AWSSupport-TroubleshootADConnectorConnectivity - AWS Systems Manager 자동화 런북 참조

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWSSupport-TroubleshootADConnectorConnectivity

설명

AWSSupport-TroubleshootADConnectorConnectivity 실행서는 AD Connector에 대한 다음 사전 요구 사항을 확인합니다.

  • 필요한 트래픽이 AD Connector와 연결된 보안 그룹 및 네트워크 액세스 제어 목록(ACL) 규칙에서 허용되는지 확인합니다.

  • AWS Systems Manager, AWS Security Token Service 및 Amazon CloudWatch 인터페이스 VPC 엔드포인트가 AD Connector와 동일한 Virtual Private Cloud(VPC)에 존재하는지 확인합니다.

사전 요구 사항 검사가 성공적으로 완료되면, 실행서는 AD Connector와 동일한 서브넷에서 두 개의 Amazon Elastic Compute Cloud(Amazon EC2) Linux t2.micro 인스턴스를 시작합니다. 그런 다음, netcatnslookup 유틸리티를 사용하여 네트워크 연결 테스트를 수행합니다.

이 자동화 실행(콘솔)

중요

이 실행서를 사용하면 Amazon EC2 인스턴스, Amazon Elastic Block Store 볼륨 및 자동화 중에 생성된 Amazon Machine Image(AMI)에 대해 AWS 계정에 추가 요금이 부과될 수 있습니다. 자세한 내용은 Amazon Elastic Compute Cloud 요금Amazon Elastic Block Store 요금을 참조하세요.

aws:deletestack단계가 실패할 경우, AWS CloudFormation 콘솔로 이동하여 스택을 수동으로 삭제합니다. 이 실행서에서 만든 스택 이름은 AWSSupport-TroubleshootADConnectorConnectivity로 시작합니다. AWS CloudFormation 스택 삭제에 대한 자세한 내용은 AWS CloudFormation 사용 설명서스택 삭제를 참조하세요.

문서 유형

자동화

소유자

Amazon

플랫폼

Linux, macOS, Windows

파라미터

  • AutomationAssumeRole

    유형: 문자열

    설명: (선택 사항) 사용자를 대신하여 Systems Manager Automation을 통해 작업을 수행할 수 있도록 허용하는 AWS Identity and Access Management(IAM) 역할의 Amazon 리소스 이름(ARN)입니다. 역할을 지정하지 않은 경우, Systems Manager Automation에서는 이 실행서를 시작하는 사용자의 권한을 사용합니다.

  • DirectoryId

    유형: 문자열

    설명: (필수) 연결 문제를 해결하려는 AD Connector 디렉터리의 ID입니다.

  • Ec2InstanceProfile

    유형: 문자열

    최대 문자 수: 128

    설명: (필수) 연결 테스트를 수행하기 위해 시작된 인스턴스에 할당하려는 인스턴스 프로파일의 이름입니다. 사용자가 지정하는 인스턴스 프로파일에는 AmazonSSMManagedInstanceCore 정책 또는 이에 상응하는 권한이 연결되어 있어야 합니다.

필수 IAM 권한

실행서를 성공적으로 사용하려면 AutomationAssumeRole 파라미터에 다음 작업이 필요합니다.

  • ec2:DescribeInstances

  • ec2:DescribeImages

  • ec2:DescribeSubnets

  • ec2:DescribeSecurityGroups

  • ec2:DescribeNetworkAcls

  • ec2:DescribeVpcEndpoints

  • ec2:CreateTags

  • ec2:RunInstances

  • ec2:StopInstances

  • ec2:TerminateInstances

  • cloudformation:CreateStack

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • cloudformation:DeleteStack

  • ds:DescribeDirectories

  • ssm:SendCommand

  • ssm:ListCommands

  • ssm:ListCommandInvocations

  • ssm:GetParameters

  • ssm:DescribeInstanceInformation

  • iam:PassRole

문서 단계

  • aws:assertAwsResourceProperty - DirectoryId 파라미터에 지정된 디렉터리가 AD Connector인지 확인합니다.

  • aws:executeAwsApi - AD Connector에 대한 정보를 수집합니다.

  • aws:executeAwsApi - AD Connector와 연결된 보안 그룹에 대한 정보를 수집합니다.

  • aws:executeAwsApi - AD Connector의 서브넷과 연결된 네트워크 ACL 규칙에 대한 정보를 수집합니다.

  • aws:executeScript - AD Connector 보안 그룹 규칙을 평가하여 필요한 아웃바운드 트래픽이 허용되는지 확인합니다.

  • aws:executeScript - AD Connector 네트워크 ACL 규칙을 평가하여 필요한 아웃바운드 및 인바운드 네트워크 트래픽이 허용되는지 확인합니다.

  • aws:executeScript - AWS Systems Manager, AWS Security Token Service 및 Amazon CloudWatch 인터페이스 엔드포인트가 AD Connector와 동일한 VPC에 존재하는지 확인합니다.

  • aws:executeScript - 이전 단계에서 수행한 검사의 출력을 컴파일합니다.

  • aws:branch - 이전 단계의 출력에 따라 자동화를 분기합니다. 보안 그룹 및 네트워크 ACL에 필요한 아웃바운드 및 인바운드 규칙이 누락된 경우 여기서 자동화가 중지됩니다.

  • aws:createStack - AWS CloudFormation 스택을 생성하여 연결 테스트를 수행하는 Amazon EC2 인스턴스를 시작합니다.

  • aws:executeAwsApi - 새로 시작한 Amazon EC2 인스턴스의 ID를 수집합니다.

  • aws:waitForAwsResourceProperty - 새로 시작한 첫 번째 Amazon EC2 인스턴스를 AWS Systems Manager가 관리하는 것으로 보고될 때까지 기다립니다.

  • aws:waitForAwsResourceProperty - 새로 시작한 두 번째 Amazon EC2 인스턴스를 AWS Systems Manager가 관리하는 것으로 보고될 때까지 기다립니다.

  • aws:runCommand - 첫 번째 Amazon EC2 인스턴스의 온프레미스 DNS 서버 IP 주소에 대한 네트워크 연결 테스트를 수행합니다.

  • aws:runCommand - 두 번째 Amazon EC2 인스턴스의 온프레미스 DNS 서버 IP 주소에 대한 네트워크 연결 테스트를 수행합니다.

  • aws:changeInstanceState - 연결 테스트에 사용된 Amazon EC2 인스턴스를 중지합니다.

  • aws:deleteStack - AWS CloudFormation 스택을 삭제합니다.

  • aws:executeScript - 자동화가 스택 삭제에 실패할 경우 AWS CloudFormation 스택을 수동으로 삭제하는 방법에 대한 지침을 출력합니다.