开始 AWS License Manager 使用共享跨账户 AWS Managed Microsoft AD - AWS License Manager
术语先决条件限制网络架构如何设置跨账户 License Manager 功能问题排查其他资源

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

开始 AWS License Manager 使用共享跨账户 AWS Managed Microsoft AD

AWS License Manager 支持使用共享的跨账户功能 AWS Managed Microsoft AD,使组织能够集中管理来自目录所有者账户的用户订阅,同时跨多个账户部署实例。

术语

  • 目录所有者帐户-存在托管 AD 且还负责管理订阅的许可证管理员帐户。

  • 目录使用者 AWS 账户-您要使用共享 AD 启动用户订阅实例的账户。

先决条件

在开始之前,请确保您满足以下条件:

限制

  • 用户订阅管理仅限于目录所有者帐户。

  • 不支持跨区域共享。

  • 通过目录所有者账户进行整合账单-尽管订阅可以存在于多个账户中,但所有订阅费用均计入目录所有者账户。

  • 账户之间需要网络连接。

网络架构

如何设置跨账户 License Manager 功能

要设置跨账户 License Manager 功能,请执行以下操作:

  1. 设置目录所有者 account/license 管理员帐户。

  2. 配置目录使用者帐户。

  3. 建立网络连接。

  4. 部署实例并管理用户关联。

步骤 1:设置目录所有者/许可证管理员帐户

创建和共享 AWS Managed Microsoft AD

  1. 如果您的 VPC AWS Managed Microsoft AD 中不存在,请将其创建。

  2. 与目录使用者帐户共享该目录,如共享您的目录中所述。

  3. 确保该目录已正确配置所需的用户和组。

订阅产品

  1. 导航到 AWS Marketplace。

  2. 找到并订阅你需要的产品,Visual Studio 或 Office 和 RDS SAL。

  3. 使用 License Manager 创建授权与目录使用者帐户共享 Visual Studio 或 Office 订阅。或者,您也可以在这些账户中订阅 AWS Marketplace 产品,因为这不会影响账单。请参阅已授予的许可证

  4. 验证订阅状态是否处于活动状态。

使用 License Manager 注册

  1. 打开 License Manager 控制台。

  2. 导航到基于用户的订阅设置。

  3. 选择 “注册身份提供商”。

  4. 选择你的 AWS Managed Microsoft AD。

  5. 完成注册流程。

步骤 2:配置目录使用者帐户-具有共享 AD 的帐户

接受共享目录

  1. 打开 AWS Directory Service 控制台。

  2. 导航到共享目录

  3. 找到并接受共享目录邀请。

  4. 记下在您的账户中分配的新目录 ID。

接受 MP 订阅

在 License Manager 中,Grants 接受对 AWS Marketplace 产品的授权。或者,订阅 AWS Marketplace 产品。在 CreateGrant API 中了解更多信息)。

使用 License Manager 注册

  1. 打开 License Manager 控制台。

  2. 导航到基于用户的订阅并选择产品。

  3. 使用共享目录 ID 和产品进行注册。

  4. 验证注册状态。

步骤 3:在之间建立网络连接 VPCs

要将您的 Amazon EC2 实例加入到您的目录中,您需要在之间建立网络连接。 VPCs在两者之间建立网络连接有多种选择 VPCs。本节向您展示如何使用 Amazon VPC 对等互连。

设置 VPC 对等连接

  1. 在目录所有者 VPC-0 和目录使用者 VPC-1 之间@@ 创建一个 VPC 对等连接,然后在目录所有者 VPC-0 和目录使用者 VPC-2 之间创建另一个连接。

  2. 在 VPC 路由表中添加指向 VPC 对等连接的路 VPCs由,将流量路由到对等连接中的另一个 VPC,从而启用对等互连之间的流量路由。

  3. 通过添加与目录所有者 VPC-0 的对等连接,配置每个目录使用者 VPC 路由表。如果你愿意,你也可以创建一个 Internet Gateway 并将其附加到你的目录使用者 VPCs。这使目录使用者中的实例 VPCs 能够与执行域加入的 Amazon EC2 Systems Manager 代理进行通信。

配置安全组

通过向出站规则表中添加AWS Managed Microsoft AD 协议和端口,配置您的目录使用者 VPCs安全组以启用出站流量。此外,通过将 AWS Managed Microsoft AD 协议和端口添加到入站规则表中,将目录域控制器的 VPCs安全组配置为启用入站流量,从而允许来自目录使用者帐户的流量。

安全组要求

消费者账户 VPCs:

  • 启用到目录所有者 VPC 的出站流量

  • 允许在所需的 AD 端口上进行通信

目录所有者 VPC:

  • 配置来自消费者的入站流量 VPCs

  • 添加必要的 AWS Managed Microsoft AD 协议和端口,包括:

    • TCP 53 (DNS)

    • UDP 53 (DNS)

    • TCP 88 (Kerberos)

    • UDP 88 (Kerberos)

    • TCP 135 (RPC)

    • TCP 389 (LDAP)

    • UDP 389 (LDAP)

    • TCP 445 (SMB)

    • TCP 464(Kerberos 密码)

    • UDP 464(Kerberos 密码)

    • TCP 636 (LDAPS)

    • TCP 3268-3269(全球目录)

    • TCP 1024-65535(动态 RPC)

步骤 4:部署实例并管理用户关联

订阅用户(仅限目录所有者帐户)

  1. 打开 License Manager 控制台。

  2. 导航到基于用户的订阅

  3. 选择 “订阅用户

  4. 输入 AWS Managed Microsoft AD 用户标识符

  5. 选择产品并确认订阅。

启动实例

在任何账户中执行此步骤。

  1. 导航至 Amazon EC2 控制台。

  2. 选择启动实例

  3. 选择相应的 License Manager AMI。

  4. 配置网络设置。

  5. 查看并启动。

将用户与实例关联

在实例存在的任何账户中执行此步骤。

  1. 打开 License Manager 控制台。

  2. 导航到 “用户关联”。

  3. 选择目标实例。

  4. 选择 “关联用户”。

  5. 输入 AWS Managed Microsoft AD 用户名。

  6. 确认关联。

问题排查

常见问题和解决方案:

域名加入失败

  1. 验证账户之间的网络连接。

  2. 检查安全组配置。

  3. 确认 DNS 解析工作正常。

  4. 验证路由表条目。

用户订阅问题

  1. 确认用户存在于 AWS Managed Microsoft AD。

  2. 在目录所有者账户中验证订阅状态。

  3. 检查网络连接。

  4. 查看错误日志。

网络连接问题

  1. 测试 VPC 对等连接状态。

  2. 验证路由表配置。

  3. 检查安全组规则。

  4. 确认 DNS 解析。

DNS 解析问题

  1. 验证 DHCP 选项集。

  2. 检查 DNS 服务器配置。

  3. 测试使用者实例的名称解析。

其他资源