Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Unire senza problemi un'istanza Amazon EC2 Linux a un AWS Managed Microsoft AD condiviso
<a name="seamlessly_join_linux_to_shared_MAD"></a>

In questa procedura, unirai senza problemi un'istanza Amazon EC2 Linux a un AWS Managed Microsoft AD condiviso. A tale scopo, creerai una policy di lettura Gestione dei segreti AWS IAM nel ruolo dell'istanza EC2 nell'account in cui desideri avviare l'istanza EC2 Linux. A questo si farà riferimento `Account 2` in questa procedura. Questa istanza utilizzerà l'AD AWS gestito di Microsoft che viene condiviso dall'altro account denominato`Account 1`.

## Prerequisiti
<a name="seamlessly_join_linux_to_shared_MAD_prereqs"></a>

Prima di poter unire senza problemi un'istanza Amazon EC2 Linux a un AWS Managed Microsoft AD condiviso, dovrai completare quanto segue:
+ I passaggi da 1 a 3 del tutorial,. [Tutorial: Condivisione della directory AWS Managed Microsoft AD per aggiungere facilmente un dominio EC2](ms_ad_tutorial_directory_sharing.md) Questo tutorial illustra la configurazione della rete e la condivisione di AWS Managed Microsoft AD.
+ La procedura descritta in[Unisci senza problemi un'istanza Amazon EC2 Linux alla tua directory AWS gestita di Microsoft AD Active Directory](seamlessly_join_linux_instance.md).

## Passaggio 1. Crea il EC2 DomainJoin ruolo Linux nell'Account 2
<a name="seamlessly_join_linux_to_shared_MAD_step_1"></a>

In questo passaggio, utilizzerai la console IAM per creare il ruolo IAM che utilizzerai per aggiungere il dominio all'istanza EC2 Linux mentre sei connesso. `Account 2`

**Crea il ruolo Linux EC2 DomainJoin**

1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione a sinistra, in **Gestione degli accessi**, scegli **Ruoli**.

1. Nella pagina **Ruoli**, seleziona **Crea ruolo**.

1. In **Select type of trusted entity** (Seleziona tipo di entità attendibile), scegli **AWS service** (Servizio).

1. **In Caso d'uso****, scegli **EC2**, quindi scegli Avanti**

1. In **Filtra policy**‬, procedi come segue:

   1. Specificare `AmazonSSMManagedInstanceCore`. Quindi seleziona la casella di controllo relativa a quell'elemento nell'elenco.

   1. Specificare `AmazonSSMDirectoryServiceAccess`. Quindi seleziona la casella di controllo relativa a quell'elemento nell'elenco.

   1. Dopo aver aggiunto queste politiche, seleziona **Crea ruolo**.
**Nota**  
`AmazonSSMDirectoryServiceAccess`fornisce le autorizzazioni per unire le istanze a un Active Directory gestito da. Directory Service`AmazonSSMManagedInstanceCore`fornisce le autorizzazioni minime necessarie per l'uso. AWS Systems Manager*Per ulteriori informazioni sulla creazione di un ruolo con queste autorizzazioni e per informazioni su altre autorizzazioni e policy che puoi assegnare al tuo ruolo IAM, consulta [Configurare le autorizzazioni di istanza richieste per Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html) nella Guida per l'utente.AWS Systems Manager *

1. **Inserisci un nome per il tuo nuovo ruolo, ad esempio `LinuxEC2DomainJoin` o un altro nome che preferisci nel campo Nome del ruolo.**

1. *(Facoltativo)* Per la **descrizione del ruolo**, inserisci una descrizione.

1. *(Facoltativo)* Scegli **Aggiungi nuovo tag** nel **Passaggio 3: Aggiungi tag** per aggiungere tag. Le coppie chiave-valore dei tag vengono utilizzate per organizzare, tracciare o controllare l'accesso per questo ruolo.

1. Scegli **Crea ruolo**.

## Passaggio 2. Crea l'accesso alle risorse su più account per condividere segreti Gestione dei segreti AWS
<a name="seamlessly_join_linux_to_shared_MAD_step_2"></a>

La sezione successiva illustra i requisiti aggiuntivi che devono essere soddisfatti per unire senza problemi le istanze Linux EC2 con un Managed AWS Microsoft AD condiviso. Questi requisiti includono la creazione di politiche relative alle risorse e il loro collegamento ai servizi e alle risorse appropriati.

Per consentire agli utenti di un account di accedere ai Gestione dei segreti AWS segreti di un altro account, è necessario consentire l'accesso sia in una politica delle risorse che in una politica di identità. Questo tipo di accesso è denominato [accesso alle risorse tra account](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).

Questo tipo di accesso è diverso dalla concessione dell'accesso alle identità nello stesso account del segreto di Secrets Manager. È inoltre necessario consentire l'utilizzo della chiave Identity to Use [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)(KMS) con cui il segreto è crittografato. Questa autorizzazione è necessaria in quanto non è possibile utilizzare la chiave AWS gestita (`aws/secretsmanager`) per l'accesso tra account diversi. Invece, crittograferai il tuo segreto con una chiave KMS creata da te e quindi allegherai una politica di chiave. Per modificare la chiave di crittografia per un segreto, vedi [Modificare un Gestione dei segreti AWS](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_update-secret.html) segreto.

**Nota**  
Sono previste delle tariffe associate Gestione dei segreti AWS, a seconda del segreto utilizzato. Per l'elenco completo dei prezzi aggiornati, consulta la [pagina dei prezzi Gestione dei segreti AWS](https://aws.amazon.com/secrets-manager/pricing/). Puoi utilizzare il Chiave gestita da AWS `aws/secretsmanager` programma creato da Secrets Manager per crittografare i tuoi segreti gratuitamente. Se crei le tue chiavi KMS per crittografare i tuoi segreti, ti AWS addebiterà la tariffa KMS corrente AWS . Per ulteriori informazioni, consultare [AWS Key Management Service Prezzi](https://aws.amazon.com/kms/pricing/). 

I passaggi seguenti consentono di creare le politiche delle risorse per consentire agli utenti di unire senza problemi un'istanza EC2 Linux a un Managed AWS Microsoft AD condiviso.

**Allega una policy relativa alle risorse al segreto nell'Account 1**

1. Apri la console Secrets Manager all'indirizzo [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Dall'elenco dei segreti, scegli il tuo **segreto** che hai creato durante il[Prerequisiti](#seamlessly_join_linux_to_shared_MAD_prereqs).

1. Nella **pagina dei dettagli del segreto**, nella scheda **Panoramica**, scorri verso il basso fino a **Autorizzazioni per le risorse**.

1. Seleziona **Modifica autorizzazioni**.

   1. Nel campo della politica, inserisci la seguente politica. La seguente politica consente a **Linux EC2 DomainJoin** in `Account 2` di accedere al secret in`Account 1`. [Sostituisci il valore ARN con il valore ARN per il tuo `Account 2``LinuxEC2DomainJoin` ruolo creato nella Fase 1.](#seamlessly_join_linux_to_shared_MAD_step_1) Per utilizzare questa politica, consulta [Allegare una politica di autorizzazioni a](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html) un segreto. Gestione dei segreti AWS 

------
#### [ JSON ]

****  

     ```
     {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
         {
           "Effect": "Allow",
           "Principal": {
             "AWS": "{{arn:aws:iam::123456789012:role/LinuxEC2DomainJoin}}"
           },
           "Action": "secretsmanager:GetSecretValue",
           "Resource": "*"
         }
       ]
     }
     ```

------

**Aggiungi una dichiarazione alla politica chiave per la chiave KMS nell'Account 1**

1. Apri la console Secrets Manager all'indirizzo [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Nel riquadro di navigazione a sinistra, seleziona **Customer managed keys**.

1. Nella pagina **Chiavi gestite dal cliente**, seleziona la chiave che hai creato.

1. Nella pagina **Dettagli chiave**, vai a **Politica chiave** e seleziona **Modifica**.

1. La seguente dichiarazione sulla politica chiave consente `ApplicationRole` di `Account 2` utilizzare la chiave KMS `Account 1` per decrittografare il segreto in. `Account 1` Per utilizzare questa istruzione, aggiungerla al criterio chiave per la chiave KMS. Per ulteriori informazioni, vedere [Modifica di una policy delle chiavi](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html).

   ```
   {
   {
     "Effect": "Allow",
     "Principal": {
       "AWS": "{{arn:aws:iam::Account2:role/ApplicationRole}}"
     },
     "Action": [
       "kms:Decrypt",
       "kms:DescribeKey"
     ],
     "Resource": "*"
   }
   ```

**Crea una politica di identità per l'identità nell'Account 2**

1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione a sinistra, in **Gestione degli accessi**, seleziona **Politiche**.

1. Seleziona **Create Policy (Crea policy)**. Scegli **JSON** nell'**editor delle politiche**.

1. La seguente politica consente di `ApplicationRole` accedere `Account 2` al secret in `Account 1` e decrittografare il valore segreto utilizzando la chiave di crittografia anch'essa presente. `Account 1` Puoi trovare l'ARN del tuo segreto nella console Secrets Manager nella pagina **Dettagli segreti sotto Secret** **ARN**. In alternativa, puoi chiamare [describe-secret](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/describe-secret.html) per identificare l'ARN del segreto. Sostituisci l'ARN della risorsa con l'ARN della risorsa per l'ARN segreto e. `Account 1` Per utilizzare questo criterio, consulta [Allegare una politica di autorizzazione a un](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html) segreto. Gestione dei segreti AWS 

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "secretsmanager:GetSecretValue",
         "Resource": "arn:aws:secretsmanager:{{us-east-1}}:{{111122223333{{:secret:}}secretName-AbCdEf}}"
       },
       {
         "Effect": "Allow",
         "Action": [
           "kms:Decrypt",
           "kms:Describekey"
         ],
         "Resource": "arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/{{Your_Encryption_Key}}"
       }
     ]
   }
   ```

------

1. Seleziona **Avanti**, quindi seleziona **Salva modifiche**.

1. Trova e seleziona il ruolo `Account 2` in cui hai creato[Attach a resource policy to the secret in Account 1](#step1ResourcePolicy).

1. In **Aggiungi autorizzazioni**, seleziona **Allega politiche**.

1. Nella barra di ricerca, trova la politica in cui hai creato [Add a statement to the key policy for the KMS key in Account 1](#step2KeyPolicy) e seleziona la casella per aggiungere la politica al ruolo. Quindi seleziona **Aggiungi autorizzazioni**.

## Fase 3. Unisciti senza problemi alla tua istanza Linux
<a name="seamlessly_join_linux_to_shared_MAD_prereqs_step_3"></a>

Ora puoi utilizzare la seguente procedura per unire senza problemi la tua istanza EC2 Linux al tuo Managed AWS Microsoft AD condiviso.

**Per unirti senza problemi alla tua istanza Linux**

1. Accedi Console di gestione AWS e apri la console Amazon EC2 all'indirizzo. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Dal selettore della regione nella barra di navigazione, scegli la Regione AWS stessa cartella esistente.

1. Nel **Pannello di controllo EC2**, nella sezione **Avvia istanza**, scegli **Avvia istanza**.

1. Nella pagina **Avvia un'istanza**, nella sezione **Nome e tag**, inserisci il nome che desideri utilizzare per la tua istanza Linux EC2.

1.  *(Facoltativo)* Scegli **Aggiungi tag aggiuntivi** per aggiungere una o più coppie chiave-valore di tag per organizzare, tracciare o controllare l'accesso per questa istanza EC2. 

1. Nella sezione **Applicazione e immagine del sistema operativo (Amazon Machine Image)**, scegli un'AMI Linux che desideri avviare.
**Nota**  
L'AMI utilizzato deve avere AWS Systems Manager (SSM Agent) la versione 2.3.1644.0 o successiva. Per verificare la versione dell'Agente SSM installata nell'AMI avviando un'istanza da quest'ultima, consulta [Ottenere la versione dell'Agente SSM attualmente installata](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-get-version.html). Se è necessario aggiornare l'Agente SSM, consulta [Installazione e configurazione dell'Agente SSM su istanze EC2 per Linux](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-agent.html).  
SSM utilizza il `aws:domainJoin` plug-in quando aggiunge un'istanza Linux a un dominio Active Directory. Il plugin cambia il nome host per le istanze Linux nel formato EC2 AMAZ-. {{XXXXXXX}} *Per ulteriori informazioni in merito`aws:domainJoin`, consultate [AWS Systems Manager Command Document Plugin reference nella Guida](https://docs.aws.amazon.com//systems-manager/latest/userguide/documents-command-ssm-plugin-reference.html#aws-domainJoin) per l'AWS Systems Manager utente.*

1. Nella sezione **Tipo di istanza**, scegli il tipo di istanza che desideri utilizzare dall'elenco a discesa **Tipo di istanza**.

1. Nella sezione **Coppia di chiavi (accesso)**, puoi scegliere se creare una nuova coppia di chiavi o selezionare una coppia di chiavi esistente. Per creare una nuova coppia di chiavi, scegli **Crea nuova coppia di chiavi**. Inserisci un nome per la coppia di chiavi e seleziona un'opzione per il **Tipo di coppia di chiavi** e il **Formato del file della chiave privata**. Per salvare la chiave privata in un formato che può essere utilizzato con OpenSSH, scegli **.pem**. Per salvare la chiave privata in un formato che può essere utilizzato con PuTTY, scegli **.ppk**. Scegli **crea coppia di chiavi**. Il file della chiave privata viene automaticamente scaricato dal browser. Salvare il file della chiave privata in un luogo sicuro.
**Importante**  
Questo è l'unico momento in cui salvare il file della chiave privata.

1. Nella pagina **Avvia un'istanza**, nella sezione **Impostazioni di rete**, scegli **Modifica**. Scegli il **VPC** in cui è stata creata la tua directory dall'elenco a discesa **VPC -* obbligatorio***.

1. Scegli una delle sottoreti pubbliche nel tuo VPC dall'elenco a discesa **Sottorete**. La sottorete scelta deve avere tutto il traffico esterno instradato a un gateway Internet. In caso contrario, non potrai connetterti in remoto all'istanza.

   Per ulteriori informazioni su come connettersi a un gateway Internet, consulta [Eseguire la connessione a Internet utilizzando un gateway Internet](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html) nella *Guida per l'utente di Amazon VPC*.

1. In **Assegna automaticamente IP pubblico**, scegli **Abilita**.

   Per ulteriori informazioni sull'indirizzamento IP pubblico e privato, consulta la sezione [Indirizzamento IP delle istanze Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html) nella *Amazon EC2* User Guide.

1. Nelle impostazioni **Firewall (gruppi di sicurezza)**, puoi utilizzare le impostazioni predefinite o apportare modifiche per soddisfare le tue esigenze. 

1. Nelle impostazioni **Configurazione dell'archiviazione**, puoi utilizzare le impostazioni predefinite o apportare modifiche per soddisfare le tue esigenze.

1. Seleziona la sezione **Dettagli avanzati**, scegli il tuo dominio dall'elenco a discesa **Directory di aggiunta al dominio**.
**Nota**  
Dopo aver scelto la directory di accesso al dominio, potresti vedere:   

![Un messaggio di errore quando si seleziona la directory di accesso al dominio. C'è un errore con il documento SSM esistente.](http://docs.aws.amazon.com/it_it/directoryservice/latest/admin-guide/images/SSM-Error-Message.png)

Questo errore si verifica se la procedura guidata di avvio di EC2 identifica un documento SSM esistente con proprietà impreviste. Puoi effettuare una delle seguenti operazioni:  
Se in precedenza hai modificato il documento SSM e le proprietà sono previste, scegli chiudi e procedi all'avvio dell'istanza EC2 senza modifiche.
Seleziona qui il link Elimina il documento SSM esistente per eliminare il documento SSM. Ciò consentirà la creazione di un documento SSM con le proprietà corrette. Il documento SSM verrà creato automaticamente all'avvio dell'istanza EC2.

1. Per il **profilo dell'istanza IAM**, scegli il ruolo IAM creato in precedenza nella sezione dei prerequisiti **Fase 2: Creazione del** ruolo Linux. EC2 DomainJoin 

1. Scegliere **Launch Instance (Avvia istanza)**.

**Nota**  
Se stai eseguendo l'aggiunta ottimizzata di un dominio con SUSE Linux, è necessario un riavvio prima che le autenticazioni funzionino. **Per riavviare SUSE dal terminale Linux, digita sudo reboot**.