AWS-CreateDSManagementInstance - AWS Systems Manager Référence du manuel d'automatisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS-CreateDSManagementInstance

Description

Le AWS-CreateDSManagementInstance runbook crée une instance Windows Amazon Elastic Compute Cloud (Amazon EC2) que vous pouvez utiliser pour gérer votre annuaire. AWS Directory Service L'instance de gestion ne peut pas être utilisée pour gérer les annuaires AD Connector.

Exécuter cette automatisation (console)

Type de document

 Automatisation

Propriétaire

Amazon

Plateformes

Windows

Paramètres

  • AutomationAssumeRole

    Type : Chaîne

    Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.

  • AMiID

    Type : Chaîne

    Valeur par défaut : {{ ssm:/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-Base }}

    Description : (FacultatifAMI) Amazon Machine Image () identifiant à utiliser pour lancer l'instance. Par défaut, l'instance sera lancée avec la dernière AMI de base Microsoft Windows Server 2019.

  • DirectoryId

    Type : Chaîne

    Description : (Obligatoire) L'identifiant de votre Directory Service répertoire.

  • IamInstanceProfileName

    Type : Chaîne

    Description : (Facultatif) Nom du profil d'instance IAM. Par défaut, s'il n'existe aucun profil d'instance portant le nom Amazon SSMDirectoryServiceInstanceProfileRole, un profil d'instance portant le nom Amazon SSMDirectory ServiceInstanceProfileRole sera créé.

    Par défaut : Amazon SSMDirectory ServiceInstanceProfileRole

  • InstanceType

    Type : Chaîne

    Par défaut : t3.medium

    Valeurs autorisées :

    • t2.nano

    • t2.micro

    • t2.small

    • t2.medium

    • t2.large

    • t2.xlarge

    • t2.2xlarge

    • t3.nano

    • t3.micro

    • t3.small

    • t3.medium

    • t3.large

    • t3.xlarge

    • t3.2xlarge

    Description : (Facultatif) Type d'instance à lancer. La valeur par défaut est t3.medium.

  • KeyPairName

    Type : Chaîne

    Description : (Facultatif) Paire de clés à utiliser lors du lancement de l'instance. Windows ne prend pas en charge les paires de ED25519 clés. Par défaut, l'instance est lancée sans paire de clés (NoKeyPair).

    Par défaut : NoKeyPair

  • RemoteAccessCidr

    Type : Chaîne

    Description : (Facultatif) Crée un groupe de sécurité avec un port pour RDP (plage de ports 3389) ouvert à celui IPs spécifié par le CIDR (la valeur par défaut est 0.0.0.0/0). Si le groupe de sécurité existe déjà, il ne sera pas modifié et les règles ne changeront pas.

    Par défaut : 0.0.0.0/0

  • SecurityGroupName

    Type : Chaîne

    Description : (Facultatif) Nom du groupe de sécurité. Par défaut, s'il n'existe aucun groupe de sécurité portant le nom Amazon SSMDirectoryServiceSecurityGroup, un groupe de sécurité portant le nom Amazon SSMDirectory ServiceSecurityGroup sera créé.

    Par défaut : Amazon SSMDirectory ServiceSecurityGroup

  • Étiquettes

    Type : MapList

    Description : (Facultatif) Une paire clé-valeur que vous souhaitez appliquer aux ressources créées par l'automatisation.

    Valeur par défaut : [ {"Key":"Description","Value":"Created by AWS Systems Manager Automation"}, {"Key":"Created By","Value":"AWS Systems Manager Automation"} ]

Autorisations IAM requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

  • ds:DescribeDirectories

  • ec2:AuthorizeSecurityGroupIngress

  • ec2:CreateSecurityGroup

  • ec2:CreateTags

  • ec2:DeleteSecurityGroup

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

  • ec2:DescribeKeyPairs

  • ec2:DescribeSecurityGroups

  • ec2:DescribeVpcs

  • ec2:RunInstances

  • ec2:TerminateInstances

  • iam:AddRoleToInstanceProfile

  • iam:AttachRolePolicy

  • iam:CreateInstanceProfile

  • iam:CreateRole

  • iam:DeleteInstanceProfile

  • iam:DeleteRole

  • iam:DetachRolePolicy

  • iam:GetInstanceProfile

  • iam:GetRole

  • iam:ListAttachedRolePolicies

  • iam:ListInstanceProfiles

  • iam:ListInstanceProfilesForRole

  • iam:PassRole

  • iam:RemoveRoleFromInstanceProfile

  • iam:TagInstanceProfile

  • iam:TagRole

  • ssm:CreateDocument

  • ssm:DeleteDocument

  • ssm:DescribeInstanceInformation

  • ssm:GetAutomationExecution

  • ssm:GetParameters

  • ssm:ListCommandInvocations

  • ssm:ListCommands

  • ssm:ListDocuments

  • ssm:SendCommand

  • ssm:StartAutomationExecution

Étapes de document

  • aws:executeAwsApi- Rassemble des informations sur le répertoire que vous spécifiez dans le DirectoryId paramètre.

  • aws:executeAwsApi- Obtient le bloc CIDR du cloud privé virtuel (VPC) dans lequel le répertoire a été lancé.

  • aws:executeAwsApi- Crée un groupe de sécurité à l'aide de la valeur que vous spécifiez dans le SecurityGroupName paramètre.

  • aws:executeAwsApi- Crée une règle entrante pour le groupe de sécurité nouvellement créé qui autorise le trafic RDP depuis le CIDR que vous spécifiez dans le paramètre. RemoteAccessCidr

  • aws:executeAwsApi- Crée un rôle IAM et un profil d'instance à l'aide de la valeur que vous spécifiez dans le IamInstanceProfileName paramètre.

  • aws:executeAwsApi- Lance une instance Amazon EC2 en fonction des valeurs que vous spécifiez dans les paramètres du runbook.

  • aws:executeAwsApi- Crée un AWS Systems Manager document pour joindre l'instance nouvellement lancée à votre répertoire.

  • aws:runCommand- Joint la nouvelle instance à votre répertoire.

  • aws:runCommand- Installe les outils d'administration du serveur distant sur la nouvelle instance.