本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # `AWS-CreateDSManagementInstance` **Description** `AWS-CreateDSManagementInstance` Runbook 會建立 Amazon Elastic Compute Cloud (Amazon EC2) Windows 執行個體,供您用來管理 AWS Directory Service 目錄。管理執行個體無法用於管理 AD Connector 目錄。 [執行此自動化 (主控台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-CreateDSManagementInstance) **文件類型**  自動化 **擁有者** Amazon **平台** Windows **參數** + AutomationAssumeRole 類型:字串 描述:(選用) 允許 Systems Manager Automation 代表您執行動作的 (IAM) 角色的 AWS Identity and Access Management Amazon Resource Name (ARN)。如果未指定角色,Systems Manager Automation 會使用啟動此 Runbook 之使用者的許可。 + AmiID 類型:字串 預設:`{{ ssm:/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-Base }}` 描述:(選用) Amazon Machine Image(AMI) 用來啟動執行個體的 ID。根據預設,執行個體將使用最新的 Microsoft Windows Server 2019 Base AMI 啟動。 + DirectoryId 類型:字串 描述:(必要) 目錄的 Directory Service 目錄 ID。 + IamInstanceProfileName 類型:字串 描述:(選用) IAM 執行個體描述檔名稱。根據預設,如果名稱為 AmazonSSMDirectoryServiceInstanceProfileRole 的執行個體描述檔不存在,則會建立名稱為 AmazonSSMDirectoryServiceInstanceProfileRole 的執行個體描述檔。 預設:AmazonSSMDirectoryServiceInstanceProfileRole + InstanceType 類型:字串 預設:t3.medium 允許的值: + t2.nano + t2.micro + t2.small + t2.medium + t2.large + t2.xlarge + t2.2xlarge + t3.nano + t3.micro + t3.small + t3.medium + t3.large + t3.xlarge + t3.2xlarge 描述:(選用) 要啟動的執行個體類型。預設為 t3.medium。 + KeyPairName 類型:字串 描述:(選用) 啟動執行個體時要使用的金鑰對。Windows 不支援 ED25519 金鑰對。根據預設,執行個體在沒有金鑰對的情況下啟動 (NoKeyPair)。 預設:NoKeyPair + RemoteAccessCidr 類型:字串 描述:(選用) 建立 RDP (連接埠範圍 3389) 連接埠開放給 CIDR 指定的 IPs 的安全群組 (預設為 0.0.0.0/0)。如果安全群組已存在,則不會修改,規則也不會變更。 預設:0.0.0.0/0 + SecurityGroupName 類型:字串 描述:(選用) 安全群組名稱。根據預設,如果名稱為 AmazonSSMDirectoryServiceSecurityGroup 的安全群組不存在,則會建立名稱為 AmazonSSMDirectoryServiceSecurityGroup 的安全群組。 預設:AmazonSSMDirectoryServiceSecurityGroup + Tags (標籤) 類型:MapList 描述:(選用) 您要套用至自動化所建立資源的鍵/值對。 預設:` [ {"Key":"Description","Value":"Created by AWS Systems Manager Automation"}, {"Key":"Created By","Value":"AWS Systems Manager Automation"} ]` **必要的 IAM 許可** `AutomationAssumeRole` 參數需要下列動作才能成功使用 Runbook。 + `ds:DescribeDirectories` + `ec2:AuthorizeSecurityGroupIngress` + `ec2:CreateSecurityGroup` + `ec2:CreateTags` + `ec2:DeleteSecurityGroup` + `ec2:DescribeInstances` + `ec2:DescribeInstanceStatus` + `ec2:DescribeKeyPairs` + `ec2:DescribeSecurityGroups` + `ec2:DescribeVpcs` + `ec2:RunInstances` + `ec2:TerminateInstances` + `iam:AddRoleToInstanceProfile` + `iam:AttachRolePolicy` + `iam:CreateInstanceProfile` + `iam:CreateRole` + `iam:DeleteInstanceProfile` + `iam:DeleteRole` + `iam:DetachRolePolicy` + `iam:GetInstanceProfile` + `iam:GetRole` + `iam:ListAttachedRolePolicies` + `iam:ListInstanceProfiles` + `iam:ListInstanceProfilesForRole` + `iam:PassRole` + `iam:RemoveRoleFromInstanceProfile` + `iam:TagInstanceProfile` + `iam:TagRole` + `ssm:CreateDocument` + `ssm:DeleteDocument` + `ssm:DescribeInstanceInformation` + `ssm:GetAutomationExecution` + `ssm:GetParameters` + `ssm:ListCommandInvocations` + `ssm:ListCommands` + `ssm:ListDocuments` + `ssm:SendCommand` + `ssm:StartAutomationExecution` **文件步驟** + `aws:executeAwsApi` - 收集您在 `DirectoryId` 參數中指定之目錄的詳細資訊。 + `aws:executeAwsApi` - 取得啟動目錄之虛擬私有雲端 (VPC) 的 CIDR 區塊。 + `aws:executeAwsApi` - 使用您在 `SecurityGroupName` 參數中指定的值建立安全群組。 + `aws:executeAwsApi` - 為新建立的安全群組建立傳入規則,允許來自您在 `RemoteAccessCidr` 參數中指定 CIDR 的 RDP 流量。 + `aws:executeAwsApi` - 使用您在 `IamInstanceProfileName` 參數中指定的值建立 IAM 角色和執行個體描述檔。 + `aws:executeAwsApi` - 根據您在 Runbook 參數中指定的值啟動 Amazon EC2 執行個體。 + `aws:executeAwsApi` - 建立 AWS Systems Manager 文件,將新啟動的執行個體加入您的目錄。 + `aws:runCommand` - 將新執行個體加入您的目錄。 + `aws:runCommand` - 在新執行個體上安裝遠端伺服器管理工具。