AWS-CreateDSManagementInstance - AWS Systems Manager Riferimento all'Automation Runbook

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS-CreateDSManagementInstance

Descrizione

Il AWS-CreateDSManagementInstance runbook crea un'istanza Windows di Amazon Elastic Compute Cloud (Amazon EC2) che puoi usare per gestire la tua directory. AWS Directory Service L'istanza di gestione non può essere utilizzata per gestire le directory AD Connector.

Esegui questa automazione (console)

Tipo di documento

Automazione

Proprietario

Amazon

Piattaforme

Windows

Parametri

  • AutomationAssumeRole

    Tipo: String

    Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

  • AmiID

    Tipo: String

    Impostazione predefinita: {{ ssm:/aws/service/ami-windows-latest/Windows_Server-2019-English-Full-Base }}

    Descrizione: (Facoltativo) Amazon Machine Image (AMI) id da utilizzare per avviare l'istanza. Per impostazione predefinita, l'istanza verrà avviata con l'ultima AMI di base di Microsoft Windows Server 2019.

  • DirectoryId

    Tipo: String

    Descrizione: (Obbligatorio) L'ID della Directory Service directory.

  • IamInstanceProfileName

    Tipo: String

    Descrizione: (Facoltativo) nome del profilo dell'istanza IAM. Per impostazione predefinita, se non esiste un profilo di istanza con il nome Amazon SSMDirectoryServiceInstanceProfileRole, SSMDirectory ServiceInstanceProfileRole verrà creato un profilo di istanza con il nome Amazon.

    Predefinito: Amazon SSMDirectory ServiceInstanceProfileRole

  • InstanceType

    Tipo: String

    Predefinito: t3.medium

    Valori consentiti:

    • t2.nano

    • t2.micro

    • t2.small

    • t2.medium

    • t2.large

    • t2.xlarge

    • t2.2xlarge

    • t3.nano

    • t3.micro

    • t3.small

    • t3.medium

    • t3.large

    • t3.xlarge

    • t3.2xlarge

    Descrizione: (Facoltativo) Tipo di istanza da avviare. L'impostazione predefinita è t3.medium.

  • KeyPairName

    Tipo: String

    Descrizione: (Facoltativo) Coppia di chiavi da utilizzare all'avvio dell'istanza. Windows non supporta le coppie di ED25519 chiavi. Per impostazione predefinita, l'istanza viene avviata senza una key pair (NoKeyPair).

    Impostazione predefinita: NoKeyPair

  • RemoteAccessCidr

    Tipo: String

    Descrizione: (Facoltativo) Crea un gruppo di sicurezza con porta per RDP (Port range 3389) aperta a IPs quanto specificato da CIDR (l'impostazione predefinita è 0.0.0.0/0). Se il gruppo di sicurezza esiste già, non verrà modificato e le regole non saranno modificate.

    Impostazione predefinita: 0.0.0.0/0

  • SecurityGroupName

    Tipo: String

    Descrizione: (Facoltativo) Nome del gruppo di sicurezza. Per impostazione predefinita, se non esiste alcun gruppo di sicurezza con il nome Amazon SSMDirectoryServiceSecurityGroup, SSMDirectory ServiceSecurityGroup verrà creato un gruppo di sicurezza con il nome Amazon.

    Predefinito: Amazon SSMDirectory ServiceSecurityGroup

  • Tag

    Tipo: MapList

    Descrizione: (Facoltativo) Una coppia chiave-valore che desideri applicare alle risorse create dall'automazione.

    Impostazione predefinita: [ {"Key":"Description","Value":"Created by AWS Systems Manager Automation"}, {"Key":"Created By","Value":"AWS Systems Manager Automation"} ]

Autorizzazioni IAM richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

  • ds:DescribeDirectories

  • ec2:AuthorizeSecurityGroupIngress

  • ec2:CreateSecurityGroup

  • ec2:CreateTags

  • ec2:DeleteSecurityGroup

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

  • ec2:DescribeKeyPairs

  • ec2:DescribeSecurityGroups

  • ec2:DescribeVpcs

  • ec2:RunInstances

  • ec2:TerminateInstances

  • iam:AddRoleToInstanceProfile

  • iam:AttachRolePolicy

  • iam:CreateInstanceProfile

  • iam:CreateRole

  • iam:DeleteInstanceProfile

  • iam:DeleteRole

  • iam:DetachRolePolicy

  • iam:GetInstanceProfile

  • iam:GetRole

  • iam:ListAttachedRolePolicies

  • iam:ListInstanceProfiles

  • iam:ListInstanceProfilesForRole

  • iam:PassRole

  • iam:RemoveRoleFromInstanceProfile

  • iam:TagInstanceProfile

  • iam:TagRole

  • ssm:CreateDocument

  • ssm:DeleteDocument

  • ssm:DescribeInstanceInformation

  • ssm:GetAutomationExecution

  • ssm:GetParameters

  • ssm:ListCommandInvocations

  • ssm:ListCommands

  • ssm:ListDocuments

  • ssm:SendCommand

  • ssm:StartAutomationExecution

Fasi del documento

  • aws:executeAwsApi- Raccoglie dettagli sulla directory specificata nel DirectoryId parametro.

  • aws:executeAwsApi- Ottiene il blocco CIDR del cloud privato virtuale (VPC) in cui è stata avviata la directory.

  • aws:executeAwsApi- Crea un gruppo di sicurezza utilizzando il valore specificato nel SecurityGroupName parametro.

  • aws:executeAwsApi- Crea una regola in entrata per il gruppo di sicurezza appena creato che consente il traffico RDP dal CIDR specificato nel parametro. RemoteAccessCidr

  • aws:executeAwsApi- Crea un ruolo IAM e un profilo di istanza utilizzando il valore specificato nel parametro. IamInstanceProfileName

  • aws:executeAwsApi- Avvia un'istanza Amazon EC2 in base ai valori specificati nei parametri del runbook.

  • aws:executeAwsApi- Crea un AWS Systems Manager documento per aggiungere l'istanza appena lanciata alla tua directory.

  • aws:runCommand- Unisce la nuova istanza alla tua directory.

  • aws:runCommand- Installa gli strumenti di amministrazione remota del server sulla nuova istanza.