기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
공유를 AWS License Manager 사용하여 교차 계정 시작하기 AWS Managed Microsoft AD
AWS License Manager는 공유를 사용하여 교차 계정 기능을 AWS Managed Microsoft AD지원하므로 조직은 디렉터리 소유자 계정의 사용자 구독을 중앙에서 관리하는 동시에 여러 계정에 인스턴스를 배포할 수 있습니다.
용어
-
디렉터리 소유자 계정 - 관리형 AD가 존재하고 구독 관리도 담당하는 라이선스 관리자 계정입니다.
-
디렉터리 소비자 계정 - 공유 AD를 사용하여 사용자 구독 인스턴스를 시작하는 AWS 계정입니다.
사전 조건
시작하기 전에 다음을 갖추었는지 확인하세요.
-
디렉터리 소유자 계정 AWS Managed Microsoft AD 의 - 구독을 제어하려는 디렉터리 소유자 계정/라이선스 관리자 계정에 설정합니다.
-
디렉터리 소유자 계정과 모든 디렉터리 소비자 계정 간의 네트워크 연결.
-
필수 IAM 권한 - 사용자 기반 구독 IAM 역할을 참조하세요.
-
디렉터리 소유자 계정의 AWS Marketplace 에서 필요한 License Manager 제품에 대한 구독:
제한 사항
-
사용자 구독 관리는 디렉터리 소유자 계정으로 제한됩니다.
-
교차 리전 공유는 지원되지 않습니다.
-
디렉터리 소유자 계정을 통한 통합 결제 - 구독이 여러 계정에 존재할 수 있지만 모든 구독 비용은 디렉터리 소유자 계정으로 청구됩니다.
-
계정 간에 네트워크 연결이 필요합니다.
네트워크 아키텍처
교차 계정 License Manager 기능을 설정하는 방법
교차 계정 License Manager 기능을 설정하려면:
-
디렉터리 소유자 계정/라이선스 관리자 계정을 설정합니다.
-
디렉터리 소비자 계정을 구성합니다.
-
네트워크 연결을 설정합니다.
-
인스턴스를 배포하고 사용자 연결을 관리합니다.
1단계: 디렉터리 소유자/라이선스 관리자 계정 설정
생성 및 공유 AWS Managed Microsoft AD
-
VPC AWS Managed Microsoft AD 에이 없는 경우 생성합니다.
-
디렉터리 공유에 설명된 대로 디렉터리를 디렉터리 소비자 계정과 공유합니다.
-
디렉터리가 필요한 사용자 및 그룹으로 올바르게 구성되어 있는지 확인합니다.
제품 구독
-
로 이동합니다 AWS Marketplace.
-
필요한 제품, Visual Studio 또는 Office 및 RDS SAL을 찾아 구독합니다.
-
License Manager Create Grants를 사용하여 디렉터리 소비자 계정과 Visual Studio 또는 Office 구독을 공유합니다. 또는 결제에 영향을 주지 않으므로 이러한 계정의 AWS Marketplace 제품을 구독할 수 있습니다. 부여된 라이선스를 참조하세요.
-
구독 상태가 활성 상태인지 확인합니다.
License Manager에 등록
-
라이선스 관리 콘솔을 엽니다.
-
사용자 기반 구독 설정으로 이동합니다.
-
자격 증명 공급자 등록을 선택합니다.
-
를 선택합니다 AWS Managed Microsoft AD.
-
등록 프로세스를 완료합니다.
2단계: 디렉터리 소비자 계정 구성 - 공유 AD가 있는 계정
공유 디렉터리 수락
-
AWS 디렉터리 서비스 콘솔을 엽니다.
-
공유 디렉터리로 이동합니다.
-
공유 디렉터리 초대를 찾아 수락합니다.
-
계정에 할당된 새 디렉터리 ID를 기록해 둡니다.
MP 구독 수락
License Manager Grants에서 AWS Marketplace 제품에 대한 권한 부여를 수락합니다. 또는 제품을 구독합니다 AWS Marketplace . CreateGrant API)에서 자세히 알아보세요.
License Manager에 등록
-
라이선스 관리 콘솔을 엽니다.
-
사용자 기반 구독으로 이동하여 제품을 선택합니다.
-
공유 디렉터리 ID 및 제품을 사용하여 등록합니다.
-
등록 상태를 확인합니다.
3단계: VPCs 간 네트워킹 연결 설정
Amazon EC2 인스턴스를 디렉터리에 도메인 조인하려면 VPCs 간에 네트워킹 연결을 설정해야 합니다. 두 VPCs. 이 섹션에서는 Amazon VPC 피어링을 사용하는 방법을 보여줍니다.
VPC 피어링 설정
-
디렉터리 소유자 VPC-0과 디렉터리 소비자 VPC-1 간에 하나의 VPC 피어링 연결을 생성한 다음 디렉터리 소유자 VPC-0과 디렉터리 소비자 VPC-2 간에 또 다른 연결을 생성합니다. VPC-0 VPC-1
-
VPCs 피어링 연결을 가리키는 VPC 라우팅 테이블에 경로를 추가하여 피어링된 VPC 간에 트래픽 라우팅을 활성화하여 피어링 연결의 다른 VPC로 트래픽을 라우팅합니다.
-
디렉터리 소유자 VPC-0과 피어링 연결을 추가하여 각 디렉터리 소비자 VPC 라우팅 테이블을 구성합니다. 원하는 경우 Internet Gateway를 생성하여 디렉터리 소비자 VPCs에 연결할 수도 있습니다. 이렇게 하면 디렉터리 소비자 VPCs의 인스턴스가 도메인 조인을 수행하는 Amazon EC2 Systems Manager 에이전트와 통신할 수 있습니다.
보안 그룹 구성
아웃바운드 규칙 테이블에 AWS Managed Microsoft AD 프로토콜과 포트를 추가하여 아웃바운드 트래픽을 활성화하도록 디렉터리 소비자 VPCs의 보안 그룹을 구성합니다. 또한 디렉터리 소비자 계정의 트래픽을 허용하도록 인바운드 규칙 테이블에 AWS Managed Microsoft AD 프로토콜과 포트를 추가하여 인바운드 트래픽을 활성화하도록 디렉터리 도메인 컨트롤러 VPCs의 보안 그룹을 구성합니다.
보안 그룹 요구 사항
소비자 계정 VPCs:
-
디렉터리 소유자 VPC로의 아웃바운드 트래픽 활성화
-
필수 AD 포트에서 통신 허용
디렉터리 소유자 VPC:
-
소비자 VPCs의 인바운드 트래픽 구성
-
다음을 포함한 필수 AWS Managed Microsoft AD 프로토콜 및 포트를 추가합니다.
TCP 53(DNS)
UDP 53(DNS)
TCP 88(Kerberos)
UDP 88(Kerberos)
TCP 135(RPC)
TCP 389(LDAP)
UDP 389(LDAP)
TCP 445(SMB)
TCP 464(Kerberos 암호)
UDP 464(Kerberos 암호)
TCP 636(LDAPS)
TCP 3268-3269(글로벌 카탈로그)
TCP 1024-65535(동적 RPC)
4단계: 인스턴스 배포 및 사용자 연결 관리
사용자 구독(디렉터리 소유자 계정만 해당)
-
라이선스 관리 콘솔을 엽니다.
-
사용자 기반 구독으로 이동합니다.
-
사용자 구독 선택
-
AWS Managed Microsoft AD 사용자 식별자 입력
-
제품을 선택하고 구독을 확인합니다.
인스턴스 시작
모든 계정에서이 단계를 수행합니다.
-
Amazon EC2 콘솔로 이동합니다.
-
인스턴스 시작을 선택합니다.
-
적절한 License Manager AMI를 선택합니다.
-
네트워킹 설정을 구성합니다.
-
검토 및 시작.
사용자를 인스턴스와 연결
인스턴스가 있는 모든 계정에서이 단계를 수행합니다.
-
License Manager 콘솔을 엽니다.
-
사용자 연결로 이동합니다.
-
대상 인스턴스를 선택합니다.
-
사용자 연결을 선택합니다.
-
AWS Managed Microsoft AD 사용자 이름을 입력합니다.
-
연결을 확인합니다.
문제 해결
일반적인 문제 및 해결 방법:
도메인 조인 실패
-
계정 간 네트워크 연결을 확인합니다.
-
보안 그룹 구성을 확인합니다.
-
DNS 확인이 작동하는지 확인합니다.
-
라우팅 테이블 항목을 검증합니다.
사용자 구독 문제
-
사용자가 존재하는지 확인합니다 AWS Managed Microsoft AD.
-
디렉터리 소유자 계정에서 구독 상태를 확인합니다.
-
네트워크 연결을 확인합니다.
-
오류 로그를 검토합니다.
네트워크 연결 문제
-
VPC 피어링 연결 상태를 테스트합니다.
-
라우팅 테이블 구성을 확인합니다.
-
보안 그룹 규칙을 확인합니다.
-
DNS 확인을 확인합니다.
DNS 해결 문제
-
DHCP 옵션 세트를 확인합니다.
-
DNS 서버 구성을 확인합니다.
-
소비자 인스턴스에서 이름 확인을 테스트합니다.
추가 리소스
