View a markdown version of this page

AWS-CreateDSManagementInstance - AWS Systems Manager Referência do Automation Runbook

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS-CreateDSManagementInstance

Descrição

O AWS-CreateDSManagementInstance runbook cria uma instância Windows do Amazon Elastic Compute Cloud (Amazon EC2) que você pode usar para gerenciar seu diretório. AWS Directory Service A instância de gerenciamento não pode ser usada para gerenciar diretórios do AD Connector.

Execute esta automação (console)

Tipo de documento

Automação

Proprietário

Amazon

Plataformas

Windows

Parâmetros

  • AutomationAssumeRole

    Tipo: String

    Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.

  • AmiID

    Tipo: string

    Padrão: {{ ssm:/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-Base }}

    Descrição: (Opcional) Amazon Machine Image (AMI) ID a ser usada para iniciar a instância. Por padrão, a instância será iniciada com a AMI básica mais recente do Microsoft Windows Server 2019.

  • DirectoryId

    Tipo: string

    Descrição: (Obrigatório) O ID do Directory Service diretório.

  • IamInstanceProfileName

    Tipo: string

    Descrição: (Opcional) nome do perfil da instância do IAM. Por padrão, se não existir nenhum perfil de instância com o nome Amazon SSMDirectoryServiceInstanceProfileRole, um perfil de instância com o nome Amazon SSMDirectory ServiceInstanceProfileRole será criado.

    Padrão: Amazon SSMDirectory ServiceInstanceProfileRole

  • InstanceType

    Tipo: string

    Padrão: t3.medium

    Valores permitidos:

    • t2.nano

    • t2.micro

    • t2.small

    • t2.medium

    • t2.large

    • t2.xlarge

    • t2.2xlarge

    • t3.nano

    • t3.micro

    • t3.small

    • t3.medium

    • t3.large

    • t3.xlarge

    • t3.2xlarge

    Descrição: (Opcional) Tipo de instância a ser executada. O padrão é t3.medium.

  • KeyPairName

    Tipo: string

    Descrição: (Opcional) Par de chaves a ser usado ao iniciar a instância. O Windows não oferece suporte a pares de ED25519 chaves. Por padrão, a instância é executada sem um key pair (NoKeyPair).

    Padrão: NoKeyPair

  • RemoteAccessCidr

    Tipo: string

    Descrição: (Opcional) Cria um grupo de segurança com porta para RDP (intervalo de portas 3389) aberta IPs conforme especificado pelo CIDR (o padrão é 0.0.0.0/0). Se o grupo de segurança já existe, ele não será modificado e regras não serão alteradas.

    Padrão: 0.0.0.0/0

  • SecurityGroupName

    Tipo: string

    Descrição: (Opcional) Nome do grupo de segurança. Por padrão, se não existir um grupo de segurança com o nome Amazon SSMDirectoryServiceSecurityGroup, um grupo de segurança com o nome Amazon SSMDirectory ServiceSecurityGroup será criado.

    Padrão: Amazon SSMDirectory ServiceSecurityGroup

  • Tags

    Tipo: MapList

    Descrição: (opcional) um par de chave-valor que você deseja aplicar aos recursos criados pela automação.

    Padrão: [ {"Key":"Description","Value":"Created by AWS Systems Manager Automation"}, {"Key":"Created By","Value":"AWS Systems Manager Automation"} ]

Permissões obrigatórias do IAM

O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.

  • ds:DescribeDirectories

  • ec2:AuthorizeSecurityGroupIngress

  • ec2:CreateSecurityGroup

  • ec2:CreateTags

  • ec2:DeleteSecurityGroup

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

  • ec2:DescribeKeyPairs

  • ec2:DescribeSecurityGroups

  • ec2:DescribeVpcs

  • ec2:RunInstances

  • ec2:TerminateInstances

  • iam:AddRoleToInstanceProfile

  • iam:AttachRolePolicy

  • iam:CreateInstanceProfile

  • iam:CreateRole

  • iam:DeleteInstanceProfile

  • iam:DeleteRole

  • iam:DetachRolePolicy

  • iam:GetInstanceProfile

  • iam:GetRole

  • iam:ListAttachedRolePolicies

  • iam:ListInstanceProfiles

  • iam:ListInstanceProfilesForRole

  • iam:PassRole

  • iam:RemoveRoleFromInstanceProfile

  • iam:TagInstanceProfile

  • iam:TagRole

  • ssm:CreateDocument

  • ssm:DeleteDocument

  • ssm:DescribeInstanceInformation

  • ssm:GetAutomationExecution

  • ssm:GetParameters

  • ssm:ListCommandInvocations

  • ssm:ListCommands

  • ssm:ListDocuments

  • ssm:SendCommand

  • ssm:StartAutomationExecution

Etapas do documento

  • aws:executeAwsApi: reúne detalhes sobre o diretório que você especifica no parâmetro DirectoryId.

  • aws:executeAwsApi: obtém o bloco CIDR da nuvem privada virtual (VPC) em que o diretório foi iniciado.

  • aws:executeAwsApi: cria um grupo de segurança usando o valor especificado no parâmetro SecurityGroupName.

  • aws:executeAwsApi: cria uma regra de entrada para o grupo de segurança recém-criado que permite o tráfego RDP do CIDR que você especifica no parâmetro RemoteAccessCidr.

  • aws:executeAwsApi: cria um perfil do IAM e um perfil de instância usando o valor especificado no parâmetro IamInstanceProfileName.

  • aws:executeAwsApi: inicia uma instância do Amazon EC2 com base nos valores que você especifica nos parâmetros do runbook.

  • aws:executeAwsApi- Cria um AWS Systems Manager documento para unir a instância recém-lançada ao seu diretório.

  • aws:runCommand: liga a nova instância ao seu diretório.

  • aws:runCommand: instala ferramentas de administração de servidor remoto na nova instância.