AWS-CreateDSManagementInstance - AWS Systems Manager Referenz zum Automatisierungs-Runbook

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS-CreateDSManagementInstance

Beschreibung

Das AWS-CreateDSManagementInstance Runbook erstellt eine Amazon Elastic Compute Cloud (Amazon EC2) Windows-Instance, mit der Sie Ihr Verzeichnis verwalten können. AWS Directory Service Die Verwaltungsinstanz kann nicht zur Verwaltung von AD Connector-Verzeichnissen verwendet werden.

Diese Automatisierung ausführen (Konsole)

Art des Dokuments

-Automatisierung

Eigentümer

Amazon

Plattformen

Windows

Parameter

  • AutomationAssumeRole

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM) -Rolle, die es Systems Manager Automation ermöglicht, die Aktionen in Ihrem Namen auszuführen. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.

  • Ein Id

    Typ: Zeichenfolge

    Standard: {{ ssm:/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-Base }}

    Beschreibung: (Erforderlich) Die ID der Amazon Machine Image (AMI), die Sie zum Starten der Verwaltungsinstanz verwenden möchten.

  • DirectoryId

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Die ID des AWS Directory Service Verzeichnisses, das Sie verwalten möchten. Die Instanz wird mit dem von Ihnen angegebenen Verzeichnis verknüpft.

  • IamInstanceProfileName

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Der von Ihnen angegebene Name wird auf das IAM-Instanzprofil angewendet, das durch die Automatisierung erstellt und an die Verwaltungsinstanz angehängt wird.

  • InstanceType

    Typ: Zeichenfolge

    Standard: t3.medium

    Zulässige Werte:

    • t2.nano

    • t2.micro

    • t2.small

    • t2.medium

    • t2.large

    • t2.xlarge

    • t2.2xlarge

    • t3.nano

    • t3.micro

    • t3.small

    • t3.medium

    • t3.large

    • t3.xlarge

    • t3.2xlarge

    Beschreibung: (Erforderlich) Der Instance-Typ, den Sie starten möchten.

  • KeyPairName

    Typ: Zeichenfolge

    Beschreibung: (Optional) Das Schlüsselpaar, das beim Erstellen der Instanz verwendet werden soll. Wenn Sie keinen Wert angeben, ist der Instanz kein Schlüsselpaar zugeordnet.

  • RemoteAccessCidr

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Der CIDR-Block, von dem aus Sie RDP-Verkehr (Port 3389) zulassen möchten. Der von Ihnen angegebene CIDR-Block wird auf eine eingehende Regel angewendet, die der durch die Automatisierung erstellten Sicherheitsgruppe hinzugefügt wird.

  • SecurityGroupName

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Der von Ihnen angegebene Name wird auf die Sicherheitsgruppe angewendet, die durch die Automatisierung erstellt und der Verwaltungsinstanz zugeordnet ist.

  • Tags (Markierungen)

    Typ: MapList

    Beschreibung: (Optional) Ein Schlüssel-Wert-Paar, das Sie auf die durch die Automatisierung erstellten Ressourcen anwenden möchten.

Erforderliche IAM-Berechtigungen

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.

  • ds:DescribeDirectories

  • ec2:AuthorizeSecurityGroupIngress

  • ec2:CreateSecurityGroup

  • ec2:CreateTags

  • ec2:DeleteSecurityGroup

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

  • ec2:DescribeKeyPairs

  • ec2:DescribeSecurityGroups

  • ec2:DescribeVpcs

  • ec2:RunInstances

  • ec2:TerminateInstances

  • iam:AddRoleToInstanceProfile

  • iam:AttachRolePolicy

  • iam:CreateInstanceProfile

  • iam:CreateRole

  • iam:DeleteInstanceProfile

  • iam:DeleteRole

  • iam:DetachRolePolicy

  • iam:GetInstanceProfile

  • iam:GetRole

  • iam:ListAttachedRolePolicies

  • iam:ListInstanceProfiles

  • iam:ListInstanceProfilesForRole

  • iam:PassRole

  • iam:RemoveRoleFromInstanceProfile

  • iam:TagInstanceProfile

  • iam:TagRole

  • ssm:CreateDocument

  • ssm:DeleteDocument

  • ssm:DescribeInstanceInformation

  • ssm:GetAutomationExecution

  • ssm:GetParameters

  • ssm:ListCommandInvocations

  • ssm:ListCommands

  • ssm:ListDocuments

  • ssm:SendCommand

  • ssm:StartAutomationExecution

Dokumentschritte

  • aws:executeAwsApi- Sammelt Details über das Verzeichnis, das Sie im DirectoryId Parameter angeben.

  • aws:executeAwsApi- Ruft den CIDR-Block der Virtual Private Cloud (VPC) ab, in der das Verzeichnis gestartet wurde.

  • aws:executeAwsApi- Erstellt eine Sicherheitsgruppe mit dem Wert, den Sie im SecurityGroupName Parameter angeben.

  • aws:executeAwsApi- Erstellt eine eingehende Regel für die neu erstellte Sicherheitsgruppe, die RDP-Verkehr von dem CIDR zulässt, den Sie im Parameter angeben. RemoteAccessCidr

  • aws:executeAwsApi- Erstellt eine IAM-Rolle und ein Instanzprofil mithilfe des Werts, den Sie im IamInstanceProfileName Parameter angeben.

  • aws:executeAwsApi- Startet eine Amazon EC2-Instance auf der Grundlage der Werte, die Sie in den Runbook-Parametern angeben.

  • aws:executeAwsApi- Erstellt ein AWS Systems Manager Dokument, um die neu gestartete Instanz mit Ihrem Verzeichnis zu verbinden.

  • aws:runCommand- Fügt die neue Instanz Ihrem Verzeichnis hinzu.

  • aws:runCommand- Installiert Tools zur Remote-Serververwaltung auf der neuen Instanz.