AWSSupport-TroubleshootADConnectorConnectivity - AWS Systems Manager Guide de référence du manuel d'automatisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWSSupport-TroubleshootADConnectorConnectivity

Description

Le AWSSupport-TroubleshootADConnectorConnectivity runbook vérifie les prérequis suivants pour un connecteur AD :

  • Vérifie si le trafic requis est autorisé par le groupe de sécurité et les règles de la liste de contrôle d'accès réseau (ACL) associés à votre connecteur AD.

  • Vérifie si les points de terminaison du VPC AWS Systems ManagerAWS Security Token Service,, et de l'CloudWatchinterface Amazon se trouvent dans le même cloud privé virtuel (VPC) que le connecteur AD.

Lorsque les vérifications préalables sont effectuées avec succès, le runbook lance deux instances Amazon Elastic Compute Cloud (Amazon EC2) Linux t2.micro dans les mêmes sous-réseaux que votre connecteur AD. Les tests de connectivité réseau sont ensuite effectués à l'aide netcat des nslookup utilitaires et.

Exécutez cette automatisation (console)

Important

L'utilisation de ce runbook peut entraîner des frais supplémentaires Compte AWS pour les instances Amazon EC2, les volumes Amazon Elastic Block Store et Amazon Machine Image (AMI) créés lors de l'automatisation. Pour plus d'informations, consultez les tarifs Amazon Elastic Compute Cloud et Amazon Elastic Block Store Pricing.

Si l'aws:deletestackétape échoue, accédez à la AWS CloudFormation console pour supprimer manuellement la pile. Le nom de la pile créée par ce runbook commence AWSSupport-TroubleshootADConnectorConnectivity par. Pour plus d'informations sur la suppression de AWS CloudFormation piles, consultez la section Supprimer une pile dans le Guide de l'AWS CloudFormationutilisateur.

Type de document

 Automatisation

Propriétaire

Amazon

Plateformes

Linux,macOS, Windows

Paramètres

  • AutomationAssumeRole

    Type : String

    Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui démarre ce runbook.

  • DirectoryId

    Type : String

    Description : (Obligatoire) L'ID du répertoire AD Connector auquel vous souhaitez résoudre les problèmes de connectivité.

  • Ec2 InstanceProfile

    Type : String

    Nombre maximum de caractères : 128

    Description : (Obligatoire) Le nom du profil d'instance que vous souhaitez attribuer aux instances lancées pour effectuer des tests de connectivité. Le profil d'instance que vous spécifiez doit être associé à la AmazonSSMManagedInstanceCore politique ou à des autorisations équivalentes.

Autorisations IAM requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

  • ec2:DescribeInstances

  • ec2:DescribeImages

  • ec2:DescribeSubnets

  • ec2:DescribeSecurityGroups

  • ec2:DescribeNetworkAcls

  • ec2:DescribeVpcEndpoints

  • ec2:CreateTags

  • ec2:RunInstances

  • ec2:StopInstances

  • ec2:TerminateInstances

  • cloudformation:CreateStack

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • cloudformation:DeleteStack

  • ds:DescribeDirectories

  • ssm:SendCommand

  • ssm:ListCommands

  • ssm:ListCommandInvocations

  • ssm:GetParameters

  • ssm:DescribeInstanceInformation

  • iam:PassRole

Étapes de document

  • aws:assertAwsResourceProperty- Confirme que le répertoire spécifié dans le DirectoryId paramètre est un connecteur AD.

  • aws:executeAwsApi- Recueille des informations sur le connecteur AD.

  • aws:executeAwsApi- Recueille des informations sur les groupes de sécurité associés au connecteur AD.

  • aws:executeAwsApi- Recueille des informations sur les règles ACL réseau associées aux sous-réseaux du connecteur AD.

  • aws:executeScript- Évalue les règles du groupe de sécurité AD Connector pour vérifier que le trafic sortant requis est autorisé.

  • aws:executeScript- Évalue les règles ACL du réseau AD Connector pour vérifier que le trafic réseau sortant et entrant requis est autorisé.

  • aws:executeScript- Vérifie si les AWS Systems Manager points de terminaison de CloudWatch l'interface AWS Security Token Service et Amazon se trouvent dans le même VPC que le connecteur AD.

  • aws:executeScript- Compile les résultats des contrôles effectués lors des étapes précédentes.

  • aws:branch- Branche l'automatisation en fonction du résultat des étapes précédentes. L'automatisation s'arrête là si les règles sortantes et entrantes requises sont absentes pour les groupes de sécurité et les ACL réseau.

  • aws:createStack- Crée une AWS CloudFormation pile pour lancer des instances Amazon EC2 afin d'effectuer des tests de connectivité.

  • aws:executeAwsApi- Rassemble les identifiants des instances Amazon EC2 récemment lancées.

  • aws:waitForAwsResourceProperty- Attend que la première instance Amazon EC2 récemment lancée soit signalée comme étant gérée par. AWS Systems Manager

  • aws:waitForAwsResourceProperty- Attend que la deuxième instance Amazon EC2 récemment lancée soit signalée comme étant gérée par. AWS Systems Manager

  • aws:runCommand- Effectue des tests de connectivité réseau vers les adresses IP du serveur DNS local à partir de la première instance Amazon EC2.

  • aws:runCommand- Effectue des tests de connectivité réseau vers les adresses IP du serveur DNS local à partir de la deuxième instance Amazon EC2.

  • aws:changeInstanceState- Arrête les instances Amazon EC2 utilisées pour les tests de connectivité.

  • aws:deleteStack- Supprime la AWS CloudFormation pile.

  • aws:executeScript- Fournit des instructions sur la façon de supprimer manuellement la AWS CloudFormation pile si l'automatisation ne parvient pas à supprimer la pile.