AWSSupport-TroubleshootDirectoryTrust - AWS Systems Manager Riferimento al runbook di automazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWSSupport-TroubleshootDirectoryTrust

Descrizione

Il AWSSupport-TroubleshootDirectoryTrust runbook diagnostica i problemi di creazione di trust tra un Microsoft Active Directory AWS Managed Microsoft AD e un Microsoft Active Directory. L'automazione garantisce che il tipo di directory supporti i trust e quindi controlla le regole dei gruppi di protezione associati, gli elenchi di controllo di accesso alla rete (ACL di rete) e le tabelle di routing per potenziali problemi di connettività.

Esegui questa automazione (console)

Tipo di documento

Automazione di

Proprietario

Amazon

Piattaforme

LinuxmacOS, Windows

Parametri

  • AutomationAssumeRole

    Tipo: String

    Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

  • DirectoryId

    Tipo: String

    Modello consentito: ^d- [a-z0-9] {10} $

    Descrizione: (Obbligatorio) L'ID di AWS Managed Microsoft AD da risolvere.

  • RemoteDomainCidrs

    Tipo: StringList

    Schema consentito: ^ ([0-9] | [1-9] [0-9] |1 [0-9] {2} |2 [0-4] [0-9] |25 [0-5])\.) {3} ([0-9] | [1-9] [0-9] {2} |2 [0-4] [0-9] [0-4] [0-9] [0-9] |25 [0-5]) (\/3 [0-2] | [1-2] [0-9] | [1-9])) $

    Descrizione: (Obbligatorio) I CIDR del dominio remoto con cui si sta tentando di stabilire una relazione di trust. È possibile aggiungere più CIDR utilizzando valori separati da virgole. Ad esempio: 172.31.48.0/20, 192.168.1.10/32.

  • RemoteDomainName

    Tipo: String

    Descrizione: (Obbligatorio) Il nome di dominio completo del dominio remoto con cui si sta stabilendo una relazione di trust.

  • RequiredTrafficACL

    Tipo: String

    Descrizione: (Obbligatorio) I requisiti di porta predefiniti per AWS Managed Microsoft AD. Nella maggior parte dei casi, non è necessario modificare il valore predefinito.

    Default: {"inbound":{"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]},"outbound":{"-1":[[0,65535]]}}

  • RequiredTrafficSG

    Tipo: String

    Descrizione: (Obbligatorio) I requisiti di porta predefiniti per AWS Managed Microsoft AD. Nella maggior parte dei casi, non è necessario modificare il valore predefinito.

    Default: {"inbound":{"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]},"outbound":{"-1":[[0,65535]]}}

  • TrustId

    Tipo: String

    Descrizione: (facoltativo) L'ID della relazione di trust da risolvere.

Autorizzazioni IAM richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

  • ds:DescribeConditionalForwarders

  • ds:DescribeDirectories

  • ds:DescribeTrusts

  • ds:ListIpRoutes

  • ec2:DescribeNetworkAcls

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

Fasi del documento

  • aws:assertAwsResourceProperty- Conferma che il tipo di directory èAWS Managed Microsoft AD.

  • aws:executeAwsApi- Ottiene informazioni suAWS Managed Microsoft AD.

  • aws:branch- Automazione delle filiali se viene fornito un valore per il parametro TrustId di input.

  • aws:executeAwsApi- Ottiene informazioni sulla relazione di fiducia.

  • aws:executeAwsApi- Ottiene gli indirizzi IP DNS del trasmettitore condizionale per. RemoteDomainName

  • aws:executeAwsApi- Ottiene informazioni sulle rotte IP che sono state aggiunte aAWS Managed Microsoft AD.

  • aws:executeAwsApi- Ottiene i CIDR delle sottoreti. AWS Managed Microsoft AD

  • aws:executeAwsApi- Ottiene informazioni sui gruppi di sicurezza associati aAWS Managed Microsoft AD.

  • aws:executeAwsApi- Ottiene informazioni sugli ACL di rete associati a. AWS Managed Microsoft AD

  • aws:executeScript- Conferma che RemoteDomainCidrs sono valori validi. Conferma che AWS Managed Microsoft AD dispone di inoltratori condizionali per e che le rotte IP richieste RemoteDomainCidrs sono state aggiunte agli indirizzi IP 1918 AWS Managed Microsoft AD non RFC. RemoteDomainCidrs

  • aws:executeScript- Valuta le regole dei gruppi di sicurezza.

  • aws:executeScript- Valuta gli ACL di rete.

Output

evalDirectorySecurityGroup.output: risulta dalla valutazione se le regole del gruppo di sicurezza associate AWS Managed Microsoft AD consentono il traffico necessario per la creazione di trust.

evalAclEntries.output: risultato della valutazione se gli ACL di rete associati AWS Managed Microsoft AD consentono il traffico necessario per la creazione di fiducia.

evaluateRemoteDomaincidr.Output: risultati della valutazione della validità dei RemoteDomainCidrs valori. Conferma che AWS Managed Microsoft AD dispone di inoltratori condizionali per e che le rotte IP richieste RemoteDomainCidrs sono state aggiunte agli indirizzi IP 1918 AWS Managed Microsoft AD non RFC. RemoteDomainCidrs