AWS-CreateDSManagementInstance - AWS Systems Manager Referencia del manual de automatización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS-CreateDSManagementInstance

Descripción

El AWS-CreateDSManagementInstance runbook crea una instancia de Windows de Amazon Elastic Compute Cloud (Amazon EC2) que puede usar para administrar el directorio. AWS Directory Service La instancia de administración no se puede usar para administrar los directorios del conector de AD.

Ejecuta esta automatización (consola)

Tipo de documento

Automatización

Propietario

Amazon

Plataformas

Windows

Parámetros

  • AutomationAssumeRole

    Tipo: cadena

    Descripción: (opcional) el Nombre de recurso de Amazon (ARN) del rol de AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.

  • AmiID

    Tipo: cadena

    Valor predeterminado: {{ ssm:/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-Base }}

    Descripción: (Opcional) Amazon Machine Image (AMI) id que se utilizará para lanzar la instancia. De forma predeterminada, la instancia se lanzará con la última AMI básica de Microsoft Windows Server 2019.

  • DirectoryId

    Tipo: cadena

    Descripción: (obligatorio) El identificador de directorio de su Directory Service directorio.

  • IamInstanceProfileName

    Tipo: cadena

    Descripción: (opcional) nombre del perfil de la instancia de IAM. De forma predeterminada, si no existe ningún perfil de instancia con el nombre Amazon SSMDirectoryServiceInstanceProfileRole, se SSMDirectory ServiceInstanceProfileRole creará un perfil de instancia con el nombre Amazon.

    Predeterminado: Amazon SSMDirectory ServiceInstanceProfileRole

  • InstanceType

    Tipo: cadena

    Valor predeterminado: t3.medium

    Valores permitidos:

    • t2.nano

    • t2.micro

    • t2.small

    • t2.medium

    • t2.large

    • t2.xlarge

    • t2.2xlarge

    • t3.nano

    • t3.micro

    • t3.small

    • t3.medium

    • t3.large

    • t3.xlarge

    • t3.2xlarge

    Descripción: (opcional) Tipo de instancia que se va a lanzar. El valor predeterminado es t3.medium.

  • KeyPairName

    Tipo: cadena

    Descripción: (opcional) Par de claves que se utilizará al lanzar la instancia. Windows no admite pares de ED25519 claves. De forma predeterminada, la instancia se lanza sin un key pair (NoKeyPair).

    Predeterminado: NoKeyPair

  • RemoteAccessCidr

    Tipo: cadena

    Descripción: (opcional) Crea un grupo de seguridad con un puerto para RDP (rango de puertos 3389) abierto según lo IPs especificado por el CIDR (el valor predeterminado es 0.0.0.0/0). Si el grupo de seguridad ya existe no será modificado y no se cambiarán las reglas.

    Valor predeterminado: 0.0.0.0/0

  • SecurityGroupName

    Tipo: cadena

    Descripción: (opcional) Nombre del grupo de seguridad. De forma predeterminada, si no existe ningún grupo de seguridad con el nombre Amazon SSMDirectoryServiceSecurityGroup, se SSMDirectory ServiceSecurityGroup creará un grupo de seguridad con el nombre Amazon.

    Predeterminado: Amazon SSMDirectory ServiceSecurityGroup

  • Tags

    Tipo: MapList

    Descripción: (opcional) un par clave-valor que desee aplicar a los recursos creados por la automatización.

    Valor predeterminado: [ {"Key":"Description","Value":"Created by AWS Systems Manager Automation"}, {"Key":"Created By","Value":"AWS Systems Manager Automation"} ]

Permisos de IAM necesarios

El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.

  • ds:DescribeDirectories

  • ec2:AuthorizeSecurityGroupIngress

  • ec2:CreateSecurityGroup

  • ec2:CreateTags

  • ec2:DeleteSecurityGroup

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

  • ec2:DescribeKeyPairs

  • ec2:DescribeSecurityGroups

  • ec2:DescribeVpcs

  • ec2:RunInstances

  • ec2:TerminateInstances

  • iam:AddRoleToInstanceProfile

  • iam:AttachRolePolicy

  • iam:CreateInstanceProfile

  • iam:CreateRole

  • iam:DeleteInstanceProfile

  • iam:DeleteRole

  • iam:DetachRolePolicy

  • iam:GetInstanceProfile

  • iam:GetRole

  • iam:ListAttachedRolePolicies

  • iam:ListInstanceProfiles

  • iam:ListInstanceProfilesForRole

  • iam:PassRole

  • iam:RemoveRoleFromInstanceProfile

  • iam:TagInstanceProfile

  • iam:TagRole

  • ssm:CreateDocument

  • ssm:DeleteDocument

  • ssm:DescribeInstanceInformation

  • ssm:GetAutomationExecution

  • ssm:GetParameters

  • ssm:ListCommandInvocations

  • ssm:ListCommands

  • ssm:ListDocuments

  • ssm:SendCommand

  • ssm:StartAutomationExecution

Pasos de documentos

  • aws:executeAwsApi: recopila detalles sobre el directorio que especifique en el parámetro DirectoryId.

  • aws:executeAwsApi: obtiene el bloque CIDR de la nube privada virtual (VPC) en la que se lanzó el directorio.

  • aws:executeAwsApi: crea un grupo de seguridad con el valor que especifique en el parámetro SecurityGroupName.

  • aws:executeAwsApi: crea una regla de entrada para el grupo de seguridad recién creado que permite el tráfico RDP desde el CIDR que especifique en el parámetro RemoteAccessCidr.

  • aws:executeAwsApi: crea un rol de IAM y un perfil de instancia con el valor que especifique en el parámetro IamInstanceProfileName.

  • aws:executeAwsApi: lanza una instancia de Amazon EC2 en función de los valores que especifique en los parámetros del manual de procedimientos.

  • aws:executeAwsApi- Crea un AWS Systems Manager documento para unir la instancia recién lanzada a su directorio.

  • aws:runCommand: une la nueva instancia a su directorio.

  • aws:runCommand: instala herramientas de administración remota del servidor en la nueva instancia.