AWSSupport-TroubleshootDirectoryTrust - AWS Systems Manager 自动化运行手册参考

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWSSupport-TroubleshootDirectoryTrust

描述

AWSSupport-TroubleshootDirectoryTrust 运行手册诊断 AWS Managed Microsoft AD 与 Microsoft Active Directory 之间的信任创建问题。自动化可确保目录类型支持信任关系,然后检查关联的安全组规则、网络访问控制列表(网络 ACL)和路由表是否存在潜在的连接问题。

运行此自动化(控制台)

文档类型

自动化

所有者

Amazon

平台

Linux、macOS、Windows

参数

  • AutomationAssumeRole

    类型:字符串

    描述:(可选)允许 Systems Manager Automation 代表您执行操作 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。如果未指定任何角色,则 Systems Manager Automation 使用启动此运行手册的用户的权限。

  • DirectoryId

    类型:字符串

    允许的模式:^d-[a-z0-9]{10}$

    说明:(必需)要排查问题的 AWS Managed Microsoft AD 的 ID。

  • RemoteDomainCidrs

    类型:StringList

    允许的模式:^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(3[0-2]|[1-2][0-9]|[1-9]))$

    说明:(必需)您尝试与之建立信任关系的远程域的 CIDR。可以使用逗号分隔值添加多个 CIDR。例如,172.31.48.0/20、192.168.1.10/32。

  • RemoteDomainName

    类型:字符串

    说明:(必需)将与之建立信任关系的远程域的完全限定域名。

  • RequiredTrafficACL

    类型:字符串

    说明:(必需)AWS Managed Microsoft AD 的默认端口要求。在大多数情况下,不应修改默认值。

    默认值:{"inbound":{"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]},"outbound":{"-1":[[0,65535]]}}

  • RequiredTrafficSG

    类型:字符串

    说明:(必需)AWS Managed Microsoft AD 的默认端口要求。在大多数情况下,不应修改默认值。

    默认值:{"inbound":{"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]},"outbound":{"-1":[[0,65535]]}}

  • TrustId

    类型:字符串

    说明:(可选)要排查问题的信任关系的 ID。

所需的 IAM 权限

AutomationAssumeRole 参数需要执行以下操作才能成功使用运行手册。

  • ds:DescribeConditionalForwarders

  • ds:DescribeDirectories

  • ds:DescribeTrusts

  • ds:ListIpRoutes

  • ec2:DescribeNetworkAcls

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

文档步骤

  • aws:assertAwsResourceProperty - 确认目录类型为 AWS Managed Microsoft AD。

  • aws:executeAwsApi - 获取有关 AWS Managed Microsoft AD 的信息。

  • aws:branch - 在为 TrustId 输入参数提供了值时对自动化进行分支。

  • aws:executeAwsApi - 获取有关信任关系的信息。

  • aws:executeAwsApi - 获取 RemoteDomainName 的条件转发服务器 DNS IP 地址。

  • aws:executeAwsApi - 获取有关已添加到 AWS Managed Microsoft AD 的 IP 路由的信息。

  • aws:executeAwsApi - 获取 AWS Managed Microsoft AD 子网的 CIDR。

  • aws:executeAwsApi - 获取有关与 AWS Managed Microsoft AD 关联的安全组的信息。

  • aws:executeAwsApi - 获取有关与AWS Managed Microsoft AD 关联的网络 ACL 的信息。

  • aws:executeScript - 确认 RemoteDomainCidrs 为有效值。确认 AWS Managed Microsoft AD 具有 RemoteDomainCidrs 的条件转发服务器,并且必需的 IP 路由已添加到 AWS Managed Microsoft AD(如果 RemoteDomainCidrs 为非 RFC 1918 IP 地址)。

  • aws:executeScript - 评估安全组规则。

  • aws:executeScript - 评估网络 ACL。

输出

evalDirectorySecurityGroup.output - 针对与 AWS Managed Microsoft AD 关联的安全组是否允许信任关系建立的必需流量的评估结果。

evalAclEntries.output - 针对与 AWS Managed Microsoft AD 关联的网络 ACL 是否允许信任关系建立的必需流量的评估结果。

evaluateRemoteDomainCidr.output - 针对 RemoteDomainCidrs 是否为有效值的评估结果。确认 AWS Managed Microsoft AD 具有 RemoteDomainCidrs 的条件转发服务器,并且必需的 IP 路由已添加到 AWS Managed Microsoft AD(如果 RemoteDomainCidrs 为非 RFC 1918 IP 地址)。