AWS-CreateDSManagementInstance - AWS Systems Manager Referenz zum Automatisierungs-Runbook

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS-CreateDSManagementInstance

Beschreibung

Das AWS-CreateDSManagementInstance Runbook erstellt eine Amazon Elastic Compute Cloud (Amazon EC2) Windows-Instance, mit der Sie Ihr AWS Directory Service Verzeichnis verwalten können. Die Verwaltungsinstanz kann nicht zur Verwaltung von AD Connector Connector-Verzeichnissen verwendet werden.

Führen Sie diese Automatisierung aus (Konsole)

Art des Dokuments

Automatisierung

Eigentümer

Amazon

Plattformen

Windows

Parameter

  • AutomationAssumeRole

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM) -Rolle, mit der Systems Manager Automation die Aktionen in Ihrem Namen ausführen kann. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.

  • AmiID

    Typ: Zeichenfolge

    Standard: {{ ssm:/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-Base }}

    Beschreibung: (Optional) Amazon Machine Image (AMI) ID, die zum Starten der Instance verwendet werden soll. Standardmäßig wird die Instance mit dem neuesten Microsoft Windows Server 2019 Base AMI gestartet.

  • DirectoryId

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Die Verzeichnis-ID Ihres Directory Service Verzeichnisses.

  • IamInstanceProfileName

    Typ: Zeichenfolge

    Beschreibung: (Optional) Profilname der IAM-Instanz. Wenn kein Instance-Profil mit dem Namen Amazon existiert SSMDirectoryServiceInstanceProfileRole, SSMDirectory ServiceInstanceProfileRole wird standardmäßig ein Instance-Profil mit dem Namen Amazon erstellt.

    Standard: Amazon SSMDirectory ServiceInstanceProfileRole

  • InstanceType

    Typ: Zeichenfolge

    Standard: t3.medium

    Zulässige Werte:

    • t2.nano

    • t2.micro

    • t2.small

    • t2.medium

    • t2.large

    • t2.xlarge

    • t2.2xlarge

    • t3.nano

    • t3.micro

    • t3.small

    • t3.medium

    • t3.large

    • t3.xlarge

    • t3.2xlarge

    Beschreibung: (Optional) Typ der Instanz, die gestartet werden soll. Die Standardeinstellung ist t3.medium.

  • KeyPairName

    Typ: Zeichenfolge

    Beschreibung: (Optional) Schlüsselpaar, das beim Starten der Instance verwendet werden soll. Windows unterstützt keine ED25519 Schlüsselpaare. Standardmäßig wird die Instance ohne ein key pair (NoKeyPair) gestartet.

    Standard: NoKeyPair

  • RemoteAccessCidr

    Typ: Zeichenfolge

    Beschreibung: (Optional) Erstellt eine Sicherheitsgruppe mit einem durch CIDR IPs angegebenen Port für RDP (Portbereich 3389) (Standard ist 0.0.0.0/0). Wenn die Sicherheitsgruppe bereits vorhanden ist, wird sie nicht modifiziert, und auch die Regeln werden nicht geändert.

    Standard: 0.0.0.0/0

  • SecurityGroupName

    Typ: Zeichenfolge

    Beschreibung: (Optional) Name der Sicherheitsgruppe. Wenn keine Sicherheitsgruppe mit dem Namen Amazon existiert SSMDirectoryServiceSecurityGroup, SSMDirectory ServiceSecurityGroup wird standardmäßig eine Sicherheitsgruppe mit dem Namen Amazon erstellt.

    Standard: Amazon SSMDirectory ServiceSecurityGroup

  • Tags (Markierungen)

    Typ: MapList

    Beschreibung: (Optional) Ein Schlüssel-Wert-Paar, das Sie auf die durch die Automatisierung erstellten Ressourcen anwenden möchten.

    Standard: [ {"Key":"Description","Value":"Created by AWS Systems Manager Automation"}, {"Key":"Created By","Value":"AWS Systems Manager Automation"} ]

Erforderliche IAM-Berechtigungen

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.

  • ds:DescribeDirectories

  • ec2:AuthorizeSecurityGroupIngress

  • ec2:CreateSecurityGroup

  • ec2:CreateTags

  • ec2:DeleteSecurityGroup

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

  • ec2:DescribeKeyPairs

  • ec2:DescribeSecurityGroups

  • ec2:DescribeVpcs

  • ec2:RunInstances

  • ec2:TerminateInstances

  • iam:AddRoleToInstanceProfile

  • iam:AttachRolePolicy

  • iam:CreateInstanceProfile

  • iam:CreateRole

  • iam:DeleteInstanceProfile

  • iam:DeleteRole

  • iam:DetachRolePolicy

  • iam:GetInstanceProfile

  • iam:GetRole

  • iam:ListAttachedRolePolicies

  • iam:ListInstanceProfiles

  • iam:ListInstanceProfilesForRole

  • iam:PassRole

  • iam:RemoveRoleFromInstanceProfile

  • iam:TagInstanceProfile

  • iam:TagRole

  • ssm:CreateDocument

  • ssm:DeleteDocument

  • ssm:DescribeInstanceInformation

  • ssm:GetAutomationExecution

  • ssm:GetParameters

  • ssm:ListCommandInvocations

  • ssm:ListCommands

  • ssm:ListDocuments

  • ssm:SendCommand

  • ssm:StartAutomationExecution

Dokumentschritte

  • aws:executeAwsApi- Sammelt Details zu dem Verzeichnis, das Sie im DirectoryId Parameter angeben.

  • aws:executeAwsApi- Ruft den CIDR-Block der Virtual Private Cloud (VPC) ab, in der das Verzeichnis gestartet wurde.

  • aws:executeAwsApi- Erstellt eine Sicherheitsgruppe mit dem Wert, den Sie im SecurityGroupName Parameter angeben.

  • aws:executeAwsApi- Erstellt eine eingehende Regel für die neu erstellte Sicherheitsgruppe, die RDP-Verkehr von dem CIDR zulässt, den Sie im Parameter angeben. RemoteAccessCidr

  • aws:executeAwsApi- Erstellt eine IAM-Rolle und ein Instanzprofil unter Verwendung des Werts, den Sie im Parameter angeben. IamInstanceProfileName

  • aws:executeAwsApi— Startet eine Amazon EC2 EC2-Instance auf der Grundlage der Werte, die Sie in den Runbook-Parametern angeben.

  • aws:executeAwsApi- Erstellt ein AWS Systems Manager Dokument, um die neu gestartete Instance Ihrem Verzeichnis hinzuzufügen.

  • aws:runCommand- Fügt die neue Instanz Ihrem Verzeichnis hinzu.

  • aws:runCommand- Installiert Tools zur Remoteserververwaltung auf der neuen Instanz.