本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 教學課程:共用 AWS Managed Microsoft AD 目錄以實現無縫 EC2 網域加入
本教學課程說明如何與另一個 (目錄消費者帳戶) 共用 AWS Managed Microsoft AD 目錄 AWS 帳戶 (目錄擁有者帳戶)。聯網先決條件完成後,您將在兩個 之間共用目錄 AWS 帳戶。然後,您將了解如何將 EC2 執行個體無縫加入目錄消費者帳戶中的網域。
我們建議您先檢閱目錄共享重要概念和使用案例,再開始處理這份教學課程的內容。如需詳細資訊,請參閱[重要的目錄共享概念](ms_ad_directory_sharing.md#ms_ad_directory_sharing_key_concepts)。
共用目錄的程序會因您是否與同一 AWS 組織中 AWS 帳戶 的另一個 或 AWS 組織外部的帳戶共用目錄而有所不同。如需共享運作方式的詳細資訊,請參閱[共享方法](ms_ad_directory_sharing.md#sharing_methods)。
此工作流程有四個基本步驟。
![\[共用 AWS Managed Microsoft AD 的步驟:設定您的聯網環境、共用目錄、接受共用目錄邀請,以及測試將適用於 Windows Server 的 Amazon EC2 執行個體無縫加入網域。\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/directory_sharing_tutorial3.png)
**[步驟 1:設定聯網環境](step1_setup_networking.md)**
在目錄擁有者帳戶中,您會設定共享目錄程序的所有必要聯網先決條件。
**[步驟 2:共享您的目錄](step2_share_directory.md)**
在使用目錄擁有者管理員登入資料登入情況下,您會開啟 Directory Service 主控台,並啟動共享目錄工作流程,而其會向目錄消費者帳戶發出邀請。
**[步驟 3:接受共用目錄邀請 - 選用](step3_accept_invite.md)**
使用目錄消費者管理員登入資料登入時,您可以開啟 Directory Service 主控台並接受目錄共用邀請。
**[步驟 4:測試將適用於 Windows Server 的 EC2 執行個體無縫加入域](step4_test_ec2_access.md)**
最後,您會以目錄消費者管理員的身分,嘗試將 EC2 執行個體加入至網域,並且驗證其運作正常。
**其他資源**
+ [使用案例:共享您的目錄以便跨 AWS 帳戶將 Amazon EC2 執行個體無縫加入域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/usecase6.html)
+ [AWS 安全部落格文章:如何將 Amazon EC2 執行個體從多個帳戶和 VPCs 加入單一 AWS 受管 Microsoft AD 目錄](https://aws.amazon.com/blogs/security/how-to-domain-join-amazon-ec2-instances-aws-managed-microsoft-ad-directory-multiple-accounts-vpcs/)
# 步驟 1:設定聯網環境
您需要建立 Amazon VPC 對等互連,才能與另一個 (目錄消費者帳戶) 共用 AWS Managed Microsoft AD 目錄 AWS 帳戶 (目錄帳戶擁有者)。如需為共用 AWS Managed Microsoft AD 設定聯網環境的步驟,請參閱下列程序。
## 先決條件
在開始執行此教學課程中的步驟之前,您必須具備以下內容:
+ 在相同區域中建立兩個新的 AWS 帳戶 以供測試之用。當您建立 時 AWS 帳戶,它會自動在每個帳戶中建立專用虛擬私有雲端 (VPC)。記下每個帳戶內的 VPC ID。後續操作將會用到這份資料。
+ [建立 AWS Managed Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_create_directory)。
+ 建立 VPC 互連連線時,目錄帳戶擁有者和目錄消費者帳戶都需要必要的許可,才能建立和接受互連連線。如需詳細資訊,請參閱[範例:建立 VPC 互連連線](https://docs.aws.amazon.com//vpc/latest/peering/security-iam.html#vpc-peering-iam-create)和[範例:接受 VPC 互連連線](https://docs.aws.amazon.com//vpc/latest/peering/security-iam.html#vpc-peering-iam-accept)。
**注意**
雖然有許多方式可以連線到目錄擁有者和目錄消費者帳戶 VPC,但本教學將會使用 VPC 對等互連方法。其他額外的 VPC 連線能力選項,請參閱 [網路連線](ms_ad_directory_sharing.md#network_connectivity)。
## 在目錄擁有者和目錄消費者帳戶之間,設定 VPC 對等互連
您將建立的 VPC 對等連線,存在於目錄消費者和目錄擁有者 VPC 之間,依照以下步驟,設定 VPC 對等連線來與目錄消費者帳戶連線。使用此連線,您可以在兩個 VPC 之間使用私有 IP 地址來路由流量。
**在目錄擁有者和目錄消費者帳戶之間,建立 VPC 對等連線**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。請務必以具有目錄擁有者帳戶中管理員登入資料的使用者身分登入,並具有建立 VPC 互連連線所需的許可。如需詳細資訊,請參閱[先決條件](#step1_setup_networking_prereqs)。
1. 在導覽窗格中,選擇 **Peering Connections (對等互連連線)**。接著,選擇 **Create Peering Connection (建立對等連線)**。
1. 設定下列資訊:
+ **對等連線名稱標籤**:提供可清楚定義與目錄消費者帳戶內 VPC 之間連線的名稱。
+ **VPC (申請者)**:選取目錄擁有者帳戶的 VPC ID。
+ 在 **Select another VPC to peer with (選取其他要對等連線的 VPC)** 之下,確定 **My account (我的帳戶)** 及 **This region (這個區域)** 均已選取。
+ **VPC (接受者)**:選取目錄消費者帳戶的 VPC ID。
1. 關閉 **Create Peering Connection (建立對等連線)**。在確認對話方塊中,選擇 **OK (確定)**。
**代表目錄消費者帳戶接受對等請求**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。請務必以具有必要許可的使用者身分登入,以接受對等請求。如需詳細資訊,請參閱[先決條件](#step1_setup_networking_prereqs)。
1. 在導覽窗格中,選擇 **Peering Connections (對等互連連線)**。
1. 選取正在等待的 VPC 對等連線。(其狀態為正在等待接受。) 選擇 **Actions (動作)**、**Accept Request (接受請求)**。
1. 在確認對話方塊中,選擇 **Yes, Accept** (是,接受)。在接下來的確認對話方塊中,選擇 **Modify my route tables now (現在修改我的路由表)**,直接前往路由表頁面。
現在您的 VPC 對等連線已處於作用中,您必須將項目新增至目錄擁有者帳戶中 VPC 的路由表。這樣可讓流量直接導向目錄消費者帳戶內的 VPC。
**新增項目到目錄擁有者帳戶的 VPC 路由表中**
1. 在 Amazon VPC 主控台的**路由表**區段中,選取目錄擁有者 VPC 的路由表。
1. 選擇**路由**索引標籤,選擇**編輯路由**,然後選擇**新增路由**。
1. 在 **Destination (目的地)** 欄位中,輸入目錄消費者 VPC 的 CIDR 區塊。
1. 在 **Target (目標)** 欄位中,為您之前在目錄擁有者帳戶中建立的對等連線,輸入 VPC 對等連線 ID (例如,**pcx-123456789abcde000**)。
1. 選擇**儲存變更**。
**新增項目到目錄消費者帳戶的 VPC 路由表中**
1. 在 Amazon VPC 主控台的**路由表**區段中,選取目錄消費者 VPC 的路由表。
1. 選擇**路由**索引標籤,選擇**編輯路由**,然後選擇**新增路由**。
1. 在 **Destination (目的地)** 欄位中,輸入目錄擁有者 VPC 的 CIDR 區塊。
1. 在 **Target (目標)** 欄位中,為您之前在目錄消費者帳戶中建立的對等連線,鍵入 VPC 對等連線 ID (例如,**pcx-123456789abcde001**)。
1. 選擇**儲存變更**。
將 Active Directory 通訊協定和連接埠新增至目錄取用者 VPCs 中安全群組的傳出規則。如需詳細資訊,請參閱 [VPC 安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)及 [AWS Managed Microsoft AD 先決條件](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_prereqs.html)。
**後續步驟**
[步驟 2:共享您的目錄](step2_share_directory.md)
# 步驟 2:共享您的目錄
使用以下程序,從目錄擁有者帳戶中展開目錄共享工作流程。
**注意**
目錄共用是 AWS Managed Microsoft AD 的區域功能。如果您使用的是[多區域複寫](ms_ad_configure_multi_region_replication.md),則必須在每個區域中分別套用下列程序。如需詳細資訊,請參閱[全域與區域功能](multi-region-global-region-features.md)。
**從目錄擁有者帳戶共享目錄**
1. AWS 管理主控台 使用目錄擁有者帳戶中的管理員登入資料登入 ,然後開啟位於 https://https://console.aws.amazon.com/directoryservicev2/ 的 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)。
1. 在導覽窗格中,選擇**目錄**。
1. 選擇您要共用之 AWS Managed Microsoft AD 目錄的目錄 ID。
1. 在**目錄詳細資訊**頁面上,執行下列其中一項:
+ 如果**多區域複寫**下顯示多個區域,請選取要共享目錄的區域,然後選擇**擴展和共享**索引標籤。如需詳細資訊,請參閱[主要區域與其他區域](multi-region-global-primary-additional.md)。
+ 如果**多區域複寫**下沒有顯示任何區域,請選擇**擴展和共享**索引標籤。
1. 在 **Shared directories (共享的目錄)** 區段中,選擇 **Actions (動作)**,然後選擇 **Create new shared directory (新建共享目錄)**。
1. 在**選擇要 AWS 帳戶 共用的**頁面上,根據您的業務需求選擇下列其中一種共用方法:
1. **與組織 AWS 帳戶 內部共用此目錄** – 使用此選項,您可以從顯示 AWS 組織 AWS 帳戶 內部所有 的清單中選取要 AWS 帳戶 共用目錄的 。您必須先啟用與 的受信任存取, Directory Service 才能共用目錄。如需詳細資訊,請參閱[如何啟用或停用信任的存取](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_how-to-enable-disable-trusted-access)。
**注意**
若要使用此選項,您的組織必須先啟用**所有功能**,而且您的目錄必須在組織管理帳戶之中。
1. **AWS 帳戶 在組織中**的 下,選取要與 AWS 帳戶 之共用目錄的 ,然後按一下**新增**。
1. 檢閱定價詳細資訊,然後選擇 **Share (共享)**。
1. 繼續執行本指南的[步驟 4](step4_test_ec2_access.md)。由於所有 AWS 帳戶 都在同一個組織中,因此您不需要遵循步驟 3。
1. **與其他 共用此目錄 AWS 帳戶** - 使用此選項,您可以與 AWS 組織內外的帳戶共用目錄。當您的目錄不是 AWS 組織的成員,而且您想要與另一個組織共用時,您也可以使用此選項 AWS 帳戶。
1. 在 **AWS 帳戶 ID** 中,輸入您要共享目錄的所有 AWS 帳戶 ID,並接著按一下**新增**。
1. 在**傳送注意事項**中,鍵入要給其他 AWS 帳戶之管理員的訊息。
1. 檢閱定價詳細資訊,然後選擇 **Share (共享)**。
1. 繼續進行步驟 3。
**後續步驟**
[步驟 3:接受共用目錄邀請 - 選用](step3_accept_invite.md)
# 步驟 3:接受共用目錄邀請 - 選用
如果您在先前程序中選擇了**與其他 AWS 帳戶共享此目錄** (交握方法) 選項,則您應該使用此程序來完成共享目錄工作流程。如果您選擇在**組織 AWS 帳戶 內部與 共用此目錄**選項,請略過此步驟並繼續步驟 4。
**接受共享目錄邀請**
1. AWS 管理主控台 使用目錄消費者帳戶中的管理員登入資料登入 ,然後開啟位於 https://https://console.aws.amazon.com/directoryservicev2/ 的 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)。
1. 在導覽窗格中,選擇 **Directories shared with me (與我共享目錄)**。
1. 在 **Shared directory ID (共享目錄 ID)** 欄位中,選擇狀態 **Pending acceptance (正在等待接受)** 的目錄 ID。
1. 在 **Shared directory details (共享目錄詳細資訊)** 頁面上,選擇 **Review (檢閱)**。
1. 在 **Pending shared directory invitation (等待共享目錄邀請)** 對話方塊中,檢閱注意事項、目錄擁有者詳細資訊,以及關於定價的資訊。在您同意情況下,選擇 **Accept (接受)** 即可開始使用目錄。
**後續步驟**
[步驟 4:測試將適用於 Windows Server 的 EC2 執行個體無縫加入域](step4_test_ec2_access.md)
# 步驟 4:測試將適用於 Windows Server 的 EC2 執行個體無縫加入域
您可以使用以下兩種方法來測試將 EC2 執行個體無縫加入域。
## 方法 1:使用 Amazon EC2 主控台測試加入域
在目錄消費者帳戶中執行這些步驟。
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/):// 開啟 Amazon EC2 主控台。
1. 在導覽列中,選擇 AWS 區域 與現有目錄相同的 。
1. 在 **EC2 儀表板**的**啟動執行個體**區段中,選擇**啟動執行個體**。
1. 在**啟動執行個體**頁面上的**名稱和標籤**區段下,輸入您想要用於 Windows EC2 執行個體的名稱。
1. (選用) 針對**新增標籤**,新增一個或多個標籤鍵值對來組織、追蹤或控制對此 EC2 執行個體的存取。
1. 在**應用程式和作業系統映像 (Amazon Machine Image)** 區段中,選擇**快速啟動**窗格中的 **Windows**。您可以從 **Amazon Machine Image (AMI)**下拉式清單中變更 Windows Amazon Machine Image (AMI)。
1. 在**執行個體類型**區段中,從**執行個體類型**下拉式清單中選擇您要使用的執行個體類型。
1. 在**金鑰對 (登入)** 區段中,您可以選擇建立新金鑰對或從現有金鑰對中進行選擇。
1. 若要建立新的金鑰對,請選擇**建立新金鑰對**。
1. 輸入金鑰對的名稱,然後選取**金鑰對類型**和**私有金鑰檔案格式**的選項。
1. 若要將私有金鑰儲存為可與 OpenSSH 搭配使用的格式,請選擇 **.pem**。若要將私有金鑰儲存為可與 PuTTY 搭配使用的格式,請選擇 **.ppk**。
1. 選擇**建立金鑰對**。
1. 您的瀏覽器會自動下載私有金鑰檔案。將私有金鑰檔案存放在安全的地方。
**重要**
這是您儲存私有金鑰檔案的唯一機會。
1. 在**啟動執行個體**頁面上的**網路設定**區段下,選擇**編輯**。從 **VPC – *required*** 下拉式清單中選擇在其中建立目錄的 **VPC**。
1. 從**子網路**下拉式清單中選擇 VPC 中的公有子網路之一。您所選取的子網路必須將所有外部流量路由到網際網路閘道。如果沒有,則將無法從遠端連線到執行個體。
如需有關連線至網際網路閘道的詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[使用網際網路閘道連線至網際網路](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_Internet_Gateway.html)一節。
1. 在**自動指派公有 IP** 下,選擇**啟用**。
如需公有和私有 IP 定址的詳細資訊,請參閱《[Amazon EC2 使用者指南》中的 Amazon EC2 執行個體 IP 定址](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-instance-addressing.html)。 *Amazon EC2 *
1. 對於**防火牆 (安全群組)**設定,您可以使用預設設定或根據需要進行變更。
1. 對於**設定儲存**設定,您可以使用預設設定或根據需要進行變更。
1. 選取**進階詳細資訊**區段,從**域加入目錄**下拉式清單中選取域。
**注意**
選擇網域加入目錄後,您可能會看到:
![\[選取網域聯結目錄時的錯誤訊息。您現有的 SSM 文件發生錯誤。\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/SSM-Error-Message.png)
如果 EC2 啟動精靈識別具有非預期屬性的現有 SSM 文件,就會發生此錯誤。您可以執行下列任一作業:
如果您先前已編輯 SSM 文件,且預期屬性,請選擇關閉並繼續啟動 EC2 執行個體,而不進行任何變更。
選取此處的刪除現有 SSM 文件連結,以刪除 SSM 文件。這將允許建立具有正確屬性的 SSM 文件。當您啟動 EC2 執行個體時,系統會自動建立 SSM 文件。
1. 對於 **IAM 執行個體設定檔**,您可以選取現有的 IAM 執行個體設定檔或建立新的設定檔。從 IAM 執行個體設定檔下拉式清單中選取具有 AWS **AmazonSSMManagedInstanceCore** 和 **AmazonSSMDirectoryServiceAccess** 受管政策的 **IAM 執行個體設定檔**。若要建立新的 IAM 設定檔,請選擇**建立新的 IAM 設定檔**連結,然後執行下列動作:
1. 選擇建**立角色**。
1. 在**選取信任的實體**下,選取 **AWS 服務**。
1. 在 **Use case** (使用案例) 下,選擇 **EC2**。
1. 在**新增許可**下的政策清單中,選取 **AmazonSSMManagedInstanceCore** 和 **AmazonSSMDirectoryServiceAccess** 政策。在搜尋方塊中,輸入 **SSM** 以篩選政策。選擇**下一步**。
**注意**
**AmazonSSMDirectoryServiceAccess** 提供將執行個體加入由 Directory Service管理的 Active Directory 的許可。**AmazonSSMManagedInstanceCore** 提供使用 AWS Systems Manager 服務所需的最低許可。有關建立具有這些許可的角色的更多資訊,以及有關可以指派給 IAM 角色的其他許可和政策的資訊,請參閱《AWS Systems Manager 使用者指南》**中的[為 Systems Manager 建立 IAM 執行個體設定檔](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html)一節。
1. 在**命名、檢閱和建立**頁面上,針對**角色名稱**輸入角色名稱。您將需要此角色名稱來連接到 EC2 執行個體。
1. (選用) 您可以在**描述**欄位中提供 IAM 執行個體設定檔的描述。
1. 選擇建**立角色**。
1. 返回**啟動執行個體**頁面,然後選擇 **IAM 執行個體設定檔**旁的重新整理圖示。剛剛建立的 IAM 執行個體設定檔應顯示在 **IAM 執行個體設定檔**下拉式清單中。選擇這個新的設定檔並將其餘設定保留為預設值。
1. 選擇**啟動執行個體**。
## 方法 2:使用 測試網域聯結 AWS Systems Manager
在目錄消費者帳戶中執行這些步驟。若要完成此程序,您需要目錄擁有者帳戶的一些相關資訊,例如目錄 ID、目錄名稱和 DNS IP 地址。
**先決條件**
+ 設定 AWS Systems Manager。
+ 如需有關 Systems Manager 的詳細資訊,請參閱[AWS Systems Manager的一般設定](https://docs.aws.amazon.com/systems-manager/latest/userguide/setting_up_prerequisites.html)。
+ 您要加入 AWS 受管 Microsoft Active Directory 網域的執行個體必須具有連接的 IAM 角色,其中包含 **AmazonSSMManagedInstanceCore** 和 **AmazonSSMDirectoryServiceAccess** 受管政策。
+ 如需您可以連接至 Systems Manager IAM 執行個體設定檔的這些受管政策和其他政策的詳細資訊,請參閱《AWS Systems Manager 使用者指南》**中的[建立 Systems Manager 的 IAM 執行個體設定檔](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html)。如需受管政策的詳細資訊,請參閱《IAM 使用者指南》**中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
如需使用 Systems Manager 將 EC2 執行個體加入 AWS 受管 Microsoft Active Directory 網域的詳細資訊,請參閱[如何使用 AWS Systems Manager 將執行中的 EC2 Windows 執行個體加入我的 AWS Directory Service 網域?](https://repost.aws/knowledge-center/ec2-systems-manager-dx-domain#)。
1. 在 開啟 AWS Systems Manager 主控台[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)。
1. 在導覽窗格中,於**節點管理**下方,選擇**執行命令**。
1. 選擇**執行命令**。
1. 在**執行指令**頁面上,搜尋 `AWS-JoinDirectoryServiceDomain`。顯示在搜尋結果時選擇 `AWS-JoinDirectoryServiceDomain` 選項。
1. 向下捲動到 **Command parameters (命令參數)** 區段。您必須提供下列參數給:
**注意**
您可以返回 Directory Service 主控台,選取**與我共用的目錄**,然後選取您的目錄,以尋找**目錄 ID**、目錄**名稱**和 **DNS IP 地址**。**目錄 ID** 可以在**共享目錄詳細資訊**區段下找到。您可以在**擁有者目錄詳細資訊**區段下找到**目錄名稱**和 **DNS IP 地址**的值。
+ 針對**目錄 ID**,輸入 AWS Managed Microsoft Active Directory 的名稱。
+ 針對**目錄名稱**,輸入 AWS Managed Microsoft Active Directory 名稱 (適用於目錄擁有者帳戶)。
+ 針對 **DNS IP 地址**,在 AWS Managed Microsoft Active Directory (適用於目錄擁有者帳戶) 中輸入 DNS 伺服器的 IP 地址。
1. 對於**目標**,選擇**手動選擇執行個體**,然後選取要加入域的執行個體。
1. 將表單其餘部分保留預設值,向下捲動頁面,然後選擇 **Run (執行)**。
1. 執行個體成功加入域後,指令狀態將從**待定** 變更為**成功**。您可以透過選取加入域的執行個體的**執行個體 ID**,然後選擇**檢視輸出**來檢視指令輸出。
完成上述任一步驟後,您現在應該可以加入您的 EC2 執行個體至網域。完成後,您就可以使用遠端桌面通訊協定 (RDP) 用戶端搭配 AWS Managed Microsoft AD 使用者帳戶的登入資料來登入執行個體。