As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Amazon FSx
AWS Systems Manager A automação fornece runbooks predefinidos para a Amazon. FSx Para obter informações sobre como usar runbooks, consulte [Trabalhado com runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). Para obter informações sobre como visualizar o conteúdo do runbook, consulte [Exibir conteúdo do runbook](automation-runbook-reference.md#view-automation-json).
**Topics**
+ [`AWSSupport-ValidateFSxWindowsADConfig`](awssupport-validate-fsxwindows-adconfig.md)
# `AWSSupport-ValidateFSxWindowsADConfig`
**Descrição**
O `AWSSupport-ValidateFSxWindowsADConfig` runbook é usado para validar a configuração autogerenciada do Active Directory (AD) de um servidor de arquivos Amazon FSx para Windows
**Como funciona?**
O runbook `AWSSupport-ValidateFSxWindowsADConfig` executa o script de validação do Amazon FSx na instância temporária do Windows Amazon Elastic Compute Cloud (Amazon EC2) lançada pelo runbook na sub-rede da Amazon. FSx O script executa várias verificações para validar a conectividade da rede com AD/DNS servidores autogerenciados e as permissões da conta de FSx serviço da Amazon. O runbook pode validar um Amazon FSx para Windows File Server com falha ou configurado incorretamente ou criar um novo FSx Amazon para Windows File Server com AD autogerenciado.
Por padrão, o runbook cria a instância Windows do Amazon EC2, o grupo de segurança AWS Systems Manager para acesso (SSM) AWS Identity and Access Management , a função (IAM) e a política usadas CloudFormation na sub-rede Amazon FSx. Se você quiser executar o script em uma instância existente do Amazon EC2, forneça o ID no parâmetro. `InstanceId` Em caso de execução bem-sucedida, ele exclui os CloudFormation recursos. No entanto, para reter os recursos, defina o `RetainCloudFormationStack` parâmetro como`true`.
O CloudFormation modelo cria uma função do IAM em seu nome com as permissões necessárias para anexar à instância do Amazon EC2 para executar o script de FSx validação da Amazon. Para especificar um perfil de instância do IAM existente para a instância temporária, use o `InstanceProfileName` parâmetro. A função do IAM associada deve conter as seguintes permissões:
+ `ec2:DescribeSubnets`e `ec2:DescribeVpcs` permissões e a Amazon Managed Policy`AmazonSSMManagedInstanceCore`.
+ Permissões para obter o nome de usuário e a senha da conta de FSx serviço Amazon do Systems Manager chamando a `GetSecretValue` API.
+ Permissões para colocar o objeto no bucket do Amazon Simple Storage Service (Amazon S3) para a saída do script.
**Pré-requisitos**
A sub-rede em que a instância temporária do Amazon EC2 é criada (ou a instância existente fornecida no `InstanceId` parâmetro) deve permitir acesso aos endpoints AWS Secrets Manager,, e AWS Systems Manager do Amazon S3 para executar o script usando `AmazonFSxADValidation` o SSM Run Command.
**AWS Secrets Manager configuração**
O script de validação se conecta ao domínio do Microsoft AD recuperando o nome de usuário e a senha da conta FSx de serviço da Amazon com uma chamada em tempo de execução para o Secrets Manager. Siga as etapas em [Criar um AWS Secrets Manager segredo](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html) para criar um novo segredo do Secrets Manager. Certifique-se de que o nome de usuário e a senha sejam armazenados usando um key/value par no formato`{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}"`. Consulte [Autenticação e controle de acesso AWS Secrets Manager para](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access.html) obter informações sobre como proteger o acesso a segredos.
Para obter mais informações sobre a ferramenta, consulte os `README.md` arquivos `TROUBLESHOOTING.md` e no FSx ADValidation arquivo da [Amazon](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/samples/AmazonFSxADValidation.zip).
**Execução do Runbook**
Execute o runbook com os parâmetros Amazon FSx ID ou AD. A seguir está o fluxo de trabalho do runbook:
+ Obtém os parâmetros do Amazon FSx ID ou usa os parâmetros de entrada do AD.
+ Cria a validação temporária da instância Windows do Amazon EC2 na FSx sub-rede da Amazon, no grupo de segurança para acesso ao SSM, na função do IAM e no uso da política (condicional). CloudFormation Se o `InstanceId` parâmetro for especificado, ele será usado.
+ Faz o download e executa o script de validação na instância de destino do Amazon EC2 na sub-rede primária da FSx Amazon.
+ Fornece o código do resultado da validação do AD na saída de automação. Além disso, a saída completa do script é carregada no bucket do Amazon S3.
[Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ValidateFSxWindowsADConfig)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Windows
**Parâmetros**
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `cloudformation:CreateStack`
+ `cloudformation:DeleteStack`
+ `cloudformation:DescribeStacks`
+ `cloudformation:DescribeStackResources`
+ `cloudformation:DescribeStackEvents`
+ `ec2:CreateTags`
+ `ec2:RunInstances`
+ `ec2:TerminateInstances`
+ `ec2:CreateLaunchTemplate`
+ `ec2:DeleteLaunchTemplate`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeImages`
+ `ec2:DescribeInstances`
+ `ec2:DescribeLaunchTemplates`
+ `ec2:DescribeLaunchTemplateVersions`
+ `ec2:CreateSecurityGroup`
+ `ec2:DeleteSecurityGroup`
+ `ec2:RevokeSecurityGroupEgress`
+ `ec2:AuthorizeSecurityGroupEgress`
+ `iam:CreateRole`
+ `iam:CreateInstanceProfile`
+ `iam:GetInstanceProfile`
+ `iam:getRolePolicy`
+ `iam:DeleteRole`
+ `iam:DeleteInstanceProfile`
+ `iam:AddRoleToInstanceProfile`
+ `iam:RemoveRoleFromInstanceProfile`
+ `iam:AttachRolePolicy`
+ `iam:DetachRolePolicy`
+ `iam:PutRolePolicy`
+ `iam:DeleteRolePolicy`
+ `iam:GetRole`
+ `iam:PassRole`
+ `ssm:SendCommand`
+ `ssm:StartAutomationExecution`
+ `ssm:DescribeInstanceInformation`
+ `ssm:DescribeAutomationExecutions`
+ `ssm:GetDocument`
+ `ssm:GetAutomationExecution`
+ `ssm:DescribeAutomationStepExecutions`
+ `ssm:ListCommandInvocations`
+ `ssm:GetParameters`
+ `ssm:ListCommands`
+ `ssm:GetCommandInvocation`
+ `fsx:DescribeFileSystems`
+ `ds:DescribeDirectories`
+ `s3:GetEncryptionConfiguration`
+ `s3:GetBucketPublicAccessBlock`
+ `s3:GetAccountPublicAccessBlock`
+ `s3:GetBucketPolicyStatus`
+ `s3:GetBucketAcl`
+ `s3:GetBucketLocation`
**Exemplo de política do IAM para a função Automation Assume**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribe",
"Effect": "Allow",
"Action": [
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeLaunchTemplateVersions",
"ssm:DescribeInstanceInformation",
"ssm:DescribeAutomationExecutions",
"ssm:DescribeAutomationStepExecutions",
"fsx:DescribeFileSystems",
"ds:DescribeDirectories"
],
"Resource": "*"
},
{
"Sid": "CloudFormation",
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackResources",
"cloudformation:DescribeStackEvents",
"cloudformation:CreateStack",
"cloudformation:DeleteStack"
],
"Resource": "arn:*:cloudformation:*:*:stack/AWSSupport-ValidateFSxWindowsADConfig-*"
},
{
"Sid": "AllowCreateLaunchTemplate",
"Effect": "Allow",
"Action": [
"ec2:CreateLaunchTemplate",
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:launch-template/*"
]
},
{
"Sid": "AllowEC2RunInstances",
"Effect": "Allow",
"Action": [
"ec2:RunInstances",
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*::image/*",
"arn:aws:ec2:*::snapshot/*",
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*",
"arn:aws:ec2:*:*:key-pair/*",
"arn:aws:ec2:*:*:launch-template/*"
]
},
{
"Sid": "AllowEC2RunInstancesWithTags",
"Effect": "Allow",
"Action": [
"ec2:RunInstances",
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*"
]
},
{
"Sid": "EC2SecurityGroup",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:CreateTags"
],
"Resource": [
"arn:*:ec2:*:*:security-group/*",
"arn:*:ec2:*:*:vpc/*"
]
},
{
"Sid": "EC2Remove",
"Effect": "Allow",
"Action": [
"ec2:TerminateInstances",
"ec2:DeleteLaunchTemplate",
"ec2:DeleteSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:launch-template/*",
"arn:*:ec2:*:*:security-group/*"
]
},
{
"Sid": "IAMInstanceProfile",
"Effect": "Allow",
"Action": [
"iam:CreateInstanceProfile",
"iam:DeleteInstanceProfile",
"iam:GetInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:RemoveRoleFromInstanceProfile"
],
"Resource": "arn:*:iam::*:instance-profile/*"
},
{
"Sid": "IAM",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:DeleteRole",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:getRolePolicy",
"iam:PutRolePolicy",
"iam:DeleteRolePolicy",
"iam:GetRole",
"iam:TagRole"
],
"Resource": "arn:*:iam::*:role/*"
},
{
"Sid": "SSM",
"Effect": "Allow",
"Action": [
"ssm:StartAutomationExecution",
"ssm:GetDocument",
"ssm:GetAutomationExecution",
"ssm:ListCommandInvocations",
"ssm:GetParameters",
"ssm:ListCommands",
"ssm:GetCommandInvocation"
],
"Resource": "*"
},
{
"Sid": "SSMSendCommand",
"Effect": "Allow",
"Action": [
"ssm:SendCommand"
],
"Resource": "arn:aws:ssm:*:*:document/AWS-RunPowerShellScript"
},
{
"Sid": "SSMSendCommandOnlyFsxInstance",
"Effect": "Allow",
"Action": [
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/CreatedBy": [
"AWSSupport-ValidateFSxWindowsADConfig"
]
}
}
},
{
"Sid": "AllowPassRoleToEC2",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:*:iam::*:role/AWSSupport-ValidateFSxWindowsADConfig-*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"ec2.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetEncryptionConfiguration",
"s3:GetBucketPublicAccessBlock",
"s3:GetAccountPublicAccessBlock",
"s3:GetBucketPolicyStatus",
"s3:GetBucketAcl",
"s3:GetBucketLocation"
],
"Resource": "*"
}
]
}
```
------
**Instruções**
Siga estas etapas para configurar a automação:
1. Navegue até [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ValidateFSxWindowsADConfig/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ValidateFSxWindowsADConfig/description)em Systems Manager em Documentos.
1. Selecione **Execute automation (Executar automação)**.
1. Para validar o AD autogerenciado com uma FSx Amazon existente com falha ou configuração incorreta, insira os seguintes parâmetros:
+ **AutomationAssumeRole (Opcional):**
O Amazon Resource Name (ARN) da função AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation execute as ações em seu nome. Se nenhuma função for especificada, o Systems Manager Automation usa as permissões do usuário que inicia esse runbook.
+ **FSxID (condicional):**
O ID do servidor de arquivos da Amazon FSx para Windows. Isso é necessário para validar a Amazon existente que falhou ou está mal configurada. FSx
+ **SecretArn (Obrigatório):**
O ARN do seu segredo do Secrets Manager contendo o nome de usuário e a senha da conta FSx de serviço da Amazon. Certifique-se de que o nome de usuário e a senha sejam armazenados usando um key/value par no formato`{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}`. A CloudFormation pilha cria a instância de validação com permissões `GetSecretValue` para executar esse ARN.
+ **FSxSecurityGroupId (Obrigatório):**
O ID do grupo de segurança do Amazon FSx para Windows File Server.
+ **BucketName (Obrigatório):**
O bucket do Amazon S3 para o qual carregar os resultados da validação. Certifique-se de que o bucket esteja configurado com criptografia do lado do servidor (SSE) e que a política do bucket não conceda read/write permissões desnecessárias às partes que não precisam acessar os registros. Certifique-se também de que a instância Windows do Amazon EC2 tenha o acesso necessário ao bucket do Amazon S3.
![\[Input parameters form for AWS Systems Manager managed Windows Server EC2 instance validation.\]](http://docs.aws.amazon.com/pt_br/systems-manager-automation-runbooks/latest/userguide/images/awssupport-validate-fsxwindows-adconfig_input_parameters1.png)
1. Para validar a configuração autogerenciada do AD para uma nova FSx criação da Amazon, insira os seguintes parâmetros:
+ **AutomationAssumeRole (Opcional):**
O Amazon Resource Name (ARN) da função AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation execute as ações em seu nome. Se nenhuma função for especificada, o Systems Manager Automation usa as permissões do usuário que inicia esse runbook.
+ **SecretArn (Obrigatório):**
O ARN do seu segredo do Secrets Manager contendo o nome de usuário e a senha da conta FSx de serviço da Amazon. Certifique-se de que o nome de usuário e a senha sejam armazenados usando um key/value par no formato`{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}`. A CloudFormation pilha cria a instância de validação com permissões `GetSecretValue` para executar esse ARN.
+ **FSxSecurityGroupId (Obrigatório):**
O ID do grupo de segurança do Amazon FSx para Windows File Server.
+ **BucketName (Obrigatório):**
O bucket do Amazon S3 para o qual carregar os resultados da validação. Certifique-se de que o bucket esteja configurado com criptografia do lado do servidor (SSE) e que a política do bucket não conceda read/write permissões desnecessárias às partes que não precisam acessar os registros. Certifique-se também de que a instância Windows do Amazon EC2 tenha o acesso necessário ao bucket do Amazon S3.
+ **FSxPreferredSubnetId(Condicional):**
A sub-rede preferencial do Amazon FSx para Windows File Server.
+ **DomainName (Condicional):**
O nome de domínio totalmente qualificado do seu domínio autogerenciado do Microsoft AD.
+ **DnsIpAddresses (Condicional):**
Uma lista de até dois endereços IP de servidor DNS ou controlador de domínio em seu domínio autogerenciado do AD. Para até dois IPs, insira-os separados por uma vírgula.
+ **FSxAdminsGroup (Condicional):**
O grupo delegado de administradores de sistemas de arquivos do Amazon FSx para Windows File Server. Por padrão, ele é `Domain Admins`.
+ **FSxOrganizationalUnit(Condicional):**
A Unidade Organizacional (OU) na qual você deseja unir seu sistema de arquivos. Forneça o nome do caminho distinto da OU. Exemplo: `OU=org,DC=example,DC=com`.
![\[Form fields for configuring Amazon FSx for Windows File Server and related Serviços da AWS.\]](http://docs.aws.amazon.com/pt_br/systems-manager-automation-runbooks/latest/userguide/images/awssupport-validate-fsxwindows-adconfig_input_parameters2.png)
1. Selecione **Executar**.
1. A automação é iniciada.
1. O bucket realiza as seguintes etapas:
+ **CheckBucketPublicStatus(AWS: ExecuteScript):**
Verifica se o bucket do Amazon S3 de destino potencialmente concede acesso público de leitura e and/or gravação a seus objetos.
+ **BranchOnInputParameters(aws: branch):**
Ramifica os parâmetros de entrada fornecidos, como Amazon FSx ID ou FSx parâmetros da Amazon.
+ **AssertFileSystemTypeIsWindows(aws: assertAwsResource Propriedade):**
Se o Amazon FSx ID for fornecido, valida que o tipo de sistema de arquivos é Amazon FSx para Windows File Server.
+ **GetValidationInputs(AWS: ExecuteScript):**
Retorna a configuração autogerenciada do Microsoft AD exigida pelo CloudFormation modelo para criar a instância do Amazon EC2.
+ **BranchOnInstanceId (aws: branch):**
Ramificações na entrada fornecida`InstanceId`. Se `InstanceId` for fornecido, o script de validação é executado na instância de destino do Amazon EC2 a partir da automação. `step:RunValidationScript`
+ **Criar EC2 InstanceStack (AWS: CreateStack):**
Cria a instância do Amazon EC2 na sub-rede preferencial usando CloudFormation onde a `AmazonFSxADValidation` ferramenta será executada
+ **DescribeStackResources(leis:executeAwsApi):**
Descreve a CloudFormation pilha para obter o ID temporário da instância Amazon EC2.
+ **WaitForEC2InstanceToBeManaged(leis: waitForAwsResourceProperty):**
Espera até que a instância do Amazon EC2 seja gerenciada pelo Systems Manager para executar o script de validação usando o SSM Run Command.
+ **GetAmazonFSxADValidationAnexo (awsexecuteAwsApi):**
Obtém o URL da `AmazonFSxADValidation` ferramenta a partir dos anexos do runbook.
+ **RunValidationScript(AWS: RunCommand):**
Executa a `AmazonFSxADValidation` ferramenta na instância temporária do Amazon EC2 e armazena o resultado no bucket do Amazon S3 especificado no parâmetro. `BucketName`
+ **DescribeErrorsFromStackEvents(AWS: ExecuteScript):**
Descreve os eventos da CloudFormation pilha se os runbooks não conseguirem criar a pilha.
+ **BranchOnRetainCloudFormationStack(aws: branch):**
Ramifica os `InstanceId` parâmetros `RetainCloudFormationStack` e para determinar se a CloudFormation pilha deve ser excluída.
+ **DeleteCloudFormationStack(AWS: DeleteStack):**
Exclui a CloudFormation pilha.
1. Depois de concluído, revise a seção Saídas para ver os resultados da execução:
![\[Output showing instance details, CloudFormation stack ID, and validation script results with errors.\]](http://docs.aws.amazon.com/pt_br/systems-manager-automation-runbooks/latest/userguide/images/awssupport-validate-fsxwindows-adconfig_outputs.png)
O runbook fará o upload dos resultados da execução do script de validação para o bucket do Amazon S3.
**Referências**
Automação do Systems Manager
+ [Execute esta automação (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ValidateFSxWindowsADConfig/description)
+ [Executar uma automação](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configurar a automação](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Página inicial dos fluxos de trabalho de automação](https://aws.amazon.com/premiumsupport/technology/saw/)
AWS documentação de serviço
+ [O que é o Amazon FSx para Windows File Server?](https://docs.aws.amazon.com//fsx/latest/WindowsGuide/what-is.html)
+ [Validando a configuração autogerenciada do AD para o Amazon FSx for Windows File Server](https://docs.aws.amazon.com//fsx/latest/WindowsGuide/validate-ad-config.html)