Associar diretamente uma instância do Amazon EC2 para Linux a um AWS Managed Microsoft AD compartilhado - AWS Directory Service
Pré-requisitosEtapa 1. Criar um perfil do IAMEtapa 2. Criar acesso a recursos entre contasEtapa 3. Associação direta de uma instância do Linux

Associar diretamente uma instância do Amazon EC2 para Linux a um AWS Managed Microsoft AD compartilhado

Neste procedimento, você associará diretamente uma instância do Amazon EC2 Linux a um AWS Managed Microsoft AD compartilhado. Para fazer isso, você criará uma política de leitura do IAM para AWS Secrets Manager no perfil de instância do EC2 na conta em que deseja executar a instância do EC2 para Linux. Ela será chamada de Account 2 neste procedimento. Essa instância usará o AWS Managed Microsoft AD que está sendo compartilhado da outra conta, chamada de Account 1.

Pré-requisitos

Antes de associar diretamente uma instância do Amazon EC2 Linux a um AWS Managed Microsoft AD compartilhado, você precisará concluir o seguinte:

Etapa 1. Criar o perfil LinuxEC2DomainJoin na Conta 2

Nesta etapa, você usará o console do IAM para criar o perfil do IAM que será usado para associar a instância EC2 Linux ao domínio enquanto estiver autenticado na Account 2.

Criar o perfil função LinuxEC2DomainJoin

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação esquerdo, em Gerenciamento de acesso, escolha Perfis.

  3. Na página Perfis, selecione Criar perfil.

  4. Em Select type of trusted entity (Selecionar o tipo de entidade confiável), escolha AWS service (serviço).

  5. Em Caso de uso, escolha EC2 e Próximo

  6. Em Políticas de filtro, faça o seguinte:

    1. Insira AmazonSSMManagedInstanceCore. Em seguida, marque a caixa de seleção para esse item na lista.

    2. Insira AmazonSSMDirectoryServiceAccess. Em seguida, marque a caixa de seleção para esse item na lista.

    3. Depois de adicionar essas políticas, selecione Criar perfil.

      nota

      O AmazonSSMDirectoryServiceAccess fornece as permissões para associar instâncias a um Active Directory gerenciado pelo Directory Service. O AmazonSSMManagedInstanceCore fornece as permissões mínimas necessárias para usar o AWS Systems Manager. Para obter mais informações sobre a criação de um perfil com essas permissões e sobre outras permissões e políticas que você pode atribuir ao perfil do IAM, consulte Configurar permissões de instância obrigatórias para o Systems Manager no Guia do usuário do AWS Systems Manager.

  7. Insira um nome para o novo perfil, como LinuxEC2DomainJoin ou outro nome que você preferir, no campo Nome do perfil.

  8. (Opcional) Em Descrição do perfil, insira uma descrição.

  9. (Opcional) Escolha Adicionar nova tag na Etapa 3: Adicionar tags para adicionar tags. Os pares de chave-valor de tag são usados para organizar, rastrear ou controlar o acesso a esse perfil.

  10. Selecione Criar perfil.

Etapa 2. Criar acesso a recursos entre contas para compartilhar segredos do AWS Secrets Manager

A próxima seção contém requisitos adicionais que precisam ser atendidos para associar diretamente as instâncias do EC2 para Linux a um AWS Managed Microsoft AD compartilhado. Esses requisitos incluem criar políticas de recursos e vinculá-las aos serviços e recursos apropriados.

Para permitir que usuários em uma conta acessem segredos do AWS Secrets Manager em outra conta, você deve permitir o acesso tanto na política de recurso quanto na política de identidade. Esse tipo de acesso é chamado de acesso a recursos entre contas.

Esse tipo de acesso é diferente de conceder acesso a identidades na mesma conta que o segredo do Secrets Manager. Você também deve permitir que a identidade use a chave do AWS Key Management Service (KMS) com a qual o segredo está criptografado. Essa permissão é necessária, pois você não pode usar a chave gerenciada pela AWS (aws/secretsmanager) para acesso entre contas. Em vez disso, você criptografará o segredo com uma chave do KMS que criar e, em seguida, anexará uma política de chave a ele. Para alterar a chave de criptografia de um segredo, consulte Modificação de um segredo do AWS Secrets Manager.

nota

Existem taxas associadas ao AWS Secrets Manager, dependendo de qual segredo você usa. Para obter a lista de preços atual completa, consulte Definição de preço do AWS Secrets Manager. Você pode usar a Chave gerenciada pela AWS aws/secretsmanager que o Secrets Manager cria para criptografar os segredos gratuitamente. Se você criar suas próprias chaves do KMS para criptografar os segredos, a AWS cobrará a taxa atual do AWS KMS. Para obter mais informações, consulte Preços do AWS Key Management Service.

As etapas a seguir permitem criar as políticas de recursos para permitir que os usuários associem diretamente uma instância do EC2 para Linux a um AWS Managed Microsoft AD compartilhado.

Anexar uma política de recursos ao segredo na Conta 1

  1. Abra o console do Secrets Manager em https://console.aws.amazon.com/secretsmanager/.

  2. Na lista de segredos, escolha o seu Segredo que foi criado durante o Pré-requisitos.

  3. Na página de detalhes do segredo, na guia Visão geral, role para baixo até Permissões de recursos.

  4. Selecione Editar permissões.

    1. No campo da política, insira a política a seguir. A política a seguir permite que o LinuxEC2DomainJoin na Account 2 acesse o segredo em Account 1. Substitua o valor do ARN pelo valor do ARN da sua Account 2, o perfil LinuxEC2DomainJoin que você criou na Etapa 1. Para usar essa política, consulte Attach a permissions policy to an AWS Secrets Manager secret.

      JSON
      {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/LinuxEC2DomainJoin"
      },
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "*"
    }
  ]
}
Adicionar uma instrução à política de chave para a chave do KMS na Conta 1

  1. Abra o console do Secrets Manager em https://console.aws.amazon.com/secretsmanager/.

  2. No painel de navegação à esquerda, selecione Chaves gerenciadas pelo cliente.

  3. Na página Chaves gerenciadas pelo cliente, selecione a chave que você criou.

  4. Na página Detalhes da chave, navegue até Política de chave e selecione Editar.

  5. A instrução de política de chave a seguir permite que o ApplicationRole na Account 2 use a chave do KMS na Account 1 para descriptografar o segredo na Account 1. Para usar essa declaração, adicione-a à política de chaves para sua chave do KMS. Para obter mais informações, consulte Alterar uma política de chaves.

    {
{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::Account2:role/ApplicationRole"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey"
  ],
  "Resource": "*"
}
Crie uma política de identidade para a identidade na Conta 2

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação esquerdo, em Gerenciamento de acesso, escolha Políticas.

  3. Selecione Create Policy (Criar política). Escolha JSON no Editor de políticas.

  4. A política a seguir permite que o ApplicationRole na Account 2 acesse o segredo na Account 1 e descriptografe o valor do segredo usando a chave de criptografia, que também está na Account 1. Você pode encontrar o ARN do seu segredo no console do Secrets Manager na página Detalhes do segredo em ARN do segredo. Como alternativa, você pode chamar describe-secret para identificar o ARN do segredo. Substitua o ARN do recurso pelo ARN do recurso no ARN do segredo e Account 1. Para usar essa política, consulte Attach a permissions policy to an AWS Secrets Manager secret.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secretName-AbCdEf"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:Describekey"
      ],
      "Resource": "arn:aws:kms:us-east-1:111122223333:key/Your_Encryption_Key"
    }
  ]
}

  5. Selecione Próximo e, em seguida, Salvar alterações.

  6. Encontre e selecione o perfil criado em Account 2 em Attach a resource policy to the secret in Account 1.

  7. Em Adicionar permissões, selecione Anexar políticas.

  8. Na barra de pesquisa, encontre a política criada em Add a statement to the key policy for the KMS key in Account 1 e marque a caixa para adicionar a política ao perfil. Em seguida selecione Adicionar permissões.

Etapa 3. Associação direta de uma instância do Linux

Agora você pode usar o procedimento a seguir para associar diretamente sua instância do EC2 para Linux ao AWS Managed Microsoft AD gerenciado.

Para associar diretamente sua instância do Linux

  1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No seletor de região na barra de navegação, escolha a mesma Região da AWS do diretório existente.

  3. No Painel do EC2, na seção Iniciar instância, escolha Iniciar instância.

  4. Na página Iniciar uma instância, na seção Nome e tags, insira o nome que você gostaria de usar na instância do EC2 para Linux.

  5. (Opcional) Escolha Adicionar tags extras para adicionar um ou mais pares de chave-valor de tag para organizar, monitorar ou controlar o acesso a essa instância do EC2.

  6. Na seção Imagem da aplicação e do sistema operacional (imagem de máquina da Amazon), escolha uma AMI do Linux que você deseja iniciar.

    nota

    A AMI usada deve ter o AWS Systems Manager (SSM Agent) versão 2.3.1644.0 ou superior. Para verificar a versão do SSM Agent instalada em sua AMI iniciando uma instância por essa AMI, consulte Obter a versão do SSM Agent instalada. Se você precisar atualizar o SSM Agent, consulte Instalar e configurar o SSM Agent em instâncias do EC2 para Linux.

    O SSM usa o plug-in aws:domainJoin ao associar uma instância do Linux a um domínio do Active Directory. O plug-in altera o nome do host das instâncias do Linux para o formato EC2AMAZ-XXXXXXX. Para obter mais informações sobre aws:domainJoin, consulte a Referência de plug-ins de documentos de comando do AWS Systems Manager no Guia do usuário do AWS Systems Manager.

  7. Na seção Tipo de instância, escolha o tipo de instância que você gostaria de usar na lista suspensa Tipo de instância.

  8. Na seção Par de chaves: login, é possível optar por criar um novo par de chaves ou escolher um par de chaves existente. Para criar um novo par de chaves, escolha Criar par de chaves. Insira um nome para o par de chaves e selecione uma opção para Tipo de par de chaves e Formato do arquivo de chave privada. Para salvar a chave privada em um formato que possa ser usado com o OpenSSH, escolha .pem. Para salvar a chave privada em um formato que possa ser usado com o PuTTY, escolha .ppk. Escolha Criar par de chaves. O arquivo de chave privada é baixado automaticamente pelo navegador. Salve o arquivo de chave privada em um lugar seguro.

    Importante

    Esta é a única chance de você salvar o arquivo de chave privada.

  9. Na página Iniciar uma instância, na seção Configurações de rede, escolha Editar. Escolha a VPC na qual seu diretório foi criado na lista suspensa VPC: obrigatório.

  10. Escolha uma das sub-redes públicas em sua VPC na lista suspensa Sub-rede. A sub-rede escolhida deve ter todo o tráfego externo ser roteado para um gateway da Internet. Caso contrário, não será possível conectar-se à instância de maneira remota.

    Para obter mais informações sobre como conectar a um gateway da Internet, consulte Conectar à Internet usando um gateway da Internet no Guia do usuário da Amazon VPC.

  11. Em Atribuir IP público automaticamente, escolha Habilitar.

    Para obter mais informações sobre endereçamento IP público e privado, consulte Endereçamento IP de instâncias do Amazon EC2 no Guia do usuário do Amazon EC2.

  12. Para configurações de Firewall (grupos de segurança), é possível usar as configurações padrão ou fazer alterações para atender às suas necessidades.

  13. Para opções de Configurar armazenamento, é possível usar as configurações padrão ou fazer alterações para atender às suas necessidades.

  14. Selecione a seção Detalhes avançados, escolha seu domínio na lista suspensa Diretório de associação ao domínio.

    nota

    Depois de escolher o diretório de associação do domínio, você verá:

    Uma mensagem de erro ao selecionar seu diretório de associação do domínio. Há um erro com seu documento do SSM existente.

    Esse erro ocorre se o assistente de inicialização do EC2 identificar um documento do SSM existente com propriedades inesperadas. Você pode executar uma das seguintes ações:

    • Se você editou anteriormente o documento do SSM e as propriedades são esperadas, escolha fechar e continue executando a instância do EC2 sem alterações.

    • Selecione o link Excluir o documento do SSM existente aqui para excluir o documento do SSM. Isso permitirá a criação de um documento do SSM com as propriedades corretas. O documento do SSM será criado automaticamente quando você iniciar a instância do EC2.

  15. Em Perfil de instância do IAM, escolha o perfil do IAM criado anteriormente na seção de pré-requisitos Etapa 2: criar o perfil LinuxEC2DomainJoin.

  16. Escolha Iniciar instância.

nota

Se você estiver realizando uma associação direta a domínio com o SUSE Linux, uma reinicialização será necessária antes que as autenticações funcionem. Para reinicializar o SUSE via terminal Linux, digite sudo reboot.