

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# AWS Directory Service
<a name="automation-ref-ads"></a>

 AWS Systems Manager A automação fornece runbooks predefinidos para. AWS Directory Service Para obter informações sobre como usar runbooks, consulte [Trabalhado com runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Para obter informações sobre como visualizar o conteúdo do runbook, consulte [Exibir conteúdo do runbook](automation-runbook-reference.md#view-automation-json). 

**Topics**
+ [`AWS-CreateDSManagementInstance`](automation-awssupport-create-ds-management-instance.md)
+ [`AWSSupport-TroubleshootADConnectorConnectivity`](automation-awssupport-troubleshootadconnectorconnectivity.md)
+ [`AWSSupport-TroubleshootDirectoryTrust`](automation-awssupport-troubleshootdirectorytrust.md)

# `AWS-CreateDSManagementInstance`
<a name="automation-awssupport-create-ds-management-instance"></a>

 **Descrição** 

 O `AWS-CreateDSManagementInstance` runbook cria uma instância Windows do Amazon Elastic Compute Cloud (Amazon EC2) que você pode usar para gerenciar seu diretório. AWS Directory Service A instância de gerenciamento não pode ser usada para gerenciar diretórios do AD Connector. 

 [Execute esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-CreateDSManagementInstance) 

**Tipo de documento**

Automação

**Proprietário**

Amazon

**Plataformas**

Windows

**Parâmetros**
+ AutomationAssumeRole

  Tipo: String

  Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ AmiID

  Tipo: string

   Padrão: `{{ ssm:/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-Base }}` 

  Descrição: (Opcional) Amazon Machine Image (AMI) ID a ser usada para iniciar a instância. Por padrão, a instância será iniciada com a AMI básica mais recente do Microsoft Windows Server 2019.
+ DirectoryId

  Tipo: string

  Descrição: (Obrigatório) O ID do Directory Service diretório.
+ IamInstanceProfileName

  Tipo: string

  Descrição: (Opcional) nome do perfil da instância do IAM. Por padrão, se não existir nenhum perfil de instância com o nome Amazon SSMDirectoryServiceInstanceProfileRole, um perfil de instância com o nome Amazon SSMDirectory ServiceInstanceProfileRole será criado.

  Padrão: Amazon SSMDirectory ServiceInstanceProfileRole
+ InstanceType

  Tipo: string

  Padrão: t3.medium

  Valores permitidos:
  + t2.nano
  + t2.micro
  + t2.small
  + t2.medium
  + t2.large
  + t2.xlarge
  + t2.2xlarge
  + t3.nano
  + t3.micro
  + t3.small
  + t3.medium
  + t3.large
  + t3.xlarge
  + t3.2xlarge

  Descrição: (Opcional) Tipo de instância a ser executada. O padrão é t3.medium.
+ KeyPairName

  Tipo: string

  Descrição: (Opcional) Par de chaves a ser usado ao iniciar a instância. O Windows não oferece suporte a pares de ED25519 chaves. Por padrão, a instância é executada sem um key pair (NoKeyPair).

  Padrão: NoKeyPair
+ RemoteAccessCidr

  Tipo: string

  Descrição: (Opcional) Cria um grupo de segurança com porta para RDP (intervalo de portas 3389) aberta IPs conforme especificado pelo CIDR (o padrão é 0.0.0.0/0). Se o grupo de segurança já existe, ele não será modificado e regras não serão alteradas.

  Padrão: 0.0.0.0/0
+ SecurityGroupName

  Tipo: string

  Descrição: (Opcional) Nome do grupo de segurança. Por padrão, se não existir um grupo de segurança com o nome Amazon SSMDirectoryServiceSecurityGroup, um grupo de segurança com o nome Amazon SSMDirectory ServiceSecurityGroup será criado.

  Padrão: Amazon SSMDirectory ServiceSecurityGroup
+ Tags

  Tipo: MapList

  Descrição: (opcional) um par de chave-valor que você deseja aplicar aos recursos criados pela automação.

  Padrão: ` [ {"Key":"Description","Value":"Created by AWS Systems Manager Automation"}, {"Key":"Created By","Value":"AWS Systems Manager Automation"} ]`

**Permissões obrigatórias do IAM**

O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+  `ds:DescribeDirectories` 
+  `ec2:AuthorizeSecurityGroupIngress` 
+  `ec2:CreateSecurityGroup` 
+  `ec2:CreateTags` 
+  `ec2:DeleteSecurityGroup` 
+  `ec2:DescribeInstances` 
+  `ec2:DescribeInstanceStatus` 
+  `ec2:DescribeKeyPairs` 
+  `ec2:DescribeSecurityGroups` 
+  `ec2:DescribeVpcs` 
+  `ec2:RunInstances` 
+  `ec2:TerminateInstances` 
+  `iam:AddRoleToInstanceProfile` 
+  `iam:AttachRolePolicy` 
+  `iam:CreateInstanceProfile` 
+  `iam:CreateRole` 
+  `iam:DeleteInstanceProfile` 
+  `iam:DeleteRole` 
+  `iam:DetachRolePolicy` 
+  `iam:GetInstanceProfile` 
+  `iam:GetRole` 
+  `iam:ListAttachedRolePolicies` 
+  `iam:ListInstanceProfiles` 
+  `iam:ListInstanceProfilesForRole` 
+  `iam:PassRole` 
+  `iam:RemoveRoleFromInstanceProfile` 
+  `iam:TagInstanceProfile` 
+  `iam:TagRole` 
+  `ssm:CreateDocument` 
+  `ssm:DeleteDocument` 
+  `ssm:DescribeInstanceInformation` 
+  `ssm:GetAutomationExecution` 
+  `ssm:GetParameters` 
+  `ssm:ListCommandInvocations` 
+  `ssm:ListCommands` 
+  `ssm:ListDocuments` 
+  `ssm:SendCommand` 
+  `ssm:StartAutomationExecution` 

 **Etapas do documento** 
+  `aws:executeAwsApi`: reúne detalhes sobre o diretório que você especifica no parâmetro `DirectoryId`. 
+  `aws:executeAwsApi`: obtém o bloco CIDR da nuvem privada virtual (VPC) em que o diretório foi iniciado. 
+  `aws:executeAwsApi`: cria um grupo de segurança usando o valor especificado no parâmetro `SecurityGroupName`. 
+  `aws:executeAwsApi`: cria uma regra de entrada para o grupo de segurança recém-criado que permite o tráfego RDP do CIDR que você especifica no parâmetro `RemoteAccessCidr`. 
+  `aws:executeAwsApi`: cria um perfil do IAM e um perfil de instância usando o valor especificado no parâmetro `IamInstanceProfileName`. 
+  `aws:executeAwsApi`: inicia uma instância do Amazon EC2 com base nos valores que você especifica nos parâmetros do runbook. 
+  `aws:executeAwsApi`- Cria um AWS Systems Manager documento para unir a instância recém-lançada ao seu diretório. 
+  `aws:runCommand`: liga a nova instância ao seu diretório. 
+  `aws:runCommand`: instala ferramentas de administração de servidor remoto na nova instância. 

# `AWSSupport-TroubleshootADConnectorConnectivity`
<a name="automation-awssupport-troubleshootadconnectorconnectivity"></a>

 **Descrição** 

 O runbook `AWSSupport-TroubleshootADConnectorConnectivity` verifica os seguintes pré-requisitos para um AD Connector:
+ Verifica se o tráfego necessário é permitido pelo grupo de segurança e pelas regras da lista de controle de acesso (ACL) à rede associadas ao seu AD Connector.
+ Verifica se os endpoints VPC da CloudWatch interface AWS Systems Manager AWS Security Token Service, e da Amazon existem na mesma nuvem privada virtual (VPC) do AD Connector.

Quando as verificações de pré-requisitos são concluídas com sucesso, o runbook inicia duas instâncias Linux t2.micro do Amazon Elastic Compute Cloud (Amazon EC2) nas mesmas sub-redes do seu AD Connector. Os testes de conectividade de rede são então realizados usando os utilitários `netcat` e `nslookup`.

 [Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootADConnectorConnectivity) 

**Importante**  
 O uso desse runbook pode gerar cobranças extras Conta da AWS para você pelas EC2 instâncias da Amazon, volumes do Amazon Elastic Block Store e Amazon Machine Image (AMI) criado durante a automação. Para obter mais informações, consulte [Amazon Elastic Compute Cloud Pricing](https://aws.amazon.com/ec2/pricing/) e [Amazon Elastic Block Store Pricing](https://aws.amazon.com/ebs/pricing/).   
 Se a `aws:deletestack` etapa falhar, acesse o AWS CloudFormation console para excluir manualmente a pilha. O nome da pilha criada por esse runbook começa com `AWSSupport-TroubleshootADConnectorConnectivity`. *Para obter informações sobre como excluir CloudFormation pilhas, consulte [Excluindo uma pilha](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html) no Guia do usuário.AWS CloudFormation * 

**Tipo de documento**

Automação

**Proprietário**

Amazon

**Plataformas**

Linux, macOS, Windows

**Parâmetros**
+ AutomationAssumeRole

  Tipo: String

  Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ DirectoryId

  Tipo: string

  Descrição: (obrigatório) o ID do diretório do AD Connector no qual você deseja solucionar problemas de conectividade.
+ Ec2 InstanceProfile

  Tipo: string

  Máximo de caracteres: 128 

  Descrição: (obrigatório) o nome do perfil de instância que você deseja atribuir às instâncias que são iniciadas para realizar testes de conectividade. O perfil de instância que você especificar deve ter a política `AmazonSSMManagedInstanceCore` ou as permissões equivalentes anexadas. 

**Permissões obrigatórias do IAM**

O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+  `ec2:DescribeInstances` 
+  `ec2:DescribeImages` 
+  `ec2:DescribeSubnets` 
+  `ec2:DescribeSecurityGroups` 
+  `ec2:DescribeNetworkAcls` 
+  `ec2:DescribeVpcEndpoints` 
+  `ec2:CreateTags` 
+  `ec2:RunInstances` 
+  `ec2:StopInstances` 
+  `ec2:TerminateInstances` 
+  `cloudformation:CreateStack` 
+  `cloudformation:DescribeStacks` 
+  `cloudformation:ListStackResources` 
+  `cloudformation:DeleteStack` 
+  `ds:DescribeDirectories` 
+  `ssm:SendCommand` 
+  `ssm:ListCommands` 
+  `ssm:ListCommandInvocations` 
+  `ssm:GetParameters` 
+  `ssm:DescribeInstanceInformation` 
+  `iam:PassRole` 

 **Etapas do documento** 
+  `aws:assertAwsResourceProperty`: confirma que o diretório especificado no parâmetro `DirectoryId` é um AD Connector. 
+  `aws:executeAwsApi`: reúne informações sobre o AD Connector. 
+  `aws:executeAwsApi`: reúne informações sobre os grupos de segurança associados ao AD Connector. 
+  `aws:executeAwsApi`: reúne informações sobre as regras de ACL de rede associadas às sub-redes do AD Connector. 
+  `aws:executeScript`: avalia as regras do grupo de segurança do AD Connector para verificar se o tráfego de saída necessário é permitido. 
+  `aws:executeScript`: avalia as regras de ACL de rede do AD Connector para verificar se o tráfego de rede de saída e entrada necessário é permitido. 
+  `aws:executeScript`- Verifica se os endpoints da CloudWatch interface AWS Systems Manager, AWS Security Token Service e da Amazon, existem na mesma VPC que o AD Connector. 
+  `aws:executeScript`: compila as saídas das verificações realizadas nas etapas anteriores. 
+  `aws:branch`: ramifica a automação dependendo da saída das etapas anteriores. A automação é interrompida aqui se as regras de saída e entrada necessárias estiverem ausentes para os grupos de segurança e a rede. ACLs 
+  `aws:createStack`- Cria uma CloudFormation pilha para iniciar EC2 instâncias da Amazon e realizar testes de conectividade. 
+  `aws:executeAwsApi`- Reúne as IDs EC2 instâncias recém-lançadas da Amazon. 
+  `aws:waitForAwsResourceProperty`- Espera que a primeira EC2 instância recém-lançada da Amazon seja reportada como gerenciada por AWS Systems Manager. 
+  `aws:waitForAwsResourceProperty`- Espera que a segunda EC2 instância recém-lançada da Amazon seja reportada como gerenciada por AWS Systems Manager. 
+  `aws:runCommand`- Executa testes de conectividade de rede com os endereços IP do servidor DNS local da primeira instância da Amazon EC2 . 
+  `aws:runCommand`- Executa testes de conectividade de rede com os endereços IP do servidor DNS local da segunda instância da Amazon EC2 . 
+  `aws:changeInstanceState`- Interrompe as EC2 instâncias da Amazon usadas para os testes de conectividade. 
+  `aws:deleteStack`- Exclui a CloudFormation pilha. 
+  `aws:executeScript`- Produz instruções sobre como excluir manualmente a CloudFormation pilha se a automação falhar em excluir a pilha. 

# `AWSSupport-TroubleshootDirectoryTrust`
<a name="automation-awssupport-troubleshootdirectorytrust"></a>

 **Descrição** 

 O `AWSSupport-TroubleshootDirectoryTrust` runbook diagnostica problemas de criação de confiança entre um AWS Managed Microsoft AD e um Microsoft Active Directory. A automação garante que o tipo de diretório ofereça suporte a relações de confiança e, em seguida, verifica as regras do grupo de segurança, as listas de controle de acesso à rede (rede ACLs) e as tabelas de rotas associadas em busca de possíveis problemas de conectividade. 

 [Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootDirectoryTrust) 

**Tipo de documento**

Automação

**Proprietário**

Amazon

**Plataformas**

Linux, macOS, Windows

**Parâmetros**
+ AutomationAssumeRole

  Tipo: String

  Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ DirectoryId

  Tipo: string

  Padrão permitido: ^d-[a-z0-9]\$1\$110\$1\$1\$1

  Descrição: (Obrigatório) O ID do AWS Managed Microsoft AD para solucionar o problema.
+ RemoteDomainCidrs

  Tipo: StringList

  Padrões permitidos: ^(([0-9]\$1[1-9][0-9]\$11[0-9]\$12\$1\$12[0-4][0-9]\$125[0-5])\$1.)\$13\$1([0-9]\$1[1-9][0-9]\$11[0-9]\$12\$1\$12[0-4][0-9]\$125[0-5])(\$1/(3[0-2]\$1[1-2][0-9]\$1[1-9]))\$1

  Descrição: (obrigatória) os CIDRs do domínio remoto com o qual você está tentando estabelecer uma relação de confiança. Você pode adicionar vários CIDRs usando valores separados por vírgula. Por exemplo, 172.31.48.0/20, 192.168.1.10/32.
+ RemoteDomainName

  Tipo: string

  Descrição: (obrigatória) o nome totalmente qualificado do domínio remoto com o qual você está estabelecendo uma relação de confiança.
+ RequiredTrafficACL

  Tipo: string

  Descrição: (Obrigatório) Os requisitos de porta padrão para AWS Managed Microsoft AD. Na maioria dos casos, não modifique o valor padrão.

  Padrão: \$1"entrada":\$1"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]\$1,"saída":\$1"-1":[[0,65535]]\$1\$1
+ RequiredTrafficSG

  Tipo: string

  Descrição: (Obrigatório) Os requisitos de porta padrão para AWS Managed Microsoft AD. Na maioria dos casos, não modifique o valor padrão.

  Padrão: \$1"entrada":\$1"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]\$1,"saída":\$1"-1":[[0,65535]]\$1\$1
+ TrustId

  Tipo: string

  Descrição: (opcional) o ID do relacionamento de confiança a ser solucionado.

**Permissões obrigatórias do IAM**

O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+  `ds:DescribeConditionalForwarders` 
+  `ds:DescribeDirectories` 
+  `ds:DescribeTrusts` 
+  `ds:ListIpRoutes` 
+  `ec2:DescribeNetworkAcls` 
+  `ec2:DescribeSecurityGroups` 
+  `ec2:DescribeSubnets` 

 **Etapas do documento** 
+  `aws:assertAwsResourceProperty`: confirma que o tipo de diretório é AWS Managed Microsoft AD. 
+  `aws:executeAwsApi`- Obtém informações sobre AWS Managed Microsoft AD o. 
+  `aws:branch`: ramifica a automação se um valor for fornecido para o parâmetro de entrada `TrustId`. 
+  `aws:executeAwsApi`: obtém informações sobre o relacionamento de confiança. 
+  `aws:executeAwsApi`: obtém os endereços IP DNS de encaminhador condicional para o `RemoteDomainName`. 
+  `aws:executeAwsApi`: obtém informações sobre rotas IP adicionadas ao AWS Managed Microsoft AD. 
+  `aws:executeAwsApi`- Obtém CIDRs as AWS Managed Microsoft AD sub-redes. 
+  `aws:executeAwsApi`: obtém informações sobre os grupos de segurança associados a AWS Managed Microsoft AD. 
+  `aws:executeAwsApi`- Obtém informações sobre a rede ACLs associada ao AWS Managed Microsoft AD. 
+  `aws:executeScript`: confirma que os `RemoteDomainCidrs` são valores válidos. Confirma que AWS Managed Microsoft AD tem encaminhadores condicionais para o e que as rotas IP necessárias foram adicionadas ao`RemoteDomainCidrs`, AWS Managed Microsoft AD se não `RemoteDomainCidrs` forem endereços IP RFC 1918. 
+  `aws:executeScript`: avalia as regras do grupo de segurança. 
+  `aws:executeScript`- Avalia a rede ACLs. 

 **Saídas** 

evalDirectorySecurityGroup.output - Resulta da avaliação de se as regras do grupo de segurança associadas ao AWS Managed Microsoft AD permitem o tráfego necessário para a criação de confiança.

evalAclEntries.output - Resulta da avaliação de se a rede ACLs associada ao AWS Managed Microsoft AD permite o tráfego necessário para a criação de confiança.

 evaluateRemoteDomainCIDR.Output - Resulta da avaliação de se os valores são válidos`RemoteDomainCidrs`. Confirma que AWS Managed Microsoft AD tem encaminhadores condicionais para o e que as rotas IP necessárias foram adicionadas ao`RemoteDomainCidrs`, AWS Managed Microsoft AD se não `RemoteDomainCidrs` forem endereços IP RFC 1918.