Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# AWS Directory Service
AWS Systems Manager La automatización proporciona manuales de ejecución predefinidos para. AWS Directory Service Para obtener información acerca de los manuales de procedimientos, consulte [Trabajar con manuales de procedimientos](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Para obtener información acerca de cómo ver el contenido del manual de procedimientos, consulte [Cómo ver contenido del manual de procedimientos](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWS-CreateDSManagementInstance`](automation-awssupport-create-ds-management-instance.md)
+ [`AWSSupport-TroubleshootADConnectorConnectivity`](automation-awssupport-troubleshootadconnectorconnectivity.md)
+ [`AWSSupport-TroubleshootDirectoryTrust`](automation-awssupport-troubleshootdirectorytrust.md)
# `AWS-CreateDSManagementInstance`
**Descripción**
El `AWS-CreateDSManagementInstance` runbook crea una instancia de Windows de Amazon Elastic Compute Cloud (Amazon EC2) que puede usar para administrar el directorio. AWS Directory Service La instancia de administración no se puede usar para administrar los directorios del conector de AD.
[Ejecuta esta automatización (consola)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-CreateDSManagementInstance)
**Tipo de documento**
Automatización
**Propietario**
Amazon
**Plataformas**
Windows
**Parámetros**
+ AutomationAssumeRole
Tipo: cadena
Descripción: (opcional) el Nombre de recurso de Amazon (ARN) del rol de AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.
+ AmiID
Tipo: cadena
Valor predeterminado: `{{ ssm:/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-Base }}`
Descripción: (Opcional) Amazon Machine Image (AMI) id que se utilizará para lanzar la instancia. De forma predeterminada, la instancia se lanzará con la última AMI básica de Microsoft Windows Server 2019.
+ DirectoryId
Tipo: cadena
Descripción: (obligatorio) El identificador de directorio de su Directory Service directorio.
+ IamInstanceProfileName
Tipo: cadena
Descripción: (opcional) nombre del perfil de la instancia de IAM. De forma predeterminada, si no existe ningún perfil de instancia con el nombre Amazon SSMDirectoryServiceInstanceProfileRole, se SSMDirectory ServiceInstanceProfileRole creará un perfil de instancia con el nombre Amazon.
Predeterminado: Amazon SSMDirectory ServiceInstanceProfileRole
+ InstanceType
Tipo: cadena
Valor predeterminado: t3.medium
Valores permitidos:
+ t2.nano
+ t2.micro
+ t2.small
+ t2.medium
+ t2.large
+ t2.xlarge
+ t2.2xlarge
+ t3.nano
+ t3.micro
+ t3.small
+ t3.medium
+ t3.large
+ t3.xlarge
+ t3.2xlarge
Descripción: (opcional) Tipo de instancia que se va a lanzar. El valor predeterminado es t3.medium.
+ KeyPairName
Tipo: cadena
Descripción: (opcional) Par de claves que se utilizará al lanzar la instancia. Windows no admite pares de ED25519 claves. De forma predeterminada, la instancia se lanza sin un key pair (NoKeyPair).
Predeterminado: NoKeyPair
+ RemoteAccessCidr
Tipo: cadena
Descripción: (opcional) Crea un grupo de seguridad con un puerto para RDP (rango de puertos 3389) abierto según lo IPs especificado por el CIDR (el valor predeterminado es 0.0.0.0/0). Si el grupo de seguridad ya existe no será modificado y no se cambiarán las reglas.
Valor predeterminado: 0.0.0.0/0
+ SecurityGroupName
Tipo: cadena
Descripción: (opcional) Nombre del grupo de seguridad. De forma predeterminada, si no existe ningún grupo de seguridad con el nombre Amazon SSMDirectoryServiceSecurityGroup, se SSMDirectory ServiceSecurityGroup creará un grupo de seguridad con el nombre Amazon.
Predeterminado: Amazon SSMDirectory ServiceSecurityGroup
+ Tags
Tipo: MapList
Descripción: (opcional) un par clave-valor que desee aplicar a los recursos creados por la automatización.
Valor predeterminado: ` [ {"Key":"Description","Value":"Created by AWS Systems Manager Automation"}, {"Key":"Created By","Value":"AWS Systems Manager Automation"} ]`
**Permisos de IAM necesarios**
El parámetro `AutomationAssumeRole` requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.
+ `ds:DescribeDirectories`
+ `ec2:AuthorizeSecurityGroupIngress`
+ `ec2:CreateSecurityGroup`
+ `ec2:CreateTags`
+ `ec2:DeleteSecurityGroup`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceStatus`
+ `ec2:DescribeKeyPairs`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeVpcs`
+ `ec2:RunInstances`
+ `ec2:TerminateInstances`
+ `iam:AddRoleToInstanceProfile`
+ `iam:AttachRolePolicy`
+ `iam:CreateInstanceProfile`
+ `iam:CreateRole`
+ `iam:DeleteInstanceProfile`
+ `iam:DeleteRole`
+ `iam:DetachRolePolicy`
+ `iam:GetInstanceProfile`
+ `iam:GetRole`
+ `iam:ListAttachedRolePolicies`
+ `iam:ListInstanceProfiles`
+ `iam:ListInstanceProfilesForRole`
+ `iam:PassRole`
+ `iam:RemoveRoleFromInstanceProfile`
+ `iam:TagInstanceProfile`
+ `iam:TagRole`
+ `ssm:CreateDocument`
+ `ssm:DeleteDocument`
+ `ssm:DescribeInstanceInformation`
+ `ssm:GetAutomationExecution`
+ `ssm:GetParameters`
+ `ssm:ListCommandInvocations`
+ `ssm:ListCommands`
+ `ssm:ListDocuments`
+ `ssm:SendCommand`
+ `ssm:StartAutomationExecution`
**Pasos de documentos**
+ `aws:executeAwsApi`: recopila detalles sobre el directorio que especifique en el parámetro `DirectoryId`.
+ `aws:executeAwsApi`: obtiene el bloque CIDR de la nube privada virtual (VPC) en la que se lanzó el directorio.
+ `aws:executeAwsApi`: crea un grupo de seguridad con el valor que especifique en el parámetro `SecurityGroupName`.
+ `aws:executeAwsApi`: crea una regla de entrada para el grupo de seguridad recién creado que permite el tráfico RDP desde el CIDR que especifique en el parámetro `RemoteAccessCidr`.
+ `aws:executeAwsApi`: crea un rol de IAM y un perfil de instancia con el valor que especifique en el parámetro `IamInstanceProfileName`.
+ `aws:executeAwsApi`: lanza una instancia de Amazon EC2 en función de los valores que especifique en los parámetros del manual de procedimientos.
+ `aws:executeAwsApi`- Crea un AWS Systems Manager documento para unir la instancia recién lanzada a su directorio.
+ `aws:runCommand`: une la nueva instancia a su directorio.
+ `aws:runCommand`: instala herramientas de administración remota del servidor en la nueva instancia.
# `AWSSupport-TroubleshootADConnectorConnectivity`
**Descripción**
El manual de procedimientos `AWSSupport-TroubleshootADConnectorConnectivity` verifica los siguientes requisitos previos para el conector de AD:
+ Comprueba si el grupo de seguridad y las reglas de la lista de control de acceso (ACL) de la red asociados a su conector de AD permiten el tráfico necesario.
+ Comprueba si los puntos de enlace de la VPC de la CloudWatch interfaz AWS Systems Manager AWS Security Token Service, y de Amazon se encuentran en la misma nube privada virtual (VPC) que el AD Connector.
Cuando las comprobaciones de requisitos previos se completen correctamente, el runbook lanza dos instancias t2.micro de Amazon Elastic Compute Cloud (Amazon EC2) Linux en las mismas subredes que el AD Connector. Después se realizan las pruebas de conectividad de red con las utilidades `netcat` y `nslookup`.
[Ejecuta esta automatización (consola)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootADConnectorConnectivity)
**importante**
El uso de este manual puede suponer cargos adicionales Cuenta de AWS para las EC2 instancias de Amazon, los volúmenes de Amazon Elastic Block Store y Amazon Machine Image (AMI) creado durante la automatización. Para obtener más información, consulte [Precios de Amazon Elastic Compute Cloud](https://aws.amazon.com/ec2/pricing/) y [Precios de Amazon Elastic Block Store](https://aws.amazon.com/ebs/pricing/).
Si el `aws:deletestack` paso no se realiza correctamente, vaya a la AWS CloudFormation consola para eliminar manualmente la pila. El nombre de la pila creado por este manual de procedimientos comienza por `AWSSupport-TroubleshootADConnectorConnectivity`. Para obtener información sobre la eliminación de CloudFormation pilas, consulte [Eliminar una pila](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html) en la *Guía del AWS CloudFormation usuario*.
**Tipo de documento**
Automatización
**Propietario**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parámetros**
+ AutomationAssumeRole
Tipo: cadena
Descripción: (opcional) el Nombre de recurso de Amazon (ARN) del rol de AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.
+ DirectoryId
Tipo: cadena
Descripción: (obligatorio) el ID del directorio del conector de AD con el que desea solucionar los problemas de conectividad.
+ Ec2 InstanceProfile
Tipo: cadena
Máximo de caracteres: 128
Descripción: (obligatorio) el nombre del perfil de instancia que desea asignar a las instancias que se lanzan para realizar pruebas de conectividad. El perfil de instancia que especifique debe tener la política `AmazonSSMManagedInstanceCore` o los permisos equivalentes adjuntos.
**Permisos de IAM necesarios**
El parámetro `AutomationAssumeRole` requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.
+ `ec2:DescribeInstances`
+ `ec2:DescribeImages`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeVpcEndpoints`
+ `ec2:CreateTags`
+ `ec2:RunInstances`
+ `ec2:StopInstances`
+ `ec2:TerminateInstances`
+ `cloudformation:CreateStack`
+ `cloudformation:DescribeStacks`
+ `cloudformation:ListStackResources`
+ `cloudformation:DeleteStack`
+ `ds:DescribeDirectories`
+ `ssm:SendCommand`
+ `ssm:ListCommands`
+ `ssm:ListCommandInvocations`
+ `ssm:GetParameters`
+ `ssm:DescribeInstanceInformation`
+ `iam:PassRole`
**Pasos de documentos**
+ `aws:assertAwsResourceProperty`: confirma que el directorio especificado en el parámetro `DirectoryId` es un conector de AD.
+ `aws:executeAwsApi`: recopila información sobre el conector de AD.
+ `aws:executeAwsApi`: recopila información sobre los grupos de seguridad asociados al conector de AD.
+ `aws:executeAwsApi`: recopila información sobre las reglas de ACL de la red asociadas a las subredes del conector de AD.
+ `aws:executeScript`: evalúa las reglas del grupo de seguridad del conector de AD para verificar que se permite el tráfico saliente necesario.
+ `aws:executeScript`: evalúa las reglas de ACL de la red del conector de AD para verificar que se permite el tráfico de red saliente y entrante requerido.
+ `aws:executeScript`- Comprueba si los AWS Systems Manager puntos finales de la CloudWatch interfaz AWS Security Token Service y de Amazon se encuentran en la misma VPC que el AD Connector.
+ `aws:executeScript`: compila los resultados de las comprobaciones realizadas en los pasos anteriores.
+ `aws:branch`: ramifica la automatización en función del resultado de los pasos anteriores. La automatización se detiene aquí si faltan las reglas de entrada y salida requeridas para los grupos de seguridad y la red. ACLs
+ `aws:createStack`- Crea una CloudFormation pila para lanzar EC2 instancias de Amazon para realizar pruebas de conectividad.
+ `aws:executeAwsApi`- Reúne las EC2 instancias IDs de Amazon recién lanzadas.
+ `aws:waitForAwsResourceProperty`- Espera a que la primera EC2 instancia de Amazon recién lanzada muestre que está gestionada por AWS Systems Manager.
+ `aws:waitForAwsResourceProperty`- Espera a que la segunda EC2 instancia de Amazon recién lanzada muestre que está gestionada por AWS Systems Manager.
+ `aws:runCommand`- Realiza pruebas de conectividad de red con las direcciones IP del servidor DNS local desde la primera EC2 instancia de Amazon.
+ `aws:runCommand`- Realiza pruebas de conectividad de red con las direcciones IP del servidor DNS local desde la segunda EC2 instancia de Amazon.
+ `aws:changeInstanceState`- Detiene las EC2 instancias de Amazon utilizadas para las pruebas de conectividad.
+ `aws:deleteStack`- Elimina la CloudFormation pila.
+ `aws:executeScript`- Muestra instrucciones sobre cómo eliminar manualmente la CloudFormation pila si la automatización no logra eliminarla.
# `AWSSupport-TroubleshootDirectoryTrust`
**Descripción**
El `AWSSupport-TroubleshootDirectoryTrust` manual diagnostica los problemas de creación de confianza entre un AWS Managed Microsoft AD y un Active Directory de Microsoft. La automatización garantiza que el tipo de directorio sea compatible con las confianzas y, a continuación, comprueba las reglas de los grupos de seguridad asociados, las listas de control de acceso a la red (red ACLs) y las tablas de enrutamiento para detectar posibles problemas de conectividad.
[Ejecuta esta automatización (consola)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootDirectoryTrust)
**Tipo de documento**
Automatización
**Propietario**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parámetros**
+ AutomationAssumeRole
Tipo: cadena
Descripción: (opcional) el Nombre de recurso de Amazon (ARN) del rol de AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.
+ DirectoryId
Tipo: cadena
Valor permitido: ^d-[a-z0-9]\$1\$110\$1\$1\$1
Descripción: (obligatorio) El identificador del que se va AWS Managed Microsoft AD a solucionar el problema.
+ RemoteDomainCidrs
Tipo: StringList
Valores permitidos: ^(([0-9]\$1[1-9][0-9]\$11[0-9]\$12\$1\$12[0-4][0-9]\$125[0-5])\$1.)\$13\$1([0-9]\$1[1-9][0-9]\$11[0-9]\$12\$1\$12[0-4][0-9]\$125[0-5])(\$1/(3[0-2]\$1[1-2][0-9]\$1[1-9]))\$1
Descripción: (obligatorio) los CIDR del dominio remoto con el que intenta establecer una relación de confianza. Puede añadir varios valores separados CIDRs por comas. Por ejemplo, 172.31.48.0/20, 192.168.1.10/32.
+ RemoteDomainName
Tipo: cadena
Descripción: (obligatorio) nombre completo del dominio remoto con el que está estableciendo una relación de confianza.
+ RequiredTrafficACL
Tipo: cadena
Descripción: (obligatorio) Los requisitos de puerto predeterminados para AWS Managed Microsoft AD. En la mayoría de los casos, no debe modificar el valor predeterminado.
Valor predeterminado: \$1"inbound":\$1"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]\$1,"outbound":\$1"-1":[[0,65535]]\$1\$1
+ RequiredTrafficSG
Tipo: cadena
Descripción: (Obligatorio) Los requisitos de puerto predeterminados para AWS Managed Microsoft AD. En la mayoría de los casos, no debe modificar el valor predeterminado.
Valor predeterminado: \$1"inbound":\$1"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]\$1,"outbound":\$1"-1":[[0,65535]]\$1\$1
+ TrustId
Tipo: cadena
Descripción: (opcional) ID de la relación de confianza para solucionar el problema.
**Permisos de IAM necesarios**
El parámetro `AutomationAssumeRole` requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.
+ `ds:DescribeConditionalForwarders`
+ `ds:DescribeDirectories`
+ `ds:DescribeTrusts`
+ `ds:ListIpRoutes`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
**Pasos de documentos**
+ `aws:assertAwsResourceProperty`: confirma que el tipo de directorio sea AWS Managed Microsoft AD.
+ `aws:executeAwsApi`- Obtiene información sobre AWS Managed Microsoft AD.
+ `aws:branch`: ramifica la automatización si se proporciona un valor para el parámetro `TrustId` de entrada.
+ `aws:executeAwsApi`: obtiene información sobre la relación de confianza.
+ `aws:executeAwsApi`: obtiene las direcciones IP DNS del reenviador condicional para el `RemoteDomainName`.
+ `aws:executeAwsApi`: obtiene información acerca de las rutas IP que se han agregado a AWS Managed Microsoft AD.
+ `aws:executeAwsApi`- Obtiene CIDRs las AWS Managed Microsoft AD subredes.
+ `aws:executeAwsApi`: obtiene información acerca de los grupos de seguridad asociados con AWS Managed Microsoft AD.
+ `aws:executeAwsApi`- Obtiene información sobre la red ACLs asociada a. AWS Managed Microsoft AD
+ `aws:executeScript`: confirma que `RemoteDomainCidrs` son valores válidos. Confirma que AWS Managed Microsoft AD tiene reenviadores condicionales y que las `RemoteDomainCidrs` rutas IP requeridas se han agregado a las direcciones IP que no `RemoteDomainCidrs` son de la RFC 1918. AWS Managed Microsoft AD
+ `aws:executeScript`: evalúa las reglas de los grupos de seguridad.
+ `aws:executeScript`- Evalúa la red. ACLs
**Salidas**
evalDirectorySecuritygroup.output: resulta de evaluar si las reglas del grupo de seguridad asociadas al mismo AWS Managed Microsoft AD permiten el tráfico necesario para la creación de confianza.
evalAclEntries.output: resulta de evaluar si la red ACLs asociada al mismo AWS Managed Microsoft AD permite el tráfico necesario para la creación de confianza.
evaluateRemoteDomainCIDR.output: resulta de evaluar si los valores son válidos. `RemoteDomainCidrs` Confirma que AWS Managed Microsoft AD tiene reenviadores condicionales y que las `RemoteDomainCidrs` rutas IP requeridas se han agregado a las direcciones IP que no `RemoteDomainCidrs` son de la AWS Managed Microsoft AD RFC 1918.