本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS License Manager 使用共用的跨帳戶入門 AWS Managed Microsoft AD
<a name="license-cross-account"></a>

AWS License Manager 支援使用共用的跨帳戶功能 AWS Managed Microsoft AD，可讓組織從目錄擁有者帳戶集中管理使用者訂閱，同時跨多個帳戶部署執行個體。

## 術語
<a name="cross-account-terminology"></a>
+ **目錄擁有者帳戶** - 受管 AD 存在且也負責管理訂閱的授權管理員帳戶。
+ **目錄消費者帳戶** - 您使用共用 AD 來啟動使用者訂閱執行個體 AWS 的帳戶。

## 先決條件
<a name="cross-account-prerequisites"></a>

開始前，請確保您具備以下條件：
+ 目錄擁有者帳戶中 AWS Managed Microsoft AD 的 - 在您要控制訂閱的目錄擁有者帳戶/授權管理員帳戶中設定。
+ 目錄擁有者帳戶與所有目錄取用者帳戶之間的網路連線。
+ 必要的 IAM 許可 - 請參閱以[使用者為基礎的訂閱 IAM 角色](https://docs.aws.amazon.com/license-manager/latest/userguide/user-based-subscription-role.html)。
+ 在目錄擁有者帳戶中，訂閱 AWS Marketplace 中所需的 License Manager 產品：
  + [Visual Studio Professional 2022](https://aws.amazon.com/Marketplace/pp/prodview-zo3zltrbpgr5i)
  + [Visual Studio Enterprise 2022](https://aws.amazon.com/Marketplace/pp/prodview-dzstlnjdl3izg)
  + [Office LTSC Professional Plus](https://aws.amazon.com/Marketplace/pp/prodview-bh46d5p2hapns)
  + [Office LTSC 標準版](https://aws.amazon.com/Marketplace/pp/prodview-4riznyn4eqlbw)

## 限制
<a name="cross-account-limitations"></a>
+ 使用者訂閱管理僅限於目錄擁有者帳戶。
+ 不支援跨區域共用。
+ 透過目錄擁有者帳戶合併計費 - 所有訂閱成本都會向目錄擁有者帳戶計費，不過訂閱可以存在於多個帳戶中。
+ 帳戶之間需要網路連線。

## 網路架構
<a name="cross-account-architecture"></a>

![顯示擁有者和消費者帳戶之間 AWS Managed Microsoft AD 共用的架構圖。](http://docs.aws.amazon.com/zh_tw/license-manager/latest/userguide/images/cross-account.png)


## 如何設定跨帳戶 License Manager 功能
<a name="cross-account-process-overview"></a>

若要設定跨帳戶 License Manager 功能：

1. 設定目錄擁有者帳戶/授權管理員帳戶。

1. 設定目錄取用者帳戶。

1. 建立網路連線。

1. 部署執行個體和管理使用者關聯。

### 步驟 1：設定目錄擁有者/授權管理員帳戶
<a name="cross-account-owner-setup"></a>

#### 建立和共用 AWS Managed Microsoft AD
<a name="create-share-ad"></a>

1. 如果 VPC 中不存在，請在 VPC AWS Managed Microsoft AD 中建立 。

1. 與目錄消費者帳戶共用目錄，如[共用目錄](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_sharing.html)中所述。

1. 確定目錄已正確設定必要的使用者和群組。

#### 訂閱 產品
<a name="subscribe-products"></a>

1. 導覽至 AWS Marketplace。

1. 尋找並訂閱您需要的產品、Visual Studio 或 Office 和 RDS SAL。

1. 使用 License Manager **Create Grants** 與目錄消費者帳戶共用 Visual Studio 或 Office 訂閱。或者，您可以訂閱這些帳戶中 AWS Marketplace 的產品，因為這不會影響帳單。請參閱[授予的授權](https://docs.aws.amazon.com/license-manager/latest/userguide/granted-licenses.html)。

1. 確認訂閱狀態為作用中。

#### 向 License Manager 註冊
<a name="register-license-manager-owner"></a>

1. 開啟 License Manager 主控台。

1. 導覽至以**使用者為基礎的訂閱設定**。

1. 選取**註冊身分提供者**。

1. 選擇您的 AWS Managed Microsoft AD。

1. 完成註冊程序。

### 步驟 2：設定目錄消費者帳戶 - 具有共用 AD 的帳戶
<a name="cross-account-child-config"></a>

#### 接受共用目錄
<a name="accept-shared-directory"></a>

1. 開啟 AWS Directory Service 主控台。

1. 導覽至**共用目錄**。

1. 尋找並接受共用目錄邀請。

1. 請注意您帳戶中指派的新目錄 ID。

#### 接受 MP 訂閱
<a name="accept-mp-subscription"></a>

在 License Manager **Grants** 中，接受 AWS Marketplace 產品的授權。或者， AWS Marketplace 訂閱 產品。在 [CreateGrant API](https://docs.aws.amazon.com/license-manager/latest/APIReference/API_CreateGrant.html) 中進一步了解）。

#### 向 License Manager 註冊
<a name="register-license-manager-child"></a>

1. 開啟 License Manager 主控台。

1. 導覽至以**使用者為基礎的訂閱**，然後選擇產品。

1. 使用共用目錄 ID 和產品註冊。

1. 驗證註冊狀態。

### 步驟 3：在 VPCs之間建立網路連線
<a name="cross-account-network-connectivity"></a>

若要將 Amazon Amazon EC2 執行個體加入目錄，您需要在 VPCs之間建立網路連線。建立兩個 VPCs之間的網路連線有幾個選項。本節說明如何使用 Amazon VPC 對等互連。

#### 設定 VPC 對等互連
<a name="vpc-peering-setup"></a>

1. [在目錄擁有者 VPC-0 和目錄消費者 VPC-1 之間建立一個 VPC 互連連線](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html#create-vpc-peering-connection-remote)，然後在目錄擁有者 VPC-0 和目錄消費者 VPC-2 之間建立另一個連線。 VPC-0 VPC-1

1. 將路由新增至指向 [ VPCs 對等連線的 VPC 路由表，以將流量路由至對等連線中的其他 VPC，](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html#route-tables-vpc-peering)藉此在對等 VPC 之間啟用流量路由。

1. 透過新增與目錄擁有者 VPC-0 的對等連線，設定每個目錄消費者 VPC 路由表。如果需要，您也可以建立網際網路閘道並將其連接至目錄消費者 VPCs。這可讓目錄消費者 VPCs中的執行個體與執行網域聯結的 Amazon EC2 Systems Manager 代理程式通訊。

#### 設定安全群組
<a name="security-groups-config"></a>

將[AWS Managed Microsoft AD 通訊協定和連接埠](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_prereqs.html)新增至傳出規則表，以設定目錄消費者 VPCs[的安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)來啟用傳出流量。此外，請將目錄網域控制站 VPCs的安全群組設定為透過將 AWS Managed Microsoft AD 通訊協定和連接埠新增至傳入規則表來啟用傳入流量，以允許來自目錄消費者帳戶的流量。

##### 安全群組要求
<a name="security-group-requirements"></a>

**消費者帳戶 VPCs：**
+ 啟用對目錄擁有者 VPC 的傳出流量
+ 允許在必要的 AD 連接埠上通訊

**目錄擁有者 VPC：**
+ 設定來自消費者 VPCs傳入流量
+ 新增必要的 AWS Managed Microsoft AD 通訊協定和連接埠，包括：
  + TCP 53 (DNS)
  + UDP 53 (DNS)
  + TCP 88 (Kerberos)
  + UDP 88 (Kerberos)
  + TCP 135 (RPC)
  + TCP 389 (LDAP)
  + UDP 389 (LDAP)
  + TCP 445 (SMB)
  + TCP 464 (Kerberos 密碼）
  + UDP 464 (Kerberos 密碼）
  + TCP 636 (LDAPS)
  + TCP 9389 (Active Directory Web Services)
  + TCP 3268-3269 （全域目錄）
  + TCP 1024-65535 （動態 RPC)

Active Directory Web Services (ADWS) 需要連接埠 9389，Active Directory PowerShell 模組和其他管理工具會使用此連接埠與網域控制站通訊。

### 步驟 4：部署執行個體和管理使用者關聯
<a name="cross-account-deploy-manage"></a>

#### 訂閱使用者 （僅限目錄擁有者帳戶）
<a name="subscribe-users"></a>

1. 開啟 License Manager 主控台。

1. 導覽至以**使用者為基礎的訂閱**。

1. 選取**訂閱使用者**

1. 輸入 AWS Managed Microsoft AD 使用者識別符

1. 選擇產品並確認訂閱。

#### 啟動執行個體
<a name="launch-instances"></a>

在任何帳戶中執行此步驟。

1. 導覽至 Amazon EC2 主控台。

1. 選擇**啟動執行個體**。

1. 選取適當的 License Manager AMI。

1. 設定聯網設定。

1. 檢閱並啟動。

#### 將使用者與執行個體建立關聯
<a name="associate-users-instances"></a>

在執行個體存在的任何帳戶中執行此步驟。

1. 開啟 License Manager 主控台。

1. 導覽至 **使用者關聯**。

1. 選取目標執行個體。

1. 選擇**關聯使用者**。

1. 輸入 AWS Managed Microsoft AD 使用者名稱。

1. 確認關聯。

## 疑難排解
<a name="cross-account-troubleshooting"></a>

常見問題和解決方案：

### 網域加入失敗
<a name="domain-join-failures"></a>

1. 驗證帳戶之間的網路連線。

1. 檢查安全群組組態。

1. 確認 DNS 解析正常運作。

1. 驗證路由表項目。

### 使用者訂閱問題
<a name="user-subscription-issues"></a>

1. 確認使用者存在於其中 AWS Managed Microsoft AD。

1. 驗證目錄擁有者帳戶中的訂閱狀態。

1. 檢查網路連線。

1. 檢閱錯誤日誌。

### 網路連線問題
<a name="network-connectivity-issues"></a>

1. 測試 VPC 對等互連狀態。

1. 驗證路由表組態。

1. 檢查安全群組規則。

1. 確認 DNS 解析。

### DNS 解析問題
<a name="dns-resolution-problems"></a>

1. 驗證 DHCP 選項集。

1. 檢查 DNS 伺服器組態。

1. 從取用者執行個體測試名稱解析。

## 其他資源
<a name="cross-account-additional-resources"></a>
+ [AWS License Manager 使用者指南](https://docs.aws.amazon.com/license-manager/latest/userguide/user-based-subscriptions.html)
+ [AWS Directory Service 文件](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)
+ [共用您的目錄](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_sharing.html)
+ [如何將 Amazon EC2 執行個體加入網域以跨多個帳戶和 VPCs進行 AWS Managed Microsoft AD 目錄](https://aws.amazon.com/blogs/security/how-to-domain-join-amazon-ec2-instances-aws-managed-microsoft-ad-directory-multiple-accounts-vpcs/)
+ [授予的授權](https://docs.aws.amazon.com/license-manager/latest/userguide/granted-licenses.html)