View a markdown version of this page

AWS-CreateDSManagementInstance - AWS Systems Manager Referensi Buku Runbook Otomasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS-CreateDSManagementInstance

Deskripsi

AWS-CreateDSManagementInstanceRunbook membuat instance Windows Amazon Elastic Compute Cloud (Amazon EC2) Windows yang dapat Anda gunakan untuk mengelola direktori Anda. AWS Directory Service Instans manajemen tidak dapat digunakan untuk mengelola direktori AD Connector.

Jalankan Otomasi ini (konsol)

Jenis dokumen

Otomatisasi

Pemilik

Amazon

Platform

Windows

Parameter

  • AutomationAssumeRole

    Tipe: String

    Deskripsi: (Opsional) Nama Sumber Daya Amazon (ARN) peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.

  • AmiID

    Tipe: String

    Default: {{ ssm:/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-Base }}

    Deskripsi: (Opsional) Amazon Machine Image (AMI) id yang akan digunakan untuk meluncurkan instance. Secara Default, instans akan diluncurkan dengan Microsoft Windows Server 2019 Base AMI terbaru.

  • DirectoryId

    Tipe: String

    Deskripsi: (Wajib) Id Direktori Directory Service direktori Anda.

  • IamInstanceProfileName

    Tipe: String

    Deskripsi: (Opsional) nama profil instans IAM. Secara Default, jika tidak ada profil instance dengan nama Amazon SSMDirectoryServiceInstanceProfileRole, profil instance dengan nama Amazon SSMDirectory ServiceInstanceProfileRole akan dibuat.

    Default: Amazon SSMDirectory ServiceInstanceProfileRole

  • InstanceType

    Tipe: String

    Default: t3.medium

    Nilai yang diizinkan:

    • t2.nano

    • t2.micro

    • t2.small

    • t2.medium

    • t2.large

    • t2.xlarge

    • t2.2xlarge

    • t3.nano

    • t3.micro

    • t3.small

    • t3.medium

    • t3.large

    • t3.xlarge

    • t3.2xlarge

    Deskripsi: (Opsional) Jenis instance yang akan diluncurkan. Defaultnya adalah t3.medium.

  • KeyPairName

    Tipe: String

    Deskripsi: (Opsional) Pasangan kunci yang akan digunakan saat meluncurkan instance. Windows tidak mendukung pasangan ED25519 kunci. Secara Default instance diluncurkan tanpa key pair (NoKeyPair).

    Default: NoKeyPair

  • RemoteAccessCidr

    Tipe: String

    Deskripsi: (Opsional) Membuat grup Keamanan dengan port untuk RDP (Rentang port 3389) terbuka untuk IPs ditentukan oleh CIDR (default adalah 0.0.0.0/0). Jika grup keamanan sudah ada, itu tidak akan diubah dan aturan tidak akan diubah.

    Default 0.0.0.0/0

  • SecurityGroupName

    Tipe: String

    Deskripsi: (Opsional) Nama grup keamanan. Secara Default, jika tidak ada grup keamanan dengan nama Amazon SSMDirectoryServiceSecurityGroup, grup keamanan dengan nama Amazon SSMDirectory ServiceSecurityGroup akan dibuat.

    Default: Amazon SSMDirectory ServiceSecurityGroup

  • Tanda

    Jenis: MapList

    Deskripsi: (Opsional) Pasangan nilai kunci yang ingin Anda terapkan ke sumber daya yang dibuat oleh otomatisasi.

    Default: [ {"Key":"Description","Value":"Created by AWS Systems Manager Automation"}, {"Key":"Created By","Value":"AWS Systems Manager Automation"} ]

Izin IAM yang diperlukan

AutomationAssumeRoleParameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.

  • ds:DescribeDirectories

  • ec2:AuthorizeSecurityGroupIngress

  • ec2:CreateSecurityGroup

  • ec2:CreateTags

  • ec2:DeleteSecurityGroup

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

  • ec2:DescribeKeyPairs

  • ec2:DescribeSecurityGroups

  • ec2:DescribeVpcs

  • ec2:RunInstances

  • ec2:TerminateInstances

  • iam:AddRoleToInstanceProfile

  • iam:AttachRolePolicy

  • iam:CreateInstanceProfile

  • iam:CreateRole

  • iam:DeleteInstanceProfile

  • iam:DeleteRole

  • iam:DetachRolePolicy

  • iam:GetInstanceProfile

  • iam:GetRole

  • iam:ListAttachedRolePolicies

  • iam:ListInstanceProfiles

  • iam:ListInstanceProfilesForRole

  • iam:PassRole

  • iam:RemoveRoleFromInstanceProfile

  • iam:TagInstanceProfile

  • iam:TagRole

  • ssm:CreateDocument

  • ssm:DeleteDocument

  • ssm:DescribeInstanceInformation

  • ssm:GetAutomationExecution

  • ssm:GetParameters

  • ssm:ListCommandInvocations

  • ssm:ListCommands

  • ssm:ListDocuments

  • ssm:SendCommand

  • ssm:StartAutomationExecution

Langkah Dokumen

  • aws:executeAwsApi- Mengumpulkan rincian tentang direktori yang Anda tentukan dalam DirectoryId parameter.

  • aws:executeAwsApi- Mendapat blok CIDR dari virtual private cloud (VPC) tempat direktori diluncurkan.

  • aws:executeAwsApi- Membuat grup keamanan menggunakan nilai yang Anda tentukan dalam SecurityGroupName parameter.

  • aws:executeAwsApi- Membuat aturan masuk untuk grup keamanan yang baru dibuat yang memungkinkan lalu lintas RDP dari CIDR yang Anda tentukan dalam parameter. RemoteAccessCidr

  • aws:executeAwsApi- Membuat peran IAM dan profil instance menggunakan nilai yang Anda tentukan dalam IamInstanceProfileName parameter.

  • aws:executeAwsApi- Meluncurkan instans Amazon EC2 berdasarkan nilai yang Anda tentukan dalam parameter runbook.

  • aws:executeAwsApi- Membuat AWS Systems Manager dokumen untuk bergabung dengan instance yang baru diluncurkan ke direktori Anda.

  • aws:runCommand- Bergabung dengan instance baru ke direktori Anda.

  • aws:runCommand- Menginstal alat administrasi server jarak jauh pada instance baru.