Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Warum und wann AMS auf Ihr Konto zugreift
AWS Managed Services (AMS) verwaltet Ihre AWS-Infrastruktur, und manchmal greifen AMS-Betreiber und -Administratoren aus bestimmten Gründen auf Ihr Konto zu. Diese Zugriffsereignisse sind in Ihren AWS CloudTrail (CloudTrail) -Protokollen dokumentiert.
Warum, wann und wie AMS auf Ihr Konto zugreift, wird in den folgenden Themen erklärt.
Auslöser für den Zugriff auf das AMS-Kundenkonto
Die Aktivität beim Zugriff auf AMS-Kundenkonten wird durch Auslöser gesteuert. Die Auslöser sind heute die AWS Tickets, die in unserem Problemmanagementsystem als Reaktion auf Alarme und Ereignisse von Amazon CloudWatch (CloudWatch) erstellt wurden, sowie auf von Ihnen eingereichte Vorfallberichte oder Serviceanfragen. Für jeden Zugriff können mehrere Serviceanrufe und Aktivitäten auf Host-Ebene durchgeführt werden.
Die Begründung des Zugriffs, die Auslöser und der Initiator des Triggers sind in der folgenden Tabelle aufgeführt.
| Zugriff | Initiator | Auslöser |
|---|---|---|
Patchen |
AMS |
Problem mit dem Patch |
Infrastrukturbereitstellungen |
AMS |
Problem mit der Bereitstellung |
Untersuchung interner Probleme |
AMS |
Problemproblem (ein Problem, das als systemisch eingestuft wurde) |
Untersuchung und Behebung von Warnmeldungen |
AMS |
Operative Arbeitselemente (SSM OpsItems) von AWS Systems Manager |
Manuelle RFC-Ausführung |
Sie |
Problem mit dem Änderungsantrag (RFC). (Nicht automatisiertes System erfordert RFCs möglicherweise AMS-Zugriff auf Ihre Ressourcen) |
Untersuchung und Behebung von Vorfällen |
Sie |
Eingehender Support-Fall (ein Vorfall oder eine Serviceanfrage, die Sie einreichen) |
Bearbeitung eingehender Serviceanfragen |
Sie |
Zugriff auf das AMS-Kundenkonto (IAM-Rollen)
Bei Aktivierung greift AMS mithilfe von AWS Identity and Access Management (IAM-) Rollen auf Kundenkonten zu. Wie alle Aktivitäten in Ihrem Konto sind auch die Rollen und ihre Nutzung angemeldet. CloudTrail
Wichtig
Ändern oder löschen Sie diese Rollen nicht.
| Name der Rolle | Kontotyp (SALZ, MALZ-Management, MALZ-Anwendung usw.) | Beschreibung |
|---|---|---|
ams-service-admin |
SALZ, MALZ |
Automatischer Zugriff auf AMS-Services und automatisierte Infrastrukturbereitstellungen, z. B. Patch, Backup, Automated Remediation. |
ams-application-infra-read-nur |
SALZ, MALZ-Anwendung, MALZ-Tools-Anwendung |
Nur lesender Zugriff für den Bediener |
ams-application-infra-operations |
Bedienerzugriff für incidents/service Anfragen | |
ams-application-infra-admin |
AD-Admin-Zugriff | |
ams-primary-read-only |
MALZ-Verwaltung |
Nur lesender Zugriff für den Bediener |
ams-primary-operations |
Bedienerzugriff für incidents/service Anfragen | |
ams-primary-admin |
AD-Admin-Zugriff | |
ams-logging-read-only |
MALZ-Protokollierung |
Nur lesender Zugriff durch den Betreiber |
ams-logging-operations |
Bedienerzugriff für incidents/service Anfragen | |
ams-logging-admin |
AD-Admin-Zugriff | |
ams-networking-read-only |
MALZ Networking |
Nur lesender Zugriff durch den Betreiber |
ams-networking-operations |
Bedienerzugriff für incidents/service Anfragen | |
ams-networking-admin |
AD-Admin-Zugriff | |
ams-shared-services-read-nur |
Gemeinsame Dienste von MALZ |
Nur lesender Zugriff durch den Betreiber |
ams-shared-services-operations |
Bedienerzugriff für incidents/service Anfragen | |
ams-shared-services-admin |
AD-Admin-Zugriff | |
ams-security-read-only |
MALZ-Sicherheit |
Nur lesender Zugriff durch den Bediener |
ams-security-operations |
Bedienerzugriff für incidents/service Anfragen | |
ams-security-admin |
AD-Admin-Zugriff | |
ams-access-security-analyst |
SALZ, MALZ-Anwendung, MALZ Tools-Anwendung, MALZ Core |
AMS-Sicherheitszugriff |
ams-access-security-analyst-nur lesbar |
AMS-Sicherheit, Nur-Lese-Zugriff | |
Sentinel_ _Role_ 0 MBHe AdminUser PXHaz RQadu PVc CDc |
SALZ |
[BreakGlassRole] Wird verwendet, um Glass in die Kundenkonten einzuschleusen |
PowerUserSentinel_ _Role_ S0 0 wZuPu ROOl IazDb RI9 |
SALZ, MALZ |
Poweruser-Zugriff auf Kundenkonten für die RFC-Ausführung |
Sentinel_ _Role_PD4L6RW9RD0LNLKD5 ReadOnlyUser JOo |
ReadOnly Zugriff auf Kundenkonten für die RFC-Ausführung | |
ams_admin_role |
Administratorzugriff auf Kundenkonten für die RFC-Ausführung | |
AWSManagedServices_Provisioning_CustomerStacksRole |
Wird verwendet, um CFN-Stacks im Namen von Kunden über Ingest zu starten und zu aktualisieren CloudFormation | |
customer_ssm_automation_role |
Die Rolle wurde von CT-Ausführungen zur Runbook-Ausführung an SSM Automation übergeben | |
ams_ssm_automation_role |
SALZ, MALZ-Anwendung, MALZ-Kern |
Die Rolle wurde von den AMS-Diensten zur Runbook-Ausführung an SSM Automation übergeben |
ams_ssm_iam_deployment_role |
MALZ-Anwendung |
Vom IAM-Katalog verwendete Rolle |
ams_ssm_shared_svcs_intermediary_role |
Gemeinsame Dienste von MALZ |
Rolle, die von der Anwendung ams_ssm_automation_role verwendet wird, um bestimmte SSM-Dokumente im Shared Services-Konto auszuführen |
AmsOpsCenterRole |
SALZ, MALZ |
Wird zum Erstellen und Aktualisieren von OpsItems Kundenkonten verwendet |
AMSOpsItemAutoExecutionRole |
Wird verwendet, um SSM-Dokumente abzurufen, Ressourcen-Tags zu beschreiben, zu aktualisieren OpsItems und die Automatisierung zu starten | |
customer-mc-ec2-Instanzen-Profil |
EC2 Standard-Kundeninstanzprofil (Rolle) |
Instanzzugriff anfordern
Um auf eine Ressource zuzugreifen, müssen Sie zunächst einen Änderungsantrag (RFC) für diesen Zugriff einreichen. Es gibt zwei Zugriffsarten, die Sie anfordern können: admin (Lese-/Schreibberechtigungen) und schreibgeschützt (Standardbenutzerzugriff). Der Zugriff dauert standardmäßig acht Stunden. Diese Information ist erforderlich:
Stack-ID oder Stack-Set für die Instance oder die Instances IDs, auf die Sie zugreifen möchten.
Der vollqualifizierte Domainname Ihrer vertrauenswürdigen AMS-Domäne.
Der Active Directory-Benutzername der Person, die Zugriff wünscht.
Die ID der VPC, in der sich die Stacks befinden, auf die Sie zugreifen möchten.
Sobald Ihnen der Zugriff gewährt wurde, können Sie die Anfrage nach Bedarf aktualisieren.
Beispiele dafür, wie Sie Zugriff beantragen können, finden Sie unter Stack Admin Access | Grant oder Stack Read-only Access | Grant.
