本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 开始 AWS License Manager 使用共享跨账户 AWS Managed Microsoft AD
<a name="license-cross-account"></a>

AWS License Manager 支持使用共享的跨账户功能 AWS Managed Microsoft AD，使组织能够集中管理来自目录所有者账户的用户订阅，同时跨多个账户部署实例。

## 术语
<a name="cross-account-terminology"></a>
+ **目录所有者帐户**-存在托管 AD 且还负责管理订阅的许可证管理员帐户。
+ **目录消费者 AWS 账户**-您要使用共享 AD 启动用户订阅实例的账户。

## 先决条件
<a name="cross-account-prerequisites"></a>

在开始之前，请确保您满足以下条件：
+ 目录所有者帐户-在要控制订阅的目录所有者 account/license 管理员帐户中设置。 AWS Managed Microsoft AD 
+ 您的目录所有者帐户和所有目录使用者帐户之间的网络连接。
+ 所需的 IAM 权限-请参阅[基于用户的订阅 IAM 角色](https://docs.aws.amazon.com/license-manager/latest/userguide/user-based-subscription-role.html)。
+ 在目录所有者账户 AWS Marketplace 中订阅所需的 License Manager 产品：
  + [视觉工作室专业版 2022](https://aws.amazon.com/Marketplace/pp/prodview-zo3zltrbpgr5i)
  + [2022 年视觉工作室企业版](https://aws.amazon.com/Marketplace/pp/prodview-dzstlnjdl3izg)
  + [Office LTSC 专业版](https://aws.amazon.com/Marketplace/pp/prodview-bh46d5p2hapns)

## 限制
<a name="cross-account-limitations"></a>
+ 用户订阅管理仅限于目录所有者帐户。
+ 不支持跨区域共享。
+ 通过目录所有者账户进行整合账单-尽管订阅可以存在于多个账户中，但所有订阅费用均计入目录所有者账户。
+ 账户之间需要网络连接。

## 网络架构
<a name="cross-account-architecture"></a>

![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/license-manager/latest/userguide/images/cross-account.png)


## 如何设置跨账户 License Manager 功能
<a name="cross-account-process-overview"></a>

要设置跨账户 License Manager 功能，请执行以下操作：

1. 设置目录所有者 account/license 管理员帐户。

1. 配置目录使用者帐户。

1. 建立网络连接。

1. 部署实例并管理用户关联。

### 步骤 1：设置目录 Owner/license 管理员帐户
<a name="cross-account-owner-setup"></a>

#### 创建和共享 AWS Managed Microsoft AD
<a name="create-share-ad"></a>

1. 如果您的 VPC AWS Managed Microsoft AD 中不存在，请将其创建。

1. 与目录使用者帐户共享该目录，如[共享您的目录](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_sharing.html)中所述。

1. 确保该目录已正确配置所需的用户和组。

#### 订阅产品
<a name="subscribe-products"></a>

1. 导航到 AWS Marketplace。

1. 找到并订阅你需要的产品，Visual Studio 或 Office 和 RDS SAL。

1. 使用 License Manager **创建授权**与目录使用者帐户共享 Visual Studio 或 Office 订阅。或者，您也可以在这些账户中订阅 AWS Marketplace 产品，因为这不会影响账单。请参阅[已授予的许可证](https://docs.aws.amazon.com/license-manager/latest/userguide/granted-licenses.html)。

1. 确认订阅状态为有效。

#### 使用 License Manager 注册
<a name="register-license-manager-owner"></a>

1. 打开 License Manager 控制台。

1. 导航到**基于用户的订阅设置。**

1. 选择**注册身份提供商**。

1. 选择你的 AWS Managed Microsoft AD。

1. 完成注册流程。

### 步骤 2：配置目录使用者帐户-具有共享 AD 的帐户
<a name="cross-account-child-config"></a>

#### 接受共享目录
<a name="accept-shared-directory"></a>

1. 打开 AWS Directory Service 控制台。

1. 导航到**共享目录**。

1. 找到并接受共享目录邀请。

1. 记下在您的账户中分配的新目录 ID。

#### 接受 MP 订阅
<a name="accept-mp-subscription"></a>

**在 License Manager 中，Grants 接受对 AWS Marketplace 产品的授权。**或者订阅 AWS Marketplace 产品。在 [CreateGrant API](https://docs.aws.amazon.com/license-manager/latest/APIReference/API_CreateGrant.html) 中了解更多信息）。

#### 使用 License Manager 注册
<a name="register-license-manager-child"></a>

1. 打开 License Manager 控制台。

1. 导航到**基于用户的订阅**并选择产品。

1. 使用共享目录 ID 和产品进行注册。

1. 验证注册状态。

### 步骤 3：在之间建立网络连接 VPCs
<a name="cross-account-network-connectivity"></a>

要将您的 Amazon EC2 实例加入到您的目录中，您需要在之间建立网络连接。 VPCs在两者之间建立网络连接有多种选择 VPCs。本节向您展示如何使用 Amazon VPC 对等互连。

#### 设置 VPC 对等连接
<a name="vpc-peering-setup"></a>

1. 在目录所有者 VPC-0 和目录使用者 VPC-1 之间@@ [创建一个 VPC 对等](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html#create-vpc-peering-connection-remote)连接，然后在目录所有者 VPC-0 和目录使用者 VPC-2 之间创建另一个连接。

1. [在 VPC 路由表中添加指向 VPC 对等连接的路 VPCs由，将流量路由到对等连接中的另一个 VPC，从而启用对等互连之间的](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html#route-tables-vpc-peering)流量路由。

1. 通过添加与目录所有者 VPC-0 的对等连接，配置每个目录使用者 VPC 路由表。如果需要，您还可以创建 Internet Gateway 并将其连接到您的目录使用者 VPC。这使目录使用者 VPC 中的实例能够与执行域加入的 Amazon EC2 Systems Manager 代理进行通信。

#### 配置安全组
<a name="security-groups-config"></a>

通过向出站规则表中添加[AWS Managed Microsoft AD 协议和端口](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_prereqs.html)，配置您的目录使用者 VPCs[安全组](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)以启用出站流量。此外，通过将 AWS Managed Microsoft AD 协议和端口添加到入站规则表中，将目录域控制器的 VPCs安全组配置为启用入站流量，从而允许来自目录使用者帐户的流量。

##### 安全组要求
<a name="security-group-requirements"></a>

**消费者账户 VPCs：**
+ 启用到目录所有者 VPC 的出站流量
+ 允许在所需的 AD 端口上进行通信

**目录所有者 VPC：**
+ 配置来自消费者的入站流量 VPCs
+ 添加必要的 AWS Managed Microsoft AD 协议和端口，包括：
  + TCP 53 (DNS)
  + UDP 53 (DNS)
  + TCP 88 (Kerberos)
  + UDP 88 (Kerberos)
  + TCP 135 (RPC)
  + TCP 389 (LDAP)
  + UDP 389 (LDAP)
  + TCP 445 (SMB)
  + TCP 464（Kerberos 密码）
  + UDP 464（Kerberos 密码）
  + TCP 636 (LDAPS)
  + TCP 9389（活动目录网络服务）
  + TCP 3268-3269（全球目录）
  + TCP 1024-65535（动态 RPC）

Active Directory Web 服务 (ADWS) 需要端口 9389，Active Directory PowerShell 模块和其他管理工具使用该端口与域控制器通信。

### 步骤 4：部署实例并管理用户关联
<a name="cross-account-deploy-manage"></a>

#### 订阅用户（仅限目录所有者帐户）
<a name="subscribe-users"></a>

1. 打开 License Manager 控制台。

1. 导航到**基于用户的订阅**。

1. 选择 “**订阅用户**”

1. 输入 AWS Managed Microsoft AD 用户标识符

1. 选择产品并确认订阅。

#### 启动实例
<a name="launch-instances"></a>

在任何账户中执行此步骤。

1. 导航到亚马逊 EC2 控制台。

1. 选择**启动实例**。

1. 选择相应的 License Manager AMI。

1. 配置网络设置。

1. 查看并启动。

#### 将用户与实例关联
<a name="associate-users-instances"></a>

在实例存在的任何账户中执行此步骤。

1. 打开 License Manager 控制台。

1. 导航到 “**用户关联**”。

1. 选择目标实例。

1. 选择 “**关联用户**”。

1. 输入 AWS Managed Microsoft AD 用户名。

1. 确认关联。

## 问题排查
<a name="cross-account-troubleshooting"></a>

常见问题和解决方案：

### 域名加入失败
<a name="domain-join-failures"></a>

1. 验证账户之间的网络连接。

1. 检查安全组配置。

1. 确认 DNS 解析工作正常。

1. 验证路由表条目。

### 用户订阅问题
<a name="user-subscription-issues"></a>

1. 确认用户存在于 AWS Managed Microsoft AD。

1. 在目录所有者账户中验证订阅状态。

1. 检查网络连接。

1. 查看错误日志。

### 网络连接问题
<a name="network-connectivity-issues"></a>

1. 测试 VPC 对等连接状态。

1. 验证路由表配置。

1. 检查安全组规则：

1. 确认 DNS 解析。

### DNS 解析问题
<a name="dns-resolution-problems"></a>

1. 验证 DHCP 选项集。

1. 检查 DNS 服务器配置。

1. 测试使用者实例的名称解析。

## 其他资源
<a name="cross-account-additional-resources"></a>
+ [AWS License Manager 用户指南](https://docs.aws.amazon.com/license-manager/latest/userguide/user-based-subscriptions.html)
+ [AWS Directory 服务文档](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)
+ [共享您的目录](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_sharing.html)
+ [如何通过域名将 Amazon EC2 实例加入多个账户的 AWS Managed Microsoft AD 目录以及 VPCs](https://aws.amazon.com/blogs/security/how-to-domain-join-amazon-ec2-instances-aws-managed-microsoft-ad-directory-multiple-accounts-vpcs/)
+ [授予的许可证](https://docs.aws.amazon.com/license-manager/latest/userguide/granted-licenses.html)