기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS Directory Service
AWS Systems Manager 자동화는에 대한 사전 정의된 실행서를 제공합니다 AWS Directory Service. 실행서에 대한 자세한 내용은 [실행서 작업](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html)을 참조하세요. 실행서 콘텐츠를 보는 방법에 대한 자세한 내용은 [실행서 콘텐츠 보기](automation-runbook-reference.md#view-automation-json)(을)를 참조하세요.
**Topics**
+ [`AWS-CreateDSManagementInstance`](automation-awssupport-create-ds-management-instance.md)
+ [`AWSSupport-TroubleshootADConnectorConnectivity`](automation-awssupport-troubleshootadconnectorconnectivity.md)
+ [`AWSSupport-TroubleshootDirectoryTrust`](automation-awssupport-troubleshootdirectorytrust.md)
# `AWS-CreateDSManagementInstance`
**설명**
`AWS-CreateDSManagementInstance` 실행서는 AWS Directory Service 디렉터리를 관리하는 데 사용할 수 있는 Amazon Elastic Compute Cloud(Amazon EC2) Windows 인스턴스를 생성합니다. 관리 인스턴스는 AD Connector 디렉터리를 관리하는 데 사용할 수 없습니다.
[이 자동화 실행(콘솔)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-CreateDSManagementInstance)
**문서 유형**
자동화
**소유자**
Amazon
**플랫폼**
Windows
**파라미터**
+ AutomationAssumeRole
유형: 문자열
설명: (선택 사항) 사용자를 대신하여 Systems Manager Automation을 통해 작업을 수행할 수 있도록 허용하는 AWS Identity and Access Management (IAM) 역할의 Amazon 리소스 이름(ARN)입니다. 역할을 지정하지 않은 경우, Systems Manager Automation에서는 이 실행서를 시작하는 사용자의 권한을 사용합니다.
+ AmiID
유형: 문자열
기본값: `{{ ssm:/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-Base }}`
설명: 인스턴스를 시작하는 데 사용할 (선택 사항) Amazon Machine Image (AMI) ID입니다. 기본적으로 인스턴스는 최신 Microsoft Windows Server 2019 기본 AMI로 시작됩니다.
+ DirectoryId
유형: 문자열
설명: (필수) 디렉터리의 Directory Service 디렉터리 ID입니다.
+ IamInstanceProfileName
유형: 문자열
설명: (선택 사항) IAM 인스턴스 프로파일 이름입니다. 기본적으로 이름이 AmazonSSMDirectoryServiceInstanceProfileRole인 인스턴스 프로파일이 없는 경우 이름이 AmazonSSMDirectoryServiceInstanceProfileRole인 인스턴스 프로파일이 생성됩니다.
기본값: AmazonSSMDirectoryServiceInstanceProfileRole
+ InstanceType
유형: 문자열
기본값: t3.medium
허용된 값:
+ t2.nano
+ t2.micro
+ t2.small
+ t2.medium
+ t2.large
+ t2.xlarge
+ t2.2xlarge
+ t3.nano
+ t3.micro
+ t3.small
+ t3.medium
+ t3.large
+ t3.xlarge
+ t3.2xlarge
설명: (선택 사항) 시작할 인스턴스의 유형입니다. 기본값은 t3.medium입니다.
+ KeyPairName
유형: 문자열
설명: (선택 사항) 인스턴스를 시작할 때 사용할 키 페어입니다. Windows는 ED25519 키 페어를 지원하지 않습니다. 기본적으로 인스턴스는 키 페어(NoKeyPair) 없이 시작됩니다.
기본값: NoKeyPair
+ RemoteAccessCidr
유형: 문자열
설명: (선택 사항) CIDR에서 지정한 IPs에 개방된 RDP용 포트(포트 범위 3389)가 있는 보안 그룹을 생성합니다(기본값은 0.0.0.0/0). 보안 그룹이 이미 존재하는 경우, 해당 보안 그룹이 수정되지 않으며 규칙이 변경되지 않습니다.
기본값: 0.0.0.0/0
+ SecurityGroupName
유형: 문자열
설명: (선택 사항) 보안 그룹 이름입니다. 기본적으로 이름이 AmazonSSMDirectoryServiceSecurityGroup인 보안 그룹이 없는 경우 이름이 AmazonSSMDirectoryServiceSecurityGroup인 보안 그룹이 생성됩니다.
기본값: AmazonSSMDirectoryServiceSecurityGroup
+ Tags
유형: MapList
설명: (선택 사항) 자동화로 생성된 리소스에 적용하려는 키-값 페어입니다.
기본값: ` [ {"Key":"Description","Value":"Created by AWS Systems Manager Automation"}, {"Key":"Created By","Value":"AWS Systems Manager Automation"} ]`
**필수 IAM 권한**
실행서를 성공적으로 사용하려면 `AutomationAssumeRole` 파라미터에 다음 작업이 필요합니다.
+ `ds:DescribeDirectories`
+ `ec2:AuthorizeSecurityGroupIngress`
+ `ec2:CreateSecurityGroup`
+ `ec2:CreateTags`
+ `ec2:DeleteSecurityGroup`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceStatus`
+ `ec2:DescribeKeyPairs`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeVpcs`
+ `ec2:RunInstances`
+ `ec2:TerminateInstances`
+ `iam:AddRoleToInstanceProfile`
+ `iam:AttachRolePolicy`
+ `iam:CreateInstanceProfile`
+ `iam:CreateRole`
+ `iam:DeleteInstanceProfile`
+ `iam:DeleteRole`
+ `iam:DetachRolePolicy`
+ `iam:GetInstanceProfile`
+ `iam:GetRole`
+ `iam:ListAttachedRolePolicies`
+ `iam:ListInstanceProfiles`
+ `iam:ListInstanceProfilesForRole`
+ `iam:PassRole`
+ `iam:RemoveRoleFromInstanceProfile`
+ `iam:TagInstanceProfile`
+ `iam:TagRole`
+ `ssm:CreateDocument`
+ `ssm:DeleteDocument`
+ `ssm:DescribeInstanceInformation`
+ `ssm:GetAutomationExecution`
+ `ssm:GetParameters`
+ `ssm:ListCommandInvocations`
+ `ssm:ListCommands`
+ `ssm:ListDocuments`
+ `ssm:SendCommand`
+ `ssm:StartAutomationExecution`
**문서 단계**
+ `aws:executeAwsApi` - `DirectoryId` 파라미터에서 지정하는 디렉터리에 대한 세부 정보를 수집합니다.
+ `aws:executeAwsApi` - 디렉터리가 시작된 Virtual Private Cloud(VPC)의 CIDR 블록을 가져옵니다.
+ `aws:executeAwsApi` - `SecurityGroupName` 파라미터에서 지정하는 값을 사용하여 보안 그룹을 생성합니다.
+ `aws:executeAwsApi` - `RemoteAccessCidr` 파라미터에서 지정하는 CIDR로부터 RDP 트래픽을 허용하는 새로 생성된 보안 그룹에 대한 인바운드 규칙을 생성합니다.
+ `aws:executeAwsApi` - `IamInstanceProfileName` 파라미터에서 지정하는 값을 사용하여 IAM 역할 및 인스턴스 프로파일을 생성합니다.
+ `aws:executeAwsApi` - 실행서 파라미터에서 지정하는 값을 기반으로 Amazon EC2 인스턴스를 시작합니다.
+ `aws:executeAwsApi` - 새로 시작된 인스턴스를 디렉터리에 조인하는 AWS Systems Manager 문서를 생성합니다.
+ `aws:runCommand` - 새 인스턴스를 디렉터리에 연결합니다.
+ `aws:runCommand` - 새 인스턴스에 원격 서버 관리 도구를 설치합니다.
# `AWSSupport-TroubleshootADConnectorConnectivity`
**설명**
`AWSSupport-TroubleshootADConnectorConnectivity` 실행서는 AD Connector에 대한 다음 사전 요구 사항을 확인합니다.
+ 필요한 트래픽이 AD Connector와 연결된 보안 그룹 및 네트워크 액세스 제어 목록(ACL) 규칙에서 허용되는지 확인합니다.
+ AWS Systems Manager AWS Security Token Service및 Amazon CloudWatch 인터페이스 VPC 엔드포인트가 AD 커넥터와 동일한 Virtual Private Cloud(VPC)에 존재하는지 확인합니다.
사전 요구 사항 검사가 성공적으로 완료되면, 실행서는 AD Connector와 동일한 서브넷에서 두 개의 Amazon Elastic Compute Cloud(Amazon EC2) Linux t2.micro 인스턴스를 시작합니다. 그런 다음, `netcat` 및 `nslookup` 유틸리티를 사용하여 네트워크 연결 테스트를 수행합니다.
[이 자동화 실행(콘솔)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootADConnectorConnectivity)
**중요**
이 실행서를 사용하면 자동화 중에 생성된 Amazon EC2 인스턴스, Amazon Elastic Block Store 볼륨 및 Amazon Machine Image (AMI)에 AWS 계정 대해에 추가 요금이 발생할 수 있습니다. 자세한 내용은 [Amazon Elastic Compute Cloud 요금](https://aws.amazon.com/ec2/pricing/) 및 [Amazon Elastic Block Store 요금](https://aws.amazon.com/ebs/pricing/)을 참조하세요.
`aws:deletestack` 단계가 실패하면 AWS CloudFormation 콘솔로 이동하여 스택을 수동으로 삭제합니다. 이 실행서에서 만든 스택 이름은 `AWSSupport-TroubleshootADConnectorConnectivity`로 시작합니다. CloudFormation 스택 삭제에 대한 자세한 내용은 *AWS CloudFormation 사용 설명서*의 [스택 삭제](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html)를 참조하세요.
**문서 유형**
자동화
**소유자**
Amazon
**플랫폼**
Linux, macOS, Windows
**파라미터**
+ AutomationAssumeRole
유형: 문자열
설명: (선택 사항) 사용자를 대신하여 Systems Manager Automation을 통해 작업을 수행할 수 있도록 허용하는 AWS Identity and Access Management (IAM) 역할의 Amazon 리소스 이름(ARN)입니다. 역할을 지정하지 않은 경우, Systems Manager Automation에서는 이 실행서를 시작하는 사용자의 권한을 사용합니다.
+ DirectoryId
유형: 문자열
설명: (필수) 연결 문제를 해결하려는 AD Connector 디렉터리의 ID입니다.
+ Ec2InstanceProfile
유형: 문자열
최대 문자 수: 128
설명: (필수) 연결 테스트를 수행하기 위해 시작된 인스턴스에 할당하려는 인스턴스 프로파일의 이름입니다. 사용자가 지정하는 인스턴스 프로파일에는 `AmazonSSMManagedInstanceCore` 정책 또는 이에 상응하는 권한이 연결되어 있어야 합니다.
**필수 IAM 권한**
실행서를 성공적으로 사용하려면 `AutomationAssumeRole` 파라미터에 다음 작업이 필요합니다.
+ `ec2:DescribeInstances`
+ `ec2:DescribeImages`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeVpcEndpoints`
+ `ec2:CreateTags`
+ `ec2:RunInstances`
+ `ec2:StopInstances`
+ `ec2:TerminateInstances`
+ `cloudformation:CreateStack`
+ `cloudformation:DescribeStacks`
+ `cloudformation:ListStackResources`
+ `cloudformation:DeleteStack`
+ `ds:DescribeDirectories`
+ `ssm:SendCommand`
+ `ssm:ListCommands`
+ `ssm:ListCommandInvocations`
+ `ssm:GetParameters`
+ `ssm:DescribeInstanceInformation`
+ `iam:PassRole`
**문서 단계**
+ `aws:assertAwsResourceProperty` - `DirectoryId` 파라미터에 지정된 디렉터리가 AD Connector인지 확인합니다.
+ `aws:executeAwsApi` - AD Connector에 대한 정보를 수집합니다.
+ `aws:executeAwsApi` - AD Connector와 연결된 보안 그룹에 대한 정보를 수집합니다.
+ `aws:executeAwsApi` - AD Connector의 서브넷과 연결된 네트워크 ACL 규칙에 대한 정보를 수집합니다.
+ `aws:executeScript` - AD Connector 보안 그룹 규칙을 평가하여 필요한 아웃바운드 트래픽이 허용되는지 확인합니다.
+ `aws:executeScript` - AD Connector 네트워크 ACL 규칙을 평가하여 필요한 아웃바운드 및 인바운드 네트워크 트래픽이 허용되는지 확인합니다.
+ `aws:executeScript` - AWS Systems Manager AWS Security Token Service 및 Amazon CloudWatch 인터페이스 엔드포인트가 AD 커넥터와 동일한 VPC에 존재하는지 확인합니다.
+ `aws:executeScript` - 이전 단계에서 수행한 검사의 출력을 컴파일합니다.
+ `aws:branch` - 이전 단계의 출력에 따라 자동화를 분기합니다. 보안 그룹 및 네트워크 ACL에 필요한 아웃바운드 및 인바운드 규칙이 누락된 경우 여기서 자동화가 중지됩니다.
+ `aws:createStack` - Amazon EC2 인스턴스를 시작하여 연결 테스트를 수행할 CloudFormation 스택을 생성합니다.
+ `aws:executeAwsApi` - 새로 시작한 Amazon EC2 인스턴스의 ID를 수집합니다.
+ `aws:waitForAwsResourceProperty` - 새로 시작한 첫 번째 Amazon EC2 인스턴스를 AWS Systems Manager가 관리하는 것으로 보고될 때까지 기다립니다.
+ `aws:waitForAwsResourceProperty` - 새로 시작한 두 번째 Amazon EC2 인스턴스를 AWS Systems Manager가 관리하는 것으로 보고될 때까지 기다립니다.
+ `aws:runCommand` - 첫 번째 Amazon EC2 인스턴스의 온프레미스 DNS 서버 IP 주소에 대한 네트워크 연결 테스트를 수행합니다.
+ `aws:runCommand` - 두 번째 Amazon EC2 인스턴스의 온프레미스 DNS 서버 IP 주소에 대한 네트워크 연결 테스트를 수행합니다.
+ `aws:changeInstanceState` - 연결 테스트에 사용된 Amazon EC2 인스턴스를 중지합니다.
+ `aws:deleteStack` - CloudFormation 스택을 삭제합니다.
+ `aws:executeScript` - 자동화가 CloudFormation 스택을 삭제하지 못하는 경우 스택을 수동으로 삭제하는 방법에 대한 지침을 출력합니다.
# `AWSSupport-TroubleshootDirectoryTrust`
**설명**
`AWSSupport-TroubleshootDirectoryTrust` 실행서는 AWS Managed Microsoft AD 와 Microsoft Active Directory 간의 신뢰 생성 문제를 진단합니다. 자동화는 디렉터리 유형이 신뢰를 지원하는지 확인한 다음 연결된 보안 그룹 규칙, 네트워크 액세스 제어 목록(네트워크 ACL) 및 라우팅 테이블에서 잠재적인 연결 문제를 확인합니다.
[이 자동화 실행(콘솔)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootDirectoryTrust)
**문서 유형**
자동화
**소유자**
Amazon
**플랫폼**
Linux, macOS, Windows
**파라미터**
+ AutomationAssumeRole
유형: 문자열
설명: (선택 사항) 사용자를 대신하여 Systems Manager Automation을 통해 작업을 수행할 수 있도록 허용하는 AWS Identity and Access Management (IAM) 역할의 Amazon 리소스 이름(ARN)입니다. 역할을 지정하지 않은 경우, Systems Manager Automation에서는 이 실행서를 시작하는 사용자의 권한을 사용합니다.
+ DirectoryId
유형: 문자열
허용 패턴: ^d-[a-z0-9]\$110\$1\$1
설명: (필수) 문제를 해결할의 ID AWS Managed Microsoft AD 입니다.
+ RemoteDomainCidrs
유형: StringList
허용 패턴: ^(([0-9]\$1[1-9][0-9]\$11[0-9]\$12\$1\$12[0-4][0-9]\$125[0-5])\$1.)\$13\$1([0-9]\$1[1-9][0-9]\$11[0-9]\$12\$1\$12[0-4][0-9]\$125[0-5])(\$1/(3[0-2]\$1[1-2][0-9]\$1[1-9]))\$1
설명: (필수) 신뢰 관계를 설정하려는 원격 도메인의 CIDR입니다. 쉼표로 구분된 값을 사용하여 여러 CIDR을 추가할 수 있습니다. 예: 172.31.48.0/20, 192.168.1.10/32.
+ RemoteDomainName
유형: 문자열
설명: (필수) 신뢰 관계를 설정할 원격 도메인의 정규화된 도메인 이름입니다.
+ RequiredTrafficACL
유형: 문자열
설명: (필수)의 기본 포트 요구 사항입니다 AWS Managed Microsoft AD. 대부분의 경우 기본값을 수정하면 안 됩니다.
기본값: \$1"inbound":\$1"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]\$1,"outbound":\$1"-1":[[0,65535]]\$1\$1
+ RequiredTrafficSG
유형: 문자열
설명: (필수)의 기본 포트 요구 사항입니다 AWS Managed Microsoft AD. 대부분의 경우 기본값을 수정하면 안 됩니다.
기본값: \$1"inbound":\$1"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]\$1,"outbound":\$1"-1":[[0,65535]]\$1\$1
+ TrustId
유형: 문자열
설명: (선택 사항) 문제를 해결할 신뢰 관계의 ID입니다.
**필수 IAM 권한**
실행서를 성공적으로 사용하려면 `AutomationAssumeRole` 파라미터에 다음 작업이 필요합니다.
+ `ds:DescribeConditionalForwarders`
+ `ds:DescribeDirectories`
+ `ds:DescribeTrusts`
+ `ds:ListIpRoutes`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
**문서 단계**
+ `aws:assertAwsResourceProperty` - 디렉터리 유형이 AWS Managed Microsoft AD인지 확인합니다.
+ `aws:executeAwsApi` -에 대한 정보를 가져옵니다 AWS Managed Microsoft AD.
+ `aws:branch` - `TrustId` 입력 파라미터에 값이 제공된 경우 자동화를 분기합니다.
+ `aws:executeAwsApi` - 신뢰 관계에 대한 정보를 가져옵니다.
+ `aws:executeAwsApi` - `RemoteDomainName`에 대한 조건부 전달자 DNS IP 주소를 가져옵니다.
+ `aws:executeAwsApi` - AWS Managed Microsoft AD에 추가된 IP 라우팅에 대한 정보를 가져옵니다.
+ `aws:executeAwsApi` - AWS Managed Microsoft AD 서브넷의 CIDRs을 가져옵니다.
+ `aws:executeAwsApi` - AWS Managed Microsoft AD와 연결된 보안 그룹에 대한 정보를 가져옵니다.
+ `aws:executeAwsApi` - AWS Managed Microsoft AD와 연결된 네트워크 ACL에 대한 정보를 가져옵니다.
+ `aws:executeScript` - `RemoteDomainCidrs` 값이 유효한지 확인합니다. AWS Managed Microsoft AD 에에 대한 조건부 전달자가 있고 `RemoteDomainCidrs`가 비 RFC 1918 IP 주소인 AWS Managed Microsoft AD 경우 필수 IP 경로`RemoteDomainCidrs`가에 추가되었는지 확인합니다.
+ `aws:executeScript` - 보안 그룹 규칙을 평가합니다.
+ `aws:executeScript` - 네트워크 ACL을 평가합니다.
**출력**
evalDirectorySecurityGroup.output -와 연결된 보안 그룹 규칙이 신뢰 생성에 필요한 트래픽을 AWS Managed Microsoft AD 허용하는지 여부를 평가한 결과입니다.
evalAclEntries.output -와 연결된 네트워크 ACLs이 신뢰 생성에 필요한 트래픽을 AWS Managed Microsoft AD 허용하는지 여부를 평가한 결과입니다.
evaluateRemoteDomainCidr.output - `RemoteDomainCidrs`가 유효한 값인지 평가한 결과입니다. 에 AWS Managed Microsoft AD 에 대한 조건부 전달자가 있고 `RemoteDomainCidrs`가 비 RFC 1918 IP 주소인 AWS Managed Microsoft AD 경우 필수 IP 경로`RemoteDomainCidrs`가에 추가되었는지 확인합니다.