AWS Systems Managerでとてもお手軽なEC2ドメイン参加

はじめに

EC2でたてたWindowsServer2016をDirectory Serviceで作成したAWS Managed Microsoft ADにAWS Systems Managerを使ってドメイン参加させてみました。
この記事ではほぼほぼ一からその手順を紹介したいと思います。

準備からドメイン参加までの手順

VPCやサブネット等は作成済みとさせていただきます。

IAMロールの作成

Systems Managerにインスタンス内の作業をしてもらうので権限を準備する必要があります。
IAMからメニューのロールからロールを作成に進み、IAMロールを作成していきます。
エンティティをEC2に設定したことを確認して次のステップ：アクセス権限で設定に進みます。
エンティティ (entity)というのは操作する人というイメージで大丈夫だと思います。
今回の場合はEC2がSystems Managerを触ってどうこうする感じです。

ポリシー下記2つをアタッチします。

AmazonSSMManagedInstanceCore
AmazonSSMDirectoryServiceAccess

タグ等は適当なものを設定し、ロールの作成は完了です。

EC2でWindows Serverを起動

EC2からインスタンスを起動を選んで、ADに接続するインスタンスを作成します。
AMIでWindows Serverを選択します。
検索ボックスにwindows japanese baseなど入力するとコミュニティAMIの欄によい感じのイメージがでるので選択をクリックして進みます。
気を付けたほうが良い点として、AMI名にSQL Server~が含まれているものはインスタンスタイプに制限があり、今回はお試しなので低クラスのインスタンスタイプを使いたいため避けます。
適当なインスタンスタイプを選択しインスタンスの詳細設定の画面に移動したあとIAMロールという項目があり、そちらに先ほど作成したIAMロールをインスタンスにアタッチします。

その後は流れで進めていきインスタンスを作成します。

Directory Serviceの設定

Directory Serviceのページに移動して、ディレクトリのセットアップをクリックして参加するADを設定を行っていきます。
ディレクトリタイプを選択するページが表示されるのでAWS Managed Microsoft ADに設定して、次へをクリックで進みます。
エディションは料金的な面を踏まえてStandard Editionを選び、各種項目を埋めつつ次へで進みます。