AWSSupport-TroubleshootADConnectorConnectivity - AWS Systems Manager Referência do runbook de automação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSSupport-TroubleshootADConnectorConnectivity

Descrição

O runbook AWSSupport-TroubleshootADConnectorConnectivity verifica os seguintes pré-requisitos para um AD Connector:

  • Verifica se o tráfego necessário é permitido pelo grupo de segurança e pelas regras da lista de controle de acesso à rede (ACL) associadas ao seu AD Connector.

  • Verifica se os VPC endpoints da CloudWatch interface AWS Systems Manager AWS Security Token Service,, e da Amazon existem na mesma nuvem privada virtual (VPC) do AD Connector.

Quando as verificações de pré-requisitos são concluídas com sucesso, o runbook inicia duas instâncias Linux t2.micro do Amazon Elastic Compute Cloud (AmazonEC2) nas mesmas sub-redes do seu AD Connector. Os testes de conectividade de rede são então realizados usando os utilitários netcat e nslookup.

Executar esta automação (console)

Importante

O uso desse runbook pode gerar cobranças extras Conta da AWS para você pelas EC2 instâncias da Amazon, pelos volumes do Amazon Elastic Block Store e Amazon Machine Image (AMI) criados durante a automação. Para obter mais informações, consulte Amazon Elastic Compute Cloud Pricing e Amazon Elastic Block Store Pricing.

Se a aws:deletestack etapa falhar, acesse o AWS CloudFormation console para excluir manualmente a pilha. O nome da pilha criada por esse runbook começa com AWSSupport-TroubleshootADConnectorConnectivity. Para obter informações sobre como excluir AWS CloudFormation pilhas, consulte Excluindo uma pilha no Guia do usuário.AWS CloudFormation

Tipo de documento

Automação

Proprietário

Amazon

Plataformas

Linux, macOS, Windows

Parâmetros

  • AutomationAssumeRole

    Tipo: string

    Descrição: (Opcional) O Amazon Resource Name (ARN) da função AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation execute as ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.

  • DirectoryId

    Tipo: string

    Descrição: (obrigatório) o ID do diretório do AD Connector no qual você deseja solucionar problemas de conectividade.

  • Ec2 InstanceProfile

    Tipo: string

    Máximo de caracteres: 128

    Descrição: (obrigatório) o nome do perfil de instância que você deseja atribuir às instâncias que são iniciadas para realizar testes de conectividade. O perfil de instância que você especificar deve ter a política AmazonSSMManagedInstanceCore ou as permissões equivalentes anexadas.

IAMPermissões necessárias

O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.

  • ec2:DescribeInstances

  • ec2:DescribeImages

  • ec2:DescribeSubnets

  • ec2:DescribeSecurityGroups

  • ec2:DescribeNetworkAcls

  • ec2:DescribeVpcEndpoints

  • ec2:CreateTags

  • ec2:RunInstances

  • ec2:StopInstances

  • ec2:TerminateInstances

  • cloudformation:CreateStack

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • cloudformation:DeleteStack

  • ds:DescribeDirectories

  • ssm:SendCommand

  • ssm:ListCommands

  • ssm:ListCommandInvocations

  • ssm:GetParameters

  • ssm:DescribeInstanceInformation

  • iam:PassRole

Etapas do documento

  • aws:assertAwsResourceProperty: confirma que o diretório especificado no parâmetro DirectoryId é um AD Connector.

  • aws:executeAwsApi: reúne informações sobre o AD Connector.

  • aws:executeAwsApi: reúne informações sobre os grupos de segurança associados ao AD Connector.

  • aws:executeAwsApi- Coleta informações sobre as ACL regras de rede associadas às sub-redes do AD Connector.

  • aws:executeScript: avalia as regras do grupo de segurança do AD Connector para verificar se o tráfego de saída necessário é permitido.

  • aws:executeScript- Avalia as ACL regras de rede do AD Connector para verificar se o tráfego de rede de saída e entrada necessário é permitido.

  • aws:executeScript- Verifica se os endpoints da CloudWatch interface AWS Systems Manager, AWS Security Token Service e da Amazon, existem no mesmo VPC que o AD Connector.

  • aws:executeScript: compila as saídas das verificações realizadas nas etapas anteriores.

  • aws:branch: ramifica a automação dependendo da saída das etapas anteriores. A automação é interrompida aqui se as regras de saída e entrada necessárias estiverem ausentes para os grupos de segurança e a rede. ACLs

  • aws:createStack- Cria uma AWS CloudFormation pilha para iniciar EC2 instâncias da Amazon e realizar testes de conectividade.

  • aws:executeAwsApi- Reúne as IDs EC2 instâncias recém-lançadas da Amazon.

  • aws:waitForAwsResourceProperty- Espera que a primeira EC2 instância recém-lançada da Amazon seja reportada como gerenciada por AWS Systems Manager.

  • aws:waitForAwsResourceProperty- Espera que a segunda EC2 instância recém-lançada da Amazon seja reportada como gerenciada por AWS Systems Manager.

  • aws:runCommand- Executa testes de conectividade de rede com os endereços IP DNS do servidor local da primeira EC2 instância da Amazon.

  • aws:runCommand- Executa testes de conectividade de rede com os endereços IP DNS do servidor local da segunda EC2 instância da Amazon.

  • aws:changeInstanceState- Interrompe as EC2 instâncias da Amazon usadas para os testes de conectividade.

  • aws:deleteStack- Exclui a AWS CloudFormation pilha.

  • aws:executeScript- Produz instruções sobre como excluir manualmente a AWS CloudFormation pilha se a automação falhar em excluir a pilha.