AWSSupport-TroubleshootDirectoryTrust - AWS Systems Manager 자동화 실행서 참조

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWSSupport-TroubleshootDirectoryTrust

설명

AWSSupport-TroubleshootDirectoryTrust 실행서는 AWS Managed Microsoft AD와 Microsoft Active Directory 간의 신뢰 생성 문제를 진단합니다. 자동화는 디렉터리 유형이 신뢰를 지원하는지 확인한 다음 연결된 보안 그룹 규칙, 네트워크 액세스 제어 목록(네트워크 ACL) 및 라우팅 테이블에서 잠재적인 연결 문제를 확인합니다.

이 자동화 실행(콘솔)

문서 유형

자동화

소유자

Amazon

플랫폼

Linux, macOS, Windows

파라미터

  • AutomationAssumeRole

    유형: 문자열

    설명: (선택 사항) 사용자를 대신하여 Systems Manager Automation을 통해 작업을 수행할 수 있도록 허용하는 AWS Identity and Access Management(IAM) 역할의 Amazon 리소스 이름(ARN)입니다. 역할을 지정하지 않은 경우, Systems Manager Automation에서는 이 실행서를 시작하는 사용자의 권한을 사용합니다.

  • DirectoryId

    유형: 문자열

    허용 패턴: ^d-[a-z0-9]{10}$

    설명: (필수) 문제를 해결할 AWS Managed Microsoft AD의 ID입니다.

  • RemoteDomainCidrs

    형식: StringList

    허용 패턴: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(3[0-2]|[1-2][0-9]|[1-9]))$

    설명: (필수) 신뢰 관계를 설정하려는 원격 도메인의 CIDR입니다. 쉼표로 구분된 값을 사용하여 여러 CIDR을 추가할 수 있습니다. 예: 172.31.48.0/20, 192.168.1.10/32.

  • RemoteDomainName

    유형: 문자열

    설명: (필수) 신뢰 관계를 설정할 원격 도메인의 정규화된 도메인 이름입니다.

  • RequiredTrafficACL

    유형: 문자열

    설명: (필수) AWS Managed Microsoft AD에 대한 기본 포트 요구 사항입니다. 대부분의 경우 기본값을 수정하면 안 됩니다.

    기본값: {"inbound":{"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]},"outbound":{"-1":[[0,65535]]}}

  • RequiredTrafficSG

    유형: 문자열

    설명: (필수) AWS Managed Microsoft AD에 대한 기본 포트 요구 사항입니다. 대부분의 경우 기본값을 수정하면 안 됩니다.

    기본값: {"inbound":{"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]},"outbound":{"-1":[[0,65535]]}}

  • TrustId

    유형: 문자열

    설명: (선택 사항) 문제를 해결할 신뢰 관계의 ID입니다.

필수 IAM 권한

실행서를 성공적으로 사용하려면 AutomationAssumeRole 파라미터에 다음 작업이 필요합니다.

  • ds:DescribeConditionalForwarders

  • ds:DescribeDirectories

  • ds:DescribeTrusts

  • ds:ListIpRoutes

  • ec2:DescribeNetworkAcls

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

문서 단계

  • aws:assertAwsResourceProperty - 디렉터리 유형이 AWS Managed Microsoft AD인지 확인합니다.

  • AWS Managed Microsoft AD - aws:executeAwsApi에 대한 정보를 가져옵니다.

  • aws:branch - TrustId 입력 파라미터에 값이 제공된 경우 자동화를 분기합니다.

  • aws:executeAwsApi - 신뢰 관계에 대한 정보를 가져옵니다.

  • aws:executeAwsApi - RemoteDomainName에 대한 조건부 전달자 DNS IP 주소를 가져옵니다.

  • aws:executeAwsApi - AWS Managed Microsoft AD에 추가된 IP 라우팅에 대한 정보를 가져옵니다.

  • aws:executeAwsApi - AWS Managed Microsoft AD 서브넷의 CIDR을 가져옵니다.

  • aws:executeAwsApi - AWS Managed Microsoft AD와 연결된 보안 그룹에 대한 정보를 가져옵니다.

  • aws:executeAwsApi - AWS Managed Microsoft AD와 연결된 네트워크 ACL에 대한 정보를 가져옵니다.

  • aws:executeScript - RemoteDomainCidrs 값이 유효한지 확인합니다. RemoteDomainCidrs가 RFC 1918 IP 주소가 아닌 경우 AWS Managed Microsoft AD에 RemoteDomainCidrs에 대한 조건부 전달자가 있고, 필수 IP 라우팅이 AWS Managed Microsoft AD에 추가되었는지 확인합니다.

  • aws:executeScript - 보안 그룹 규칙을 평가합니다.

  • aws:executeScript - 네트워크 ACL을 평가합니다.

출력

evalDirectorySecurityGroup.output - AWS Managed Microsoft AD와 연결된 보안 그룹 규칙이 신뢰 생성에 필요한 트래픽을 허용하는지 평가한 결과입니다.

evalAclEntries.output - AWS Managed Microsoft AD와 연결된 네트워크 ACL이 신뢰 생성에 필요한 트래픽을 허용하는지 평가한 결과입니다.

evaluateRemoteDomainCidr.output - RemoteDomainCidrs가 유효한 값인지 평가한 결과입니다. RemoteDomainCidrs가 RFC 1918 IP 주소가 아닌 경우 AWS Managed Microsoft AD에 RemoteDomainCidrs에 대한 조건부 전달자가 있고, 필수 IP 라우팅이 AWS Managed Microsoft AD에 추가되었는지 확인합니다.