AWS-CreateDSManagementInstance - AWS Systems Manager Referencia del manual de automatización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS-CreateDSManagementInstance

Descripción

El AWS-CreateDSManagementInstance runbook crea una instancia de Amazon Elastic Compute Cloud (Amazon EC2) Windows que puedes usar para administrar tu AWS Directory Service directorio. La instancia de administración no se puede usar para administrar los directorios del conector de AD.

Ejecuta esta automatización (consola)

Tipo de documento

Automatización

Propietario

Amazon

Plataformas

Windows

Parámetros

  • AutomationAssumeRole

    Tipo: cadena

    Descripción: (opcional) el Nombre de recurso de Amazon (ARN) del rol de AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.

  • AmiID

    Tipo: cadena

    Valor predeterminado: {{ ssm:/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-Base }}

    Descripción: (obligatorio) El ID del Amazon Machine Image (AMI) que desee utilizar para lanzar la instancia de administración.

  • DirectoryId

    Tipo: cadena

    Descripción: (obligatorio) El ID del AWS Directory Service directorio que desea administrar. La instancia se une al directorio que especifique.

  • IamInstanceProfileName

    Tipo: cadena

    Descripción: (obligatorio) el nombre que especifique se aplica al perfil de instancia de IAM creado por la automatización y adjunto a la instancia de administración.

  • InstanceType

    Tipo: cadena

    Valor predeterminado: t3.medium

    Valores permitidos:

    • t2.nano

    • t2.micro

    • t2.small

    • t2.medium

    • t2.large

    • t2.xlarge

    • t2.2xlarge

    • t3.nano

    • t3.micro

    • t3.small

    • t3.medium

    • t3.large

    • t3.xlarge

    • t3.2xlarge

    Descripción: (obligatorio) tipo de instancia que se va a lanzar.

  • KeyPairName

    Tipo: cadena

    Descripción: (opcional) el par de claves que se utilizará al crear la nueva instancia. Si no especifica un valor, no se asociará ningún par de claves a la instancia.

  • RemoteAccessCidr

    Tipo: cadena

    Descripción: (obligatorio) el bloque CIDR desde el que desea permitir el tráfico RDP (puerto 3389). El bloque CIDR que especifique se aplica a una regla de entrada que se agrega al grupo de seguridad creado por la automatización.

  • SecurityGroupName

    Tipo: cadena

    Descripción: (obligatorio) el nombre que especifique se aplica al grupo de seguridad creado por la automatización y asociado a la instancia de administración.

  • Tags

    Tipo:  MapList

    Descripción: (opcional) un par clave-valor que desee aplicar a los recursos creados por la automatización.

Permisos de IAM necesarios

El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.

  • ds:DescribeDirectories

  • ec2:AuthorizeSecurityGroupIngress

  • ec2:CreateSecurityGroup

  • ec2:CreateTags

  • ec2:DeleteSecurityGroup

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

  • ec2:DescribeKeyPairs

  • ec2:DescribeSecurityGroups

  • ec2:DescribeVpcs

  • ec2:RunInstances

  • ec2:TerminateInstances

  • iam:AddRoleToInstanceProfile

  • iam:AttachRolePolicy

  • iam:CreateInstanceProfile

  • iam:CreateRole

  • iam:DeleteInstanceProfile

  • iam:DeleteRole

  • iam:DetachRolePolicy

  • iam:GetInstanceProfile

  • iam:GetRole

  • iam:ListAttachedRolePolicies

  • iam:ListInstanceProfiles

  • iam:ListInstanceProfilesForRole

  • iam:PassRole

  • iam:RemoveRoleFromInstanceProfile

  • iam:TagInstanceProfile

  • iam:TagRole

  • ssm:CreateDocument

  • ssm:DeleteDocument

  • ssm:DescribeInstanceInformation

  • ssm:GetAutomationExecution

  • ssm:GetParameters

  • ssm:ListCommandInvocations

  • ssm:ListCommands

  • ssm:ListDocuments

  • ssm:SendCommand

  • ssm:StartAutomationExecution

Pasos de documentos

  • aws:executeAwsApi: recopila detalles sobre el directorio que especifique en el parámetro DirectoryId.

  • aws:executeAwsApi: obtiene el bloque CIDR de la nube privada virtual (VPC) en la que se lanzó el directorio.

  • aws:executeAwsApi: crea un grupo de seguridad con el valor que especifique en el parámetro SecurityGroupName.

  • aws:executeAwsApi: crea una regla de entrada para el grupo de seguridad recién creado que permite el tráfico RDP desde el CIDR que especifique en el parámetro RemoteAccessCidr.

  • aws:executeAwsApi: crea un rol de IAM y un perfil de instancia con el valor que especifique en el parámetro IamInstanceProfileName.

  • aws:executeAwsApi- Lanza una EC2 instancia de Amazon en función de los valores que especifiques en los parámetros del runbook.

  • aws:executeAwsApi- Crea un AWS Systems Manager documento para unir la instancia recién lanzada a su directorio.

  • aws:runCommand: une la nueva instancia a su directorio.

  • aws:runCommand: instala herramientas de administración remota del servidor en la nueva instancia.