AWS-CreateDSManagementInstance - AWS Systems Manager Riferimento al runbook di automazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS-CreateDSManagementInstance

Descrizione

Il AWS-CreateDSManagementInstance runbook crea un'istanza Windows di Amazon Elastic Compute Cloud (Amazon EC2) che puoi utilizzare per gestire la tua directory. AWS Directory Service L'istanza di gestione non può essere utilizzata per gestire le directory di AD Connector.

Esegui questa automazione (console)

Tipo di documento

Automazione di

Proprietario

Amazon

Piattaforme

Windows

Parametri

  • AutomationAssumeRole

    Tipo: String

    Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

  • Un ID

    Tipo: String

    Impostazione predefinita: {{ ssm:/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-Base }}

    Descrizione: (Obbligatorio) L'ID del Amazon Machine Image (AMI) che si desidera utilizzare per avviare l'istanza di gestione.

  • DirectoryId

    Tipo: String

    Descrizione: (Obbligatorio) L'ID della AWS Directory Service directory che desideri gestire. L'istanza viene aggiunta alla directory specificata.

  • IamInstanceProfileName

    Tipo: String

    Descrizione: (Obbligatorio) Il nome specificato viene applicato al profilo dell'istanza IAM creato dall'automazione e collegato all'istanza di gestione.

  • InstanceType

    Tipo: String

    Impostazione predefinita: t3.medium

    Valori consentiti:

    • t2.nano

    • t2.micro

    • t2.small

    • t2.medium

    • t2.large

    • t2.xlarge

    • t2.2xlarge

    • t3.nano

    • t3.micro

    • t3.small

    • t3.medium

    • t3.large

    • t3.xlarge

    • t3.2xlarge

    Descrizione: (Obbligatorio) Il tipo di istanza che desideri avviare.

  • KeyPairName

    Tipo: String

    Descrizione: (Facoltativo) La coppia di chiavi da utilizzare durante la creazione dell'istanza. Se non specificate un valore, nessuna coppia di chiavi è associata all'istanza.

  • RemoteAccessCidr

    Tipo: String

    Descrizione: (Obbligatorio) Il blocco CIDR da cui si desidera consentire il traffico RDP (porta 3389). Il blocco CIDR specificato viene applicato a una regola in entrata aggiunta al gruppo di sicurezza creato dall'automazione.

  • SecurityGroupName

    Tipo: String

    Descrizione: (Obbligatorio) Il nome specificato viene applicato al gruppo di sicurezza creato dall'automazione e associato all'istanza di gestione.

  • Tag

    Tipo: MapList

    Descrizione: (Facoltativo) Una coppia chiave-valore che desideri applicare alle risorse create dall'automazione.

Autorizzazioni IAM richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

  • ds:DescribeDirectories

  • ec2:AuthorizeSecurityGroupIngress

  • ec2:CreateSecurityGroup

  • ec2:CreateTags

  • ec2:DeleteSecurityGroup

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

  • ec2:DescribeKeyPairs

  • ec2:DescribeSecurityGroups

  • ec2:DescribeVpcs

  • ec2:RunInstances

  • ec2:TerminateInstances

  • iam:AddRoleToInstanceProfile

  • iam:AttachRolePolicy

  • iam:CreateInstanceProfile

  • iam:CreateRole

  • iam:DeleteInstanceProfile

  • iam:DeleteRole

  • iam:DetachRolePolicy

  • iam:GetInstanceProfile

  • iam:GetRole

  • iam:ListAttachedRolePolicies

  • iam:ListInstanceProfiles

  • iam:ListInstanceProfilesForRole

  • iam:PassRole

  • iam:RemoveRoleFromInstanceProfile

  • iam:TagInstanceProfile

  • iam:TagRole

  • ssm:CreateDocument

  • ssm:DeleteDocument

  • ssm:DescribeInstanceInformation

  • ssm:GetAutomationExecution

  • ssm:GetParameters

  • ssm:ListCommandInvocations

  • ssm:ListCommands

  • ssm:ListDocuments

  • ssm:SendCommand

  • ssm:StartAutomationExecution

Fasi del documento

  • aws:executeAwsApi- Raccoglie dettagli sulla directory specificata nel DirectoryId parametro.

  • aws:executeAwsApi- Ottiene il blocco CIDR del cloud privato virtuale (VPC) in cui è stata lanciata la directory.

  • aws:executeAwsApi- Crea un gruppo di sicurezza utilizzando il valore specificato nel SecurityGroupName parametro.

  • aws:executeAwsApi- Crea una regola in entrata per il gruppo di sicurezza appena creato che consente il traffico RDP dal CIDR specificato nel parametro. RemoteAccessCidr

  • aws:executeAwsApi- Crea un ruolo IAM e un profilo di istanza utilizzando il valore specificato nel IamInstanceProfileName parametro.

  • aws:executeAwsApi- Avvia un'istanza Amazon EC2 in base ai valori specificati nei parametri del runbook.

  • aws:executeAwsApi- Crea un AWS Systems Manager documento per aggiungere l'istanza appena lanciata alla tua directory.

  • aws:runCommand- Aggiunge la nuova istanza alla tua directory.

  • aws:runCommand- Installa strumenti di amministrazione remota del server sulla nuova istanza.