本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Directory Service
AWS Systems Manager 自动化为用户提供了预定义的运行手册。 AWS Directory Service有关运行手册的更多信息,请参阅[使用运行手册](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html)。有关如何查看运行手册内容的信息,请参阅 [查看运行手册内容](automation-runbook-reference.md#view-automation-json)。
**Topics**
+ [`AWS-CreateDSManagementInstance`](automation-awssupport-create-ds-management-instance.md)
+ [`AWSSupport-TroubleshootADConnectorConnectivity`](automation-awssupport-troubleshootadconnectorconnectivity.md)
+ [`AWSSupport-TroubleshootDirectoryTrust`](automation-awssupport-troubleshootdirectorytrust.md)
# `AWS-CreateDSManagementInstance`
**描述**
`AWS-CreateDSManagementInstance`运行手册创建了一个亚马逊弹性计算云 (Amazon EC2) Windows 实例,你可以用它来管理你的目录。 AWS Directory Service 该管理实例不能用于管理 AD Connector 目录。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-CreateDSManagementInstance)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(可选)允许 Systems Manager Automation 代表您执行操作 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。
+ AmiID
类型:字符串
默认:`{{ ssm:/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-Base }}`
描述:(可选AMI)Amazon Machine Image() 用于启动实例的 ID。默认情况下,该实例将使用最新的微软 Windows Server 2019 Base AMI 启动。
+ DirectoryId
类型:字符串
描述:(必填)您的目录的 Directory Service 目录 ID。
+ IamInstanceProfileName
类型:字符串
描述:(可选)IAM 实例配置文件名称。默认情况下,如果不存在名为 Amazon 的实例配置文件 SSMDirectoryServiceInstanceProfileRole,则SSMDirectoryServiceInstanceProfileRole 将创建名为 Amazon 的实例配置文件。
默认:亚马逊 SSMDirectory ServiceInstanceProfileRole
+ InstanceType
类型:字符串
默认:t3.medium
允许的值:
+ t2.nano
+ t2.micro
+ t2.small
+ t2.medium
+ t2.large
+ t2.xlarge
+ t2.2xlarge
+ t3.nano
+ t3.micro
+ t3.small
+ t3.medium
+ t3.large
+ t3.xlarge
+ t3.2xlarge
描述:(可选)要启动的实例类型。默认为 t3.medium。
+ KeyPairName
类型:字符串
描述:(可选)启动实例时使用的密钥对。Windows 不支持 ED25519 密钥对。默认情况下,实例启动时不使用 key pair (NoKeyPair)。
默认: NoKeyPair
+ RemoteAccessCidr
类型:字符串
描述:(可选)使用开放的 RDP 端口(端口范围 3389)创建安全组,由 CIDR IPs 指定(默认值为 0.0.0.0/0)。如果安全组已存在,则不会对其进行修改,也不会更改规则。
默认:0.0.0.0/0
+ SecurityGroupName
类型:字符串
描述:(可选)安全组名称。默认情况下,如果不存在名为 Amazon 的安全组 SSMDirectoryServiceSecurityGroup,则SSMDirectoryServiceSecurityGroup 将创建一个名为 Amazon 的安全组。
默认:亚马逊 SSMDirectory ServiceSecurityGroup
+ 标签
类型: MapList
描述:(可选)要应用于由自动化创建的资源的键值对。
默认值:` [ {"Key":"Description","Value":"Created by AWS Systems Manager Automation"}, {"Key":"Created By","Value":"AWS Systems Manager Automation"} ]`
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `ds:DescribeDirectories`
+ `ec2:AuthorizeSecurityGroupIngress`
+ `ec2:CreateSecurityGroup`
+ `ec2:CreateTags`
+ `ec2:DeleteSecurityGroup`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceStatus`
+ `ec2:DescribeKeyPairs`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeVpcs`
+ `ec2:RunInstances`
+ `ec2:TerminateInstances`
+ `iam:AddRoleToInstanceProfile`
+ `iam:AttachRolePolicy`
+ `iam:CreateInstanceProfile`
+ `iam:CreateRole`
+ `iam:DeleteInstanceProfile`
+ `iam:DeleteRole`
+ `iam:DetachRolePolicy`
+ `iam:GetInstanceProfile`
+ `iam:GetRole`
+ `iam:ListAttachedRolePolicies`
+ `iam:ListInstanceProfiles`
+ `iam:ListInstanceProfilesForRole`
+ `iam:PassRole`
+ `iam:RemoveRoleFromInstanceProfile`
+ `iam:TagInstanceProfile`
+ `iam:TagRole`
+ `ssm:CreateDocument`
+ `ssm:DeleteDocument`
+ `ssm:DescribeInstanceInformation`
+ `ssm:GetAutomationExecution`
+ `ssm:GetParameters`
+ `ssm:ListCommandInvocations`
+ `ssm:ListCommands`
+ `ssm:ListDocuments`
+ `ssm:SendCommand`
+ `ssm:StartAutomationExecution`
**文档步骤**
+ `aws:executeAwsApi` - 收集有关您在 `DirectoryId` 参数中指定的类别的详细信息。
+ `aws:executeAwsApi` - 获取启动目录所在的虚拟私有云(VPC)的 CIDR 块。
+ `aws:executeAwsApi` - 使用您在 `SecurityGroupName` 参数中指定的值创建一个安全组。
+ `aws:executeAwsApi` - 为新创建的安全组创建一个入站规则,允许来自您在 `RemoteAccessCidr` 参数中指定的 CIDR 的 RDP 流量。
+ `aws:executeAwsApi` - 使用您在 `IamInstanceProfileName` 参数中指定的值创建一个 IAM 角色和实例配置文件。
+ `aws:executeAwsApi` - 根据您在运行手册参数中指定的值一个启动 Amazon EC2 实例。
+ `aws:executeAwsApi`-创建 AWS Systems Manager 文档以将新启动的实例加入您的目录。
+ `aws:runCommand` - 将新实例加入您的目录。
+ `aws:runCommand` - 在新实例上安装远程服务器管理工具。
# `AWSSupport-TroubleshootADConnectorConnectivity`
**描述**
`AWSSupport-TroubleshootADConnectorConnectivity` 运行手册将验证 AD Connector 的以下先决条件:
+ 检查与 AD Connector 关联的安全组和网络访问控制列表(ACL)规则是否允许所需的流量。
+ 检查 AWS Systems Manager AWS Security Token Service、和 Amazon CloudWatch 接口 VPC 终端节点是否与 AD Connector 位于同一个虚拟私有云 (VPC) 中。
成功完成先决条件检查后,运行手册将启动两个与您的 AD Connector 位于相同子网中的亚马逊弹性计算云 (Amazon EC2) Linux t2.micro 实例。然后使用 `netcat` 和 `nslookup` 实用程序执行网络连接测试。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootADConnectorConnectivity)
**重要**
使用此运行手册可能会 AWS 账户 对您的亚马逊 EC2实例、Amazon Elastic Block Store 卷和 Amazon Machine Image (AMI) 在自动化期间创建。有关更多信息,请参阅 [Amazon Elastic Compute Cloud 定价](https://aws.amazon.com/ec2/pricing/)和 [Amazon Elastic Block Store 定价](https://aws.amazon.com/ebs/pricing/)。
如果该`aws:deletestack`步骤失败,请转到 AWS CloudFormation 控制台手动删除堆栈。此运行手册创建的堆栈名称以 `AWSSupport-TroubleshootADConnectorConnectivity` 开头。有关删除 CloudFormation 堆栈的信息,请参阅《*AWS CloudFormation 用户指南》*中的[删除堆栈](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html)。
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux,macOS, Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(可选)允许 Systems Manager Automation 代表您执行操作 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。
+ DirectoryId
类型:字符串
描述:(必需)要排除连接问题的 AD Connector 目录的 ID。
+ Ec2 InstanceProfile
类型:字符串
最多 128 个字符
描述:(必需)要分配给为执行连接测试而启动的实例的实例配置文件的名称。您指定的实例配置文件必须附加 `AmazonSSMManagedInstanceCore` 策略或等效的权限。
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `ec2:DescribeInstances`
+ `ec2:DescribeImages`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeVpcEndpoints`
+ `ec2:CreateTags`
+ `ec2:RunInstances`
+ `ec2:StopInstances`
+ `ec2:TerminateInstances`
+ `cloudformation:CreateStack`
+ `cloudformation:DescribeStacks`
+ `cloudformation:ListStackResources`
+ `cloudformation:DeleteStack`
+ `ds:DescribeDirectories`
+ `ssm:SendCommand`
+ `ssm:ListCommands`
+ `ssm:ListCommandInvocations`
+ `ssm:GetParameters`
+ `ssm:DescribeInstanceInformation`
+ `iam:PassRole`
**文档步骤**
+ `aws:assertAwsResourceProperty` - 确认 `DirectoryId` 参数中指定的目录是 AD Connector。
+ `aws:executeAwsApi` - 收集有关 AD Connector 的信息。
+ `aws:executeAwsApi` - 收集与 AD Connector 关联的安全组的相关信息。
+ `aws:executeAwsApi` - 收集与 AD Connector 子网关联的网络 ACL 规则的相关信息。
+ `aws:executeScript` - 评价 AD Connector 安全组规则,以验证是否允许所需的出站流量。
+ `aws:executeScript` - 评价 AD Connector 网络 ACL 规则,以验证是否允许所需的出站和入站网络流量。
+ `aws:executeScript`-检查 AWS Systems Manager、 AWS Security Token Service 和 Amazon CloudWatch 接口终端节点是否与 AD Connector 位于同一 VPC 中。
+ `aws:executeScript` - 编译在先前步骤执行的检查的输出。
+ `aws:branch` - 根据先前步骤的输出对自动化进行分支。如果安全组和网络缺少所需的出站和入站规则,则自动化将在此处停止 ACLs。
+ `aws:createStack`-创建 CloudFormation 堆栈以启动 Amazon EC2 实例以执行连接测试。
+ `aws:executeAwsApi`-收集新启动的 IDs Amazon EC2 实例。
+ `aws:waitForAwsResourceProperty`-等待第一个新启动的 Amazon EC2 实例报告为由 AWS Systems Manager管理。
+ `aws:waitForAwsResourceProperty`-等待第二个新启动的 Amazon EC2 实例报告为由 AWS Systems Manager管理。
+ `aws:runCommand`-从第一个 Amazon EC2 实例对本地 DNS 服务器 IP 地址执行网络连接测试。
+ `aws:runCommand`-从第二个 Amazon EC2 实例对本地 DNS 服务器 IP 地址执行网络连接测试。
+ `aws:changeInstanceState`-停止用于连接测试的 Amazon EC2 实例。
+ `aws:deleteStack`-删除 CloudFormation 堆栈。
+ `aws:executeScript`-输出有关在自动化无法删除 CloudFormation 堆栈时如何手动删除堆栈的说明。
# `AWSSupport-TroubleshootDirectoryTrust`
**描述**
该`AWSSupport-TroubleshootDirectoryTrust`运行手册诊断了与 Microsoft Active Direct AWS Managed Microsoft AD ory 之间的信任创建问题。自动化可确保目录类型支持信任,然后检查相关的安全组规则、网络访问控制列表(网络 ACLs)和路由表中是否存在潜在的连接问题。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootDirectoryTrust)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux,macOS, Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(可选)允许 Systems Manager Automation 代表您执行操作 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。
+ DirectoryId
类型:字符串
允许的模式:^d-[a-z0-9]\$110\$1\$1
描述:(必填) AWS Managed Microsoft AD 要进行故障排除的 ID。
+ RemoteDomainCidrs
类型: StringList
允许的模式:^(([0-9]\$1[1-9][0-9]\$11[0-9]\$12\$1\$12[0-4][0-9]\$125[0-5])\$1.)\$13\$1([0-9]\$1[1-9][0-9]\$11[0-9]\$12\$1\$12[0-4][0-9]\$125[0-5])(\$1/(3[0-2]\$1[1-2][0-9]\$1[1-9]))\$1
说明:(必需)您尝试与之建立信任关系的远程域的 CIDR。 CIDRs 您可以使用逗号分隔的值添加多个值。例如,172.31.48.0/20、192.168.1.10/32。
+ RemoteDomainName
类型:字符串
说明:(必需)将与之建立信任关系的远程域的完全限定域名。
+ RequiredTrafficACL
类型:字符串
描述:(必填)的默认端口要求 AWS Managed Microsoft AD。在大多数情况下,不应修改默认值。
默认值:\$1"inbound":\$1"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]\$1,"outbound":\$1"-1":[[0,65535]]\$1\$1
+ RequiredTrafficSG
类型:字符串
描述:(必填)的默认端口要求 AWS Managed Microsoft AD。在大多数情况下,不应修改默认值。
默认值:\$1"inbound":\$1"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]\$1,"outbound":\$1"-1":[[0,65535]]\$1\$1
+ TrustId
类型:字符串
说明:(可选)要排查问题的信任关系的 ID。
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `ds:DescribeConditionalForwarders`
+ `ds:DescribeDirectories`
+ `ds:DescribeTrusts`
+ `ds:ListIpRoutes`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
**文档步骤**
+ `aws:assertAwsResourceProperty` - 确认目录类型为 AWS Managed Microsoft AD。
+ `aws:executeAwsApi`-获取有关信息 AWS Managed Microsoft AD。
+ `aws:branch` - 在为 `TrustId` 输入参数提供了值时对自动化进行分支。
+ `aws:executeAwsApi` - 获取有关信任关系的信息。
+ `aws:executeAwsApi` - 获取 `RemoteDomainName` 的条件转发服务器 DNS IP 地址。
+ `aws:executeAwsApi` - 获取有关已添加到 AWS Managed Microsoft AD的 IP 路由的信息。
+ `aws:executeAwsApi`-获取 CIDRs AWS Managed Microsoft AD 子网的。
+ `aws:executeAwsApi` - 获取有关与 AWS Managed Microsoft AD关联的安全组的信息。
+ `aws:executeAwsApi`-获取 ACLs与关联的网络的相关信息 AWS Managed Microsoft AD。
+ `aws:executeScript` - 确认 `RemoteDomainCidrs` 为有效值。确认 AWS Managed Microsoft AD 有条件转发器`RemoteDomainCidrs`, AWS Managed Microsoft AD 如果`RemoteDomainCidrs`是非 RFC 1918 IP 地址,则已将必需的 IP 路由添加到中。
+ `aws:executeScript` - 评估安全组规则。
+ `aws:executeScript`-评估网络 ACLs。
**输出**
evalDirectorySecurityGroup.Output-评估与关联的安全组规则是否 AWS Managed Microsoft AD 允许创建信任所需的流量得出的结果。
evalAclEntries.output-评估 ACLs与关联的网络是否 AWS Managed Microsoft AD 允许创建信任所需的流量所得出的结果。
evaluateRemoteDomaincidr.Output-评估`RemoteDomainCidrs`它们是否为有效值的结果。确认 AWS Managed Microsoft AD 有条件转发器`RemoteDomainCidrs`, AWS Managed Microsoft AD 如果`RemoteDomainCidrs`是非 RFC 1918 IP 地址,则已将必需的 IP 路由添加到中。