AWSSupport-TroubleshootDirectoryTrust - AWS Systems Manager Referência do runbook de automação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSSupport-TroubleshootDirectoryTrust

Descrição

O runbook AWSSupport-TroubleshootDirectoryTrust diagnostica problemas de criação de confiança entre um AWS Managed Microsoft AD e um Microsoft Active Directory. A automação garante que o tipo de diretório ofereça suporte a confianças e verifica as regras de grupo de segurança associadas, listas de controle de acesso à rede (ACLs de rede) e tabelas de rotas para verificar possíveis problemas de conectividade.

Execute esta automação (console)

Tipo de documento

Automation

Proprietário

Amazon

Plataformas

Linux, macOS, Windows

Parâmetros

  • AutomationAssumeRole

    Tipo: sequência

    Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.

  • DirectoryId

    Tipo: sequência

    Padrão permitido: ^d-[a-z0-9]\{10\}$

    Descrição: (obrigatória) o ID do AWS Managed Microsoft AD para solução de problemas.

  • RemoteDomainCidrs

    Tipo: StringList

    Padrões permitidos: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(3[0-2]|[1-2][0-9]|[1-9]))$

    Descrição: (obrigatória) os CIDRs do domínio remoto com o qual você está tentando estabelecer uma relação de confiança. Você pode adicionar vários CIDRs usando valores separados por vírgula. Por exemplo, 172.31.48.0/20, 192.168.1.10/32.

  • RemoteDomainName

    Tipo: sequência

    Descrição: (obrigatória) o nome totalmente qualificado do domínio remoto com o qual você está estabelecendo uma relação de confiança.

  • RequiredTrafficACL

    Tipo: sequência

    Descrição: (obrigatória) os requisitos para a porta padrão do AWS Managed Microsoft AD. Na maioria dos casos, não modifique o valor padrão.

    Padrão: {"entrada":{"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]},"saída":{"-1":[[0,65535]]}}

  • RequiredTrafficSG

    Tipo: sequência

    Descrição: (obrigatória) os requisitos para a porta padrão do AWS Managed Microsoft AD. Na maioria dos casos, não modifique o valor padrão.

    Padrão: {"entrada":{"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]},"saída":{"-1":[[0,65535]]}}

  • TrustId

    Tipo: sequência

    Descrição: (opcional) o ID do relacionamento de confiança a ser solucionado.

Permissões obrigatórias do IAM

O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.

  • ds:DescribeConditionalForwarders

  • ds:DescribeDirectories

  • ds:DescribeTrusts

  • ds:ListIpRoutes

  • ec2:DescribeNetworkAcls

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

Etapas do documento

  • aws:assertAwsResourceProperty: confirma que o tipo de diretório é AWS Managed Microsoft AD.

  • aws:executeAwsApi: obtém informações sobre AWS Managed Microsoft AD.

  • aws:branch: ramifica a automação se um valor for fornecido para o parâmetro de entrada TrustId.

  • aws:executeAwsApi: obtém informações sobre o relacionamento de confiança.

  • aws:executeAwsApi: obtém os endereços IP DNS de encaminhador condicional para o RemoteDomainName.

  • aws:executeAwsApi: obtém informações sobre rotas IP adicionadas ao AWS Managed Microsoft AD.

  • aws:executeAwsApi: obtém os CIDRs das sub-redes AWS Managed Microsoft AD.

  • aws:executeAwsApi: obtém informações sobre os grupos de segurança associados a AWS Managed Microsoft AD.

  • aws:executeAwsApi: obtém informações sobre as ACLs de rede associadas ao AWS Managed Microsoft AD.

  • aws:executeScript: confirma que os RemoteDomainCidrs são valores válidos. Confirma que o AWS Managed Microsoft AD tem encaminhadores condicionais para os RemoteDomainCidrs, e que as rotas IP necessárias foram adicionadas ao AWS Managed Microsoft AD se os RemoteDomainCidrs não forem endereços IP RFC 1918.

  • aws:executeScript: avalia as regras do grupo de segurança.

  • aws:executeScript: avalia ACLs de rede.

Saídas

evalDirectorySecurityGroup.output – resultará da avaliação se as regras do grupo de segurança associadas ao AWS Managed Microsoft AD permitirem o tráfego necessário para a criação de confiança.

evalAclEntries.output – resulta da avaliação para verificar se as ACLs de rede associadas ao AWS Managed Microsoft AD permitem o tráfego necessário para a criação de confiança

evaluateRemoteDomainCidr.output – resulta da avaliação para verificar se os valores de RemoteDomainCidrs são válidos. Confirma que o AWS Managed Microsoft AD tem encaminhadores condicionais para os RemoteDomainCidrs, e que as rotas IP necessárias foram adicionadas ao AWS Managed Microsoft AD se os RemoteDomainCidrs não forem endereços IP RFC 1918.