

• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la [documentazione di Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Creazione di un SecureString parametro Parameter Store e unione di un nodo a un dominio (PowerShell)
<a name="sysman-param-securestring-walkthrough"></a>

Questa procedura dettagliata mostra come aggiungere un Windows Server nodo a un dominio utilizzando AWS Systems Manager `SecureString` parametri e. Run Command La procedura guidata utilizza i parametri di dominio standard, ad esempio il nome di dominio e un nome utente di dominio. Questi valori vengono passati come valori di stringa non criptati. La password del dominio viene crittografata con una Chiave gestita da AWS e viene passata come una stringa crittografata. 

**Prerequisiti**  
In questa procedura guidata si presuppone che siano già stati specificati il nome di dominio e l'indirizzo IP del server DNS nel set di opzioni DHCP associato ad Amazon VPC. Per ulteriori informazioni, consulta [Utilizzo dei set di opzioni DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html#DHCPOptionSet) nella *Guida utente Amazon VPC*.

**Per creare un parametro `SecureString` e aggiungere un nodo a un dominio**

1. Immettere i parametri nel sistema utilizzando. AWS Tools for Windows PowerShell

   Nei seguenti comandi, sostituisci ciascuno {{user input placeholder}} con le tue informazioni.

   ```
   Write-SSMParameter -Name "{{domainName}}" -Value "{{DOMAIN-NAME}}" -Type String
   Write-SSMParameter -Name "{{domainJoinUserName}}" -Value "{{DOMAIN\USERNAME}}" -Type String
   Write-SSMParameter -Name "{{domainJoinPassword}}" -Value "{{PASSWORD}}" -Type SecureString
   ```

   Solo il *valore* di un parametro `SecureString` viene crittografato. I nomi dei parametri, le descrizioni e altre proprietà non sono crittografati.

1. Allega le seguenti policy AWS Identity and Access Management (IAM) alle autorizzazioni del ruolo IAM per il tuo nodo: 
   + **AmazonSSMManagedInstanceCore**: obbligatorio Questa policy AWS gestita consente a un nodo gestito di utilizzare le funzionalità principali del servizio Systems Manager.
   + **AmazonSSMDirectoryServiceAccess**: obbligatorio Questa politica AWS gestita consente di accedere SSM Agent AWS Directory Service per conto dell'utente alle richieste di aggiunta al dominio da parte del nodo gestito.
   + **Una policy personalizzata per l'accesso ai bucket S3: obbligatoria**. SSM Agent, che si trova sul tuo nodo ed esegue attività di Systems Manager, richiede l'accesso a bucket Amazon-owned Amazon Simple Storage Service (Amazon S3) specifici. Nella policy di bucket S3 creata, fornire anche l'accesso ai bucket S3 personali necessari per le operazioni di Systems Manager. 

     Esempi: è possibile scrivere l'output per i comandiRun Command o le sessioni Session Manager in un bucket S3 e quindi utilizzare questo output più tardi per l'audit o la risoluzione dei problemi. È possibile archiviare gli script di accesso o gli elenchi delle baseline delle patch personalizzati in un bucket S3 e quindi fare riferimento allo script o all'elenco quando si esegue un comando oppure quando viene applicata una baseline delle patch.

     Per ulteriori informazioni su come creare una policy personalizzata per l'accesso ai bucket Amazon S3, consulta [Creare una policy di bucket S3 personalizzata per un profilo dell'istanza](setup-instance-permissions.md#instance-profile-custom-s3-policy)
**Nota**  
La memorizzazione dei log di output in un bucket S3 è facoltativa ma, se si è deciso di utilizzarla, si consiglia di impostarla all'inizio del processo di configurazione di Systems Manager. Per ulteriori informazioni, consulta [Creazione di un bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CreatingABucket.html) nella *Guida per l'utente di Amazon Simple Storage Service*.
   + **CloudWatchAgentServerPolicy** : Opzionale. Questa policy AWS gestita consente di eseguire l' CloudWatch agente su nodi gestiti. Questa politica consente di leggere le informazioni su un nodo e scriverle su Amazon CloudWatch. Il tuo profilo di istanza necessita di questa policy solo se utilizzi servizi come Amazon EventBridge o CloudWatch Logs.
**Nota**  
L'utilizzo CloudWatch e EventBridge le funzionalità sono facoltativi, ma si consiglia di configurarli all'inizio del processo di configurazione di Systems Manager se si è deciso di utilizzarli. Per ulteriori informazioni, consulta la *[Amazon EventBridge User Guide](https://docs.aws.amazon.com/eventbridge/latest/userguide/)* e la *[Amazon CloudWatch Logs User Guide](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)*.

1. Modificare il ruolo IAM associato al nodo e aggiungere la policy seguente. Questa policy fornisce al nodo le autorizzazioni per chiamare `kms:Decrypt` e l'API `ssm:CreateDocument`. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "kms:Decrypt",
                   "ssm:CreateDocument"
               ],
               "Resource": [
                   "arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/{{kms-key-id}}"
               ]
           }
       ]
   }
   ```

------

1. Copiare e incollare il seguente elemento json di testo in un editor di testo e salvare il file come `JoinInstanceToDomain.json` nella seguente posizione: `c:\temp\JoinInstanceToDomain.json`.

   ```
   {
       "schemaVersion": "2.2",
       "description": "Run a PowerShell script to securely join a Windows Server instance to a domain",
       "mainSteps": [
           {
               "action": "aws:runPowerShellScript",
               "name": "runPowerShellWithSecureString",
               "precondition": {
                   "StringEquals": [
                       "platformType",
                       "Windows"
                   ]
               },
               "inputs": {
                   "runCommand": [
                       "$domain = (Get-SSMParameterValue -Name domainName).Parameters[0].Value",
                       "if ((gwmi Win32_ComputerSystem).domain -eq $domain){write-host \"Computer is part of $domain, exiting\"; exit 0}",
                       "$username = (Get-SSMParameterValue -Name domainJoinUserName).Parameters[0].Value",
                       "$password = (Get-SSMParameterValue -Name domainJoinPassword -WithDecryption $True).Parameters[0].Value | ConvertTo-SecureString -asPlainText -Force",
                       "$credential = New-Object System.Management.Automation.PSCredential($username,$password)",
                       "Add-Computer -DomainName $domain -Credential $credential -ErrorAction SilentlyContinue -ErrorVariable domainjoinerror",
                       "if($?){Write-Host \"Instance joined to domain successfully. Restarting\"; exit 3010}else{Write-Host \"Instance failed to join domain with error:\" $domainjoinerror; exit 1 }"
                   ]
               }
           }
       ]
   }
   ```

1. Esegui il seguente comando in Tools for Windows per PowerShell creare un nuovo documento SSM.

   ```
   $json = Get-Content C:\temp\JoinInstanceToDomain | Out-String
   New-SSMDocument -Name JoinInstanceToDomain -Content $json -DocumentType Command
   ```

1. Esegui il seguente comando in Tools for Windows PowerShell per aggiungere il nodo al dominio.

   ```
   Send-SSMCommand -InstanceId {{instance-id}} -DocumentName JoinInstanceToDomain 
   ```

   Se il comando viene eseguito correttamente, il sistema restituisce informazioni simili alle seguenti. 

   ```
   WARNING: The changes will take effect after you restart the computer EC2ABCD-EXAMPLE.
   Domain join succeeded, restarting
   Computer is part of example.local, exiting
   ```

   Se il comando non viene eseguito correttamente, il sistema restituisce informazioni simili alle seguenti. 

   ```
   Failed to join domain with error:
   Computer 'EC2ABCD-EXAMPLE' failed to join domain 'example.local'
   from its current workgroup 'WORKGROUP' with following error message:
   The specified domain either does not exist or could not be contacted.
   ```