Details zur Änderung von IAM-Berechtigungen - AMS Accelerate-Benutzerhandbuch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Details zur Änderung von IAM-Berechtigungen

Jede verwaltete Instanz muss über eine AWS Identity and Access Management Rolle verfügen, die die folgenden verwalteten Richtlinien umfasst:

  • arn:aws:iam: :aws:policy/Amazon SSMManaged InstanceCore

  • arn:aws:iam: :aws:policy/ CloudWatchAgentServerPolicy

  • arn:aws:iam: :aws:policy/ AMSInstance ProfileBasePolicy

Bei den ersten beiden handelt es sich um verwaltete Richtlinien. AWS Die vom AMS verwaltete Richtlinie lautet:

AMSInstanceProfileBasePolicy

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:UpdateSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:*:*:secret:/ams/byoa/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "kms:Encrypt"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

Wenn Ihrer Instance bereits eine IAM-Rolle zugewiesen ist, aber eine dieser Richtlinien fehlt, fügt AMS die fehlenden Richtlinien zu Ihrer IAM-Rolle hinzu. Wenn Ihre Instance keine IAM-Rolle hat, fügt AMS die IAM-Rolle hinzu. AMSOSConfigurationCustomerInstanceProfile Die AMSOSConfigurationCustomerInstanceProfileIAM-Rolle enthält alle Richtlinien, die für AMS Accelerate erforderlich sind.

Anmerkung

Wenn das standardmäßige Instanzprofillimit von 10 erreicht ist, erhöht AMS das Limit auf 20, sodass die erforderlichen Instanzprofile angehängt werden können.