本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 教程:共享您的 Amazon 托管 Microsoft AD 目录以实现无缝加入 EC2 域名 教程:共享你的微软 AD Amazon 托管目录 本教程向您展示如何与另一个(目录使用者帐户)共享您的 Amazon 托管 Microsoft AD 目录 Amazon Web Services 账户 (目录所有者帐户)。完成联网先决条件后,您将在两者之间共享一个目录 Amazon Web Services 账户。然后,您将学习如何将 EC2 实例无缝加入目录使用者账户中的域。 我们建议您在开始学习本教程之前首先查看目录共享关键概念和使用案例内容。有关更多信息,请参阅 [关键目录共享概念](ms_ad_directory_sharing.md#ms_ad_directory_sharing_key_concepts)。 共享目录的过程会有所不同,具体取决于您是与同一 Amazon 组织 Amazon Web Services 账户 中的其他人共享目录还是与 Amazon 组织外部的帐户共享目录。有关共享的工作方式的更多信息,请参阅[共享方法](ms_ad_directory_sharing.md#sharing_methods)。 此工作流程具有四个基本步骤。 ![\[共享 Amazon 托管 Microsoft AD 的步骤:设置您的网络环境,共享您的目录,接受共享目录邀请,并测试将适用于 Windows Server 的 Amazon EC2 实例无缝加入域。\]](http://docs.amazonaws.cn/directoryservice/latest/admin-guide/images/directory_sharing_tutorial3.png) **[步骤 1:设置网络环境](step1_setup_networking.md)** 在目录拥有者账户中,您可以设置目录共享过程所需的所有网络先决条件。 **[步骤 2:共享目录](step2_share_directory.md)** 使用目录拥有者管理员凭证登录后,您可以打开 Amazon Directory Service 控制台并启动共享目录工作流,该工作流会将邀请发送到目录使用者账户。 **[步骤 3:接受共享目录邀请(可选)](step3_accept_invite.md)** 使用目录使用者管理员凭据登录后,您可以打开 Amazon Directory Service 控制台并接受目录共享邀请。 **[步骤 4:测试将适用于 Windows Server 的 EC2 实例无缝加入到域中](step4_test_ec2_access.md)** 最后,作为目录拥有者管理员,您需要尝试将 EC2 实例加入您的域并验证它是否有效。 **其他资源** + [使用案例:共享目录以便将 Amazon EC2 实例无缝加入 Amazon Web Services 账户账户的域](https://docs.amazonaws.cn/directoryservice/latest/admin-guide/usecase6.html) + [Amazon 安全博客文章:如何将来自多个账户的 Amazon EC2 实例加入 VPCs 到单个 Amazon 托管的 Microsoft AD 目录](https://www.amazonaws.cn/blogs/security/how-to-domain-join-amazon-ec2-instances-aws-managed-microsoft-ad-directory-multiple-accounts-vpcs/) # 步骤 1:设置网络环境 您需要建立 Amazon VPC 对等连接,才能与另一个(目录使用者账户)共享您的 Amazon 托管 Microsoft AD 目录 Amazon Web Services 账户 (目录账户所有者)。有关为共享 Amazon 托管 Microsoft AD 设置网络环境的步骤,请参阅以下步骤。 ## 先决条件 开始本教程中的步骤之前,必须先执行以下操作: + 在同一个区域中创建两个新的 Amazon Web Services 账户 用于测试目的。当您创建时 Amazon Web Services 账户,它会自动在每个账户中创建一个专用的虚拟私有云 (VPC)。记下每个账户中的 VPC ID。您稍后会需要此信息。 + [创建 Amazon 托管微软 AD](ms_ad_getting_started.md#ms_ad_getting_started_create_directory)。 + 创建 VPC 对等连接时,目录账户所有者与目录使用者账户都需要有必要的权限才能创建和接受对等连接。有关更多信息,请参阅[示例:创建 VPC 对等连接](https://docs.amazonaws.cn//vpc/latest/peering/security-iam.html#vpc-peering-iam-create)以及[示例:接受 VPC 对等连接](https://docs.amazonaws.cn//vpc/latest/peering/security-iam.html#vpc-peering-iam-accept)。 **注意** 虽然有很多方法可以连接目录所有者和目录使用者账户 VPCs,但本教程将使用 VPC 对等方法。有关其他 VPC 连接选项,请参阅[网络连接](ms_ad_directory_sharing.md#network_connectivity)。 ## 在目录拥有者和目录使用者账户之间配置 VPC 对等连接 您将创建的 VPC 对等连接位于目录使用者和目录所有者 VPCs之间。请按照以下步骤配置 VPC 对等连接,以与目录使用者账户建立连接。通过此连接, VPCs 您可以使用私有 IP 地址在两者之间路由流量。 **在目录拥有者和目录使用者账户之间创建 VPC 对等连接** 1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.amazonaws.cn/vpc/) 的 Amazon VPC 控制台。确保以目录拥有者账户中拥有管理员凭证,且具有创建 VPC 对等连接的所需权限的用户身份登录。请参阅[先决条件](#step1_setup_networking_prereqs)了解更多信息。 1. 在导航窗格中,选择 **Peering Connections**。然后选择 **Create Peering Connection (创建对等连接)**。 1. 配置以下信息: + **Peering connection name tag (对等连接名称标签)**:提供一个名称,用于在目录使用者账户中清楚地标识与 VPC 的此连接。 + **VPC (Requester) (VPC (申请方))**:选择目录拥有者账户的 VPC ID。 + 在 **Select another VPC to peer with (选择要用作对等的另一个 VPC)**,确保选中 **My account (我的账户)** 和 **This region (此区域)**。 + **VPC (Accepter) (VPC (接受方))**:选择目录使用者账户的 VPC ID。 1. 选择 **Create Peering Connection (创建对等连接)**。在确认对话框中,选择 **OK**。 **代表目录使用者账户接受对等请求** 1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.amazonaws.cn/vpc/) 的 Amazon VPC 控制台。请确保以拥有必要权限的用户身份登录才能接受对等请求。请参阅[先决条件](#step1_setup_networking_prereqs)了解更多信息。 1. 在导航窗格中,选择 **Peering Connections**。 1. 选择挂起的 VPC 对等连接。(其状态为“Pending Acceptance (待接受)”。) 依次选择 **Actions (操作)**、**Accept Request (接受请求)**。 1. 在确认对话框中,选择 **Yes, Accept**。在下一个确认对话框中,选择 **Modify my route tables now (立即修改我的路由表)** 直接转到路由表页面。 现在您的 VPC 对等连接已处于活动状态,您必须向目录拥有者账户中的 VPC 的路由表添加条目。这样做可以将流量定向到目录使用者账户中的 VPC。 **向目录拥有者账户中的 VPC 路由表添加条目** 1. 在 Amazon VPC 控制台的**路由表**部分,选择目录所有者 VPC 的路由表。 1. 在**路由**选项卡中选择**编辑路由**,然后选择**添加路由**。 1. 在 **Destination (目标)** 列中,输入目录使用者 VPC 的 CIDR 块。 1. 在 **Target (目标)** 列中,输入您之前在目录拥有者账户中创建的对等连接的 VPC 对等连接 ID(例如 **pcx-123456789abcde000**)。 1. 选择**保存更改**。 **向目录使用者账户中的 VPC 路由表添加条目** 1. 在 Amazon VPC 控制台的**路由表**部分,选择目录使用者 VPC 的路由表。 1. 在**路由**选项卡中选择**编辑路由**,然后选择**添加路由**。 1. 在 **Destination (目标)** 列中,输入目录拥有者 VPC 的 CIDR 块。 1. 在 **Target (目标)** 列中,键入您之前在目录使用者账户中创建的对等连接的 VPC 对等连接 ID(例如 **pcx-123456789abcde001**)。 1. 选择**保存更改**。 将 Active Directory 协议和端口添加到目录使用者中安全组的出站规则中 VPCs。有关更多信息,请参阅 [VPC 的安全组](https://docs.amazonaws.cn/vpc/latest/userguide/VPC_SecurityGroups.html)和 [Amazon Managed Microsoft AD 先决条件](https://docs.amazonaws.cn/directoryservice/latest/admin-guide/ms_ad_getting_started_prereqs.html)。 **下一步** [步骤 2:共享目录](step2_share_directory.md) # 步骤 2:共享目录 使用以下过程从目录拥有者账户中开始目录共享工作流。 **注意** 目录共享是 Amazon 托管 Microsoft AD 的一项区域功能。如果您使用的是[多区域复制](ms_ad_configure_multi_region_replication.md),则必须分别在每个区域中应用以下过程。有关更多信息,请参阅 [全局与区域特色](multi-region-global-region-features.md)。 **从目录拥有者账户共享您的目录** 1. 使用目录所有者账户中的管理员 Amazon Web Services 管理控制台 凭据登录并打开[Amazon Directory Service 控制台,网址](https://console.amazonaws.cn/directoryservicev2/)为 https://console.aws.amazon.com/directoryservicev2/。 1. 在导航窗格中,选择**目录**。 1. 选择要共享的 Amazon 托管 Microsoft AD 目录的目录 ID。 1. 在**报告详细信息**页面上,执行以下操作之一: + 如果**多区域复制**下显示多个区域,选择要共享目录的区域,然后选择**扩展和共享**选项卡。有关更多信息,请参阅 [主区域与其他区域](multi-region-global-primary-additional.md)。 + 如果**多区域复制**下未显示任何区域,选择**扩展和共享**选项卡。 1. 在 **Shared directories (共享目录)** 部分中,选择 **Actions (操作)**,然后选择 **Create new shared directory (创建新共享目录)**。 1. 在 **“选择 Amazon Web Services 账户 要与之共享**的对象” 页面上,根据您的业务需求选择以下共享方法之一: 1. **与组织 Amazon Web Services 账户 内部共享此目录** — 使用此选项,您可以从显示 Amazon 组织 Amazon Web Services 账户 内部所有内容的列表中选择要与之共享的目录。 Amazon Web Services 账户 在共享目录 Amazon Directory Service 之前,必须启用可信访问权限。有关更多信息,请参阅[如何启用或禁用可信访问](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_integrate_services.html#orgs_how-to-enable-disable-trusted-access)。 **注意** 要使用此选项,您的组织必须启用了**所有功能**,目录必须在组织的管理账户中。 1. **Amazon Web Services 账户 在您的组织**中,选择要与之 Amazon Web Services 账户 共享目录的,然后单击 “**添加**”。 1. 查看定价详细信息,然后选择 **Share (共享)**。 1. 继续执行本指南中的[步骤 4](step4_test_ec2_access.md)。由于所有 Amazon Web Services 账户 人都在同一个组织中,因此您无需执行步骤 3。 1. **与其他人共享此目录 Amazon Web Services 账户**-使用此选项,您可以与 Amazon 组织内部或外部的帐户共享该目录。当您的目录不是某个 Amazon 组织的成员,而您想与其他人共享时,也可以使用此选项 Amazon Web Services 账户。 1. 在 **Amazon Web Services 账户 ID** 中,输入所有要与 Amazon Web Services 账户 IDs 之共享目录的,然后单击 “**添加**”。 1. 在**发送注释**中,键入要发送给其他 Amazon Web Services 账户中的管理员的消息。 1. 查看定价详细信息,然后选择 **Share (共享)**。 1. 继续执行步骤 3。 **下一步** [步骤 3:接受共享目录邀请(可选)](step3_accept_invite.md) # 步骤 3:接受共享目录邀请(可选) 如果您在上一步中选择**与其他 Amazon Web Services 账户共享此目录**(握手方法)选项,则应使用此过程完成共享目录工作流。如果您选择了**与组织 Amazon Web Services 账户 内部共享此目录**选项,请跳过此步骤并继续执行步骤 4。 **接受共享目录邀请** 1. 使用目录消费者帐户中的管理员 Amazon Web Services 管理控制台 凭据登录并打开[Amazon Directory Service 控制台,网址](https://console.amazonaws.cn/directoryservicev2/)为 https://console.aws.amazon.com/directoryservicev2/。 1. 在导航窗格中,选择 **Directories shared with me (与我共享的目录)**。 1. 在 **Shared directory ID (共享目录 ID)** 列中,选择 **Pending acceptance (待接受)** 状态下的目录 ID。 1. 在 **Shared directory details (共享目录详细信息)** 页面中,选择 **Review (审核)**。 1. 在 **Pending shared directory invitation (待处理的共享目录邀请)** 对话框中,查看注释、目录拥有者详细信息以及有关定价的信息。如果您同意,请选择 **Accept (接受)** 以开始使用该目录。 **下一步** [步骤 4:测试将适用于 Windows Server 的 EC2 实例无缝加入到域中](step4_test_ec2_access.md) # 步骤 4:测试将适用于 Windows Server 的 EC2 实例无缝加入到域中 您可以使用以下两种方法之一来测试无缝将 EC2 实例加入域。 ## 方法 1:使用 Amazon EC2 控制台测试域加入 在目录使用者账户中使用这些步骤。 1. 登录 Amazon Web Services 管理控制台 并打开 Amazon EC2 控制台,网址为[https://console.aws.amazon.com/ec2/](https://console.amazonaws.cn/ec2/)。 1. 在导航栏中,选择与现有目录 Amazon Web Services 区域 相同的目录。 1. 在 **EC2 控制面板**的**启动实例**部分,选择**启动实例**。 1. 在**启动实例**页面的**名称和标签**部分下,输入您要用于 Windows EC2 实例的名称。 1. (可选)选择**添加其他标签**,添加一个或多个标签密钥值对,以组织、跟踪或控制对此 EC2 实例的访问权限。 1. 在**应用程序和操作系统映像(Amazon 机器映像)**部分,在**快速入门**窗格中选择 **Windows**。您可以从**Amazon 机器映像(AMI)**下拉列表中更改 Windows Amazon 机器映像(AMI)。 1. 在**实例类型**部分,从**实例类型**下拉列表中选择要使用的实例类型。 1. 在**密钥对(登录)**部分,您可以选择创建新密钥对,或从现有密钥对中进行选择。 1. 要创建新的密钥对,请选择**新建新密钥对**。 1. 输入密钥对的名称,然后为**密钥对类型**和**私钥文件格式**选择一个选项。 1. 要以可与 OpenSSH 一起使用的格式保存私钥,请选择 **pem**。要以可与 PuTTY 一起使用的格式保存私钥,请选择 **ppk**。 1. 选择**创建密钥对**。 1. 您的浏览器会自动下载私有密钥文件。将私有密钥文件保存在安全位置。 **重要** 这是您保存私有密钥文件的唯一机会。 1. 在**启动实例**页面的**网络设置**部分下,选择**编辑**。从 **VPC – *必需***下拉列表中选择创建目录的 **VPC**。 1. 从**子网**下拉列表中选择 VPC 中的其中一个公有子网。选择的子网必须将所有外部流量都路由到互联网网关。否则将无法远程连接到实例。 有关如何连接到互联网网关的更多信息,请参阅《Amazon VPC 用户指南》**中的[使用互联网网关连接到互联网](https://docs.amazonaws.cn//vpc/latest/userguide/VPC_Internet_Gateway.html)。 1. 在**自动分配公有 IP** 下,选择**启用**。 有关公共和私有 IP 寻址的更多信息,请参阅《Amazon EC2 用户指南》**中的 [Amazon EC2 实例 IP 寻址](https://docs.amazonaws.cn/AWSEC2/latest/WindowsGuide/using-instance-addressing.html)。 1. 对于**防火墙(安全组)**设置,您可以使用默认设置或进行更改以满足您的需求。 1. 对于**配置存储**设置,您可以使用默认设置或进行更改以满足您的需求。 1. 选择**高级详细信息**部分,从**域加入目录**下拉列表中选择您的域。 **注意** 选择域加入目录后,您可能会看到: ![\[选择域加入目录时出现错误消息。您现有的 SSM 文档存在错误。\]](http://docs.amazonaws.cn/directoryservice/latest/admin-guide/images/SSM-Error-Message.png) 当 EC2 启动向导识别到某个现有 SSM 文档包含意外属性时,会发生此错误。您可以执行以下操作之一: 如果您之前编辑了 SSM 文档且属性为预期属性,请选择关闭并继续启动 EC2 实例,不做任何更改。 选择“在此处删除现有 SSM 文档”链接以删除 SSM 文档。这将允许创建包含正确属性的 SSM 文档。启动 EC2 实例时,将自动创建 SSM 文档。 1. 对于 **IAM 实例配置文件**,您可以选择现有的 IAM 实例配置文件或创建新的 IAM 实例配置文件。从 IAM 实例配置文件下拉列表中选择一个SSMDirectoryServiceAccess附有 **Ama** **zon SSMManaged InstanceCore** 和 Amazon Amazon 托管策略**的 IAM 实例配置文件**。要创建新的 IAM 配置文件,请选择**创建新的 IAM 配置文件**链接,然后执行以下操作: 1. 选择**创建角色**。 1. 在**选择受信任的实体**下,选择 **Amazon 服务**。 1. 在 **Use case**(使用案例)下,选择 **EC2**。 1. 在 “**添加权限**” 下的策略列表中,选择 **Amazon SSMManaged InstanceCore 和 Ama** **zon SSMDirectory ServiceAccess** 政策。在搜索框中键入 **SSM** 以筛选列表。选择**下一步**。 **注意** **Amazon SSMDirectory ServiceAccess** 提供将实例加入由管理的活动目录的权限 Amazon Directory Service。**Amazon SSMManaged InstanceCore** 提供使用该 Amazon Systems Manager 服务所需的最低权限。有关创建具有这些权限的角色的更多信息,以及您可以分配给 IAM 角色的其他权限和策略的信息,请参阅《Amazon Systems Manager 用户指南》**中的[为 Systems Manager 创建 IAM 实例配置文件](https://docs.amazonaws.cn/systems-manager/latest/userguide/setup-instance-profile.html)。 1. 在**名称、查看和创建**页面上,输入**角色名称**。您将需要此角色名称来附加到 EC2 实例。 1. (可选)您可以在**描述**字段中提供 IAM 实例配置文件的描述。 1. 选择**创建角色**。 1. 返回**启动实例**页面,选择 **IAM 实例配置文件**旁边的刷新图标。您的新 IAM 实例配置文件应显示在 **IAM 实例配置文件**下拉列表中。选择新的配置文件,其余设置保留默认值。 1. 选择**启动实例**。 ## 方法 2:使用测试域加入 Amazon Systems Manager 在目录使用者账户中使用这些步骤。要完成此过程,您需要有关目录所有者账户的一些信息,例如目录 ID、目录名称和 DNS IP 地址。 **先决条件** + 设置 Amazon Systems Manager。 + 有关 Systems Manager 的更多信息,请参阅 [Amazon Systems Manager的常规设置](https://docs.amazonaws.cn/systems-manager/latest/userguide/setting_up_prerequisites.html)。 + 您希望加入 Amazon 托管的 Microsoft Active Directory 域的实例必须附加一个包含**亚马逊SSMManagedInstanceCore和**亚马逊SSMDirectoryServiceAccess****托管策略的 IAM 角色。 + 有关可以为 Systems Manager 附加的此类托管和其他策略的更多信息,请参阅《Amazon Systems Manager 用户指南》**中的[为 Systems Manager 创建 IAM 实例配置文件](https://docs.amazonaws.cn/systems-manager/latest/userguide/setup-instance-profile.html)。有关托管策略的更多信息,请参阅《IAM 用户指南**》中的 [Amazon 托管策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。 有关使用 Systems Manager 将 EC2 实例加入 Amazon 托管的 Microsoft Active Directory 域的更多信息,请参阅[Amazon Systems Manager 如何使用将正在运行的 EC2 Windows 实例加入我的 Amazon 目录服务域?](https://repost.aws/knowledge-center/ec2-systems-manager-dx-domain#) 。 1. 打开 Amazon Systems Manager 控制台,网址为[https://console.amazonaws.cn/systems-manager/](https://console.amazonaws.cn/systems-manager/)。 1. 在导航窗格的**节点管理**下,选择**运行命令**。 1. 选择 **Run command(运行命令)**。 1. 在**运行命令**页面上,搜索 `AWS-JoinDirectoryServiceDomain`。当它显示在搜索结果中时,选择 `AWS-JoinDirectoryServiceDomain` 选项。 1. 向下滚动到 **Command parameters (命令参数)** 部分。您必须提供以下参数: **注意** 返回 Amazon Directory Service 控制台,选择 “**与我共享的目录”,然后选择您的目录,即可找到目录 **ID**、目录****名称**和 **DNS IP 地址**。**目录 ID** 可以在**共享目录的详细信息**部分下找到。您可以在**所有者目录详细信息**部分下找到**目录名称**和 **DNS IP 地址**的值。 + 对于**目录 ID**,输入 Amazon Managed Microsoft Active Directory 的名称。 + 对于**目录名称**,输入 Amazon Managed Microsoft Active Directory(对于目录所有者账户)。 + 对于 **DNS IP 地址**,请在 Amazon 托管 Microsoft 活动目录(适用于目录所有者帐户)中输入 DNS 服务器的 IP 地址。 1. 对于**目标**,选择**手动选择实例**,然后选择要加入域的实例。 1. 保留窗体的剩余部分设置为其默认值,向下滚动页面,然后选择 **Run (运行)**。 1. 实例成功加入域后,命令状态将从**待处理**更改为**成功**。您可以依次选择加入域的实例的**实例 ID** 和**查看输出**来查看命令输出。 完成任一过程的步骤之后,您现在应该能够将您的 EC2 实例加入域。完成此操作后,您可以使用来自 Amazon 托管 Microsoft AD 用户帐户的凭据使用远程桌面协议 (RDP) 客户端登录您的实例。