Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Identity and Access Management in AMS Accelerate
AWS Identity and Access Management ist ein Webservice, mit dem Sie den Zugriff auf AWS Ressourcen sicher kontrollieren können. Sie verwenden IAM, um zu steuern, wer authentifiziert (angemeldet) und autorisiert (Berechtigungen besitzt) ist, Ressourcen zu nutzen. Während des Onboardings von AMS Accelerate sind Sie dafür verantwortlich, kontoübergreifende IAM-Administratorrollen in jedem Ihrer verwalteten Konten einzurichten.
In AMS Accelerate sind Sie für die Verwaltung des Zugriffs auf Ihre AWS-Konten und die ihnen zugrunde liegenden Ressourcen verantwortlich, z. B. für Zugriffsverwaltungslösungen, Zugriffsrichtlinien und verwandte Prozesse. Das bedeutet, dass Sie Ihren Benutzerlebenszyklus, die Berechtigungen in Verzeichnisdiensten und das föderierte Authentifizierungssystem für den Zugriff auf die AWS Konsole oder AWS APIs verwalten. Um Sie bei der Verwaltung Ihrer Zugriffslösung zu unterstützen, stellt AMS Accelerate AWS Config Regeln bereit, die häufig auftretende IAM-Fehlkonfigurationen erkennen, und sendet Korrekturbenachrichtigungen. Weitere Informationen finden Sie unter AWS Config Managed Rules.
Authentifizierung mit Identitäten in AMS Accelerate
AMS verwendet IAM-Rollen, bei denen es sich um eine Art von IAM-Identität handelt. Eine IAM-Rolle ähnelt einem Benutzer insofern, als es sich um eine Identität mit Berechtigungsrichtlinien handelt, die festlegen, was die Identität tun kann und was nicht. AWS Einer Rolle sind jedoch keine Anmeldeinformationen zugeordnet. Anstatt eindeutig einer Person zugeordnet zu sein, kann jeder, der sie benötigt, davon ausgehen. Ein IAM-Benutzer kann eine Rolle übernehmen, um vorübergehend verschiedene Berechtigungen für eine bestimmte Aufgabe zu erlangen.
Die Zugriffsrollen werden durch die interne Gruppenmitgliedschaft gesteuert, die vom Operations Management verwaltet und regelmäßig überprüft wird. AMS verwendet die folgenden IAM-Rollen.
Anmerkung
AMS-Zugriffsrollen ermöglichen AMS-Operatoren den Zugriff auf Ihre Ressourcen, um AMS-Funktionen bereitzustellen (sieheService description (Service-Beschreibung)). Eine Änderung dieser Rollen kann uns daran hindern, diese Funktionen bereitzustellen. Wenn Sie die AMS-Zugriffsrollen ändern müssen, wenden Sie sich an Ihren Cloud-Architekten.
| Name der Rolle | Beschreibung |
|---|---|
| Wird verwendet von (Entität): Nur AMS Access Service | |
ams-access-management |
Wird von Ihnen während des Onboardings manuell bereitgestellt. Wird nur von AMS Access für die Bereitstellung oder Aktualisierung von Zugriffsrollen vorausgesetzt. Bleibt nach dem Onboarding in Ihrem Konto für future Aktualisierungen der Zugriffsrollen. |
| Wird verwendet von (Entität): AMS Operations | |
ams-access-admin-operations |
Diese Rolle verfügt über Administratorberechtigungen für den Betrieb in Konten, jedoch nicht über Berechtigungen zum Lesen, Schreiben oder Löschen von Kundeninhalten in AWS Diensten, die üblicherweise als Datenspeicher verwendet werden, wie Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift und Amazon. ElastiCache Nur sehr wenige ausgewählte AMS-Mitarbeiter können diese Rolle übernehmen. |
ams-access-operations |
Diese AMS Operations-Rolle ist berechtigt, administrative Aufgaben in Ihren Konten auszuführen. Diese Rolle hat keine Lese-, Schreib- oder Löschberechtigungen für Kundeninhalte in AWS Diensten, die üblicherweise als Datenspeicher verwendet werden, wie Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift und Amazon. ElastiCache Berechtigungen zur Ausführung von AWS Identity and Access Management Schreibvorgängen sind ebenfalls von dieser Rolle ausgeschlossen. |
ams-access-read-only |
Diese schreibgeschützte AMS-Rolle ist auf schreibgeschützte Berechtigungen in Ihrem AMS-Konto beschränkt. Leseberechtigungen für Kundeninhalte in AWS Diensten, die üblicherweise als Datenspeicher verwendet werden, wie Amazon S3, Amazon RDS, DynamoDB, Amazon Redshift und ElastiCache, werden von dieser Rolle nicht gewährt. |
| Wird verwendet von (Entität): AMS Operations und AMS Services | |
ams_ssm_automation_role |
Wird davon ausgegangen, SSM AWS Systems Manager Automation-Dokumente in Ihrem Konto auszuführen. |
ams_ssm_automation_role | |
| Wird verwendet von (Entität): AMS Security | |
ams-access-security-analyst |
Diese AMS-Sicherheitsrolle ist in Ihrem AMS-Konto berechtigt, spezielle Sicherheitswarnungen zu überwachen und Sicherheitsvorfälle zu behandeln. Nur sehr wenige ausgewählte AMS Security-Mitarbeiter können diese Rolle übernehmen. Leseberechtigungen für Kundeninhalte in AWS Diensten, die häufig als Datenspeicher verwendet werden, wie Amazon S3;, Amazon RDS;, Amazon DynamoDB, Amazon Redshift und ElastiCache, werden von dieser Rolle nicht gewährt. |
ams-access-security-analyst-nur lesbar |
Diese AMS-Sicherheitsrolle ist auf Leseberechtigungen in Ihrem AMS-Konto beschränkt, um spezielle Sicherheitswarnungen zu überwachen und Sicherheitsvorfälle zu behandeln. Leseberechtigungen für Kundeninhalte in AWS Diensten, die häufig als Datenspeicher verwendet werden, wie Amazon S3;, Amazon RDS;, Amazon DynamoDB, Amazon Redshift und ElastiCache, werden von dieser Rolle nicht gewährt. |
| Benutzt von (Entität): AWS Services | |
ams-access-admin |
Diese AMS-Administratorrolle verfügt über volle Berechtigungen für den Betrieb von Konten ohne Einschränkungen. Nur interne AMS-Dienste (mit einer abgegrenzten Sitzungsrichtlinie) können die Administratorrolle übernehmen. |
ams-opscenter-eventbridge-role |
Wird von Amazon EventBridge AWS Systems Manager OpsItems als Teil eines AMS-spezifischen AWS-Config-Regeln Behebungsworkflows erstellt. |
AMSOSConfigurationCustomerInstanceRole |
Diese IAM-Rolle wird auf Ihre EC2 Amazon-Instances angewendet, wenn der AMS OS-Konfigurationsservice feststellt, dass die erforderlichen IAM-Richtlinien fehlen. Es ermöglicht Ihren EC2 Amazon-Instances die Interaktion mit AWS Systems Manager Amazon CloudWatch - und EventBridge Amazon-Diensten. Außerdem wurde die individuell verwaltete AMS-Richtlinie beigefügt, um den RDP-Zugriff auf Ihre Windows-Instances zu ermöglichen. |
mc-patch-glue-service-Rolle |
Wird vom AWS Glue ETL-Workflow für die Durchführung der Datentransformation und deren Vorbereitung für den AMS-Patch-Berichtsgenerator übernommen. |
| Wird verwendet von (Entität): AMS Service | |
ams-alarm-manager- AWSManaged ServicesAlarmManagerDe - <8-digit hash> |
Wird von der AMS Alarm Manager-Infrastruktur in Ihrem AMS-Konto verwendet, um die AWS-Config-Regeln Evaluierung für eine neue AWS AppConfig Bereitstellung durchzuführen. |
ams-alarm-manager- AWSManaged ServicesAlarmManagerRe - <8-digit hash> |
Wird von AMS Alarm Manager als Behebungsinfrastruktur in Ihrem AMS-Konto verwendet, um die Erstellung oder Löschung von Alarmen zur Behebung zu ermöglichen. |
ams-alarm-manager- AWSManaged ServicesAlarmManager SS- <8-digit hash> |
Wird davon ausgegangen AWS Systems Manager , dass der AMS Alarm Manager Remediation Service in Ihrem AMS-Konto aufgerufen wird. |
ams-alarm-manager- - AWSManaged ServicesAlarmManagerTr <8-digit hash> |
Wird von der AMS Alarm Manager-Infrastruktur in Ihrem AWS Konto übernommen, um regelmäßige AWS-Config-Regeln AMS-Evaluierungen durchzuführen. |
ams-alarm-manager- AWSManaged ServicesAlarmManagerVa - <8-digit hash> |
Wird von der AMS Alarm Manager-Infrastruktur in Ihrem AMS-Konto übernommen, um sicherzustellen, dass die erforderlichen Alarme im AWS Konto vorhanden sind. |
ams-backup-iam-role |
Diese Rolle wird für die Ausführung AWS Backup innerhalb Ihrer Konten verwendet. |
AMS-Überwachung- - AWSManaged ServicesLogGroupLimitLamb <8-digit hash> |
Wird von der AMS Logging & Monitoring-Infrastruktur in Ihrem AMS-Konto verwendet, um das Amazon CloudWatch Logs-Gruppenlimit auszuwerten und mit den Servicekontingenten zu vergleichen. |
ams-monitoring- AWSManaged Dienste RDSMonitoring RDSE- <8-digit hash> |
Wird von der AMS Logging & Monitoring-Infrastruktur in Ihrem AMS-Konto verwendet, um Amazon RDS-Ereignisse an Amazon CloudWatch Events weiterzuleiten. |
AMS-Überwachung- - AWSManaged ServicesRedshiftMonitorin <8-digit hash> |
Wird von der AMS Logging & Monitoring-Infrastruktur in Ihrem AMS-Konto übernommen, um Amazon Redshift Redshift-Ereignisse (CreateCluster und DeleteCuster) an Amazon CloudWatch Events weiterzuleiten. |
ams-monitoring-infrastruc- - AWSManaged ServicesMonito <8-digit hash> |
Wird von der AMS Logging & Monitoring-Infrastruktur in Ihrem AMS-Konto vorausgesetzt, um Nachrichten an Amazon Simple Notification Service zu veröffentlichen, um zu überprüfen, ob das Konto alle erforderlichen Daten meldet. |
ams-opscenter-role |
Wird vom AMS Notification Management System in Ihrem AMS-Konto für die AWS Systems Manager OpsItems Verwaltung der Benachrichtigungen in Ihrem Konto übernommen. |
ams-opsitem-autoexecution-role |
Wird vom AMS Notification Management System übernommen, um automatische Problembehebungen mithilfe von SSM-Dokumenten zur Überwachung von Warnmeldungen im Zusammenhang mit Ressourcen in Ihrem Konto durchzuführen. |
ams-patch-infrastructure-amspatchconfigruleroleC1- <8-digit hash> |
Wird angenommen AWS Config , um die AMS-Patch-Ressourcen auszuwerten und Abweichungen in den AWS CloudFormation Stacks zu erkennen. |
ams-patch-infrastructure-amspatchcwruleopsitemams- <8-digit hash> |
Von Amazon angenommen, dass EventBridge es AWS Systems Manager OpsItems für Patch-Fehler erstellt. |
ams-patch-infrastructure-amspatchservicebusamspat- <8-digit hash> |
Geht von Amazon davon aus EventBridge , dass es ein Ereignis an den AMS Patch Orchestrator-Ereignisbus sendet, um Benachrichtigungen über Statusänderungen in der AWS Systems Manager Wartung von Windows zu erhalten. |
ams-patch-reporting-infra-amspatchreportingconfigr- <8-digit hash> |
Wird verwendet AWS Config , um die AMS-Patch-Berichtsressourcen auszuwerten und Abweichungen in den Stacks zu erkennen. AWS CloudFormation |
ams-resource-tagger- - AWSManaged ServicesResourceTagg <8-digit hash> |
Wird von der AMS Resource Tagger-Infrastruktur in Ihrem AMS-Konto übernommen, um bei einer neuen AWS AppConfig Bereitstellung eine AWS-Config-Regeln Evaluierung durchzuführen. |
ams-resource-tagger- - AWSManaged ServicesResourceTagg <8-digit hash> |
Wird von der AMS Resource Tagger-Infrastruktur in Ihrem AMS-Konto vorausgesetzt, um zu überprüfen, ob die erforderlichen AWS Tags für die verwalteten Ressourcen vorhanden sind. |
ams-resource-tagger- - AWSManaged ServicesResourceTagg <8-digit hash> |
Wird davon ausgegangen, dass der Workflow AWS Systems Manager zur Behebung von AMS Resource Tagger in Ihrem AMS-Konto aufgerufen wird. |
ams-resource-tagger- AWSManaged ServicesResourceTagg - <8-digit hash> |
Wird von der AMS Resource Tagger Remediation-Infrastruktur in Ihrem AMS-Konto übernommen, um AWS Tags für die verwalteten Ressourcen zu erstellen oder zu löschen. |
ams-resource-tagger- - AWSManaged ServicesResourceTagg <8-digit hash> |
Wird von der AMS Resource Tagger-Infrastruktur in Ihrem AWS Konto zur regelmäßigen Evaluierung der AMS Config Rule vorausgesetzt. |
ams_os_configuration_event_rule_role- <AWS Region> |
Geht davon aus EventBridge , dass Amazon Ereignisse von Ihrem Konto an den AMS OS-Konfigurationsservice EventBus in der richtigen Region weiterleitet. |
mc-patch-reporting-service |
Wird vom AMS-Patchdatenaggregator und Berichtsgenerator vorausgesetzt. |
Anmerkung
Dies ist die Vorlage für die ams-access-management Rolle. Es ist der Stack, den Cloud-Architekten (CAs) beim Onboarding manuell in Ihrem Konto bereitstellen: management-role.yaml
AMS Accelerate Feature Services übernehmen die ams-access-adminRolle des programmatischen Zugriffs auf das Konto, allerdings mit einer Sitzungsrichtlinie, die auf den jeweiligen Feature-Service beschränkt ist (z. B. Patch, Backup, Überwachung usw.).
AMS Accelerate hält sich an branchenweit bewährte Verfahren, um die Voraussetzungen für die Einhaltung von Vorschriften zu erfüllen und aufrechtzuerhalten. Der Zugriff von AMS Accelerate auf Ihr Konto wird aufgezeichnet CloudTrail und steht Ihnen auch zur Überprüfung über die Änderungsverfolgung zur Verfügung. Informationen zu Abfragen, mit denen Sie diese Informationen abrufen können, finden Sie unterÄnderungen in Ihren AMS Accelerate-Konten verfolgen.
Verwalten des Zugriffs mit Richtlinien
Verschiedene AMS Accelerate-Support-Teams wie Operations Engineers, Cloud Architects und Cloud Service Delivery Manager (CSDMs) benötigen manchmal Zugriff auf Ihre Konten, um auf Serviceanfragen und Vorfälle zu reagieren. Ihr Zugriff wird durch einen internen AMS-Zugangsdienst geregelt, der Kontrollen wie z. B. geschäftliche Begründungen, Serviceanfragen, operative Aufgaben und Supportfälle durchsetzt. Der Standardzugriff ist schreibgeschützt, und der gesamte Zugriff wird nachverfolgt und aufgezeichnet (siehe auch). Änderungen in Ihren AMS Accelerate-Konten verfolgen
Validierung von IAM-Ressourcen
Das AMS Accelerate-Zugriffssystem übernimmt regelmäßig Rollen in Ihren Konten (mindestens alle 24 Stunden) und überprüft, ob alle unsere IAM-Ressourcen den Erwartungen entsprechen.
Um Ihre Konten zu schützen, verfügt AMS Accelerate über ein „Kanariensystem“, das das Vorhandensein und den Status der IAM-Rollen sowie der damit verbundenen Richtlinien, die oben erwähnt wurden, überwacht und Alarme sendet. In regelmäßigen Abständen übernimmt der Canary die ams-access-read-onlyRolle CloudFormation und leitet IAM-API-Aufrufe gegen Ihre Konten ein. Der Canary bewertet den Status der AMS Accelerate-Zugriffsrollen, um sicherzustellen, dass sie immer unverändert sind und. up-to-date Durch diese Aktivität werden CloudTrail Protokolle im Konto erstellt.
Der Sitzungsname AWS Security Token Service (AWS STS) des Canary lautet AMS-Access-Roles-Auditor- {uuid4 ()}, wie in beschrieben, und die folgenden API-Aufrufe finden statt: CloudTrail
API-Aufrufe von Cloud Formation:
describe_stacks()IAM-API-Aufrufe:
get_role()list_attached_role_policies()list_role_policies()get_policy()get_policy_version()get_role_policy()
