Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWSSupport-TroubleshootDirectoryTrust
Description
Le AWSSupport-TroubleshootDirectoryTrust
runbook diagnostique les problèmes de création de confiance entre un AWS Managed Microsoft AD et Microsoft Active Directory. L'automatisation garantit que le type d'annuaire prend en charge les approbations, puis vérifie les règles de groupe de sécurité associées, les listes de contrôle d'accès réseau (liste ACL réseau) et les tables de routage pour détecter les problèmes de connectivité potentiels.
Exécutez cette automatisation (console)
Type de document
Automatisation
Propriétaire
Amazon
Plateformes
LinuxmacOS, Windows
Paramètres
-
AutomationAssumeRole
Type : String
Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui démarre ce runbook.
-
DirectoryId
Type : String
Modèle autorisé : ^d- [a-z0-9] {10} $
Description : (Obligatoire) ID du AWS Managed Microsoft AD à dépanner.
-
RemoteDomainCidrs
Type : StringList
Modèle autorisé : ^ ([0-9] | [1-9] [0-9] |1 [0-9] {2} |2 [0-4] [0-9] |25 [0-5]) \.) {3} ([0-9] | [1-9] [0-9] |1 [0-9] |1 [0-9] {2} |2 [0-4] [0-9] |25 [0-5]) (\/3 [0-2] | [1-2] [0-9] | [1-9])) $
Description : (Obligatoire) Le ou les CIDR du domaine distant avec lequel vous tentez d'établir une relation d'approbation. Vous pouvez ajouter plusieurs CIDR à l'aide de valeurs séparées par des virgules. Par exemple : 172.31.48.0/20, 192.168.1.10/32.
-
RemoteDomainName
Type : String
Description : (Obligatoire) Nom de domaine complet du domaine distant avec lequel vous établissez une relation d'approbation.
-
RequiredTrafficACL
Type : String
Description : (Obligatoire) Les exigences de ports par défaut pour AWS Managed Microsoft AD. Dans la plupart des cas, vous ne devez pas modifier la valeur par défaut.
Par défaut : {"inbound":{"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]},"outbound":{"-1":[[0,65535]]}}
-
RequiredTrafficSG
Type : String
Description : (Obligatoire) Les exigences de ports par défaut pour AWS Managed Microsoft AD. Dans la plupart des cas, vous ne devez pas modifier la valeur par défaut.
Par défaut : {"inbound":{"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]},"outbound":{"-1":[[0,65535]]}}
-
TrustId
Type : String
Description : (Facultatif) ID de la relation d'approbation à dépanner.
Autorisations IAM requises
Le AutomationAssumeRole
paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
-
ds:DescribeConditionalForwarders
-
ds:DescribeDirectories
-
ds:DescribeTrusts
-
ds:ListIpRoutes
-
ec2:DescribeNetworkAcls
-
ec2:DescribeSecurityGroups
-
ec2:DescribeSubnets
Étapes de document
-
aws:assertAwsResourceProperty
- Confirme que le type de répertoire estAWS Managed Microsoft AD. -
aws:executeAwsApi
- Obtient des informations sur leAWS Managed Microsoft AD. -
aws:branch
- Automatisation des branches si une valeur est fournie pour le paramètreTrustId
d'entrée. -
aws:executeAwsApi
- Obtient des informations sur la relation de confiance. -
aws:executeAwsApi
- Obtient les adresses IP DNS du redirecteur conditionnel pour.RemoteDomainName
-
aws:executeAwsApi
- Obtient des informations sur les routes IP qui ont été ajoutées auAWS Managed Microsoft AD. -
aws:executeAwsApi
- Obtient les CIDR des AWS Managed Microsoft AD sous-réseaux. -
aws:executeAwsApi
- Obtient des informations sur les groupes de sécurité associés auAWS Managed Microsoft AD. -
aws:executeAwsApi
- Obtient des informations sur les ACL réseau associées auAWS Managed Microsoft AD. -
aws:executeScript
- Confirme que les valeursRemoteDomainCidrs
sont valides. Confirme qu'il AWS Managed Microsoft AD possède des redirecteurs conditionnels pour lesRemoteDomainCidrs
adresses IP et que les routes IP requises y ont été ajoutées AWS Managed Microsoft AD s'il s'agit d'adresses IP non conformes à laRemoteDomainCidrs
RFC 1918. -
aws:executeScript
- Évalue les règles des groupes de sécurité. -
aws:executeScript
- Évalue les ACL du réseau.
Sorties
evalDirectorySecurityGroup.Output : résultat de l'évaluation visant à déterminer si les règles du groupe de sécurité associées à AWS Managed Microsoft AD autorisent le trafic requis pour la création de rapports de confiance.
evalAclEntries.output : résultat de l'évaluation visant à déterminer si les ACL réseau associées à AWS Managed Microsoft AD autorisent le trafic requis pour la création de rapports de confiance.
evaluateRemoteDomainCIDR.Output - Résultat de l'évaluation de la validité RemoteDomainCidrs
des valeurs. Confirme qu'il AWS Managed Microsoft AD possède des redirecteurs conditionnels pour les RemoteDomainCidrs
adresses IP et que les routes IP requises y ont été ajoutées AWS Managed Microsoft AD s'il s'agit d'adresses IP non conformes à la RemoteDomainCidrs
RFC 1918.