AWSSupport-TroubleshootDirectoryTrust - AWS Systems Manager Referenz zum Automatisierungs-Runbook

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWSSupport-TroubleshootDirectoryTrust

Beschreibung

Das AWSSupport-TroubleshootDirectoryTrust Runbook diagnostiziert Probleme bei der Vertrauensbildung zwischen einem AWS Managed Microsoft AD und einem Microsoft Active Directory. Die Automatisierung stellt sicher, dass der Verzeichnistyp Vertrauensstellungen unterstützt, und überprüft dann die zugehörigen Sicherheitsgruppenregeln, Netzwerkzugriffskontrolllisten (Network Access Control Lists, Netzwerk-ACLs) und Routing-Tabellen auf potenzielle Verbindungsprobleme.

Diese Automatisierung ausführen (Konsole)

Art des Dokuments

-Automatisierung

Eigentümer

Amazon

Plattformen

LinuxmacOS, Windows

Parameter

  • AutomationAssumeRole

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM) -Rolle, die es Systems Manager Automation ermöglicht, die Aktionen in Ihrem Namen auszuführen. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.

  • DirectoryId

    Typ: Zeichenfolge

    Zulässiges Muster: ^d- [a-z0-9] {10} $

    Beschreibung: (Erforderlich) Die ID des AWS Managed Microsoft AD für die Fehlerbehebung.

  • RemoteDomainCidrs

    Typ: StringList

    Zulässiges Muster: ^ (([0-9] | [1-9] [0-9] {2} |2 [0-4] [0-9] |25 [0-5])\.) {3} ([0-9] | [1-9] [0-9] [0-9] {2} |2 [0-4] [0-4] [0-9] |25 [0-5]) (\/(3 [0-2] | [1-2] [0-9] | [1-9])) $

    Beschreibung: (Erforderlich) Die CIDR(s) der Remotedomäne, mit der Sie eine Vertrauensstellung einrichten möchten. Sie können mehrere CIDRs mit durch Kommata getrennten Werten hinzufügen. Zum Beispiel 172.31.48.0/20, 192.168.1.10/32.

  • RemoteDomainName

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Der vollqualifizierte Domänenname der Remotedomäne, mit der Sie eine Vertrauensstellung einrichten.

  • RequiredTrafficACL

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Die Standardportanforderungen für AWS Managed Microsoft AD. In den meisten Fällen sollten Sie den Standardwert nicht ändern.

    Standard: {"inbound":{"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]},"outbound":{"-1":[[0,65535]]}}

  • RequiredTrafficSG

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Die Standardportanforderungen für AWS Managed Microsoft AD. In den meisten Fällen sollten Sie den Standardwert nicht ändern.

    Standard: {"inbound":{"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]},"outbound":{"-1":[[0,65535]]}}

  • TrustId

    Typ: Zeichenfolge

    Beschreibung: (Optional) Die ID der Vertrauensstellung für die Fehlerbehebung.

Erforderliche IAM-Berechtigungen

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.

  • ds:DescribeConditionalForwarders

  • ds:DescribeDirectories

  • ds:DescribeTrusts

  • ds:ListIpRoutes

  • ec2:DescribeNetworkAcls

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

Dokumentschritte

  • aws:assertAwsResourceProperty- Bestätigt, dass der Verzeichnistyp istAWS Managed Microsoft AD.

  • aws:executeAwsApi- Erhält Informationen über dieAWS Managed Microsoft AD.

  • aws:branch- Zweigt die Automatisierung ab, wenn ein Wert für den TrustId Eingabeparameter angegeben wird.

  • aws:executeAwsApi- Ruft Informationen über das Vertrauensverhältnis ab.

  • aws:executeAwsApi- Ruft die Conditional Forwarder-DNS-IP-Adressen für die RemoteDomainName ab.

  • aws:executeAwsApi- Ruft Informationen über IP-Routen ab, die dem hinzugefügt wurdenAWS Managed Microsoft AD.

  • aws:executeAwsApi- Ruft die CIDRs der AWS Managed Microsoft AD Subnetze ab.

  • aws:executeAwsApi- Ruft Informationen über die Sicherheitsgruppen ab, die dem zugeordnet sindAWS Managed Microsoft AD.

  • aws:executeAwsApi- Ruft Informationen über die Netzwerk-ACLs ab, die mit dem AWS Managed Microsoft AD verknüpft sind.

  • aws:executeScript- Bestätigt, dass RemoteDomainCidrs es sich um gültige Werte handelt. Bestätigt, dass der AWS Managed Microsoft AD über bedingte Weiterleitungen für die RemoteDomainCidrs verfügt und dass die erforderlichen IP-Routen zu den IP-Adressen hinzugefügt wurden, AWS Managed Microsoft AD falls es sich um Nicht-RFC 1918-IP-Adressen RemoteDomainCidrs handelt.

  • aws:executeScript- Wertet die Regeln für Sicherheitsgruppen aus.

  • aws:executeScript- Wertet Netzwerk-ACLs aus.

Ausgaben

evalDirectorySecuritygroup.output — Ergebnisse der Bewertung, ob die mit der verknüpften Sicherheitsgruppenregeln den für die AWS Managed Microsoft AD Vertrauensbildung erforderlichen Datenverkehr zulassen.

evalAclEntries.output — Ergebnisse aus der Bewertung, ob die mit dem verknüpften Netzwerk-ACLs den für die Vertrauensbildung erforderlichen Datenverkehr AWS Managed Microsoft AD zulassen.

evaluateRemoteDomaincidr.Output — Ergebnisse der Bewertung, ob es sich um gültige Werte RemoteDomainCidrs handelt. Bestätigt, dass der AWS Managed Microsoft AD über bedingte Weiterleitungen für die RemoteDomainCidrs verfügt und dass die erforderlichen IP-Routen zu den IP-Adressen hinzugefügt wurden, AWS Managed Microsoft AD falls es sich um Nicht-RFC 1918-IP-Adressen RemoteDomainCidrs handelt.