AWS-Systems-Manager

AWS Systems Managerでとてもお手軽なEC2ドメイン参加

はじめに

EC2でたてたWindowsServer2016をDirectory Serviceで作成したAWS Managed Microsoft ADにAWS Systems Managerを使ってドメイン参加させてみました。
この記事ではほぼほぼ一からその手順を紹介したいと思います。

準備からドメイン参加までの手順

VPCやサブネット等は作成済みとさせていただきます。

IAMロールの作成

Systems Managerにインスタンス内の作業をしてもらうので権限を準備する必要があります。
IAMからメニューのロールからロールを作成に進み、IAMロールを作成していきます。
エンティティをEC2に設定したことを確認して次のステップ:アクセス権限で設定に進みます。
エンティティ (entity)というのは操作する人というイメージで大丈夫だと思います。
今回の場合はEC2がSystems Managerを触ってどうこうする感じです。

ポリシー下記2つをアタッチします。

  • AmazonSSMManagedInstanceCore
  • AmazonSSMDirectoryServiceAccess

タグ等は適当なものを設定し、ロールの作成は完了です。

EC2でWindows Serverを起動

EC2からインスタンスを起動を選んで、ADに接続するインスタンスを作成します。
AMIでWindows Serverを選択します。
検索ボックスにwindows japanese baseなど入力するとコミュニティAMIの欄によい感じのイメージがでるので選択をクリックして進みます。
気を付けたほうが良い点として、AMI名にSQL Server~が含まれているものはインスタンスタイプに制限があり、今回はお試しなので低クラスのインスタンスタイプを使いたいため避けます。
適当なインスタンスタイプを選択しインスタンスの詳細設定の画面に移動したあとIAMロールという項目があり、そちらに先ほど作成したIAMロールをインスタンスにアタッチします。

その後は流れで進めていきインスタンスを作成します。

Directory Serviceの設定

Directory Serviceのページに移動して、ディレクトリのセットアップをクリックして参加するADを設定を行っていきます。
ディレクトリタイプを選択するページが表示されるのでAWS Managed Microsoft ADに設定して、次へをクリックで進みます。
エディションは料金的な面を踏まえてStandard Editionを選び、各種項目を埋めつつ次へで進みます。

VPCとサブネットは先ほど作成したインスタンスがある物を選んで適当に作成します。
画面遷移後、ディレクトリのステータスが🕘作成中になっていたら事前準備は無事完了です。
作成にそれなりに時間がかかるのでしばらく待ちます。

AWS Systems Managerでドメイン参加

ADの作成ができましたら、準備が完了したということでさっそくSystems Managerでドメイン参加をしていきます。

画面左側メニューバーからRun-Commandに移動し、Run-Commandボタンをクリックして以下のAD参加するコマンドを選択します。

  • AWS-JoinDirectoryServiceDomain

これはAWSが予め準備してくれているコマンドで

選択しましたら項目に沿ってを入力していきます。
出力オプションのS3バケットへの書き込みを有効化するは今回必要ないので外していただき、
内容に問題がないことを確認して実行で開始します。

ページ遷移後、少しだけ待ちます。
ステータスが✅成功に切り替わったらドメイン参加完了です。

動作確認

以上の手順で問題ないのですが、念のため実際にリモートデスクトップ等でインスタンスにログインして確認してみます。
ユーザ名をAdmin@tekitou-tekito.com、パスワードにAD作成時に設定したものを入力しログインできれば無事にドメイン参加ができています。

一応インスタンス内からはサーバマネージャやコントロールパネル内からも参加しているドメインの情報は確認することができます。

おわりに

実際に行う作業としては単純なものですが、それでも作業はコンソール上だけで完結するのでインスタンス内で作業するのに比べてとても楽でした。
特に複数台で作業を行う必要がある場合はより顕著だとおもいます。
自動化する際もこちらの手順の方が簡単そうなので今後はそちらも試していきたいです。

参考にさせていただいた記事

AWS Systems Manager を使って、実行中の EC2 Windows インスタンスを AWS Directory Service ドメインに参加させるにはどうすればよいですか?

Windows with SQL Server Enterprise が Amazon EC2 T2 インスタンスタイプのサポートを開始

SQL ServerのAMIで起動できるインスタンスタイプを確認する方法

返信を残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA