AWS-CreateDSManagementInstance - AWS Systems Manager Referência do runbook de automação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS-CreateDSManagementInstance

Descrição

O runbook AWS-CreateDSManagementInstance cria uma instância do Windows do Amazon Elastic Compute Cloud (Amazon EC2) que pode ser usada para gerenciar seu diretório do AWS Directory Service. A instância de gerenciamento não pode ser usada para gerenciar diretórios do AD Connector.

Execute esta automação (console)

Tipo de documento

Automation

Proprietário

Amazon

Plataformas

Windows

Parâmetros

  • AutomationAssumeRole

    Tipo: sequência

    Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.

  • AmiID

    Tipo: sequência

    Padrão: {{ ssm:/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-Base }}

    Descrição: (obrigatório) o ID da Amazon Machine Image (AMI) que você deseja usar para iniciar a instância de gerenciamento.

  • DirectoryId

    Tipo: sequência

    Descrição: (obrigatório) o ID do diretório do AWS Directory Service que você deseja gerenciar. A instância é ligada ao diretório especificado.

  • IamInstanceProfileName

    Tipo: sequência

    Descrição: (obrigatório) o nome que você especifica é aplicado ao perfil de instância do IAM que é criado pela automação e anexado à instância de gerenciamento.

  • InstanceType

    Tipo: sequência

    Padrão: t3.medium

    Valores permitidos:

    • t2.nano

    • t2.micro

    • t2.small

    • t2.medium

    • t2.large

    • t2.xlarge

    • t2.2xlarge

    • t3.nano

    • t3.micro

    • t3.small

    • t3.medium

    • t3.large

    • t3.xlarge

    • t3.2xlarge

    Descrição: (obrigatório) tipo de instância a ser executada.

  • KeyPairName

    Tipo: sequência

    Descrição: (opcional) o par de chaves a ser usado ao criar a instância. Se você não especificar um valor, nenhum par de chaves será associado à instância.

  • RemoteAccessCidr

    Tipo: sequência

    Descrição: (obrigatório) o bloco CIDR do qual você deseja permitir o tráfego RDP (porta 3389). O bloco CIDR que você especifica é aplicado a uma regra de entrada que é adicionada ao grupo de segurança criado pela automação.

  • SecurityGroupName

    Tipo: sequência

    Descrição: (obrigatório) o nome que você especifica é aplicado ao grupo de segurança criado pela automação e associado à instância de gerenciamento.

  • Tags

    Tipo: MapList

    Descrição: (opcional) um par de chave-valor que você deseja aplicar aos recursos criados pela automação.

Permissões obrigatórias do IAM

O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.

  • ds:DescribeDirectories

  • ec2:AuthorizeSecurityGroupIngress

  • ec2:CreateSecurityGroup

  • ec2:CreateTags

  • ec2:DeleteSecurityGroup

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

  • ec2:DescribeKeyPairs

  • ec2:DescribeSecurityGroups

  • ec2:DescribeVpcs

  • ec2:RunInstances

  • ec2:TerminateInstances

  • iam:AddRoleToInstanceProfile

  • iam:AttachRolePolicy

  • iam:CreateInstanceProfile

  • iam:CreateRole

  • iam:DeleteInstanceProfile

  • iam:DeleteRole

  • iam:DetachRolePolicy

  • iam:GetInstanceProfile

  • iam:GetRole

  • iam:ListAttachedRolePolicies

  • iam:ListInstanceProfiles

  • iam:ListInstanceProfilesForRole

  • iam:PassRole

  • iam:RemoveRoleFromInstanceProfile

  • iam:TagInstanceProfile

  • iam:TagRole

  • ssm:CreateDocument

  • ssm:DeleteDocument

  • ssm:DescribeInstanceInformation

  • ssm:GetAutomationExecution

  • ssm:GetParameters

  • ssm:ListCommandInvocations

  • ssm:ListCommands

  • ssm:ListDocuments

  • ssm:SendCommand

  • ssm:StartAutomationExecution

Etapas do documento

  • aws:executeAwsApi: reúne detalhes sobre o diretório que você especifica no parâmetro DirectoryId.

  • aws:executeAwsApi: obtém o bloco CIDR da nuvem privada virtual (VPC) em que o diretório foi iniciado.

  • aws:executeAwsApi: cria um grupo de segurança usando o valor especificado no parâmetro SecurityGroupName.

  • aws:executeAwsApi: cria uma regra de entrada para o grupo de segurança recém-criado que permite o tráfego RDP do CIDR que você especifica no parâmetro RemoteAccessCidr.

  • aws:executeAwsApi: cria um perfil do IAM e um perfil de instância usando o valor especificado no parâmetro IamInstanceProfileName.

  • aws:executeAwsApi: inicia uma instância do Amazon EC2 com base nos valores que você especifica nos parâmetros do runbook.

  • aws:executeAwsApi: cria um documento do AWS Systems Manager para ligar a instância recém-iniciada ao seu diretório.

  • aws:runCommand: liga a nova instância ao seu diretório.

  • aws:runCommand: instala ferramentas de administração de servidor remoto na nova instância.