Inizia a usare Cross-Account utilizzando AWS License Manager Shared AWS Managed Microsoft AD - AWS License Manager
TerminologiaPrerequisitiLimitazioniArchitettura di reteCome configurare la funzionalità di License Manager per più accountRisoluzione dei problemiRisorse aggiuntive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Inizia a usare Cross-Account utilizzando AWS License Manager Shared AWS Managed Microsoft AD

AWS License Manager supporta la funzionalità tra account utilizzando un account condiviso AWS Managed Microsoft AD che consente alle organizzazioni di gestire centralmente gli abbonamenti degli utenti da un account proprietario della directory distribuendo al contempo le istanze su più account.

Terminologia

  • Account proprietario della directory: account di amministratore della licenza in cui esiste l'AD gestito e che è anche responsabile della gestione degli abbonamenti.

  • Account utente di Directory: AWS account in cui desideri avviare istanze di sottoscrizioni utente utilizzando AD condiviso.

Prerequisiti

Prima di iniziare, assicurati di avere:

Limitazioni

  • La gestione degli abbonamenti degli utenti è limitata all'account del proprietario della directory.

  • La condivisione tra regioni non è supportata.

  • Fatturazione consolidata tramite l'account del proprietario della directory: tutti i costi di abbonamento vengono fatturati all'account del proprietario della directory, sebbene gli abbonamenti possano esistere in più account.

  • È richiesta la connettività di rete tra gli account.

Architettura di rete

Come configurare la funzionalità di License Manager per più account

Per configurare la funzionalità di License Manager per più account:

  1. Configura l'account account/license amministratore del proprietario della directory.

  2. Configura gli account utente della directory.

  3. Stabilisci la connettività di rete.

  4. Distribuisci istanze e gestisci le associazioni degli utenti.

Passaggio 1: configura l'account amministratore del proprietario della directory/licenza

Crea e condividi AWS Managed Microsoft AD

  1. Creane uno AWS Managed Microsoft AD nel tuo VPC se non esiste.

  2. Condividi la directory con gli account utente della directory, come descritto in Condivisione dell'elenco.

  3. Assicurati che la directory sia configurata correttamente con gli utenti e i gruppi richiesti.

Abbonati ai prodotti

  1. Vai a Marketplace AWS.

  2. Individua e abbonati ai prodotti necessari, Visual Studio o Office e RDS SAL.

  3. Condividi l'abbonamento a Visual Studio o Office con gli account utente della directory utilizzando License Manager Create Grants. In alternativa, puoi abbonarti ai Marketplace AWS prodotti di questi account in quanto ciò non influisce sulla fatturazione. Vedi Licenze concesse.

  4. Verifica che lo stato dell'abbonamento sia attivo.

Registrazione con License Manager

  1. Aprire la console License Manager.

  2. Vai alle impostazioni degli abbonamenti basati sull'utente.

  3. Seleziona Registra provider di identità.

  4. Scegli il tuo AWS Managed Microsoft AD.

  5. Completa il processo di registrazione.

Passaggio 2: configura gli account utente della directory, ovvero account con AD condiviso

Accetta la directory condivisa

  1. Aprire la console AWS Directory Service.

  2. Passa a Directory condivise.

  3. Individua e accetta l'invito alla directory condivisa.

  4. Annota il nuovo ID di directory assegnato al tuo account.

Accetta l'abbonamento MP

In License Manager Grants accetta la concessione per Marketplace AWS i prodotti. In alternativa, iscriviti ai Marketplace AWS prodotti. Scopri di più nell'CreateGrant API).

Registrazione con License Manager

  1. Aprire la console License Manager.

  2. Passa agli abbonamenti basati sull'utente e scegli il prodotto.

  3. Registrati utilizzando l'ID e il prodotto della directory condivisa.

  4. Verificare lo stato di registrazione.

Fase 3: Stabilire la connettività di rete tra VPCs

Per aggiungere come dominio le tue EC2 istanze Amazon Amazon alla tua directory, devi stabilire una connettività di rete tra. VPCs Esistono diverse opzioni per stabilire la connettività di rete tra due. VPCs Questa sezione mostra come usare il peering di Amazon VPC.

Configurazione del peering VPC

  1. Crea una connessione peering VPC tra il proprietario della directory VPC-0 e il consumatore di directory VPC-1, quindi crea un'altra connessione tra il proprietario della directory VPC-0 e il consumatore di directory VPC-2.

  2. Abilita il routing del traffico tra i peer VPCs aggiungendo un percorso alla tabella di routing VPC che punti alla connessione peering VPC per instradare il traffico verso l'altro VPC nella connessione peering.

  3. Configura ciascuna delle tabelle di routing VPC dei consumatori di directory aggiungendo la connessione peering con il proprietario della directory VPC-0. Se lo desideri, puoi anche creare e collegare un Internet Gateway al tuo utente di elenchi VPCs. Ciò consente alle istanze nell'utente della directory di VPCs comunicare con l'agente Amazon EC2 Systems Manager che esegue l'aggiunta al dominio.

Configurazione dei gruppi di sicurezza

Configura il gruppo di sicurezza del consumatore VPCs della directory per abilitare il traffico in uscita aggiungendo i AWS Managed Microsoft AD protocolli e le porte alla tabella delle regole in uscita. Inoltre, configura il gruppo di sicurezza dei controller VPCs di dominio della directory per abilitare il traffico in entrata aggiungendo i AWS Managed Microsoft AD protocolli e le porte alla tabella delle regole in entrata, per consentire il traffico proveniente dagli account consumer della directory.

Requisiti relativi al gruppo di sicurezza

Account consumatore: VPCs

  • Abilita il traffico in uscita verso il VPC del proprietario della directory

  • Consenti la comunicazione sulle porte AD richieste

VPC del proprietario della directory:

  • Configura il traffico in entrata proveniente dal consumatore VPCs

  • Aggiungi i AWS Managed Microsoft AD protocolli e le porte necessari, tra cui:

    • TCP 53 (DNS)

    • UDP 53 (DNS)

    • TCP 88 (Kerberos)

    • UDP 88 (Kerberos)

    • TCP 135 (RPC)

    • TCP 389 (LDAP)

    • UDP 389 (LDAP)

    • TCP 445 (SMB)

    • TCP 464 (password Kerberos)

    • UDP 464 (password Kerberos)

    • TCP 636 (LDAPS)

    • TCP 3268-3269 (catalogo globale)

    • TCP 1024-65535 (RPC dinamico)

Fase 4: Distribuire le istanze e gestire le associazioni degli utenti

Sottoscrivi gli utenti (solo account del proprietario della directory)

  1. Aprire la console License Manager.

  2. Vai a Abbonamenti basati sull'utente.

  3. Seleziona Abbonati utenti

  4. Inserisci gli identificatori AWS Managed Microsoft AD utente

  5. Scegli il prodotto e conferma l'abbonamento.

Avvio di istanze

Esegui questo passaggio in qualsiasi account.

  1. Passa alla EC2 console Amazon.

  2. Scegliere Launch Instance (Avvia istanza).

  3. Seleziona l'AMI License Manager appropriata.

  4. Configura le impostazioni di rete.

  5. Rivedi e avvia.

Associa gli utenti alle istanze

Esegui questo passaggio in qualsiasi account in cui esiste l'istanza.

  1. Aprire la console License Manager.

  2. Vai a Associazioni utenti.

  3. Seleziona l'istanza di destinazione.

  4. Scegli Utenti associati.

  5. Inserisci i AWS Managed Microsoft AD nomi utente.

  6. Conferma l'associazione.

Risoluzione dei problemi

Problemi e soluzioni comuni:

Errori di unione del dominio

  1. Verifica la connettività di rete tra gli account.

  2. Controlla le configurazioni dei gruppi di sicurezza.

  3. Conferma che la risoluzione DNS funzioni.

  4. Convalida le voci della tabella delle rotte.

Problemi relativi alla sottoscrizione degli utenti

  1. Conferma l'esistenza dell'utente in AWS Managed Microsoft AD.

  2. Verifica lo stato dell'abbonamento nell'account del proprietario della directory.

  3. Verifica la connettività di rete.

  4. Rivedi i registri degli errori.

Problemi di connettività di rete

  1. Verifica lo stato della connessione peering VPC.

  2. Verifica le configurazioni della tabella delle rotte.

  3. Controlla le regole del gruppo di sicurezza.

  4. Conferma la risoluzione DNS.

Problemi di risoluzione DNS

  1. Verifica i set di opzioni DHCP.

  2. Controlla le configurazioni del server DNS.

  3. Verifica la risoluzione dei nomi dalle istanze consumer.

Risorse aggiuntive