AWSSupport-TroubleshootDirectoryTrust - AWS Systems Manager Referensi buku runbook otomatisasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWSSupport-TroubleshootDirectoryTrust

Deskripsi

AWSSupport-TroubleshootDirectoryTrustRunbook mendiagnosis masalah pembuatan kepercayaan antara AWS Managed Microsoft AD dan Microsoft Active Directory. Otomatisasi memastikan jenis direktori mendukung kepercayaan, dan kemudian memeriksa aturan grup keamanan terkait, daftar kontrol akses jaringan (ACL jaringan), dan tabel rute untuk potensi masalah konektivitas.

Jalankan Otomasi ini (konsol)

Jenis dokumen

Otomatisasi

Pemilik

Amazon

Platform

Linux,macOS, Windows

Parameter

  • AutomationAssumeRole

    Jenis: String

    Deskripsi: (Opsional) Amazon Resource Name (ARN) dari peran AWS Identity and Access Management (IAM) yang memungkinkan Systems Manager Automation untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.

  • DirectoryId

    Jenis: String

    Pola yang diizinkan: ^d- [a-z0-9] {10} $

    Deskripsi: (Diperlukan) ID AWS Managed Microsoft AD untuk memecahkan masalah.

  • RemoteDomainCidrs

    Jenis: StringList

    Pola yang diizinkan: ^ (([0-9] | [1-9] [0-9] |1 [0-9] {2} |2 [0-4] [0-9] |25 [0-5])\.) {3} ([0-9] | [1-9] [0-9] |1 [0-9] {2} |2 [0-4] [0-9] |25 [0-5]) (\/(3 [0-2] | [1-2] [0-9] | [1-9])) $

    Deskripsi: (Diperlukan) CIDR dari domain jarak jauh yang Anda coba buat hubungan kepercayaan. Anda dapat menambahkan beberapa CIDR menggunakan nilai yang dipisahkan koma. Misalnya, 172.31.48.0/20, 192.168.1.10/32.

  • RemoteDomainName

    Jenis: String

    Deskripsi: (Diperlukan) Nama domain yang memenuhi syarat sepenuhnya dari domain jarak jauh tempat Anda menjalin hubungan kepercayaan.

  • RequiredTrafficACL

    Jenis: String

    Deskripsi: (Diperlukan) Persyaratan port default untukAWS Managed Microsoft AD. Dalam kebanyakan kasus, Anda tidak boleh mengubah nilai default.

    Default: {"masuk”: {"tcp”: [[53,53], [88,88], [135,135], [389,389], [445,445], [464,464], [636,636], [1024,65535]], "udp”: [[53,53], [88,88], [123.123], [138,138], [389,389], [445,445], [464,464]], "icmp”: [[-1, -1]]}, "outbound”: {” -1": [[0,65535]]}}

  • RequiredTrafficSG

    Jenis: String

    Deskripsi: (Diperlukan) Persyaratan port default untukAWS Managed Microsoft AD. Dalam kebanyakan kasus, Anda tidak boleh mengubah nilai default.

    Default: {"masuk”: {"tcp”: [[53,53], [88,88], [135,135], [389,389], [445,445], [464,464], [636,636], [1024,65535]], "udp”: [[53,53], [88,88], [123.123], [138,138], [389,389], [445,445], [464,464]], "icmp”: [[-1, -1]]}, "outbound”: {” -1": [[0,65535]]}}

  • TrustId

    Jenis: String

    Deskripsi: (Opsional) ID hubungan kepercayaan untuk memecahkan masalah.

Izin IAM yang diperlukan

AutomationAssumeRoleParameter membutuhkan tindakan berikut untuk menggunakan runbook dengan sukses.

  • ds:DescribeConditionalForwarders

  • ds:DescribeDirectories

  • ds:DescribeTrusts

  • ds:ListIpRoutes

  • ec2:DescribeNetworkAcls

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

Langkah Dokumen

  • aws:assertAwsResourceProperty- Mengkonfirmasi jenis direktori adalahAWS Managed Microsoft AD.

  • aws:executeAwsApi- Mendapat informasi tentangAWS Managed Microsoft AD.

  • aws:branch- Otomatisasi cabang jika nilai disediakan untuk parameter TrustId input.

  • aws:executeAwsApi- Mendapat informasi tentang hubungan kepercayaan.

  • aws:executeAwsApi- Mendapat forwarder bersyarat alamat DNS IP untuk. RemoteDomainName

  • aws:executeAwsApi- Mendapat informasi tentang rute IP yang telah ditambahkan keAWS Managed Microsoft AD.

  • aws:executeAwsApi- Mendapat CIDR dari subnet. AWS Managed Microsoft AD

  • aws:executeAwsApi- Mendapat informasi tentang kelompok keamanan yang terkait denganAWS Managed Microsoft AD.

  • aws:executeAwsApi- Mendapat informasi tentang ACL jaringan yang terkait dengan. AWS Managed Microsoft AD

  • aws:executeScript- Mengkonfirmasi RemoteDomainCidrs adalah nilai yang valid. Menegaskan bahwa AWS Managed Microsoft AD memiliki forwarder bersyarat untukRemoteDomainCidrs, dan bahwa rute IP yang diperlukan telah ditambahkan ke AWS Managed Microsoft AD jika RemoteDomainCidrs adalah non-RFC 1918 alamat IP.

  • aws:executeScript- Mengevaluasi aturan kelompok keamanan.

  • aws:executeScript- Mengevaluasi ACL jaringan.

Keluaran

evalDirectorySecurityGroup.output - Hasil dari mengevaluasi apakah aturan kelompok keamanan yang terkait dengan AWS Managed Microsoft AD memungkinkan lalu lintas yang diperlukan untuk penciptaan kepercayaan.

evalAclEntries.output - Hasil dari mengevaluasi apakah ACL jaringan terkait dengan AWS Managed Microsoft AD memungkinkan lalu lintas yang diperlukan untuk penciptaan kepercayaan.

evaluateRemoteDomainCIDR.output - Hasil dari mengevaluasi apakah adalah nilai yang valid. RemoteDomainCidrs Menegaskan bahwa AWS Managed Microsoft AD memiliki forwarder bersyarat untukRemoteDomainCidrs, dan bahwa rute IP yang diperlukan telah ditambahkan ke AWS Managed Microsoft AD jika RemoteDomainCidrs adalah non-RFC 1918 alamat IP.