`AWSSupport-ValidateFSxWindowsADConfig`

Descripción

El AWSSupport-ValidateFSxWindowsADConfig manual se utiliza para validar la configuración autogestionada de Active Directory (AD) de un servidor de archivos Amazon FSx for Windows File Server

¿Cómo funciona?

El runbook AWSSupport-ValidateFSxWindowsADConfig ejecuta el script de validación de Amazon FSx en la instancia temporal de Windows de Amazon Elastic Compute Cloud (Amazon EC2) lanzada por el runbook en la subred de Amazon FSx. El script realiza varias comprobaciones para validar la conectividad de la red con los AD/DNS servidores autogestionados y los permisos de la cuenta de servicio Amazon FSx. El runbook puede validar un Amazon FSx for Windows File Server fallido o mal configurado o crear un nuevo Amazon FSx para Windows File Server con AD autogestionado.

De forma predeterminada, el runbook crea la instancia de Windows de Amazon EC2, el grupo de seguridad AWS Systems Manager para el acceso (SSM) AWS Identity and Access Management , la función (IAM) y la política que se utilizan en CloudFormation la subred de Amazon FSx. Si desea ejecutar el script en una instancia Amazon EC2 existente, proporcione el ID en el parámetro. InstanceId Si se ejecuta correctamente, elimina los CloudFormation recursos. Sin embargo, para conservar los recursos, defina true el RetainCloudFormationStack parámetro en.

La CloudFormation plantilla crea un rol de IAM en su nombre con los permisos necesarios para adjuntarlo a la instancia de Amazon EC2 y ejecutar el script de validación de Amazon FSx. Para especificar un perfil de instancia de IAM existente para la instancia temporal, utilice el parámetro. InstanceProfileName La función de IAM asociada debe contener los siguientes permisos:

ec2:DescribeSubnetsy ec2:DescribeVpcs permisos y la Política de gestión de AmazonAmazonSSMManagedInstanceCore.
Permisos para obtener el nombre de usuario y la contraseña de la cuenta de servicio de Amazon FSx desde Systems Manager mediante una llamada a la GetSecretValue API.
Permisos para colocar un objeto en el bucket de Amazon Simple Storage Service (Amazon S3) para la salida del script.

Requisitos previos

La subred en la que se crea la instancia temporal de Amazon EC2 (o la instancia existente proporcionada en InstanceId el parámetro) debe permitir el acceso a AWS Systems Manager los puntos de enlace AWS Secrets Manager, y Amazon S3 para poder ejecutar AmazonFSxADValidation el script mediante SSM Run Command.

AWS Secrets Manager configurar

El script de validación se conecta al dominio de Microsoft AD recuperando el nombre de usuario y la contraseña de la cuenta de servicio Amazon FSx con una llamada en tiempo de ejecución a Secrets Manager. Sigue los pasos de Crear un AWS Secrets Manager secreto para crear un nuevo secreto de Secrets Manager. Asegúrese de que el nombre de usuario y la contraseña estén key/value guardados en el mismo formato{"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"}". Consulte Autenticación y control de acceso AWS Secrets Manager para obtener información sobre cómo proteger el acceso a los secretos.

Para obtener más información sobre la herramienta, consulte los README.md archivos TROUBLESHOOTING.md y del AmazonFSxADValidationarchivo.

Ejecución del manual

Ejecute el runbook con los parámetros de ID o AD de Amazon FSx. A continuación se presenta el flujo de trabajo del runbook:

Obtiene los parámetros del ID de Amazon FSx o utiliza los parámetros AD de entrada.
Crea la instancia Amazon EC2 de Windows de validación temporal en la subred de Amazon FSx, el grupo de seguridad para el acceso a SSM y el uso de la función y la política de IAM (condicional). CloudFormation Si se especifica el InstanceId parámetro, se utiliza.
Descarga y ejecuta el script de validación en la instancia de Amazon EC2 de destino de la subred principal de Amazon FSx.
Proporciona el código del resultado de la validación de AD en el resultado de la automatización. Además, el resultado completo del script se carga en el bucket de Amazon S3.

Ejecuta esta automatización (consola)

Tipo de documento

Automatización

Propietario

Amazon

Plataformas

Windows

Parámetros

Permisos de IAM necesarios

El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.

cloudformation:CreateStack
cloudformation:DeleteStack
cloudformation:DescribeStacks
cloudformation:DescribeStackResources
cloudformation:DescribeStackEvents
ec2:CreateTags
ec2:RunInstances
ec2:TerminateInstances
ec2:CreateLaunchTemplate
ec2:DeleteLaunchTemplate
ec2:DescribeSubnets
ec2:DescribeSecurityGroups
ec2:DescribeImages
ec2:DescribeInstances
ec2:DescribeLaunchTemplates
ec2:DescribeLaunchTemplateVersions
ec2:CreateSecurityGroup
ec2:DeleteSecurityGroup
ec2:RevokeSecurityGroupEgress
ec2:AuthorizeSecurityGroupEgress
iam:CreateRole
iam:CreateInstanceProfile
iam:GetInstanceProfile
iam:getRolePolicy
iam:DeleteRole
iam:DeleteInstanceProfile
iam:AddRoleToInstanceProfile
iam:RemoveRoleFromInstanceProfile
iam:AttachRolePolicy
iam:DetachRolePolicy
iam:PutRolePolicy
iam:DeleteRolePolicy
iam:GetRole
iam:PassRole
ssm:SendCommand
ssm:StartAutomationExecution
ssm:DescribeInstanceInformation
ssm:DescribeAutomationExecutions
ssm:GetDocument
ssm:GetAutomationExecution
ssm:DescribeAutomationStepExecutions
ssm:ListCommandInvocations
ssm:GetParameters
ssm:ListCommands
ssm:GetCommandInvocation
fsx:DescribeFileSystems
ds:DescribeDirectories
s3:GetEncryptionConfiguration
s3:GetBucketPublicAccessBlock
s3:GetAccountPublicAccessBlock
s3:GetBucketPolicyStatus
s3:GetBucketAcl
s3:GetBucketLocation

Ejemplo de política de IAM para el rol Automation Assume

JSON



                {
                    "Version":"2012-10-17",
                    "Statement": [
                        {
                            "Sid": "AllowDescribe",
                            "Effect": "Allow",
                            "Action": [
                                "ec2:DescribeSubnets",
                                "ec2:DescribeSecurityGroups",
                                "ec2:DescribeImages",
                                "ec2:DescribeInstances",
                                "ec2:DescribeLaunchTemplates",
                                "ec2:DescribeLaunchTemplateVersions",
                                "ssm:DescribeInstanceInformation",
                                "ssm:DescribeAutomationExecutions",
                                "ssm:DescribeAutomationStepExecutions",
                                "fsx:DescribeFileSystems",
                                "ds:DescribeDirectories"
                            ],
                            "Resource": "*"
                        },
                        {
                            "Sid": "CloudFormation",
                            "Effect": "Allow",
                            "Action": [
                                "cloudformation:DescribeStacks",
                                "cloudformation:DescribeStackResources",
                                "cloudformation:DescribeStackEvents",
                                "cloudformation:CreateStack",
                                "cloudformation:DeleteStack"
                            ],
                            "Resource": "arn:*:cloudformation:*:*:stack/AWSSupport-ValidateFSxWindowsADConfig-*"
                        },
                        {
                            "Sid": "AllowCreateLaunchTemplate",
                            "Effect": "Allow",
                            "Action": [
                                "ec2:CreateLaunchTemplate",
                                "ec2:CreateTags"
                            ],
                            "Resource": [
                                "arn:aws:ec2:*:*:launch-template/*"
                            ]
                        },
                        {
                            "Sid": "AllowEC2RunInstances",
                            "Effect": "Allow",
                            "Action": [
                                "ec2:RunInstances",
                                "ec2:CreateTags"
                            ],
                            "Resource": [
                                "arn:aws:ec2:*::image/*",
                                "arn:aws:ec2:*::snapshot/*",
                                "arn:aws:ec2:*:*:subnet/*",
                                "arn:aws:ec2:*:*:network-interface/*",
                                "arn:aws:ec2:*:*:security-group/*",
                                "arn:aws:ec2:*:*:key-pair/*",
                                "arn:aws:ec2:*:*:launch-template/*"
                            ]
                        },
                        {
                            "Sid": "AllowEC2RunInstancesWithTags",
                            "Effect": "Allow",
                            "Action": [
                                "ec2:RunInstances",
                                "ec2:CreateTags"
                            ],
                            "Resource": [
                                "arn:aws:ec2:*:*:instance/*",
                                "arn:aws:ec2:*:*:volume/*"
                            ]
                        },
                        {
                            "Sid": "EC2SecurityGroup",
                            "Effect": "Allow",
                            "Action": [
                                "ec2:CreateSecurityGroup",
                                "ec2:RevokeSecurityGroupEgress",
                                "ec2:AuthorizeSecurityGroupEgress",
                                "ec2:CreateTags"
                            ],
                            "Resource": [
                                "arn:*:ec2:*:*:security-group/*",
                                "arn:*:ec2:*:*:vpc/*"
                            ]
                        },
                        {
                            "Sid": "EC2Remove",
                            "Effect": "Allow",
                            "Action": [
                                "ec2:TerminateInstances",
                                "ec2:DeleteLaunchTemplate",
                                "ec2:DeleteSecurityGroup"
                            ],
                            "Resource": [
                                "arn:aws:ec2:*:*:instance/*",
                                "arn:aws:ec2:*:*:launch-template/*",
                                "arn:*:ec2:*:*:security-group/*"
                            ]
                        },
                        {
                            "Sid": "IAMInstanceProfile",
                            "Effect": "Allow",
                            "Action": [
                                "iam:CreateInstanceProfile",
                                "iam:DeleteInstanceProfile",
                                "iam:GetInstanceProfile",
                                "iam:AddRoleToInstanceProfile",
                                "iam:RemoveRoleFromInstanceProfile"
                            ],
                            "Resource": "arn:*:iam::*:instance-profile/*"
                        },
                        {
                            "Sid": "IAM",
                            "Effect": "Allow",
                            "Action": [
                                "iam:CreateRole",
                                "iam:DeleteRole",
                                "iam:AttachRolePolicy",
                                "iam:DetachRolePolicy",
                                "iam:getRolePolicy",
                                "iam:PutRolePolicy",
                                "iam:DeleteRolePolicy",
                                "iam:GetRole",
                                "iam:TagRole"
                            ],
                            "Resource": "arn:*:iam::*:role/*"
                        },
                        {
                            "Sid": "SSM",
                            "Effect": "Allow",
                            "Action": [
                                "ssm:StartAutomationExecution",
                                "ssm:GetDocument",
                                "ssm:GetAutomationExecution",
                                "ssm:ListCommandInvocations",
                                "ssm:GetParameters",
                                "ssm:ListCommands",
                                "ssm:GetCommandInvocation"
                            ],
                            "Resource": "*"
                        },
                        {
                            "Sid": "SSMSendCommand",
                            "Effect": "Allow",
                            "Action": [
                                "ssm:SendCommand"
                            ],
                            "Resource": "arn:aws:ssm:*:*:document/AWS-RunPowerShellScript"
                        },
                        {
                            "Sid": "SSMSendCommandOnlyFsxInstance",
                            "Effect": "Allow",
                            "Action": [
                                "ssm:SendCommand"
                            ],
                            "Resource": [
                                "arn:aws:ec2:*:*:instance/*"
                            ],
                            "Condition": {
                                "StringLike": {
                                    "ssm:resourceTag/CreatedBy": [
                                        "AWSSupport-ValidateFSxWindowsADConfig"
                                    ]
                                }
                            }
                        },
                        {
                            "Sid": "AllowPassRoleToEC2",
                            "Effect": "Allow",
                            "Action": "iam:PassRole",
                            "Resource": "arn:*:iam::*:role/AWSSupport-ValidateFSxWindowsADConfig-*",
                            "Condition": {
                                "StringEquals": {
                                    "iam:PassedToService": [
                                        "ec2.amazonaws.com"
                                    ]
                                }
                            }
                        },
                        {
                            "Effect": "Allow",
                            "Action": [
                                "s3:GetEncryptionConfiguration",
                                "s3:GetBucketPublicAccessBlock",
                                "s3:GetAccountPublicAccessBlock",
                                "s3:GetBucketPolicyStatus",
                                "s3:GetBucketAcl",
                                "s3:GetBucketLocation"
                            ],
                            "Resource": "*"
                        }
                    ]
                }

Instrucciones

Siga estos pasos para configurar la automatización:

Navegue hasta AWSSupport-ValidateFSxWindowsADConfigSystems Manager, en Documentos.
Elija Execute automation (Ejecutar automatización).
Para validar el AD autogestionado con un Amazon FSx existente con errores o mal configurado, introduzca los siguientes parámetros:
- AutomationAssumeRole (Opcional):
  
  El nombre del recurso de Amazon (ARN) del rol AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que inicia este runbook.
- FSxId (Condicional):
  
  El ID de Amazon FSx for Windows File Server. Esto es necesario para validar los Amazon FSx existentes con errores o mal configurados.
- SecretArn (Obligatorio):
  
  El ARN del secreto de Secrets Manager que contiene el nombre de usuario y la contraseña de la cuenta de servicio Amazon FSx. Asegúrese de que el nombre de usuario y la contraseña estén guardados en key/value el mismo formato. {"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"} La CloudFormation pila crea la instancia de validación con permisos para GetSecretValue realizar este ARN.
- FSxSecurityGroupId (Obligatorio):
  
  El ID del grupo de seguridad de Amazon FSx for Windows File Server.
- BucketName (Obligatorio):
  
  El bucket de Amazon S3 en el que cargar los resultados de la validación. Asegúrese de que el depósito esté configurado con el cifrado del lado del servidor (SSE) y de que la política del depósito no conceda read/write permisos innecesarios a las partes que no necesitan acceder a los registros. Asegúrese también de que la instancia Amazon EC2 para Windows tenga el acceso necesario al bucket de Amazon S3.
Para validar la configuración de AD autogestionada para una nueva creación de Amazon FSx, introduzca los siguientes parámetros:
- AutomationAssumeRole (Opcional):
  
  El nombre del recurso de Amazon (ARN) del rol AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que inicia este runbook.
- SecretArn (Obligatorio):
  
  El ARN del secreto de Secrets Manager que contiene el nombre de usuario y la contraseña de la cuenta de servicio Amazon FSx. Asegúrese de que el nombre de usuario y la contraseña estén guardados en key/value el mismo formato. {"username":"EXAMPLE-USER","password":"EXAMPLE-PASSWORD"} La CloudFormation pila crea la instancia de validación con permisos para GetSecretValue realizar este ARN.
- FSxSecurityGroupId (Obligatorio):
  
  El ID del grupo de seguridad de Amazon FSx for Windows File Server.
- BucketName (Obligatorio):
  
  El bucket de Amazon S3 en el que cargar los resultados de la validación. Asegúrese de que el depósito esté configurado con el cifrado del lado del servidor (SSE) y de que la política del depósito no conceda read/write permisos innecesarios a las partes que no necesitan acceder a los registros. Asegúrese también de que la instancia Amazon EC2 para Windows tenga el acceso necesario al bucket de Amazon S3.
- FSxPreferredSubnetId(Condicional):
  
  La subred preferida de Amazon FSx for Windows File Server.
- DomainName (Condicional):
  
  El nombre de dominio completo de tu dominio autogestionado de Microsoft AD.
- DnsIpAddresses (Condicional):
  
  Una lista de hasta dos direcciones IP de servidor DNS o controlador de dominio en tu dominio AD autogestionado. Para un máximo de dos direcciones IP, introdúzcalas separadas por una coma.
- FSxAdminsGroup (Condicional):
  
  El grupo de administradores de sistemas de archivos delegados de Amazon FSx for Windows File Server. De forma predeterminada, este es Domain Admins.
- FSxOrganizationalUnit(Condicional):
  
  La unidad organizativa (OU) a la que desea unir su sistema de archivos. Indique el nombre de la ruta distinguida de la OU. Ejemplo: OU=org,DC=example,DC=com.
Seleccione Ejecutar.
Se inicia la automatización.
Este documento realiza los siguientes pasos:
- CheckBucketPublicStatus(AWS:ExecuteScript):
  
  Comprueba si el bucket de Amazon S3 de destino puede conceder acceso público de lectura y and/or escritura a sus objetos.
- BranchOnInputParameters(aws:branch):
  
  Se basa en los parámetros de entrada proporcionados, como el ID de Amazon FSx o los parámetros de Amazon FSx.
- AssertFileSystemTypeIsWindows(AwsResourcePropertyaws:assert):
  
  Si se proporciona el identificador de Amazon FSx, valida que el tipo de sistema de archivos sea Amazon FSx for Windows File Server.
- GetValidationInputs(AWS:ExecuteScript):
  
  Devuelve la configuración autogestionada de Microsoft AD requerida por la CloudFormation plantilla para crear la instancia de Amazon EC2.
- BranchOnInstanceId (aws:branch):
  
  Se ramifica en la entrada proporcionada. InstanceId Si InstanceId se proporciona, el script de validación se ejecuta en la instancia Amazon EC2 de destino desde la automatización. step:RunValidationScript
- CreateEC2InstanceStack(AWS:CreateStack):
  
  Crea la instancia de Amazon EC2 en la subred preferida utilizando el CloudFormation lugar donde se ejecutará la AmazonFSxADValidation herramienta
- DescribeStackResources(AwsApiaws:execute):
  
  Describe la CloudFormation pila para obtener el ID de instancia temporal de Amazon EC2.
- WaitForEC2InstanceToBeManaged(aws:waitForAwsResourceProperty):
  
  Espera a que Systems Manager administre la instancia de Amazon EC2 para ejecutar el script de validación mediante SSM Run Command.
- GetAmazonFSxADValidationAttachment(aws:execute): AwsApi
  
  Obtiene la URL de la AmazonFSxADValidation herramienta de los archivos adjuntos del runbook.
- RunValidationScript(AWS: comando RUN):
  
  Ejecuta la AmazonFSxADValidation herramienta en la instancia temporal de Amazon EC2 y almacena el resultado en el bucket de Amazon S3 especificado en el BucketName parámetro.
- DescribeErrorsFromStackEvents(AWS:ExecuteScript):
  
  Describe los eventos de la CloudFormation pila si los runbooks no logran crear la pila.
- BranchOnRetainCloudFormationStack(aws:branch):
  
  Ramifica los InstanceId parámetros RetainCloudFormationStack y para determinar si se debe CloudFormation eliminar la pila.
- DeleteCloudFormationStack(AWS: DeleteStack):
  
  Elimina la pila CloudFormation .
Una vez finalizada, revise la sección de resultados para ver los resultados de la ejecución:

El runbook cargará los resultados de la ejecución del script de validación en el bucket de Amazon S3.

Referencias

Automatización de Systems Manager

AWS documentación de servicio

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Amazon FSx

GuardDuty