

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# AWS Directory Service
<a name="automation-ref-ads"></a>

 AWS Systems Manager Otomasi menyediakan runbook yang telah ditentukan untuk. AWS Directory Service Untuk informasi lebih lanjut tentang runbook, lihat [Bekerja dengan runbook](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Untuk informasi tentang cara melihat konten buku runbook, lihat[Lihat konten runbook](automation-runbook-reference.md#view-automation-json). 

**Topics**
+ [`AWS-CreateDSManagementInstance`](automation-awssupport-create-ds-management-instance.md)
+ [`AWSSupport-TroubleshootADConnectorConnectivity`](automation-awssupport-troubleshootadconnectorconnectivity.md)
+ [`AWSSupport-TroubleshootDirectoryTrust`](automation-awssupport-troubleshootdirectorytrust.md)

# `AWS-CreateDSManagementInstance`
<a name="automation-awssupport-create-ds-management-instance"></a>

 **Deskripsi** 

 `AWS-CreateDSManagementInstance`Runbook membuat instance Windows Amazon Elastic Compute Cloud (Amazon EC2) Windows yang dapat Anda gunakan untuk mengelola direktori Anda. AWS Directory Service Instans manajemen tidak dapat digunakan untuk mengelola direktori AD Connector. 

 [Jalankan Otomasi ini (konsol)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-CreateDSManagementInstance) 

**Jenis dokumen**

Otomatisasi

**Pemilik**

Amazon

**Platform**

Windows

**Parameter**
+ AutomationAssumeRole

  Tipe: String

  Deskripsi: (Opsional) Nama Sumber Daya Amazon (ARN) peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.
+ AmiID

  Tipe: String

   Default: `{{ ssm:/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-Base }}` 

  Deskripsi: (Opsional) Amazon Machine Image (AMI) id yang akan digunakan untuk meluncurkan instance. Secara Default, instans akan diluncurkan dengan Microsoft Windows Server 2019 Base AMI terbaru.
+ DirectoryId

  Tipe: String

  Deskripsi: (Wajib) Id Direktori Directory Service direktori Anda.
+ IamInstanceProfileName

  Tipe: String

  Deskripsi: (Opsional) nama profil instans IAM. Secara Default, jika tidak ada profil instance dengan nama Amazon SSMDirectoryServiceInstanceProfileRole, profil instance dengan nama Amazon SSMDirectory ServiceInstanceProfileRole akan dibuat.

  Default: Amazon SSMDirectory ServiceInstanceProfileRole
+ InstanceType

  Tipe: String

  Default: t3.medium

  Nilai yang diizinkan:
  + t2.nano
  + t2.micro
  + t2.small
  + t2.medium
  + t2.large
  + t2.xlarge
  + t2.2xlarge
  + t3.nano
  + t3.micro
  + t3.small
  + t3.medium
  + t3.large
  + t3.xlarge
  + t3.2xlarge

  Deskripsi: (Opsional) Jenis instance yang akan diluncurkan. Defaultnya adalah t3.medium.
+ KeyPairName

  Tipe: String

  Deskripsi: (Opsional) Pasangan kunci yang akan digunakan saat meluncurkan instance. Windows tidak mendukung pasangan ED25519 kunci. Secara Default instance diluncurkan tanpa key pair (NoKeyPair).

  Default: NoKeyPair
+ RemoteAccessCidr

  Tipe: String

  Deskripsi: (Opsional) Membuat grup Keamanan dengan port untuk RDP (Rentang port 3389) terbuka untuk IPs ditentukan oleh CIDR (default adalah 0.0.0.0/0). Jika grup keamanan sudah ada, itu tidak akan diubah dan aturan tidak akan diubah.

  Default 0.0.0.0/0
+ SecurityGroupName

  Tipe: String

  Deskripsi: (Opsional) Nama grup keamanan. Secara Default, jika tidak ada grup keamanan dengan nama Amazon SSMDirectoryServiceSecurityGroup, grup keamanan dengan nama Amazon SSMDirectory ServiceSecurityGroup akan dibuat.

  Default: Amazon SSMDirectory ServiceSecurityGroup
+ Tanda

  Jenis: MapList

  Deskripsi: (Opsional) Pasangan nilai kunci yang ingin Anda terapkan ke sumber daya yang dibuat oleh otomatisasi.

  Default: ` [ {"Key":"Description","Value":"Created by AWS Systems Manager Automation"}, {"Key":"Created By","Value":"AWS Systems Manager Automation"} ]`

**Izin IAM yang diperlukan**

`AutomationAssumeRole`Parameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.
+  `ds:DescribeDirectories` 
+  `ec2:AuthorizeSecurityGroupIngress` 
+  `ec2:CreateSecurityGroup` 
+  `ec2:CreateTags` 
+  `ec2:DeleteSecurityGroup` 
+  `ec2:DescribeInstances` 
+  `ec2:DescribeInstanceStatus` 
+  `ec2:DescribeKeyPairs` 
+  `ec2:DescribeSecurityGroups` 
+  `ec2:DescribeVpcs` 
+  `ec2:RunInstances` 
+  `ec2:TerminateInstances` 
+  `iam:AddRoleToInstanceProfile` 
+  `iam:AttachRolePolicy` 
+  `iam:CreateInstanceProfile` 
+  `iam:CreateRole` 
+  `iam:DeleteInstanceProfile` 
+  `iam:DeleteRole` 
+  `iam:DetachRolePolicy` 
+  `iam:GetInstanceProfile` 
+  `iam:GetRole` 
+  `iam:ListAttachedRolePolicies` 
+  `iam:ListInstanceProfiles` 
+  `iam:ListInstanceProfilesForRole` 
+  `iam:PassRole` 
+  `iam:RemoveRoleFromInstanceProfile` 
+  `iam:TagInstanceProfile` 
+  `iam:TagRole` 
+  `ssm:CreateDocument` 
+  `ssm:DeleteDocument` 
+  `ssm:DescribeInstanceInformation` 
+  `ssm:GetAutomationExecution` 
+  `ssm:GetParameters` 
+  `ssm:ListCommandInvocations` 
+  `ssm:ListCommands` 
+  `ssm:ListDocuments` 
+  `ssm:SendCommand` 
+  `ssm:StartAutomationExecution` 

 **Langkah Dokumen** 
+  `aws:executeAwsApi`- Mengumpulkan rincian tentang direktori yang Anda tentukan dalam `DirectoryId` parameter. 
+  `aws:executeAwsApi`- Mendapat blok CIDR dari virtual private cloud (VPC) tempat direktori diluncurkan. 
+  `aws:executeAwsApi`- Membuat grup keamanan menggunakan nilai yang Anda tentukan dalam `SecurityGroupName` parameter. 
+  `aws:executeAwsApi`- Membuat aturan masuk untuk grup keamanan yang baru dibuat yang memungkinkan lalu lintas RDP dari CIDR yang Anda tentukan dalam parameter. `RemoteAccessCidr` 
+  `aws:executeAwsApi`- Membuat peran IAM dan profil instance menggunakan nilai yang Anda tentukan dalam `IamInstanceProfileName` parameter. 
+  `aws:executeAwsApi`- Meluncurkan instans Amazon EC2 berdasarkan nilai yang Anda tentukan dalam parameter runbook. 
+  `aws:executeAwsApi`- Membuat AWS Systems Manager dokumen untuk bergabung dengan instance yang baru diluncurkan ke direktori Anda. 
+  `aws:runCommand`- Bergabung dengan instance baru ke direktori Anda. 
+  `aws:runCommand`- Menginstal alat administrasi server jarak jauh pada instance baru. 

# `AWSSupport-TroubleshootADConnectorConnectivity`
<a name="automation-awssupport-troubleshootadconnectorconnectivity"></a>

 **Deskripsi** 

 `AWSSupport-TroubleshootADConnectorConnectivity`Runbook memverifikasi prasyarat berikut untuk AD Connector:
+ Memeriksa apakah lalu lintas yang diperlukan diizinkan oleh grup keamanan dan aturan daftar kontrol akses jaringan (ACL) yang terkait dengan AD Connector Anda.
+ Memeriksa apakah titik akhir VPC CloudWatch antarmuka AWS Systems Manager AWS Security Token Service,, dan Amazon ada di cloud pribadi virtual (VPC) yang sama dengan AD Connector.

Ketika pemeriksaan prasyarat berhasil diselesaikan, runbook meluncurkan dua instans Amazon Elastic Compute Cloud (Amazon EC2) Linux t2.micro dalam subnet yang sama dengan AD Connector Anda. Tes konektivitas jaringan kemudian dilakukan dengan menggunakan `netcat` dan `nslookup` utilitas.

 [Jalankan Otomasi ini (konsol)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootADConnectorConnectivity) 

**penting**  
 Menggunakan runbook ini mungkin dikenakan biaya tambahan untuk EC2 instans Amazon, Akun AWS volume Amazon Elastic Block Store, dan Amazon Machine Image (AMI) dibuat selama otomatisasi. Untuk informasi selengkapnya, lihat [Amazon Elastic Compute Cloud Pricing](https://aws.amazon.com/ec2/pricing/) dan [Amazon Elastic Block Store Pricing](https://aws.amazon.com/ebs/pricing/).   
 Jika `aws:deletestack` langkahnya gagal, buka AWS CloudFormation konsol untuk menghapus tumpukan secara manual. Nama tumpukan yang dibuat oleh runbook ini dimulai dengan`AWSSupport-TroubleshootADConnectorConnectivity`. *Untuk informasi tentang menghapus CloudFormation tumpukan, lihat [Menghapus tumpukan di Panduan](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html) Pengguna.AWS CloudFormation * 

**Jenis dokumen**

Otomatisasi

**Pemilik**

Amazon

**Platform**

Linux, macOS, Windows

**Parameter**
+ AutomationAssumeRole

  Tipe: String

  Deskripsi: (Opsional) Nama Sumber Daya Amazon (ARN) peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.
+ DirectoryId

  Tipe: String

  Deskripsi: (Wajib) ID direktori AD Connector yang ingin Anda pecahkan masalah konektivitas.
+ Ec2 InstanceProfile

  Tipe: String

  Karakter maksimal: 128 

  Deskripsi: (Wajib) Nama profil instance yang ingin Anda tetapkan ke instance yang diluncurkan untuk melakukan pengujian konektivitas. Profil instance yang Anda tentukan harus memiliki `AmazonSSMManagedInstanceCore` kebijakan atau izin yang setara. 

**Izin IAM yang diperlukan**

`AutomationAssumeRole`Parameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.
+  `ec2:DescribeInstances` 
+  `ec2:DescribeImages` 
+  `ec2:DescribeSubnets` 
+  `ec2:DescribeSecurityGroups` 
+  `ec2:DescribeNetworkAcls` 
+  `ec2:DescribeVpcEndpoints` 
+  `ec2:CreateTags` 
+  `ec2:RunInstances` 
+  `ec2:StopInstances` 
+  `ec2:TerminateInstances` 
+  `cloudformation:CreateStack` 
+  `cloudformation:DescribeStacks` 
+  `cloudformation:ListStackResources` 
+  `cloudformation:DeleteStack` 
+  `ds:DescribeDirectories` 
+  `ssm:SendCommand` 
+  `ssm:ListCommands` 
+  `ssm:ListCommandInvocations` 
+  `ssm:GetParameters` 
+  `ssm:DescribeInstanceInformation` 
+  `iam:PassRole` 

 **Langkah Dokumen** 
+  `aws:assertAwsResourceProperty`- Mengonfirmasi direktori yang ditentukan dalam `DirectoryId` parameter adalah AD Connector. 
+  `aws:executeAwsApi`- Mengumpulkan informasi tentang AD Connector. 
+  `aws:executeAwsApi`- Mengumpulkan informasi tentang grup keamanan yang terkait dengan AD Connector. 
+  `aws:executeAwsApi`- Mengumpulkan informasi tentang aturan ACL jaringan yang terkait dengan subnet untuk AD Connector. 
+  `aws:executeScript`- Mengubah aturan grup keamanan AD Connector untuk memverifikasi bahwa lalu lintas keluar yang diperlukan diizinkan. 
+  `aws:executeScript`- Mengubah aturan ACL jaringan AD Connector untuk memverifikasi bahwa lalu lintas jaringan keluar dan masuk yang diperlukan diperbolehkan. 
+  `aws:executeScript`- Memeriksa apakah titik akhir CloudWatch antarmuka AWS Systems Manager, AWS Security Token Service dan Amazon ada di VPC yang sama dengan AD Connector. 
+  `aws:executeScript`- Mengkompilasi output dari pemeriksaan yang dilakukan pada langkah sebelumnya. 
+  `aws:branch`- Cabang otomatisasi tergantung pada output dari langkah sebelumnya. Otomatisasi berhenti di sini jika aturan keluar dan masuk yang diperlukan tidak ada untuk grup keamanan dan jaringan. ACLs 
+  `aws:createStack`- Membuat CloudFormation tumpukan untuk meluncurkan EC2 instans Amazon untuk melakukan tes konektivitas. 
+  `aws:executeAwsApi`- Mengumpulkan EC2 contoh Amazon yang baru diluncurkan. IDs 
+  `aws:waitForAwsResourceProperty`- Menunggu EC2 instans Amazon pertama yang baru diluncurkan untuk melaporkan sebagaimana dikelola oleh AWS Systems Manager. 
+  `aws:waitForAwsResourceProperty`- Menunggu EC2 instans Amazon kedua yang baru diluncurkan untuk melaporkan sebagaimana dikelola oleh AWS Systems Manager. 
+  `aws:runCommand`- Melakukan pengujian konektivitas jaringan ke alamat IP server DNS lokal dari instans Amazon EC2 pertama. 
+  `aws:runCommand`- Melakukan pengujian konektivitas jaringan ke alamat IP server DNS lokal dari instans Amazon EC2 kedua. 
+  `aws:changeInstanceState`- Menghentikan EC2 instans Amazon yang digunakan untuk tes konektivitas. 
+  `aws:deleteStack`- Menghapus CloudFormation tumpukan. 
+  `aws:executeScript`- Mengeluarkan instruksi tentang cara menghapus CloudFormation tumpukan secara manual jika otomatisasi gagal menghapus tumpukan. 

# `AWSSupport-TroubleshootDirectoryTrust`
<a name="automation-awssupport-troubleshootdirectorytrust"></a>

 **Deskripsi** 

 `AWSSupport-TroubleshootDirectoryTrust`Runbook mendiagnosis masalah pembuatan kepercayaan antara Direktori Aktif Microsoft AWS Managed Microsoft AD dan Microsoft. Otomatisasi memastikan jenis direktori mendukung trust, dan kemudian memeriksa aturan grup keamanan terkait, daftar kontrol akses jaringan (jaringan ACLs), dan tabel rute untuk potensi masalah konektivitas. 

 [Jalankan Otomasi ini (konsol)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootDirectoryTrust) 

**Jenis dokumen**

Otomatisasi

**Pemilik**

Amazon

**Platform**

Linux, macOS, Windows

**Parameter**
+ AutomationAssumeRole

  Tipe: String

  Deskripsi: (Opsional) Nama Sumber Daya Amazon (ARN) peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.
+ DirectoryId

  Tipe: String

  Pola yang diizinkan: ^d- [a-z0-9] \$110\$1 \$1

  Deskripsi: (Wajib) ID AWS Managed Microsoft AD untuk memecahkan masalah.
+ RemoteDomainCidrs

  Jenis: StringList

  Pola yang diizinkan: ^ (([0-9] \$1 [1-9] [0-9] \$11 [0-9] \$12\$1 \$12 [0-4] [0-9] \$125 [0-5])\$1.) \$13\$1 ([0-9] \$1 [1-9] [0-9] \$11 [0-9] \$12\$1 \$12 [0-4] [0-9] \$125 [0-5]) (\$1/(3 [0-2] \$1 [1-2] [0-9] \$1 [1-9])) \$1

  Deskripsi: (Wajib) CIDR (s) dari domain jarak jauh yang Anda coba untuk membangun hubungan kepercayaan dengan. Anda dapat menambahkan beberapa CIDRs menggunakan nilai yang dipisahkan koma. Misalnya, 172.31.48.0/20, 192.168.1.10/32.
+ RemoteDomainName

  Tipe: String

  Deskripsi: (Wajib) Nama domain yang sepenuhnya memenuhi syarat dari domain jarak jauh yang menjalin hubungan kepercayaan dengan Anda.
+ RequiredTrafficACL

  Tipe: String

  Deskripsi: (Diperlukan) Persyaratan port default untuk AWS Managed Microsoft AD. Dalam kebanyakan kasus, Anda tidak harus mengubah nilai default.

  Default: \$1"inbound”: \$1"tcp”: [[53,53], [88,88], [135,135], [389,389], [445,445], [464,464], [636,636], [1024,65535]], "udp”: [[53,53], [88,88], [123.123], [138,138], [389,389], [445.445], [464.464]], "icmp”: [[-1, -1]]\$1, "keluar”: \$1” -1": [[0,65535]]\$1\$1
+ RequiredTrafficSG

  Tipe: String

  Deskripsi: (Diperlukan) Persyaratan port default untuk AWS Managed Microsoft AD. Dalam kebanyakan kasus, Anda tidak harus mengubah nilai default.

  Default: \$1"inbound”: \$1"tcp”: [[53,53], [88,88], [135,135], [389,389], [445,445], [464,464], [636,636], [1024,65535]], "udp”: [[53,53], [88,88], [123.123], [138,138], [389,389], [445.445], [464.464]], "icmp”: [[-1, -1]]\$1, "keluar”: \$1” -1": [[0,65535]]\$1\$1
+ TrustId

  Tipe: String

  Deskripsi: (Opsional) ID hubungan kepercayaan untuk memecahkan masalah.

**Izin IAM yang diperlukan**

`AutomationAssumeRole`Parameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.
+  `ds:DescribeConditionalForwarders` 
+  `ds:DescribeDirectories` 
+  `ds:DescribeTrusts` 
+  `ds:ListIpRoutes` 
+  `ec2:DescribeNetworkAcls` 
+  `ec2:DescribeSecurityGroups` 
+  `ec2:DescribeSubnets` 

 **Langkah Dokumen** 
+  `aws:assertAwsResourceProperty`- Mengonfirmasi jenis direktori adalah AWS Managed Microsoft AD. 
+  `aws:executeAwsApi`- Mendapat informasi tentang AWS Managed Microsoft AD. 
+  `aws:branch`- Otomatisasi cabang jika nilai disediakan untuk parameter `TrustId` input. 
+  `aws:executeAwsApi`- Mendapat informasi tentang hubungan kepercayaan. 
+  `aws:executeAwsApi`- Mendapat alamat IP DNS forwarder bersyarat untuk file. `RemoteDomainName` 
+  `aws:executeAwsApi`- Mendapat informasi tentang rute IP yang telah ditambahkan ke AWS Managed Microsoft AD. 
+  `aws:executeAwsApi`- CIDRs Mendapat AWS Managed Microsoft AD subnet. 
+  `aws:executeAwsApi`- Mendapat informasi tentang kelompok keamanan yang terkait dengan AWS Managed Microsoft AD. 
+  `aws:executeAwsApi`- Mendapat informasi tentang jaringan ACLs yang terkait dengan AWS Managed Microsoft AD. 
+  `aws:executeScript`- Mengonfirmasi nilai `RemoteDomainCidrs` yang valid. Mengonfirmasi bahwa AWS Managed Microsoft AD memiliki forwarder bersyarat untuk`RemoteDomainCidrs`, dan bahwa rute IP yang diperlukan telah ditambahkan ke AWS Managed Microsoft AD jika alamat IP non-RFC `RemoteDomainCidrs` 1918. 
+  `aws:executeScript`- Mengevaluasi aturan kelompok keamanan. 
+  `aws:executeScript`- Mengevaluasi jaringan ACLs. 

 **Keluaran** 

evalDirectorySecurityGroup.output - Hasil dari evaluasi apakah aturan grup keamanan terkait dengan AWS Managed Microsoft AD mengizinkan lalu lintas yang diperlukan untuk pembuatan kepercayaan.

evalAclEntries.output - Hasil dari evaluasi apakah jaringan yang ACLs terkait dengan AWS Managed Microsoft AD memungkinkan lalu lintas yang diperlukan untuk pembuatan kepercayaan.

 evaluateRemoteDomainCIDR.output - Hasil dari evaluasi apakah nilai valid. `RemoteDomainCidrs` Mengonfirmasi bahwa AWS Managed Microsoft AD memiliki forwarder bersyarat untuk`RemoteDomainCidrs`, dan bahwa rute IP yang diperlukan telah ditambahkan ke AWS Managed Microsoft AD jika alamat IP non-RFC `RemoteDomainCidrs` 1918.