AWSSupport-TroubleshootDirectoryTrust - AWS Systems Manager 自動化 Runbook 參考

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWSSupport-TroubleshootDirectoryTrust

Description (描述)

AWSSupport-TroubleshootDirectoryTrust執行本診斷AWS Managed Microsoft AD和微軟活動目錄之間的信任建立問題。自動化會確認目錄類型支援信任,然後會檢查關聯的安全群組規則、網路存取控制清單 (網路 ACL),以及路由表來檢查是否有潛在的連線能力問題。

運行此自動化(控制台)

文件類型

 自動化

擁有者

Amazon

平台

Linux,macOS, Windows

參數

  • AutomationAssumeRole

    類型:字串

    說明:(選用) 允許系統管理員自動化代表您執行動作的 AWS Identity and Access Management (IAM) 角色的 Amazon 資源名稱 (ARN)。如果未指定角色,系統管理員自動化會使用啟動此 runbook 的使用者的權限。

  • DirectoryId

    類型:字串

    允許的模式:^ d-[一個 Z0-9] {10} $

    描述:(必要) 要進行故障診斷的 AWS Managed Microsoft AD ID。

  • RemoteDomainCidrs

    類型:StringList

    允許的模式:([0-9] | [1-9] [0-9] | 1 [0-9]) [1] [0-9]) [0-2] | [1-2] [0-9] | [1-9])

    描述:(必要) 您正在嘗試與其建立信任關係的遠端網域 CIDR。您可以使用逗號分隔值新增多個 CIDR。例如:172.31.48.0/20, 192.168.1.10/32。

  • RemoteDomainName

    類型:字串

    描述:(必要) 您正在與其建立信任關係的遠端網域完整網域名稱。

  • RequiredTrafficACL

    類型:字串

    描述:(必要) AWS Managed Microsoft AD 的預設連接埠需求。在大多數情況下,您不應修改預設值。

    預設:{"inbound":{"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]},"outbound":{"-1":[[0,65535]]}}

  • RequiredTrafficSG

    類型:字串

    描述:(必要) AWS Managed Microsoft AD 的預設連接埠需求。在大多數情況下,您不應修改預設值。

    預設:{"inbound":{"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]},"outbound":{"-1":[[0,65535]]}}

  • TrustId

    類型:字串

    描述:(選用) 要針對其進行故障診斷的信任關係 ID。

必要的 IAM 許可

AutomationAssumeRole參數需要下列動作才能成功使用 runbook。

  • ds:DescribeConditionalForwarders

  • ds:DescribeDirectories

  • ds:DescribeTrusts

  • ds:ListIpRoutes

  • ec2:DescribeNetworkAcls

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

文件步驟

  • aws:assertAwsResourceProperty-確認目錄類型為AWS Managed Microsoft AD。

  • aws:executeAwsApi-獲取有關AWS Managed Microsoft AD.

  • aws:branch-如果為TrustId輸入參數提供了值,則進行分支自動化。

  • aws:executeAwsApi-取得有關信任關係的資訊。

  • aws:executeAwsApi-取得的條件式轉寄站 DNS IP 位址。RemoteDomainName

  • aws:executeAwsApi-取得已新增至的 IP 路由的相關資訊AWS Managed Microsoft AD。

  • aws:executeAwsApi-取得子網路的 CIDR。AWS Managed Microsoft AD

  • aws:executeAwsApi-取得與相關聯之安全群組的相關資訊AWS Managed Microsoft AD。

  • aws:executeAwsApi-取得與相關聯之網路 ACL 的相關資訊。AWS Managed Microsoft AD

  • aws:executeScript-確認RemoteDomainCidrs是否有效值。確認AWS Managed Microsoft AD具有的條件式轉寄站RemoteDomainCidrs,並且必要的 IP 路由已新增至非 RFC 1918 IP RemoteDomainCidrs 位址。AWS Managed Microsoft AD

  • aws:executeScript-評估安全性群組規則。

  • aws:executeScript-評估網路 ACL。

輸出

evalDirectorySecurityGroup.output-評估與相關聯的安全群組規則是否AWS Managed Microsoft AD允許建立信任所需流量的結果。

evalAclEntries.output-評估與相關聯的網路 ACL 是否AWS Managed Microsoft AD允許建立信任所需流量的結果。

evaluateRemoteDomainCIDR. 輸出-評估是否RemoteDomainCidrs為有效值的結果。確認AWS Managed Microsoft AD具有的條件式轉寄站RemoteDomainCidrs,並且必要的 IP 路由已新增至非 RFC 1918 IP RemoteDomainCidrs 位址。AWS Managed Microsoft AD