Erste Schritte mit dem Direct Change-Modus - AMS-Benutzerhandbuch für Fortgeschrittene
IAM-Rollen und -Richtlinien im Direktänderungsmodus

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit dem Direct Change-Modus

Überprüfen Sie zunächst die Voraussetzungen und reichen Sie dann einen Änderungsantrag (RFC) in Ihrem berechtigten AMS Advanced-Konto ein.

  1. Vergewissern Sie sich, dass das Konto, das Sie mit DCM verwenden möchten, die Anforderungen erfüllt:

    • Das Konto ist AMS Advanced Plus oder Premium.

    • Für das Konto ist Service Catalog nicht aktiviert. Wir unterstützen derzeit nicht das gleichzeitige Onboarding von Konten für DCM und Service Catalog. Wenn Sie bereits bei Service Catalog angemeldet sind, aber an DCM interessiert sind, besprechen Sie Ihre Anforderungen mit Ihrem Cloud Service Delivery Manager (CSDM). Wenn Sie sich dazu entschließen, von Service Catalog zu DCM, Offboard Service Catalog, zu wechseln, fügen Sie die Anfrage in die unten stehende Änderungsanfrage ein. Einzelheiten zum Service Catalog in AMS finden Sie unter AMS und Service Catalog.

  2. Senden Sie eine Änderungsanforderung (RFC) über die Optionen Verwaltung | Verwaltetes Konto | Direkter Änderungsmodus | Änderungstyp aktivieren (ct-3rd4781c2nnhp). Ein Beispiel für eine exemplarische Vorgehensweise finden Sie unter Direkter Änderungsmodus | Aktivieren.

    Nach der Verarbeitung des CT werden die vordefinierten IAM-Rollen AWSManagedServicesCloudFormationAdminRole und AWSManagedServicesUpdateRole E im angegebenen Konto bereitgestellt.

  3. Weisen Sie den Benutzern, die DCM-Zugriff benötigen, mithilfe Ihres internen Verbundprozesses die entsprechende Rolle zu.

Anmerkung

Sie können eine beliebige Anzahl von SAMLIdentity Anbietern, AWS Diensten und IAM-Entitäten (Rollen, Benutzer usw.) angeben, um die Rollen zu übernehmen. Sie müssen mindestens ein: SAMLIdentityProviderARNsIAMEntityARNs, oder AWSServicePrincipals angeben. Weitere Informationen erhalten Sie von der IAM-Abteilung Ihres Unternehmens oder von Ihrem AMS Cloud Architect (CA).

IAM-Rollen und -Richtlinien im Direktänderungsmodus

Wenn der Direct Change-Modus in einem Konto aktiviert ist, werden diese neuen IAM-Entitäten bereitgestellt:

AWSManagedServicesCloudFormationAdminRole: Diese Rolle gewährt Zugriff auf die CloudFormation Konsole, das Erstellen und Aktualisieren von CloudFormation Stacks, das Anzeigen von Drift-Berichten sowie das Erstellen und Ausführen. CloudFormation ChangeSets Der Zugriff auf diese Rolle wird über Ihren SAML-Anbieter verwaltet.

Folgende verwaltete Richtlinien werden bereitgestellt und der Rolle AWSManagedServicesCloudFormationAdminRole zugewiesen:

  • AMS Advanced-Anwendungskonto für mehrere Konten (MALZ)

    • AWSManagedServices_CloudFormationAdminPolicy1

    • AWSManagedServices_CloudFormationAdminPolicy2

      • Diese Richtlinie stellt die Berechtigungen dar, die dem gewährt wurden. AWSManagedServicesCloudFormationAdminRole Sie und Ihre Partner verwenden diese Richtlinie, um Zugriff auf eine bestehende Rolle im Konto zu gewähren und dieser Rolle das Starten und Aktualisieren von CloudFormation Stacks im Konto zu ermöglichen. Dies kann zusätzliche Aktualisierungen der AMS Service Control Policy (SCP) erfordern, damit andere IAM-Entitäten Stacks starten können. CloudFormation

  • AMS Advanced-Landingzone-Konto (SALZ) mit einem Konto

    • AWSManagedServices_CloudFormationAdminPolicy1

    • AWSManagedServices_CloudFormationAdminPolicy2

    • cdk-legacy-mode-s[Inline-Richtlinie] mit 3 Zugriffen

    • AWS ReadOnlyAccess Richtlinie

AWSManagedServicesUpdateRole: Diese Rolle gewährt eingeschränkten Zugriff auf nachgelagerte AWS Dienste APIs. Die Rolle wird mit verwalteten Richtlinien bereitgestellt, die mutierende und nicht mutierende API-Operationen bereitstellen, aber im Allgemeinen mutierende Operationen (wieCreate/Delete/PUT) für bestimmte Dienste wie IAM, KMS, VPC, AMS-Infrastrukturressourcen und -konfiguration usw. einschränken. GuardDuty Der Zugriff auf diese Rolle wird über Ihren SAML-Anbieter verwaltet.

Folgende verwaltete Richtlinien werden bereitgestellt und der Rolle AWSManagedServicesUpdateRole zugewiesen:

  • AMS Advanced landing zone Anwendungskonto für mehrere Konten

    • AWSManagedServicesUpdateBasePolicy 

    • AWSManagedServicesUpdateDenyPolicy 

    • AWSManagedServicesUpdateDenyProvisioningPolicy 

    • AWSManagedServicesUpdateEC2Und RDSPolicy 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfraPolitik

  • AMS Advanced-Landingzone-Konto mit einem Konto

    • AWSManagedServicesUpdateBasePolicy 

    • AWSManagedServicesUpdateDenyProvisioningPolicy 

    • AWSManagedServicesUpdateEC2Und RDSPolicy 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfraRichtlinie 1 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfraRichtlinie 2

Darüber hinaus ist der AWSManagedServicesUpdateRole Rolle „Verwaltete Richtlinie“ auch die AWS verwaltete Richtlinie ViewOnlyAccess zugeordnet.