Associação de uma instância do Amazon EC2 para Windows ao Simple AD Active Directory - AWS Directory Service

Associação de uma instância do Amazon EC2 para Windows ao Simple AD Active Directory

Você pode iniciar e associar uma instância do Windows do Amazon EC2 a um Simple AD. Como alternativa, você pode associar manualmente uma instância existente do Windows do EC2 a um Simple AD

Seamlessly join an EC2 Windows

Para associar diretamente um domínio em uma instância do EC2, você precisará concluir o seguinte:

Pré-requisitos

  • Ter um Simple AD. Para saber mais, consulte Criação do Simple AD.

  • Você precisará das seguintes permissões do IAM para ingressar diretamente em uma instância do EC2 Windows:

    • Perfil de instância do IAM com as seguintes permissões do IAM:

      • AmazonSSMManagedInstanceCore

      • AmazonSSMDirectoryServiceAccess

    • O domínio do usuário que associa o EC2 diretamente ao Simple AD precisa das seguintes permissões do IAM:

      • Permissões do Directory Service:

        • "ds:DescribeDirectories"

        • "ds:CreateComputer"

      • Permissões da Amazon VPC:

        • "ec2:DescribeVpcs"

        • "ec2:DescribeSubnets"

        • "ec2:DescribeNetworkInterfaces"

        • "ec2:CreateNetworkInterface"

        • "ec2:AttachNetworkInterface"

      • Permissões do EC2:

        • "ec2:DescribeInstances"

        • "ec2:DescribeImages"

        • "ec2:DescribeInstanceTypes"

        • "ec2:RunInstances"

        • "ec2:CreateTags"

      • AWS Systems ManagerPermissões do :

        • "ssm:DescribeInstanceInformation"

        • "ssm:SendCommand"

        • "ssm:GetCommandInvocation"

        • "ssm:CreateBatchAssociation"

Quando o Simple AD é criado, um grupo de segurança é criado com regras de entrada e saída. Para saber mais sobre essas regras e portas, consulte O que é criado com o Simple AD. Para associar diretamente o domínio de uma instância do EC2 Windows, a VPC em que você está iniciando a instância deve permitir as mesmas portas permitidas nas regras de entrada e saída do grupo de segurança do Simple AD.

  • Dependendo das configurações de segurança e firewall da rede, talvez seja exigido permitir tráfego de saída adicional. Esse tráfego seria para HTTPS (porta 443) para os seguintes endpoints:

    Endpoint Função

    ec2messages.region.amazonaws.com

    Cria e exclui canais de sessão com o serviço Session Manager. Para obter mais informações, consulte Endpoints e cotas do AWS Systems Manager.

    ssm.region.amazonaws.com

    Endpoint para o AWS Systems Manager Session Manager. Para obter mais informações, consulte Endpoints e cotas do AWS Systems Manager.

    ssmmessages.region.amazonaws.com

    Cria e exclui canais de sessão com o serviço Session Manager. Para obter mais informações, consulte Endpoints e cotas do AWS Systems Manager.

    ds.region.amazonaws.com

    Endpoint para o Directory Service. Para obter mais informações, consulte Disponibilidade de regiões para o Directory Service.

  • Recomendamos usar um servidor DNS que resolva o nome de domínio do Simple AD. Para fazer isso, você pode criar um conjunto de opções de DHCP. Consulte Criação de um conjunto de opções de DHCP para o Simple AD para obter mais informações.

    • Se você optar por não criar um conjunto de opções DHCP, os servidores DNS serão estáticos e configurados pelo Simple AD.

  1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. Na barra de navegação, escolha a mesma Região da AWS do diretório existente.

  3. No Painel do EC2, na seção Iniciar instância, escolha Iniciar instância.

  4. Na página Iniciar uma instância, na seção Nome e tags, insira o nome que você gostaria de usar para sua instância do Windows EC2.

  5. (Opcional) Escolha Adicionar tags extras para um ou mais pares chave-valor de tag para organizar, monitorar ou controlar o acesso para esta instância do EC2.

  6. Na seção Imagem da aplicação e do sistema operacional (imagem de máquina da Amazon), escolha Windows no painel Início rápido. É possível alterar a imagem de máquina da Amazon (AMI) do Windows na lista suspensa Imagem de máquina da Amazon (AMI).

  7. Na seção Tipo de instância, escolha o tipo de instância que você gostaria de usar na lista suspensa Tipo de instância.

  8. Na seção Par de chaves: login, é possível optar por criar um novo par de chaves ou escolher um par de chaves existente.

    1. Para criar um novo par de chaves, escolha Criar par de chaves.

    2. Insira um nome para o par de chaves e selecione uma opção para Tipo de par de chaves e Formato do arquivo de chave privada.

    3. Para salvar a chave privada em um formato que possa ser usado com o OpenSSH, escolha .pem. Para salvar a chave privada em um formato que possa ser usado com o PuTTY, escolha .ppk.

    4. Escolha Criar par de chaves.

    5. O arquivo de chave privada é baixado automaticamente pelo navegador. Salve o arquivo de chave privada em um lugar seguro.

      Importante

      Esta é a única chance de você salvar o arquivo de chave privada.

  9. Na página Iniciar uma instância, na seção Configurações de rede, escolha Editar. Escolha a VPC na qual seu diretório foi criado na lista suspensa VPC: obrigatório.

  10. Escolha uma das sub-redes públicas em sua VPC na lista suspensa Sub-rede. A sub-rede escolhida deve ter todo o tráfego externo ser roteado para um gateway da Internet. Caso contrário, não será possível conectar-se à instância de maneira remota.

    Para obter mais informações sobre como conectar a um gateway da Internet, consulte Conectar à Internet usando um gateway da Internet no Guia do usuário da Amazon VPC.

  11. Em Atribuir IP público automaticamente, escolha Habilitar.

    Para obter mais informações sobre endereçamento IP público e privado, consulte Endereçamento IP de instâncias do Amazon EC2 no Guia do usuário do Amazon EC2.

  12. Para configurações de Firewall (grupos de segurança), é possível usar as configurações padrão ou fazer alterações para atender às suas necessidades.

  13. Para opções de Configurar armazenamento, é possível usar as configurações padrão ou fazer alterações para atender às suas necessidades.

  14. Selecione a seção Detalhes avançados, escolha seu domínio na lista suspensa Diretório de associação ao domínio.

    nota

    Depois de escolher o diretório de associação do domínio, você verá:

    Uma mensagem de erro ao selecionar seu diretório de associação do domínio. Há um erro com seu documento do SSM existente.

    Esse erro ocorre se o assistente de inicialização do EC2 identificar um documento do SSM existente com propriedades inesperadas. Você pode executar uma das seguintes ações:

    • Se você editou anteriormente o documento do SSM e as propriedades são esperadas, escolha fechar e continue executando a instância do EC2 sem alterações.

    • Selecione o link Excluir o documento do SSM existente aqui para excluir o documento do SSM. Isso permitirá a criação de um documento do SSM com as propriedades corretas. O documento do SSM será criado automaticamente quando você iniciar a instância do EC2.

  15. Para Perfil de instância do IAM, é possível selecionar um perfil de instância do IAM existente ou criar um novo. Selecione um perfil de instância do IAM que tenha as políticas gerenciadas AmazonSSMManagedInstanceCore e AmazonSSMDirectoryServiceAccess da AWS anexadas a ele na lista suspensa Perfil de instância do IAM. Para criar um novo, escolha o link Criar perfil do IAM e faça o seguinte:

    1. Selecione Criar perfil.

    2. Em Selecionar entidade confiável, escolha serviço da AWS.

    3. Em Use case (Caso de uso), selecione EC2.

    4. Em Adicionar permissões, na lista de políticas, selecione as políticas AmazonSSMManagedInstanceCore e AmazonSSMDirectoryServiceAccess. Para filtrar a lista, digite SSM na caixa de pesquisa. Escolha Próximo.

      nota

      AmazonSSMDirectoryServiceAccess fornece as permissões para associar instâncias a um Active Directory gerenciado pelo Directory Service. AmazonSSMManagedInstanceCore fornece as permissões mínimas necessárias para usar o serviço AWS Systems Manager. Para obter mais informações sobre a criação de um perfil com essas permissões e sobre outras permissões e políticas que você pode atribuir ao seu perfil do IAM, consulte Criar um perfil de instância do IAM para Systems Manager no Guia do usuário do AWS Systems Manager.

    5. Na página Nomear, revisar e criar, insira um Nome de perfil. Você precisará desse nome de perfil para anexar à instância do EC2.

    6. (Opcional) Você pode fornecer uma descrição do perfil de instância do IAM no campo Descrição.

    7. Selecione Criar perfil.

    8. Volte para a página Iniciar uma instância e escolha o ícone de atualização ao lado do Perfil de instância do IAM. Seu novo perfil de instância do IAM deve estar visível na lista suspensa do Perfil de instância do IAM. Escolha o novo perfil e mantenha o resto das configurações com seus valores padrão.

  16. Escolha Iniciar instância.

Manually join an EC2 Windows

Para associar manualmente uma instância existente do Amazon EC2 para Windows a um Simple AD Active Directory, ela deve ser iniciada usando os parâmetros conforme especificado em Associação de uma instância do Amazon EC2 para Windows ao Simple AD Active Directory.

Você precisará dos endereços IP dos servidores DNS do Simple AD. Essas informações podem ser encontradas em Serviços de diretório > Diretórios > o link ID do diretório referente ao diretório > seções Detalhes do diretório e Rede e segurança.

No console do Directory Service, na página de detalhes do diretório, os endereços IP dos servidores DNS do Directory Service fornecidos estão destacados.
Para associar uma instância do Windows a um Simple AD Active Directory

  1. Conecte-se à instância usando qualquer cliente Remote Desktop Protocol.

  2. Abra a caixa de diálogo de propriedades TCP/IPv4 na instância.

    1. Abra Conexões de rede.

      dica

      Você pode abrir Conexões de rede de maneira direta executando o seguinte comando a partir de um prompt de comando na instância.

      %SystemRoot%\system32\control.exe ncpa.cpl

    2. Abra o menu de contexto (clique com o botão direito do mouse) de qualquer conexão de rede habilitada e escolha Propriedades.

    3. Na caixa de diálogo de propriedades da conexão, abra (clique duas vezes) Protocolo de Internet versão 4.

  3. Selecione Usar os seguintes endereços de servidor DNS, altere os endereços do Servidor DNS preferencial e do Servidor DNS alternativo para os endereços IP dos servidores DNS fornecidos pelo Simple AD e escolha OK.

    A caixa de diálogo Propriedades do protocolo da Internet versão 4 (TCP/IPv4) com os campos do servidor DNS preferencial e do servidor DNS alternativo destacados.

  4. Abra a caixa de diálogo Propriedades do sistema da instância, selecione a guia Nome do computador e escolha Alterar.

    dica

    Você pode abrir a caixa de diálogo Propriedades do sistema de maneira direta executando o seguinte comando a partir de um prompt de comando na instância.

    %SystemRoot%\system32\control.exe sysdm.cpl

  5. No campo Membro de, selecione Domínio, insira o nome totalmente qualificado do Simple AD Active Directory e escolha OK.

  6. Quando for solicitado o nome e a senha do administrador do domínio, insira o nome de usuário e a senha de uma conta com privilégios de associação no domínio. Para obter mais informações sobre como delegar esses privilégios, consulte Delegação de privilégios de associação a diretório do Simple AD.

    nota

    É possível inserir o nome totalmente qualificado do domínio ou o nome NetBIOS, seguido por uma barra invertida (\) e pelo nome do usuário. O nome de usuário seria Administrador. Por exemplo, corp.example.com\administrator ou corp\administrator.

  7. Depois que você receber a mensagem de boas-vindas ao domínio, reinicie a instância para que as alterações entrem em vigor.

Agora que sua instância foi associada ao domínio do Simple AD Active Directory, você pode fazer login nela de maneira remota e instalar utilitários para gerenciar o diretório, como a adição de usuários e grupos. As ferramentas administrativas do Active Directory podem ser usadas para criar usuários e grupos. Para obter mais informações, consulte Instalar as ferramentas de administração do Active Directory para Simple AD.