AWSSupport-TroubleshootDirectoryTrust - AWS Systems Manager Référence du manuel d'automatisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWSSupport-TroubleshootDirectoryTrust

Description

Le AWSSupport-TroubleshootDirectoryTrust runbook diagnostique les problèmes de création de confiance entre un AWS Managed Microsoft AD et Microsoft Active Directory. L'automatisation garantit que le type d'annuaire prend en charge les approbations, puis vérifie les règles de groupe de sécurité associées, les listes de contrôle d'accès réseau (liste ACL réseau) et les tables de routage pour détecter les problèmes de connectivité potentiels.

Exécutez cette automatisation (console)

Type de document

 Automatisation

Propriétaire

Amazon

Plateformes

LinuxmacOS, Windows

Paramètres

  • AutomationAssumeRole

    Type : String

    Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui démarre ce runbook.

  • DirectoryId

    Type : String

    Modèle autorisé : ^d- [a-z0-9] {10} $

    Description : (Obligatoire) ID du AWS Managed Microsoft AD à dépanner.

  • RemoteDomainCidrs

    Type : StringList

    Modèle autorisé : ^ ([0-9] | [1-9] [0-9] |1 [0-9] {2} |2 [0-4] [0-9] |25 [0-5]) \.) {3} ([0-9] | [1-9] [0-9] |1 [0-9] |1 [0-9] {2} |2 [0-4] [0-9] |25 [0-5]) (\/3 [0-2] | [1-2] [0-9] | [1-9])) $

    Description : (Obligatoire) Le ou les CIDR du domaine distant avec lequel vous tentez d'établir une relation d'approbation. Vous pouvez ajouter plusieurs CIDR à l'aide de valeurs séparées par des virgules. Par exemple : 172.31.48.0/20, 192.168.1.10/32.

  • RemoteDomainName

    Type : String

    Description : (Obligatoire) Nom de domaine complet du domaine distant avec lequel vous établissez une relation d'approbation.

  • RequiredTrafficACL

    Type : String

    Description : (Obligatoire) Les exigences de ports par défaut pour AWS Managed Microsoft AD. Dans la plupart des cas, vous ne devez pas modifier la valeur par défaut.

    Par défaut : {"inbound":{"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]},"outbound":{"-1":[[0,65535]]}}

  • RequiredTrafficSG

    Type : String

    Description : (Obligatoire) Les exigences de ports par défaut pour AWS Managed Microsoft AD. Dans la plupart des cas, vous ne devez pas modifier la valeur par défaut.

    Par défaut : {"inbound":{"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]},"outbound":{"-1":[[0,65535]]}}

  • TrustId

    Type : String

    Description : (Facultatif) ID de la relation d'approbation à dépanner.

Autorisations IAM requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

  • ds:DescribeConditionalForwarders

  • ds:DescribeDirectories

  • ds:DescribeTrusts

  • ds:ListIpRoutes

  • ec2:DescribeNetworkAcls

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

Étapes de document

  • aws:assertAwsResourceProperty- Confirme que le type de répertoire estAWS Managed Microsoft AD.

  • aws:executeAwsApi- Obtient des informations sur leAWS Managed Microsoft AD.

  • aws:branch- Automatisation des branches si une valeur est fournie pour le paramètre TrustId d'entrée.

  • aws:executeAwsApi- Obtient des informations sur la relation de confiance.

  • aws:executeAwsApi- Obtient les adresses IP DNS du redirecteur conditionnel pour. RemoteDomainName

  • aws:executeAwsApi- Obtient des informations sur les routes IP qui ont été ajoutées auAWS Managed Microsoft AD.

  • aws:executeAwsApi- Obtient les CIDR des AWS Managed Microsoft AD sous-réseaux.

  • aws:executeAwsApi- Obtient des informations sur les groupes de sécurité associés auAWS Managed Microsoft AD.

  • aws:executeAwsApi- Obtient des informations sur les ACL réseau associées auAWS Managed Microsoft AD.

  • aws:executeScript- Confirme que les valeurs RemoteDomainCidrs sont valides. Confirme qu'il AWS Managed Microsoft AD possède des redirecteurs conditionnels pour les RemoteDomainCidrs adresses IP et que les routes IP requises y ont été ajoutées AWS Managed Microsoft AD s'il s'agit d'adresses IP non conformes à la RemoteDomainCidrs RFC 1918.

  • aws:executeScript- Évalue les règles des groupes de sécurité.

  • aws:executeScript- Évalue les ACL du réseau.

Sorties

evalDirectorySecurityGroup.Output : résultat de l'évaluation visant à déterminer si les règles du groupe de sécurité associées à AWS Managed Microsoft AD autorisent le trafic requis pour la création de rapports de confiance.

evalAclEntries.output : résultat de l'évaluation visant à déterminer si les ACL réseau associées à AWS Managed Microsoft AD autorisent le trafic requis pour la création de rapports de confiance.

evaluateRemoteDomainCIDR.Output - Résultat de l'évaluation de la validité RemoteDomainCidrs des valeurs. Confirme qu'il AWS Managed Microsoft AD possède des redirecteurs conditionnels pour les RemoteDomainCidrs adresses IP et que les routes IP requises y ont été ajoutées AWS Managed Microsoft AD s'il s'agit d'adresses IP non conformes à la RemoteDomainCidrs RFC 1918.