki AWS Systems Manager (Agen SSM) versi 2.3.1644.0 atau lebih tinggi. Untuk memeriksa versi SSM Agent yang diinstal di AMI Anda dengan meluncurkan sebuah instans dari AMI tersebut, lihat [Mendapatkan versi Agen SSM yang saat ini diinstal](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-get-version.html). Jika Anda perlu meningkatkan Agen SSM, lihat [Menginstal dan mengkonfigurasi SSM Agent pada instans EC2 untuk Linux](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-agent.html).  
SSM menggunakan `aws:domainJoin` plugin saat menggabungkan instance Linux ke domain Active Directory. Plugin mengubah nama host untuk instance Linux ke format EC2 AMAZ-. *XXXXXXX* Untuk informasi selengkapnya`aws:domainJoin`, lihat [referensi plugin dokumen AWS Systems Manager perintah](https://docs.aws.amazon.com//systems-manager/latest/userguide/documents-command-ssm-plugin-reference.html#aws-domainJoin) di *Panduan AWS Systems Manager Pengguna*.

1. Di bagian **Jenis instans**, pilih jenis instance yang ingin Anda gunakan dari daftar dropdown **tipe Instance**.

1. Di bagian **Key pair (login)**, Anda dapat memilih untuk membuat key pair baru atau memilih dari key pair yang ada. Untuk membuat key pair baru, pilih **Create new key pair**. Masukkan nama untuk key pair dan pilih opsi untuk **Key pair type** dan **Private key file format**. **Untuk menyimpan kunci pribadi dalam format yang dapat digunakan dengan OpenSSH, pilih.pem.** **Untuk menyimpan kunci pribadi dalam format yang dapat digunakan dengan PuTTY, pilih.ppk.** Pilih **create key pair**. File kunci privat tersebut akan secara otomatis diunduh oleh peramban Anda. Simpan file kunci privat di suatu tempat yang aman.
**penting**  
Ini adalah satu-satunya kesempatan Anda untuk menyimpan file kunci privat tersebut.

1. Pada halaman **Luncurkan instance**, di bawah bagian **Pengaturan jaringan**, pilih **Edit**. *Pilih **VPC** tempat direktori Anda dibuat dari daftar dropdown yang diperlukan **VPC**.*

1. **Pilih salah satu subnet publik di VPC Anda dari daftar dropdown Subnet.** Subnet yang Anda pilih harus memiliki semua lalu lintas eksternal yang diarahkan ke gateway internet. Jika hal ini tidak terjadi, Anda tidak akan dapat terhubung ke instans dari jarak jauh.

   Untuk informasi selengkapnya tentang cara menyambung ke gateway internet, lihat [Connect to the internet menggunakan gateway internet](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html) di *Panduan Pengguna Amazon VPC*.

1. **Di bawah **Auto-assign IP publik**, pilih Aktifkan.**

   Untuk informasi selengkapnya tentang pengalamatan IP publik dan pribadi, lihat pengalamatan [IP instans Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html) di Panduan Pengguna Amazon *EC2*.

1. Untuk pengaturan **Firewall (grup keamanan)**, Anda dapat menggunakan pengaturan default atau membuat perubahan untuk memenuhi kebutuhan Anda. 

1. Untuk **Konfigurasi pengaturan penyimpanan**, Anda dapat menggunakan pengaturan default atau membuat perubahan untuk memenuhi kebutuhan Anda.

1. Pilih bagian **Detail lanjutan**, pilih domain Anda dari **daftar dropdown direktori Gabung Domain**.
**catatan**  
Setelah memilih direktori Gabung Domain, Anda mungkin melihat:   

![\[Pesan galat saat memilih direktori Gabung Domain Anda. Ada kesalahan dengan dokumen SSM Anda yang ada.\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/SSM-Error-Message.png)

Kesalahan ini terjadi jika wizard peluncuran EC2 mengidentifikasi dokumen SSM yang ada dengan properti yang tidak terduga. Anda dapat melakukan salah satu dari yang berikut:  
Jika sebelumnya Anda mengedit dokumen SSM dan properti diharapkan, pilih tutup dan lanjutkan untuk meluncurkan instans EC2 tanpa perubahan.
Pilih tautan hapus dokumen SSM yang ada di sini untuk menghapus dokumen SSM. Ini akan memungkinkan pembuatan dokumen SSM dengan properti yang benar. Dokumen SSM akan secara otomatis dibuat saat Anda meluncurkan instans EC2.

1. Untuk **profil instans IAM**, pilih peran IAM yang sebelumnya Anda buat di bagian prasyarat **Langkah 2**: Buat peran Linux. EC2 DomainJoin 

1. Pilih **Luncurkan instans**.

**catatan**  
Jika Anda menjalankan penggabungan domain yang mulus dengan SUSE Linux, reboot diperlukan sebelum autentikasi akan bekerja. Untuk me-reboot SUSE dari terminal Linux, ketik **sudo reboot**.