翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon EC2 Linux スタンスを Simple AD Active Directoryにシームレスに結合する
この手順では、Amazon EC2 インスタンスを Simple AD Active Directoryにシームレスに結合します。
以下の Linux インスタンスのディストリビューションおよびバージョンがサポートされています。
+ Amazon Linux AMI 2018.03.0
+ Amazon Linux 2 (64 ビット x86)
+ Red Hat Enterprise Linux 8 (HVM) (64 ビット x86)
+ Ubuntu Server 18.04 LTS および Ubuntu Server 16.04 LTS
+ CentOS 7 x86-64
+ SUSE Linux Enterprise Server 15 SP1
**注記**
Ubuntu 14 および Red Hat Enterprise Linux 7 および 8 より前のディストリビューションでは、シームレスなドメイン結合機能はサポートされていません。
## 前提条件
Linux インスタンスへのシームレスなドメイン結合を設定する前に、このセクションの手順を完了する必要があります。
### シームレスなドメイン結合のサービスアカウントを選択する
Linux コンピュータを Simple AD ドメインにシームレスに結合できます。これを行うには、コンピュータをドメインに結合するためのコンピュータアカウントの作成アクセス許可を持つユーザーアカウントを作成する必要があります。*Domain Admins* または他のグループのメンバーがコンピュータをドメインに結合する十分な権限を持っていても、これらは推奨されません。ベストプラクティスとして、コンピュータをドメインに結合するために必要な最低限の権限を持つサービスアカウントを使用することをお勧めします。
コンピュータアカウントの作成のために、サービスアカウントへのアクセス許可を処理および委任する方法の詳細については、「[権限をサービスアカウントに委任する](ad_connector_getting_started.md#connect_delegate_privileges)」を参照してください。
### ドメインサービスアカウントを保存するシークレットを作成する
を使用して AWS Secrets Manager ドメインサービスアカウントを保存できます。詳細については、[「 AWS Secrets Manager シークレットの作成](https://docs.aws.amazon.com//secretsmanager/latest/userguide/create_secret.html)」を参照してください。
**注記**
Secrets Manager には料金がかかります。詳細については、「*AWS Secrets Manager ガイド*」の「[料金](https://docs.aws.amazon.com//secretsmanager/latest/userguide/intro.html#asm_pricing)」を参照してください。
**ドメインサービスアカウントの情報を保存するシークレットを作成するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/) で AWS Secrets Manager コンソールを開きます。
1. **[Store a new secret]** (新しいシークレットの保存) を選択します。
1. **[Store a new secret]** (新しいシークレットを保存する) のページで、次の操作を行います:
1. **[シークレットのタイプ]** で、**[その他のシークレットのタイプ]** を選択します。
1. **[Key/value pairs]** (キー/値ペア) で、次のように実行します。
1. 最初のボックスに **awsSeamlessDomainUsername** と入力します。同じ行の次のボックスに、サービスアカウントのユーザー名を入力します。例えば、以前に PowerShell コマンドを使用した場合、サービスアカウント名は **awsSeamlessDomain** になります。
**注記**
**awsSeamlessDomainUsername** を正確に入力する必要があります。先頭または末尾にスペースがないことを確認します。スペースがあると、ドメイン結合が失敗します。
![\[の AWS Secrets Manager コンソールでシークレットタイプを選択します。awsSeamlessDomainUsernameシークレットタイプで他のタイプのシークレットが選択され、キー値として入力されます。\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/secrets_manager_1.png)
1. **[Add row]** (行の追加) を選択します。
1. 新しい行で、最初のボックスに **awsSeamlessDomainPassword** と入力します。同じ行の次のボックスに、サービスアカウントのパスワードを入力します。
**注記**
**awsSeamlessDomainPassword** を正確に入力する必要があります。先頭または末尾にスペースがないことを確認します。スペースがあると、ドメイン結合が失敗します。
1. **暗号化キー**の下で、デフォルト値`aws/secretsmanager`のままにしておきます。 このオプションを選択すると、 AWS Secrets Manager は常に秘密を暗号化します。自身で作成したキーを選択することもできます。
1. [**次へ**] を選択します。
1. **[Secret name]**の下に、*d-xxxxxxxxxx*をディレクトリIDに置き換えて、以下のフォーマットでディレクトリIDを含むsecret nameを入力します:
```
aws/directory-services/d-xxxxxxxxx/seamless-domain-join
```
これは、アプリケーション内のシークレットを取得するために使用されます。
**注記**
**aws/directory-services/*d-xxxxxxxxx*/seamless-domain-join** は正確に入力する必要がありますが、*d-xxxxxxxxxx* はディレクトリ ID に置き換えてください。先頭または末尾にスペースがないことを確認します。スペースがあると、ドメイン結合が失敗します。
![\[シークレットの設定ページの AWS Secrets Manager コンソールで。シークレット名が入力され、強調表示されます。\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/secrets_manager_2.png)
1. それ以外はすべてデフォルトのままにして、**[Next]** (次へ) をクリックします。
1. **[Configure automatic rotation]** (自動ローテーションを設定) で **[Disable automatic rotation]** (自動ローテーションを無効にする) を選択し、**[Next]** (次へ) をクリックします。
このシークレットの保存後にローテーションを有効にすることができます。
1. 設定を確認し、**[Store]** (保存) をクリックして変更を保存します。Secrets Manager コンソールがアカウントのシークレットリストに戻ります。リストには、新しいシークレットが追加されています。
1. 新しく作成したシークレット名をリストから選択し、**[Secret ARN]** (シークレット ARN) 値をメモします。これは次のセクションで必要になります。
### ドメインサービスアカウントシークレットのローテーションを有効にする
セキュリティ体制を改善するために、シークレットを定期的にローテーションすることをお勧めします。
**ドメインサービスアカウントシークレットのローテーションを有効にするには**
+ 「 *AWS Secrets Manager ユーザーガイド*」の「シー[AWS Secrets Manager クレットの自動ローテーションを設定する](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html)」の手順に従います。
ステップ 5 では、「*AWS Secrets Manager ユーザーガイド*」のローテーションテンプレート「[Microsoft Active Directory 認証情報](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_available-rotation-templates.html#template-AD-password)」を使用します。
ヘルプについては、「 *AWS Secrets Manager ユーザーガイド*[」の「ロー AWS Secrets Manager テーションのトラブルシューティング](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html)」を参照してください。
### 必要な IAM ポリシーとロールを作成する
次の前提条件の手順に従い、Secrets Manager のシームレスなドメイン結合シークレット (先ほど作成したもの) への読み取り専用アクセスを許可するカスタムポリシーを作成し、新しい LinuxEC2DomainJoin IAM ロールを作成します。
#### Secrets Manager の IAM 読み取りポリシーを作成する
IAM コンソールを使用して、Secrets Manager シークレットへの読み取り専用アクセスを許可するポリシーを作成します。
**Secrets Manager の IAM 読み取りポリシーを作成するには**
1. IAM ポリシーを作成する権限を持つユーザー AWS マネジメントコンソール として にサインインします。次に、IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインの **[アクセス管理]** で、**[ポリシー]** を選択します。
1. **[Create policy]** (ポリシーの作成) を選択します。
1. [**JSON**] タブを選択し、以下の JSON ポリシードキュメントからテキストをコピーします。これを、**[JSON]** テキストボックスに貼り付けます。
**注記**
リージョンとリソース ARN を、先ほど作成したシークレットの実際の リージョンとARN に置き換えていることを確認してください。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:xxxxxxxxx:secret:aws/directory-services/d-xxxxxxxxx/seamless-domain-join"
]
}
]
}
```
1. 完了したら、[**Next**] を選択します。構文エラーがある場合は、Policy Validator によってレポートされます。詳細については、「[IAM ポリシーの検証](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html)」を参照してください。
1. **[Review policy]** (ポリシーの確認) ページで、ポリシー名を入力します (**SM-Secret-Linux-DJ-*d-xxxxxxxxxx*-Read** など)。**[Summary]** (概要) セクションで、ポリシーで付与されているアクセス許可を確認します。**[Create Policy]** (ポリシーの作成) をクリックし、変更を保存します。新しいポリシーが管理ポリシーのリストに表示されます。これで ID にアタッチする準備は完了です。
**注記**
シークレットごとに 1 つのポリシーを作成することをお勧めします。そうすることで、インスタンスが適切なシークレットにのみアクセスできるようになり、インスタンスが侵害された場合の影響を最小限に抑えることができます。
#### LinuxEC2DomainJoin ロールを作成する
IAM コンソールを使用して、Linux EC2 インスタンスへのドメイン結合に使用するロールを作成します。
**LinuxEC2DomainJoin ロールを作成するには**
1. IAM ポリシーを作成する権限を持つユーザー AWS マネジメントコンソール として にサインインします。次に、IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインの **[Access Management]** (アクセス管理) で、**[Roles]** (ロール) を選択します。
1. コンテンツペインで、**[Create role]** (ロールの作成) を選択します。
1. [**Select type of trusted entity**] (信頼されたエンティティの種類を選択) の下で、[**AWS Service**] を選択します。
1. **[Use case]** (ユースケース) で **EC2** を選択し、**[Next]** (次へ) を選択します。
![\[Select trusted entity page. AWS service の IAM コンソールで、EC2 が選択されます。\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/iam-console-trusted-entity.png)
1. **[Filter policies]** (フィルターポリシー) で、以下を実行します。
1. **AmazonSSMManagedInstanceCore** と入力します。次に、リスト内のその項目のチェックボックスをオンにします。
1. **AmazonSSMDirectoryServiceAccess** と入力します。次に、リスト内のその項目のチェックボックスをオンにします。
1. **SM-Secret-Linux-DJ-*d-xxxxxxxxxx*-Read** (または前の手順で作成したポリシーの名前) を入力します。次に、リスト内のその項目のチェックボックスをオンにします。
1. 上記の 3 つのポリシーを追加したら、**[ロールを作成]** を選択します。
**注記**
[AmazonSSMDirectoryServiceAccess] により、 Directory Serviceで管理されている Active Directory にインスタンスを結合するためのアクセス許可が付与されます。AmazonSSMManagedInstanceCore は、 AWS Systems Manager サービスを使用するために必要な最小限のアクセス許可を提供します。これらのアクセス許可を使用してロールを作成する方法、および IAM ロールに割り当てることができるその他のアクセス許可とポリシーの詳細については、「*AWS Systems Manager ユーザーガイド*」の「[Systems Manager の IAM インスタンスプロファイルを作成する](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html)」を参照してください。
1. **LinuxEC2DomainJoin**[Role name]** (ロール名)欄 に、** 適宜の別の名前など 新しいロールの名前を入力します。
1. (オプション) **[Role description]** (ロールの説明) に、説明を入力します。
1. (オプション) **[ステップ 3: タグの追加]** で **[新しいタグの追加] **を選択してタグを追加します。タグのキーと値のペアは、このロールのアクセスを整理、追跡、または制御するために使用されます。
1. [**ロールの作成**] を選択してください。
## Linux スタンスを Simple AD Active Directoryにシームレスに結合する
**Linux インスタンスをシームレスに結合するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。
1. ナビゲーションバーのリージョンセレクターから、既存のディレクトリ AWS リージョン と同じ を選択します。
1. [**EC2 ダッシュボード**] の [**インスタンスを起動する**] セクションで、[**インスタンスを起動する**] を選択します。
1. **[インスタンスを起動する]** ページの **[名前とタグ]** セクションで、Linux EC2 インスタンスに使用する名前を入力します。
1. (選択可能) **[補足タグを追加]** で、タグとキーの値のペアを 1 つまたは複数追加して、この EC2 インスタンスのアクセスを整理、追跡、またはコントロールします。**
1. **Application and OS Image (Amazon Machine Image)**セクションで、起動したいLinux AMIを選択します。
**注記**
使用する AMI には AWS Systems Manager 、(SSM Agent) バージョン 2.3.1644.0 以降が必要です。その AMI からインスタンスを起動して AMI にインストールされている SSM Agent のバージョンを確認するには、「[現在インストールされている SSM Agent バージョンを取得するには](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-get-version.html)」を参照してください。SSM Agent をアップグレードする必要がある場合は、「[Linux の EC2 インスタンスで SSM Agent をインストールして設定する](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-agent.html)」を参照してください。
SSM は Linux インスタンスを Active Directory `aws:domainJoin` ドメインに参加させる際にプラグインを使用します。プラグインは、Linux インスタンスのホスト名を EC2AMAZ-*XXXXXXX* の形式に変更します。`aws:domainJoin` の詳細については、「*AWS Systems Manager ユーザーガイド*」の「[AWS Systems Manager コマンドドキュメントプラグインリファレンス](https://docs.aws.amazon.com//systems-manager/latest/userguide/documents-command-ssm-plugin-reference.html#aws-domainJoin)」を参照してください。
1. [**インスタンスタイプ**] セクションで、[**インスタンスタイプ**] ドロップダウンリストから使用するインスタンスタイプを選択します。
1. [**キーペア (ログイン)**] セクションで、新しいキーペアを作成するか、既存のキーペアから選択します。新しいキーペアを作成するには、[**新しいキーペアの作成**] を選択します。キーペアの名前を入力し、[**キーペアタイプ**] と [**プライベートキーファイル形式**] のオプションを選択します。OpenSSH で使用できる形式でプライベートキーを保存するには、[**.pem**] を選択します。プライベートキーを PuTTY で使用できる形式で保存するには、[**.ppk**] を選択します。[**キーペアの作成**] を選択します。ブラウザによって秘密キーファイルが自動的にダウンロードされます。ダウンロードしたプライベートキーのファイルを安全な場所に保存します。
**重要**
プライベートキーのファイルを保存できるのはこのタイミングだけです。
1. [**インスタンスを起動する**] ページの [**ネットワーク設定**] セクションで、[**編集**] を選択します。**[VPC - *必須*]** ドロップダウンリストから、ディレクトリが作成された **[VPC]** を選択します。
1. [**サブネット**] ドロップダウンリストから VPC 内のパブリックサブネットの 1 つを選択します。選択するサブネットで、すべての外部トラフィックがインターネットゲートウェイにルーティングされるように選択する必要があります。そうでない場合は、インスタンスにリモート接続できません。
インターネットゲートウェイへの接続方法の詳細については、「*Amazon VPC User Guide*」の「[Connect to the internet using an internet gateway](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html)」を参照してください。
1. [**自動割り当てパブリック IP**] で、[**有効化**] を選択します。
公開 IP アドレス指定とプライベート IP アドレス指定の詳細については、「Amazon EC2 インスタンスユーザーガイド」の「[Amazon EC2 インスタンスの IP アドレス指定](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html)」を参照してください。**
1. [**ファイアウォール (セキュリティグループ)**] 設定にはデフォルト設定を使用するか、必要に応じて変更を加えることができます。
1. [**ストレージの設定**] 設定にはデフォルト設定を使用するか、必要に応じて変更を加えることができます。
1. [**高度な詳細**] セクションを選択し、[**ドメイン結合ディレクトリ**] ドロップダウンリストからドメインを選択します。
**注記**
ドメイン結合ディレクトリを選択すると、次のようになります:
![\[ドメイン結合ディレクトリを選択したときのエラーメッセージ。既存の SSM ドキュメントにエラーがあります。\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/SSM-Error-Message.png)
このエラーは、EC2 起動ウィザードが予期しないプロパティを持つ既存の SSM ドキュメントを識別した場合に発生します。次のいずれかを試すことができます。
以前に SSM ドキュメントを編集し、プロパティの存在が予想される場合は、[閉じる] を選択して EC2 インスタンスを変更せずに起動します。
ここで既存の SSM ドキュメントを削除するリンクを選択して、SSM ドキュメントを削除します。これにより、正しいプロパティを使用する SSM ドキュメントを作成できます。EC2 インスタンスを起動すると、SSM ドキュメントが自動的に作成されます。
1. **[IAMインスタンスプロファイル]**には、前提条件のセクションで以前に作成したIAMロールを選択します **[ステップ2:LinuxEC2DomainJoinロールを作成します]**
1. **[インスタンスを起動]** を選択します。
**注記**
SUSE Linux でシームレスなドメイン結合を実行する場合は、認証が機能する前に再起動する必要があります。Linux ターミナルから SUSE を再起動するには、「**sudo reboot**」と入力します。