AWSSupport-TroubleshootDirectoryTrust - AWS Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWSSupport-TroubleshootDirectoryTrust

描述

AWSSupport-TroubleshootDirectoryTrust 运行手册诊断 AWS Managed Microsoft AD 和 Microsoft Active Directory 之间的信任关系建立问题。自动化可确保目录类型支持信任关系,然后检查关联的安全组规则、网络访问控制列表(网络 ACL)和路由表是否存在潜在的连接问题。

运行此 Automation(控制台)

文档类型

Automation

所有者

Amazon

平台

Linux、macOS、Windows

参数

  • AutomationAssumeRole

    类型:字符串

    说明:(可选)允许 Systems Manager Automation 代表您执行操作的 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称 (ARN)。如果未指定任何角色,则 Systems Manager Automation 使用运行此文档的用户的权限。

  • DirectoryId

    类型:字符串

    允许的模式:^d-[a-z0-9]{10}$

    说明:(必需)要排查问题的 AWS Managed Microsoft AD 的 ID。

  • RemoteDomainCidrs

    类型:StringList

    允许的模式:^([0-9]|[1-9][0-9]|1[0-9]4.0|2[0-9][0-9]|25[0-8]\\.)0.50([0-9|[0-9]][0-9]*2[0-9|25[8]])$

    说明:(必需)您尝试与之建立信任关系的远程域的 CIDR。可以使用逗号分隔值添加多个 CIDR。例如,172.31.48.0/20、192.168.1.10/32。

  • RemoteDomainName

    类型:字符串

    说明:(必需)将与之建立信任关系的远程域的完全限定域名。

  • RequiredTrafficACL

    类型:字符串

    说明:(必需) 的默认端口要求。AWS Managed Microsoft AD. 在大多数情况下,不应修改默认值。

    默认值:{"inbound":{"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]},"outbound":{"-1":[[0,65535]]}}

  • RequiredTrafficSG

    类型:字符串

    说明:(必需) 的默认端口要求。AWS Managed Microsoft AD. 在大多数情况下,不应修改默认值。

    默认值:{"inbound":{"tcp":[[53,53],[88,88],[135,135],[389,389],[445,445],[464,464],[636,636],[1024,65535]],"udp":[[53,53],[88,88],[123.123],[138,138],[389,389],[445,445],[464,464]],"icmp":[[-1,-1]]},"outbound":{"-1":[[0,65535]]}}

  • TrustId

    类型:字符串

    说明:(可选)要排查问题的信任关系的 ID。

所需的 IAM 权限

AutomationAssumeRole 需要执行以下操作才能成功运行 Automation 文档。

  • ds:DescribeConditionalForwarders

  • ds:DescribeDirectories

  • ds:DescribeTrusts

  • ds:ListIpRoutes

  • ec2:DescribeNetworkAcls

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

文档步骤

  • aws:assertAwsResourceProperty - 确认目录类型为 AWS Managed Microsoft AD.

  • aws:executeAwsApi - 获取有关 的信息。AWS Managed Microsoft AD.

  • aws:branch - 如果为 TrustId 输入参数提供了值,则为自动化分支。

  • aws:executeAwsApi - 获取有关信任关系的信息。

  • aws:executeAwsApi - 获取 的条件转发服务器 DNS IP 地址。RemoteDomainName.

  • aws:executeAwsApi - 获取有关已添加到 的 IP 路由的信息。AWS Managed Microsoft AD.

  • aws:executeAwsApi - 获取 AWS Managed Microsoft AD 子网的 CIDR。

  • aws:executeAwsApi - 获取有关与 关联的安全组的信息。AWS Managed Microsoft AD.

  • aws:executeAwsApi - 获取有关与 关联的网络 ACL 的信息。AWS Managed Microsoft AD.

  • aws:executeScript - 确认 RemoteDomainCidrs 是有效值。确认 AWS Managed Microsoft AD 具有 RemoteDomainCidrs 的条件转发服务器,并且必需的 IP 路由已添加到 AWS Managed Microsoft AD(如果 RemoteDomainCidrs 是非 RFC 1918 IP 地址)。

  • aws:executeScript - 评估安全组规则。

  • aws:executeScript - 评估网络 ACL。

输出

evalDirectorySecurityGroup.output - 针对与 AWS Managed Microsoft AD 关联的安全组是否允许信任关系建立的必需流量的评估结果。

evalAclEntries.output - 针对与 AWS Managed Microsoft AD 关联的网络 ACL 是否允许信任关系建立的必需流量的评估结果。

evaluateRemoteDomainCidr.output - 针对 RemoteDomainCidrs 是否为有效值的评估结果。确认 AWS Managed Microsoft AD 具有 RemoteDomainCidrs 的条件转发服务器,并且必需的 IP 路由已添加到 AWS Managed Microsoft AD(如果 RemoteDomainCidrs 是非 RFC 1918 IP 地址)。