AWS-CreateDSManagementInstance - AWS Systems Manager Référence du manuel d'automatisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS-CreateDSManagementInstance

Description

Le AWS-CreateDSManagementInstance runbook crée une instance Windows Amazon Elastic Compute Cloud (Amazon EC2) que vous pouvez utiliser pour gérer votre répertoire. AWS Directory Service L'instance de gestion ne peut pas être utilisée pour gérer les répertoires AD Connector.

Exécutez cette automatisation (console)

Type de document

 Automatisation

Propriétaire

Amazon

Plateformes

Windows

Paramètres

  • AutomationAssumeRole

    Type : String

    Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui démarre ce runbook.

  • AMiID

    Type : String

    Par défaut : {{ ssm:/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-Base }}

    Description : (Obligatoire) L'ID du Amazon Machine Image (AMI) que vous souhaitez utiliser pour lancer l'instance de gestion.

  • DirectoryId

    Type : String

    Description : (Obligatoire) L'ID du AWS Directory Service répertoire que vous souhaitez gérer. L'instance est jointe au répertoire que vous spécifiez.

  • IamInstanceProfileName

    Type : String

    Description : (Obligatoire) Le nom que vous spécifiez est appliqué au profil d'instance IAM créé par l'automatisation et associé à l'instance de gestion.

  • InstanceType

    Type : String

    Par défaut : t3.medium

    Valeurs autorisées :

    • t2.nano

    • t2.micro

    • t2.small

    • t2.medium

    • t2.large

    • t2.xlarge

    • t2.2xlarge

    • t3.nano

    • t3.micro

    • t3.small

    • t3.medium

    • t3.large

    • t3.xlarge

    • t3.2xlarge

    Description : (Obligatoire) Type d'instance que vous souhaitez lancer.

  • KeyPairName

    Type : String

    Description : (Facultatif) La paire de clés à utiliser lors de la création de l'instance. Si vous ne spécifiez aucune valeur, aucune paire de clés n'est associée à l'instance.

  • RemoteAccessCidr

    Type : String

    Description : (Obligatoire) Le bloc d'adresse CIDR à partir duquel vous souhaitez autoriser le trafic RDP (port 3389). Le bloc CIDR que vous spécifiez est appliqué à une règle entrante ajoutée au groupe de sécurité créé par l'automatisation.

  • SecurityGroupName

    Type : String

    Description : (Obligatoire) Le nom que vous spécifiez est appliqué au groupe de sécurité créé par l'automatisation et associé à l'instance de gestion.

  • Étiquettes

    Type : MapList

    Description : (Facultatif) Paire clé-valeur que vous souhaitez appliquer aux ressources créées par l'automatisation.

Autorisations IAM requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

  • ds:DescribeDirectories

  • ec2:AuthorizeSecurityGroupIngress

  • ec2:CreateSecurityGroup

  • ec2:CreateTags

  • ec2:DeleteSecurityGroup

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

  • ec2:DescribeKeyPairs

  • ec2:DescribeSecurityGroups

  • ec2:DescribeVpcs

  • ec2:RunInstances

  • ec2:TerminateInstances

  • iam:AddRoleToInstanceProfile

  • iam:AttachRolePolicy

  • iam:CreateInstanceProfile

  • iam:CreateRole

  • iam:DeleteInstanceProfile

  • iam:DeleteRole

  • iam:DetachRolePolicy

  • iam:GetInstanceProfile

  • iam:GetRole

  • iam:ListAttachedRolePolicies

  • iam:ListInstanceProfiles

  • iam:ListInstanceProfilesForRole

  • iam:PassRole

  • iam:RemoveRoleFromInstanceProfile

  • iam:TagInstanceProfile

  • iam:TagRole

  • ssm:CreateDocument

  • ssm:DeleteDocument

  • ssm:DescribeInstanceInformation

  • ssm:GetAutomationExecution

  • ssm:GetParameters

  • ssm:ListCommandInvocations

  • ssm:ListCommands

  • ssm:ListDocuments

  • ssm:SendCommand

  • ssm:StartAutomationExecution

Étapes de document

  • aws:executeAwsApi- Recueille des informations sur le répertoire que vous spécifiez dans le DirectoryId paramètre.

  • aws:executeAwsApi- Obtient le bloc CIDR du cloud privé virtuel (VPC) où le répertoire a été lancé.

  • aws:executeAwsApi- Crée un groupe de sécurité à l'aide de la valeur que vous spécifiez dans le SecurityGroupName paramètre.

  • aws:executeAwsApi- Crée une règle entrante pour le groupe de sécurité nouvellement créé qui autorise le trafic RDP à partir du CIDR que vous spécifiez dans le paramètre. RemoteAccessCidr

  • aws:executeAwsApi- Crée un rôle IAM et un profil d'instance à l'aide de la valeur que vous spécifiez dans le IamInstanceProfileName paramètre.

  • aws:executeAwsApi- Lance une instance Amazon EC2 en fonction des valeurs que vous spécifiez dans les paramètres du runbook.

  • aws:executeAwsApi- Crée un AWS Systems Manager document pour joindre l'instance nouvellement lancée à votre répertoire.

  • aws:runCommand- Joint la nouvelle instance à votre répertoire.

  • aws:runCommand- Installe les outils d'administration du serveur distant sur la nouvelle instance.