AWSSupport-TroubleshootDirectoryTrust - AWS Systems Manager Referencia del manual de automatización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWSSupport-TroubleshootDirectoryTrust

Descripción

El manual de procedimientos AWSSupport-TroubleshootDirectoryTrustdiagnostica los problemas de creación de confianza entre un AWS Managed Microsoft ADy un directorio activo de Microsoft. La automatización garantiza que el tipo de directorio admita confianzas y, a continuación, comprueba las reglas de grupo de seguridad asociadas, las listas de control de acceso a la red (ACL de red) y las tablas de ruteo para detectar posibles problemas de conectividad.

Ejecuta esta automatización (consola)

Tipo de documento

Automation

Propietario

Amazon

Plataformas

Linux, macOS, Windows

Parámetros

  • AutomationAssumeRole

    Tipo: String

    Descripción: (Opcional) el Nombre de recurso de Amazon (ARN) del rol (IAM) AWS Identity and Access Managementque permite a System Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utilizará los permisos del usuario que ejecuta este manual de procedimientos.

  • DirectoryId

    Tipo: String

    Valor permitido: ^d-[a-z0-9]\{10\}$

    Descripción: (Obligatorio) el ID de AWS Managed Microsoft ADpara solucionar problemas.

  • RemoteDomainCidrs

    Tipo: StringList

    Valores permitidos: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(3[0-2]|[1-2][0-9]|[1-9]))$

    Descripción: (Obligatorio) el CIDR (s) del dominio remoto con el que intenta establecer una relación de confianza. Puede agregar varios CIDR utilizando valores separados por comas. Por ejemplo, 172.31.48.0/20, 192.168.1.10/32.

  • RemotedomainName

    Tipo: String

    Descripción: (Obligatorio) nombre completo del dominio remoto con el que está estableciendo una relación de confianza.

  • RequiredTrafficACL

    Tipo: String

    Descripción: (Obligatorio) los requisitos de puerto por defecto para AWS Managed Microsoft AD. En la mayoría de los casos, no debe modificar el valor predeterminado.

    Valor predeterminado: {"inbound":{"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]},"outbound":{"-1":[[0,65535]]}}

  • RequiredTrafficSG

    Tipo: String

    Descripción: (Obligatorio) los requisitos de puerto por defecto para AWS Managed Microsoft AD. En la mayoría de los casos, no debe modificar el valor predeterminado.

    Valor predeterminado: {"inbound":{"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]},"outbound":{"-1":[[0,65535]]}}

  • TrustId

    Tipo: String

    Descripción: (Opcional) ID de la relación de confianza para solucionar el problema.

Permisos de IAM necesarios

El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.

  • ds:DescribeConditionalForwarders

  • ds:DescribeDirectories

  • ds:DescribeTrusts

  • ds:ListIpRoutes

  • ec2:DescribeNetworkAcls

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

Pasos de documentos

  • aws:assertAwsResourceProperty - Confirma que el tipo de directorio sea AWS Managed Microsoft AD.

  • aws:executeAwsApi - Obtiene información acerca de AWS Managed Microsoft AD.

  • aws:branch - Ramifica la automatización si se proporciona un valor para el parámetro TrustIdde entrada.

  • aws:executeAwsApi - Obtiene información sobre la relación de confianza.

  • aws:executeAwsApi - Obtiene las direcciones IP DNS del reenviador condicional para el .

  • aws:executeAwsApi - Obtiene información acerca de las rutas IP que se han agregado a .

  • aws:executeAwsApi - Obtiene los CIDR de las subredes AWS Managed Microsoft AD.

  • aws:executeAwsApi - Obtiene información acerca de los grupos de seguridad asociados con AWS Managed Microsoft AD.

  • aws:executeAwsApi - Obtiene información acerca de las ACL de red asociadas con AWS Managed Microsoft AD.

  • aws:executeScript - Confirma que RemoteDomainCidrsson valores válidos. Confirma que AWS Managed Microsoft ADtiene reenviadores condicionales para los RemoteDomainCidrs, y que las rutas IP requeridas se han agregado a AWS Managed Microsoft ADsi los RemoteDomainCidrsson direcciones IP no RFC 1918.

  • aws:executeScript - Evalúa las reglas de los grupos de seguridad.

  • aws:executeScript - Evalúa las ACL de la red.

Salidas

evalDirectorySecurityGroup.output: resultados de la evaluación de si las reglas de grupo de seguridad asociadas a AWS Managed Microsoft ADpermiten el tráfico necesario para la creación de confianza.

evalAclEntries.output: resultados de la evaluación de si las ACL de red asociadas a AWS Managed Microsoft ADpermiten el tráfico necesario para la creación de confianza.

evaluateRemoteDomaincidr.output: resultados de la evaluación si los RemoteDomainCidrsson valores válidos. Confirma que AWS Managed Microsoft ADtiene reenviadores condicionales para los RemoteDomainCidrs, y que las rutas IP requeridas se han agregado a AWS Managed Microsoft ADsi los RemoteDomainCidrsson direcciones IP no RFC 1918.