Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Zugriffsverwaltung in AMS Accelerate
Beim Zugriffsmanagement werden Ihre Ressourcen geschützt, indem nur autorisierter und authentifizierter Zugriff gewährt wird. Mit AMS Accelerate sind Sie für die Verwaltung des Zugriffs auf Ihre AWS-Konten und die ihnen zugrunde liegenden Ressourcen verantwortlich, z. B. für Zugriffsverwaltungslösungen, Zugriffsrichtlinien und verwandte Prozesse. Um Sie bei der Verwaltung Ihrer Zugriffslösung zu unterstützen, setzt AMS Accelerate AWS Config Regeln ein, die häufig auftretende IAM-Fehlkonfigurationen erkennen und anschließend Benachrichtigungen zur Behebung bereitstellen. Eine häufige IAM-Fehlkonfiguration besteht darin, dass der Root-Benutzer über Zugriffsschlüssel verfügt. Die `iam-root-access-key-check` Konfigurationsregel prüft, ob der Root-Benutzerzugriffsschlüssel verfügbar und konform ist oder ob der Zugriffsschlüssel nicht existiert. Eine Liste der von AMS bereitgestellten Konfigurationsregeln finden Sie in der [AWS Config AMS-Regelbibliothek](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sec-compliance.html#acc-sec-compliance-rules).
**Topics**
+ [Erhalten Sie Zugriff auf die Accelerate-Konsole](acc-access-permissions.md)
+ [Berechtigungen zur Nutzung von AMS-Funktionen](acc-access-customer.md)
+ [Warum und wann AMS auf Ihr Konto zugreift](access-justification.md)
+ [So greift AMS auf Ihr Konto zu](acc-access-operator.md)
+ [Wie und wann benutzt man das Root-Benutzerkonto in AMS](how-when-to-use-root.md)
# Erhalten Sie Zugriff auf die Accelerate-Konsole
Wenn Sie Accelerate nutzen, haben Sie automatisch Zugriff auf die Accelerate-Konsole. Sie können auf die Konsole zugreifen, indem Sie in Ihrer AWS-Managementkonsole nach **Managed Services** suchen. Die Accelerate-Konsole bietet Ihnen einen zusammengefassten Überblick über die Funktionen, die Ihnen Accelerate bietet. Diese Ansicht umfasst einzelne Komponenten, die auf dem Dashboard und den Konfigurationsseiten dargestellt werden.
# Berechtigungen zur Nutzung von AMS-Funktionen
Damit Ihre Benutzer AMS Accelerate-Funktionen lesen und konfigurieren können, z. B. den Zugriff auf die AMS-Konsole oder die Konfiguration von Backups, müssen Sie ihren IAM-Rollen explizite Berechtigungen zur Ausführung dieser Aktionen gewähren. Die folgende CloudFormation Vorlage enthält die Richtlinien, die zum Lesen und Konfigurieren der mit AMS verbundenen Dienste erforderlich sind, sodass Sie sie Ihren IAM-Rollen zuweisen können. Sie sind so konzipiert, dass sie eng an die allgemeinen Aufgabenbereiche in der IT-Branche angepasst sind, wo Administrator- oder Nur-Lese-Berechtigungen erforderlich sind. Wenn Sie Benutzern jedoch unterschiedliche Berechtigungen gewähren müssen, können Sie die Richtlinie bearbeiten, um bestimmte Berechtigungen ein- oder auszuschließen. Zudem können Sie eine eigene benutzerdefinierte Richtlinie erstellen.
Die Vorlage enthält zwei Richtlinien. Die `AMSAccelerateAdminAccess` Richtlinie soll für die Einrichtung und den Betrieb der AMS Accelerate-Komponenten verwendet werden. Diese Richtlinie wird in der Regel von einem IT-Administrator übernommen und gewährt Berechtigungen zur Konfiguration von AMS-Funktionen wie Patching und Backups. Die `AMSAccelerateReadOnly` gewährt die erforderlichen Mindestberechtigungen für die Anzeige von AMS Accelerate-bezogenen Ressourcen.
```
AWSTemplateFormatVersion: 2010-09-09
Description: AMSAccelerateCustomerAccessPolicies
Resources:
AMSAccelerateAdminAccess:
Type: 'AWS::IAM::ManagedPolicy'
Properties:
ManagedPolicyName: AMSAccelerateAdminAccess
Path: /
PolicyDocument:
Fn::Sub:
- |
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AmsSelfServiceReport",
"Effect": "Allow",
"Action": "amsssrv:*",
"Resource": "*"
},
{
"Sid": "AmsBackupPolicy",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::${AWS::AccountId}:role/ams-backup-iam-role"
},
{
"Sid": "AmsChangeRecordKMSPolicy",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:${AWS::Region}:${AWS::AccountId}:key/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"kms:ResourceAliases": "alias/AMSCloudTrailLogManagement"
}
}
},
{
"Sid": "AmsChangeRecordAthenaReadPolicy",
"Effect": "Allow",
"Action": [
"athena:BatchGetNamedQuery",
"athena:Get*",
"athena:List*",
"athena:StartQueryExecution",
"athena:UpdateWorkGroup",
"glue:GetDatabase*",
"glue:GetTable*",
"s3:GetAccountPublicAccessBlock",
"s3:ListAccessPoints",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "AmsChangeRecordS3ReadPolicy",
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": [
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}",
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}/*",
"arn:aws:s3:::ams-a${AWS::AccountId}-cloudtrail-${AWS::Region}",
"arn:aws:s3:::ams-a${AWS::AccountId}-cloudtrail-${AWS::Region}/*"
]
},
{
"Sid": "AmsChangeRecordS3WritePolicy",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectLegalHold",
"s3:PutObjectRetention"
],
"Resource": [
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}/*"
]
},
{
"Sid": "MaciePolicy",
"Effect": "Allow",
"Action": [
"macie2:GetFindingStatistics"
],
"Resource": "*"
},
{
"Sid": "GuardDutyPolicy",
"Effect": "Allow",
"Action": [
"guardduty:GetFindingsStatistics",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Sid": "SupportPolicy",
"Effect": "Allow",
"Action": "support:*",
"Resource": "*"
},
{
"Sid": "ConfigPolicy",
"Effect": "Allow",
"Action": [
"config:Get*",
"config:Describe*",
"config:Deliver*",
"config:List*",
"config:StartConfigRulesEvaluation"
],
"Resource": "*"
},
{
"Sid": "AppConfigReadPolicy",
"Effect": "Allow",
"Action": [
"appconfig:List*",
"appconfig:Get*"
],
"Resource": "*"
},
{
"Sid": "AppConfigPolicy",
"Effect": "Allow",
"Action": [
"appconfig:StartDeployment",
"appconfig:StopDeployment",
"appconfig:CreateHostedConfigurationVersion",
"appconfig:ValidateConfiguration"
],
"Resource": [
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSAlarmManagerConfigurationApplicationId}",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSAlarmManagerConfigurationApplicationId}/configurationprofile/${AMSAlarmManagerConfigurationCustomerManagedAlarmsProfileID}",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSAlarmManagerConfigurationApplicationId}/environment/*",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSResourceTaggerConfigurationApplicationId}",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSResourceTaggerConfigurationApplicationId}/configurationprofile/${AMSResourceTaggerConfigurationCustomerManagedTagsProfileID}",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSResourceTaggerConfigurationApplicationId}/environment/*",
"arn:aws:appconfig:*:${AWS::AccountId}:deploymentstrategy/*"
]
},
{
"Sid": "CloudFormationStacksPolicy",
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStacks"
],
"Resource": "*"
},
{
"Sid": "EC2Policy",
"Action": [
"ec2:DescribeInstances"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "SSMPolicy",
"Effect": "Allow",
"Action": [
"ssm:AddTagsToResource",
"ssm:CancelCommand",
"ssm:CancelMaintenanceWindowExecution",
"ssm:CreateAssociation",
"ssm:CreateAssociationBatch",
"ssm:CreateMaintenanceWindow",
"ssm:CreateOpsItem",
"ssm:CreatePatchBaseline",
"ssm:DeleteAssociation",
"ssm:DeleteMaintenanceWindow",
"ssm:DeletePatchBaseline",
"ssm:DeregisterPatchBaselineForPatchGroup",
"ssm:DeregisterTargetFromMaintenanceWindow",
"ssm:DeregisterTaskFromMaintenanceWindow",
"ssm:Describe*",
"ssm:Get*",
"ssm:List*",
"ssm:PutConfigurePackageResult",
"ssm:RegisterDefaultPatchBaseline",
"ssm:RegisterPatchBaselineForPatchGroup",
"ssm:RegisterTargetWithMaintenanceWindow",
"ssm:RegisterTaskWithMaintenanceWindow",
"ssm:RemoveTagsFromResource",
"ssm:SendCommand",
"ssm:StartAssociationsOnce",
"ssm:StartAutomationExecution",
"ssm:StartSession",
"ssm:StopAutomationExecution",
"ssm:TerminateSession",
"ssm:UpdateAssociation",
"ssm:UpdateAssociationStatus",
"ssm:UpdateMaintenanceWindow",
"ssm:UpdateMaintenanceWindowTarget",
"ssm:UpdateMaintenanceWindowTask",
"ssm:UpdateOpsItem",
"ssm:UpdatePatchBaseline"
],
"Resource": "*"
},
{
"Sid": "AmsPatchRestrictAMSResources",
"Effect": "Deny",
"Action": [
"ssm:DeletePatchBaseline",
"ssm:UpdatePatchBaseline"
],
"Resource": [
"arn:aws:ssm:${AWS::Region}:${AWS::AccountId}:patchbaseline/*"
],
"Condition": {
"StringLike": {
"aws:ResourceTag/ams:resourceOwner": "*"
}
}
},
{
"Sid": "AmsPatchRestrictAmsTags",
"Effect": "Deny",
"Action": [
"ssm:AddTagsToResource",
"ssm:RemoveTagsFromResource"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringLike": {
"aws:TagKeys": [
"AMS*",
"Ams*",
"ams*"
]
}
}
},
{
"Sid": "TagReadPolicy",
"Effect": "Allow",
"Action": [
"tag:GetResources",
"tag:GetTagKeys"
],
"Resource": "*"
},
{
"Sid": "CloudtrailReadPolicy",
"Effect": "Allow",
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
},
{
"Sid": "EventBridgePolicy",
"Effect": "Allow",
"Action": [
"events:Describe*",
"events:List*",
"events:TestEventPattern"
],
"Resource": "*"
},
{
"Sid": "IAMReadOnlyPolicy",
"Action": [
"iam:ListRoles",
"iam:GetRole"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AmsResourceSchedulerPassRolePolicy",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::${AWS::AccountId}:role/ams_resource_scheduler_ssm_automation_role",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ssm.amazonaws.com"
}
}
}
]
}
- AMSAlarmManagerConfigurationApplicationId: !ImportValue "AMS-Alarm-Manager-Configuration-ApplicationId"
AMSAlarmManagerConfigurationCustomerManagedAlarmsProfileID: !ImportValue "AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID"
AMSResourceTaggerConfigurationApplicationId: !ImportValue "AMS-ResourceTagger-Configuration-ApplicationId"
AMSResourceTaggerConfigurationCustomerManagedTagsProfileID: !ImportValue "AMS-ResourceTagger-Configuration-CustomerManagedTags-ProfileID"
AMSAccelerateReadOnly:
Type: 'AWS::IAM::ManagedPolicy'
Properties:
ManagedPolicyName: AMSAccelerateReadOnly
Path: /
PolicyDocument: !Sub |
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AmsSelfServiceReport",
"Effect": "Allow",
"Action": "amsssrv:*",
"Resource": "*"
},
{
"Sid": "AmsBackupPolicy",
"Effect": "Allow",
"Action": [
"backup:Describe*",
"backup:Get*",
"backup:List*"
],
"Resource": "*"
},
{
"Action": [
"rds:DescribeDBSnapshots",
"rds:ListTagsForResource",
"rds:DescribeDBInstances",
"rds:describeDBSnapshots",
"rds:describeDBEngineVersions",
"rds:describeOptionGroups",
"rds:describeOrderableDBInstanceOptions",
"rds:describeDBSubnetGroups",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBInstanceAutomatedBackups"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"dynamodb:ListBackups",
"dynamodb:ListTables"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"elasticfilesystem:DescribeFilesystems"
],
"Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
"Effect": "Allow"
},
{
"Action": [
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes",
"ec2:describeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:DescribeAccountAttributes",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeSubnets",
"ec2:DescribePlacementGroups",
"ec2:DescribeInstances",
"ec2:DescribeInstanceTypes"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"tag:GetTagKeys",
"tag:GetTagValues",
"tag:GetResources"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"storagegateway:DescribeCachediSCSIVolumes",
"storagegateway:DescribeStorediSCSIVolumes"
],
"Resource": "arn:aws:storagegateway:*:*:gateway/*/volume/*"
},
{
"Effect": "Allow",
"Action": [
"storagegateway:ListGateways"
],
"Resource": "arn:aws:storagegateway:*:*:*"
},
{
"Effect": "Allow",
"Action": [
"storagegateway:DescribeGatewayInformation",
"storagegateway:ListVolumes",
"storagegateway:ListLocalDisks"
],
"Resource": "arn:aws:storagegateway:*:*:gateway/*"
},
{
"Action": [
"iam:ListRoles",
"iam:GetRole"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "organizations:DescribeOrganization",
"Resource": "*"
},
{
"Action": "fsx:DescribeBackups",
"Effect": "Allow",
"Resource": "arn:aws:fsx:*:*:backup/*"
},
{
"Action": "fsx:DescribeFileSystems",
"Effect": "Allow",
"Resource": "arn:aws:fsx:*:*:file-system/*"
},
{
"Action": "ds:DescribeDirectories",
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AmsChangeRecordKMSPolicy",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:${AWS::Region}:${AWS::AccountId}:key/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"kms:ResourceAliases": "alias/AMSCloudTrailLogManagement"
}
}
},
{
"Sid": "AmsChangeRecordAthenaReadPolicy",
"Effect": "Allow",
"Action": [
"athena:BatchGetNamedQuery",
"athena:Get*",
"athena:List*",
"athena:StartQueryExecution",
"athena:UpdateWorkGroup",
"glue:GetDatabase*",
"glue:GetTable*",
"s3:GetAccountPublicAccessBlock",
"s3:ListAccessPoints",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "AmsChangeRecordS3ReadPolicy",
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": [
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}",
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}/*",
"arn:aws:s3:::ams-a${AWS::AccountId}-cloudtrail-${AWS::Region}",
"arn:aws:s3:::ams-a${AWS::AccountId}-cloudtrail-${AWS::Region}/*"
]
},
{
"Sid": "AmsChangeRecordS3WritePolicy",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectLegalHold",
"s3:PutObjectRetention"
],
"Resource": [
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}/*"
]
},
{
"Sid": "MaciePolicy",
"Effect": "Allow",
"Action": [
"macie2:GetFindingStatistics"
],
"Resource": "*"
},
{
"Sid": "GuardDutyReadPolicy",
"Effect": "Allow",
"Action": [
"guardduty:GetFindingsStatistics",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Sid": "SupportReadPolicy",
"Effect": "Allow",
"Action": "support:Describe*",
"Resource": "*"
},
{
"Sid": "ConfigReadPolicy",
"Effect": "Allow",
"Action": [
"config:Get*",
"config:Describe*",
"config:List*"
],
"Resource": "*"
},
{
"Sid": "AppConfigReadPolicy",
"Effect": "Allow",
"Action": [
"appconfig:List*",
"appconfig:Get*"
],
"Resource": "*"
},
{
"Sid": "CloudFormationReadPolicy",
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStacks"
],
"Resource": "*"
},
{
"Sid": "EC2ReadPolicy",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances"
],
"Resource": "*"
},
{
"Sid": "SSMReadPolicy",
"Effect": "Allow",
"Action": [
"ssm:Describe*",
"ssm:Get*",
"ssm:List*"
],
"Resource": "*"
},
{
"Sid": "TagReadPolicy",
"Effect": "Allow",
"Action": [
"tag:GetResources",
"tag:GetTagKeys"
],
"Resource": "*"
},
{
"Sid": "CloudtrailReadPolicy",
"Effect": "Allow",
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
},
{
"Sid": "EventBridgePolicy",
"Effect": "Allow",
"Action": [
"events:Describe*",
"events:List*",
"events:TestEventPattern"
],
"Resource": "*"
}
]
}
```
# Warum und wann AMS auf Ihr Konto zugreift
AMS Accelerate (Accelerate) -Operatoren können unter bestimmten Umständen auf Ihre Kontokonsole und Ihre Instances zugreifen, um Ihre Ressourcen zu verwalten. Diese Zugriffsereignisse sind in Ihren AWS CloudTrail (CloudTrail) Protokollen dokumentiert. Einzelheiten dazu, wie Sie die Aktivitäten des AMS Accelerate Operations Teams und AMS Accelerate Automation in Ihrem Konto überprüfen können, finden Sie unter[Änderungen in Ihren AMS Accelerate-Konten verfolgen](acc-change-record.md).
Warum, wann und wie AMS auf Ihr Konto zugreift, wird in den folgenden Themen erklärt.
## Auslöser für den Zugriff auf das AMS-Kundenkonto
Die Aktivität beim Zugriff auf AMS-Kundenkonten wird durch Auslöser gesteuert. Die Auslöser sind heute die AWS Tickets, die in unserem Problemmanagementsystem als Reaktion auf Alarme und Ereignisse von Amazon CloudWatch (CloudWatch) erstellt wurden, sowie auf von Ihnen eingereichte Vorfallberichte oder Serviceanfragen. Für jeden Zugriff können mehrere Serviceanrufe und Aktivitäten auf Host-Ebene durchgeführt werden.
Die Begründung des Zugriffs, die Auslöser und der Initiator des Triggers sind in der folgenden Tabelle aufgeführt.
**Auslöser für den Zugriff**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/access-justification.html)
## Zugriff auf das AMS-Kundenkonto (IAM-Rollen)
AMS-Betreiber benötigen die folgenden Rollen, um Ihr Konto zu verwalten.
**Anmerkung**
AMS-Zugriffsrollen ermöglichen AMS-Operatoren den Zugriff auf Ihre Ressourcen, um AMS-Funktionen bereitzustellen (siehe[Service description (Service-Beschreibung)](acc-sd.md)). Eine Änderung dieser Rollen kann uns daran hindern, diese Funktionen bereitzustellen. Wenn Sie die AMS-Zugriffsrollen ändern müssen, wenden Sie sich an Ihren Cloud-Architekten.
**IAM-Rollen für den AMS-Zugriff auf Kundenkonten**
| Name der Rolle | Beschreibung |
| --- | --- |
| ams-access-admin | Diese Rolle hat vollen administrativen Zugriff auf Ihr Konto ohne Einschränkungen. AMS-Dienste verwenden diese Rolle mit restriktiven Sitzungsrichtlinien, die den Zugriff auf die Bereitstellung der AMS-Infrastruktur und den Betrieb Ihres Kontos einschränken. |
| ams-access-admin-operations | Diese Rolle gewährt AMS-Betreibern Administratorberechtigungen für den Betrieb Ihres Kontos. Diese Rolle gewährt keine Lese-, Schreib- oder Löschberechtigungen für Kundeninhalte in AWS Diensten, die üblicherweise als Datenspeicher verwendet werden, wie Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift und Amazon. ElastiCache Diese Rolle können nur qualifizierte AMS-Betreiber übernehmen, die über fundierte Kenntnisse und Erfahrungen im Bereich der Zugriffsverwaltung verfügen. Diese Operatoren dienen als Eskalationsstelle bei Problemen mit der Zugriffsverwaltung und greifen auf Ihre Konten zu, um Probleme mit dem Zugriff auf AMS-Betreiber zu beheben. |
| ams-access-management | Wird während des Onboardings manuell eingesetzt. Das AMS Access-System benötigt diese Rolle für die Verwaltung `ams-access-roles` und `ams-access-managed-policies` Stapelung. |
| ams-access-operations | Diese Rolle ist berechtigt, administrative Aufgaben in Ihren Konten auszuführen. Diese Rolle hat keine Lese-, Schreib- oder Löschberechtigungen für Kundeninhalte in AWS Diensten, die üblicherweise als Datenspeicher verwendet werden, wie Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift und Amazon. ElastiCache Berechtigungen zur Ausführung von AWS Identity and Access Management Schreibvorgängen sind ebenfalls von dieser Rolle ausgeschlossen. Mitarbeiter und Cloud-Architekten (CAs) von AMS Accelerate Operations können diese Rolle übernehmen. |
| ams-access-read-only | Diese Rolle hat nur Lesezugriff auf Ihr Konto. Mitarbeiter und Cloud-Architekten (CAs) von AMS Accelerate Operations können diese Rolle übernehmen. Leseberechtigungen für Kundeninhalte in AWS Diensten, die üblicherweise als Datenspeicher verwendet werden, wie Amazon S3, Amazon RDS, DynamoDB, Amazon Redshift und ElastiCache, erhalten diese Rolle nicht. |
| ams-access-security-analyst | Diese AMS-Sicherheitsrolle verfügt über Berechtigungen in Ihrem AMS-Konto, um spezielle Sicherheitswarnungen zu überwachen und Sicherheitsvorfälle zu behandeln. Nur sehr wenige ausgewählte AMS Security-Mitarbeiter können diese Rolle übernehmen. |
| ams-access-security-analyst-nur lesbar | Diese AMS-Sicherheitsrolle ist auf Leseberechtigungen in Ihrem AMS-Konto beschränkt, um spezielle Sicherheitswarnungen zu überwachen und Sicherheitsvorfälle zu behandeln. |
**Anmerkung**
Dies ist die Vorlage für die ams-access-management Rolle. Es ist der Stack, den Cloud-Architekten (CAs) beim Onboarding manuell in Ihrem Konto bereitstellen: [management-role.yaml](https://ams-account-access-templates.s3.amazonaws.com/management-role.yaml).
[Dies ist die Vorlage für die verschiedenen Zugriffsrollen für die verschiedenen Zugriffsebenen:,,,: accelerate-roles.yaml. ams-access-read-only ams-access-operations ams-access-admin-operations ams-access-admin](https://ams-account-access-templates.s3.amazonaws.com/accelerate-roles.yaml)
# So greift AMS auf Ihr Konto zu
AMS Accelerate-Betreiber können unter bestimmten Umständen auf Ihre Kontokonsole und Ihre Instances zugreifen.
![\[Methode für den Zugriff auf die AMS Accelerate-Konsole.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/accelerate-guide/images/acc-op-console-access-method2.png)
AMS-Betreiber nutzen den internen AMS Accelerate Access Service, um auf sichere und geprüfte Weise auf Ihre Konten zuzugreifen. Für den Zugriff auf Ihre Instances verwenden AMS-Betreiber denselben internen AMS-Zugriffsdienst wie der Broker. Nachdem der Zugriff gewährt wurde, verwenden AMS Accelerate-Betreiber den SSM-Sitzungsmanager, um mithilfe von Sitzungsdaten Zugriff zu erhalten. Der RDP-Zugriff für Windows-Instances wird bereitgestellt, indem eine Portweiterleitung zur Instance eingerichtet und ein lokaler Benutzer mithilfe von SSM erstellt wird. Die lokalen Benutzeranmeldeinformationen werden für den RDP-Zugriff verwendet und am Ende der Sitzung entfernt.
# Wie und wann benutzt man das Root-Benutzerkonto in AMS
Der [Root-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) ist der Superuser in Ihrem AWS Konto. AMS überwacht die Root-Nutzung. Wir empfehlen Ihnen, Root nur für die wenigen Aufgaben zu verwenden, für die es erforderlich ist, z. B.: Änderung Ihrer Kontoeinstellungen, Aktivierung des AWS Identity and Access Management (IAM-) Zugriffs auf Abrechnung und Kostenmanagement, Änderung Ihres Root-Passworts und Aktivierung der Multi-Faktor-Authentifizierung (MFA). *Weitere Informationen finden Sie im Benutzerhandbuch unter [Aufgaben, für die Root-Benutzeranmeldedaten erforderlich](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) sind AWS Identity and Access Management .*
**Rooten Sie mit AMS Accelerate**:
AMS verbietet Ihnen nicht, Ihr Root-Benutzerkonto zu verwenden. AMS Operations and Security behandelt ihre Nutzung jedoch als ein Problem, das untersucht werden muss, und wir werden uns bei jeder Nutzung an Ihr Sicherheitsteam wenden.
Wir empfehlen Ihnen, sich vierundzwanzig Stunden im Voraus mit Ihrem CSDM und Ihrer CA in Verbindung zu setzen, um sie über die Root-Zugriffsarbeiten zu informieren, die Sie durchführen möchten.
**AMS-Betrieb und Sicherheitsreaktion bei Root-Nutzung**:
AMS erhält einen Alarm, wenn das Root-Benutzerkonto verwendet wird. Wenn die Verwendung der Root-Anmeldeinformationen außerplanmäßig erfolgt, wenden sie sich an das AMS-Sicherheitsteam und Ihr Account-Team, um zu überprüfen, ob es sich um eine erwartete Aktivität handelt. Wenn es sich nicht um eine erwartete Aktivität handelt, arbeitet AMS mit Ihrem Sicherheitsteam zusammen, um das Problem zu untersuchen.