AWSSupport-TroubleshootDirectoryTrust - AWS Systems Manager オートメーションランブックリファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSSupport-TroubleshootDirectoryTrust

説明

AWSSupport-TroubleshootDirectoryTrust ランブックは AWS Managed Microsoft AD とMicrosoft Active Directory 間の信頼作成の問題を診断します。このオートメーションにより、ディレクトリタイプが信頼関係をサポートしていることが確認され、関連付けられているセキュリティグループのルール、ネットワークアクセスコントロールリスト (ネットワーク ACL)、ルートテーブルの潜在的な接続の問題がチェックされます。

このオートメーションを実行する (コンソール)

ドキュメントタイプ

Automation

所有者

Amazon

[Platforms] (プラットフォーム)

Linux、macOS、Windows

[Parameters] (パラメータ)

  • AutomationAssumeRole

    型: 文字列

    説明: (オプション) Systems Manager Automation がユーザーに代わってアクションを実行できるようにする AWS Identity and Access Management (IAM) ロールの Amazon リソースネーム (ARN)。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。

  • DirectoryId

    型: 文字列

    使用できるパターン: ^d-[a-z0-9]{10}$

    説明: (必須) トラブルシューティングを行う AWS Managed Microsoft AD ID。

  • RemoteDomainCidrs

    タイプ: StringList

    使用できるパターン: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(3[0-2]|[1-2][0-9]|[1-9]))$

    説明: (必須) 信頼関係を確立しようとしているリモートドメインの CIDR。カンマ区切り値を使用して、複数の CIDR を追加できます。例: 172.31.48.0/20, 192.168.1.10/32

  • RemoteDomainName

    型: 文字列

    説明: (必須) 信頼関係を確立しようとしているリモートドメインの完全修飾ドメイン名。

  • RequiredTrafficACL

    型: 文字列

    説明: (必須) AWS Managed Microsoft AD のデフォルトのポート要件。ほとんどの場合、デフォルト値を変更する必要はありません。

    デフォルト: {"inbound":{"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]},"outbound":{"-1":[[0,65535]]}}

  • RequiredTrafficSG

    型: 文字列

    説明: (必須) AWS Managed Microsoft AD のデフォルトのポート要件。ほとんどの場合、デフォルト値を変更する必要はありません。

    デフォルト: {"inbound":{"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]},"outbound":{"-1":[[0,65535]]}}

  • TrustId

    型: 文字列

    説明: (オプション) トラブルシューティングを行う信頼関係の ID。

必要な IAM アクセス許可

AutomationAssumeRole パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。

  • ds:DescribeConditionalForwarders

  • ds:DescribeDirectories

  • ds:DescribeTrusts

  • ds:ListIpRoutes

  • ec2:DescribeNetworkAcls

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

ドキュメントステップ

  • aws:assertAwsResourceProperty - ディレクトリタイプが AWS Managed Microsoft AD であることを確認します。

  • aws:executeAwsApi - AWS Managed Microsoft AD に関する情報を取得します。

  • aws:branch - TrustId 入力パラメータに値が指定されている場合にオートメーションを分岐させます。

  • aws:executeAwsApi - 信頼関係に関する情報を取得します。

  • aws:executeAwsApi - RemoteDomainName の条件付きフォワーダーの DNS の IP アドレスを取得します。

  • aws:executeAwsApi - AWS Managed Microsoft AD に追加された IP ルートに関する情報を取得します。

  • aws:executeAwsApi - AWS Managed Microsoft AD サブネットの CIDR を取得します。

  • aws:executeAwsApi - AWS Managed Microsoft AD に関連付けられているセキュリティグループに関する情報を取得します。

  • aws:executeAwsApi - AWS Managed Microsoft AD に関連付けられているネットワーク ACL に関する情報を取得します。

  • aws:executeScript - RemoteDomainCidrs の値が有効であることを確認します。RemoteDomainCidrs が RFC 1918 に規定されているもの以外の IP アドレスである場合、AWS Managed Microsoft AD に RemoteDomainCidrs の条件付きフォワーダーがあり、必要な IP ルートが AWS Managed Microsoft AD に追加されていることを確認します。

  • aws:executeScript - セキュリティグループのルールを評価します。

  • aws:executeScript - ネットワーク ACL を評価します。

[Outputs] (出力)

evalDirectorySecurityGroup.output - AWS Managed Microsoft AD に関連付けられているセキュリティグループのルールで信頼関係の作成のために必要なトラフィックが許可されているかどうかを評価した結果。

evalAclEntries.output - AWS Managed Microsoft AD に関連付けられているネットワーク ACL で信頼関係の作成のために必要なトラフィックが許可されているかどうかを評価した結果。

evaluateRemoteDomainCidr.output - RemoteDomainCidrs が有効な値であるかどうかを評価した結果。RemoteDomainCidrs が RFC 1918 に規定されているもの以外の IP アドレスである場合、AWS Managed Microsoft AD に RemoteDomainCidrs の条件付きフォワーダーがあり、必要な IP ルートが AWS Managed Microsoft AD に追加されていることを確認します。