MALZ: Standard-IAM-Benutzerrollen SALZ: Standard-IAM-Benutzerrolle

IAM-Benutzerrolle in AMS

Eine IAM-Rolle ähnelt einem IAM-Benutzer insofern, als es sich um eine AWS Identität mit Berechtigungsrichtlinien handelt, die festlegen, was die Identität tun darf und was nicht. AWS Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen.

Derzeit gibt es eine AMS-Standardbenutzerrolle für AMS-Standardkonten und eine zusätzliche Rolle customer_managed_ad_user_role für AMS-Konten mit Managed Active Directory. Customer_ReadOnly_Role

Die Rollenrichtlinien legen Berechtigungen für CloudWatch Amazon S3 S3-Protokollaktionen, AMS-Konsolenzugriff, Leseeinschränkungen für die meisten AWS-Services, eingeschränkten Zugriff auf die S3-Konsole des Kontos und AMS-Change-Typ-Zugriff fest.

Darüber hinaus Customer_ReadOnly_Role verfügt der über mutative Reserved-Instance-Berechtigungen, mit denen Sie Instances reservieren können. Es hat einige Kosteneinsparungsmöglichkeiten. Wenn Sie also wissen, dass Sie über einen längeren Zeitraum eine bestimmte Anzahl von EC2 Amazon-Instances benötigen, können Sie diese APIs aufrufen. Weitere Informationen finden Sie unter Amazon EC2 Reserved Instances.

Anmerkung

Das AMS Service Level Objective (SLO) für die Erstellung benutzerdefinierter IAM-Richtlinien für IAM-Benutzer beträgt vier Arbeitstage, es sei denn, eine bestehende Richtlinie wird wiederverwendet. Wenn Sie die bestehende IAM-Benutzerrolle ändern oder eine neue hinzufügen möchten, reichen Sie jeweils einen IAM: Update Entity oder IAM: Create Entity RFC ein.

Wenn Sie mit Amazon IAM-Rollen nicht vertraut sind, finden Sie wichtige Informationen unter IAM-Rollen.

Multi-Account-Landingzone (MALZ): Die standardmäßigen, nicht angepassten Richtlinien für Benutzerrollen für mehrere Konten von AMS finden Sie unter Weiter. MALZ: Standard-IAM-Benutzerrollen

MALZ: Standard-IAM-Benutzerrollen

JSON-Richtlinienerklärungen für die standardmäßigen AMS-Landingzone-Benutzerrollen mit mehreren Konten.

Anmerkung

Die Benutzerrollen sind anpassbar und können je nach Konto unterschiedlich sein. Anweisungen zur Suche nach Ihrer Rolle finden Sie hier.

Dies sind Beispiele für die standardmäßigen MALZ-Benutzerrollen. Um sicherzustellen, dass Sie die benötigten Richtlinien festgelegt haben, führen Sie den AWS-Befehl aus get-roleoder melden Sie sich bei der AWS-Management -> IAM-Konsole an und wählen Sie im Navigationsbereich Rollen aus.

Rollen der wichtigsten OU-Konten

Ein Kernkonto ist ein von Malz verwaltetes Infrastrukturkonto. AMS-Landingzone mit mehreren Konten Zu den Kernkonten gehören ein Verwaltungskonto und ein Netzwerkkonto.

Core-OU-Konto: Allgemeine Rollen und Richtlinien
Rolle	Richtlinie oder Richtlinien
AWSManagedServicesReadOnlyRole	ReadOnlyAccess(Öffentliche verwaltete AWS-Richtlinie).
AWSManagedServicesCaseRole	ReadOnlyAccess
AWSManagedServicesCaseRole	AWSSupportZugriff (Öffentliche AWS-verwaltete Richtlinie).
AWSManagedServicesChangeManagementRole (Version des Hauptkontos)	ReadOnlyAccess
	AWSSupportAccess
	AMSChangeManagementReadOnlyPolicy
	AMSChangeManagementInfrastructurePolicy

OU-Hauptkonto: Rollen und Richtlinien für Verwaltungskonten
Rolle	Richtlinie oder Richtlinien
AWSManagedServicesBillingRole	AMSBillingRichtlinie (AMSBillingRichtlinie).
AWSManagedServicesReadOnlyRole	ReadOnlyAccess(Öffentliche verwaltete AWS-Richtlinie).
AWSManagedServicesCaseRole	ReadOnlyAccess
AWSManagedServicesCaseRole	AWSSupportZugriff (Öffentliche AWS-verwaltete Richtlinie).
AWSManagedServicesChangeManagementRole (Version des Verwaltungskontos)	ReadOnlyAccess
	AWSSupportAccess
	AMSChangeManagementReadOnlyPolicy
	AMSChangeManagementInfrastructurePolicy
	AMSMasterAccountSpecificChangeManagementInfrastructurePolicy

OU-Hauptkonto: Rollen und Richtlinien für Netzwerkkonten
Rolle	Richtlinie oder Richtlinien
AWSManagedServicesReadOnlyRole	ReadOnlyAccess(Öffentliche verwaltete AWS-Richtlinie).
AWSManagedServicesCaseRole	ReadOnlyAccess
AWSManagedServicesCaseRole	AWSSupportZugriff (Öffentliche AWS-verwaltete Richtlinie).
AWSManagedServicesChangeManagementRole (Version des Netzwerkkontos)	ReadOnlyAccess
	AWSSupportAccess
	AMSChangeManagementReadOnlyPolicy
	AMSChangeManagementInfrastructurePolicy
	AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy

Rollen von Anwendungskonten

Anwendungskontorollen werden auf Ihre anwendungsspezifischen Konten angewendet.

Anwendungskonto: Rollen und Richtlinien
Rolle	Richtlinie oder Richtlinien
AWSManagedServicesReadOnlyRole	ReadOnlyAccess(Öffentliche verwaltete AWS-Richtlinie).
AWSManagedServicesCaseRole	ReadOnlyAccess
AWSManagedServicesCaseRole	AWSSupportZugriff (Öffentliche AWS-verwaltete Richtlinie). Diese Richtlinie bietet Zugriff auf alle Support-Aktivitäten und Ressourcen. Weitere Informationen finden Sie unter Erste Schritte mit AWS Support.
AWSManagedServicesSecurityOpsRole	ReadOnlyAccess
	AWSSupportBeispiel für Access Diese Richtlinie bietet Zugriff auf alle Support-Aktivitäten und Ressourcen.
	`AWSCertificateManagerFullAccess`Informationen, (Öffentliche verwaltete AWS-Richtlinie)
	`AWSWAFFullAccess`Informationen, (Öffentliche AWS-verwaltete Richtlinie). Diese Richtlinie gewährt vollen Zugriff auf AWS-WAF-Ressourcen.
	AMSSecretsManagerSharedPolicy
AWSManagedServicesChangeManagementRole (Version des Anwendungskontos)	ReadOnlyAccess
	AWSSupportZugriff (Öffentliche AWS-verwaltete Richtlinie). Diese Richtlinie bietet Zugriff auf alle Support-Aktivitäten und Ressourcen. Weitere Informationen finden Sie unter Erste Schritte mit AWS Support.
	AMSSecretsManagerSharedPolicy
	AMSChangeManagementPolicy
	AMSReservedInstancesPolicy
	AMSS3Richtlinie
AWSManagedServicesAdminRole	ReadOnlyAccess
	AWSSupportAccess
	AMSChangeManagementInfrastructurePolicy
	AWSMarketplaceManageSubscriptions
	AMSSecretsManagerSharedPolicy
	AMSChangeManagementPolicy
	AWSCertificateManagerFullAccess
	AWSWAFFullAccess
	AMSS3Richtlinie
	AMSReservedInstancesPolicy

Beispiele für Richtlinien

Für die meisten verwendeten Richtlinien werden Beispiele bereitgestellt. Um die ReadOnlyAccess Richtlinie einzusehen (die Seiten lang ist, da sie nur Lesezugriff auf alle AWS Services bietet), können Sie diesen Link verwenden, wenn Sie ein aktives AWS-Konto haben:. ReadOnlyAccess Außerdem ist hier eine komprimierte Version enthalten.

AMSBillingRichtlinie

AMSBillingPolicy

Die neue Rolle „Abrechnung“ kann von Ihrer Buchhaltungsabteilung verwendet werden, um Rechnungsinformationen oder Kontoeinstellungen im Verwaltungskonto einzusehen und zu ändern. Sie verwenden diese Rolle, um auf Informationen wie alternative Kontakte zuzugreifen, die Nutzung der Kontoressourcen einzusehen, Ihre Abrechnung im Auge zu behalten oder sogar Ihre Zahlungsmethoden zu ändern. Diese neue Rolle umfasst alle Berechtigungen, die auf der Webseite AWS Billing IAM-Aktionen aufgeführt sind.

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "aws-portal:ViewBilling",
                "aws-portal:ModifyBilling"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToBilling"
        },
        {
            "Action": [
                "aws-portal:ViewAccount",
                "aws-portal:ModifyAccount"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToAccountSettings"
        },
        {
            "Action": [
                "budgets:ViewBudget",
                "budgets:ModifyBudget"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToAccountBudget"
        },
        {
            "Action": [
                "aws-portal:ViewPaymentMethods",
                "aws-portal:ModifyPaymentMethods"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToPaymentMethods"
        },
        {
            "Action": [
                "aws-portal:ViewUsage"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToUsage"
        },
        {
            "Action": [
                "cur:DescribeReportDefinitions",
                "cur:PutReportDefinition",
                "cur:DeleteReportDefinition",
                "cur:ModifyReportDefinition"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToCostAndUsageReport"
        },
        {
            "Action": [
                "pricing:DescribeServices",
                "pricing:GetAttributeValues",
                "pricing:GetProducts"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToPricing"
        },
        {
            "Action": [
                "ce:*",
                "compute-optimizer:*"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToCostExplorerComputeOptimizer"
        },
        {
            "Action": [
                "purchase-orders:ViewPurchaseOrders",
                "purchase-orders:ModifyPurchaseOrders"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToPurchaseOrders"
        },
        {
            "Action": [
                "redshift:AcceptReservedNodeExchange",
                "redshift:PurchaseReservedNodeOffering"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToRedshiftAction"
        },
        {
            "Action": "savingsplans:*",
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AWSSavingsPlansFullAccess"
        }
    ]
}

AMSChangeManagementReadOnlyPolicy

AMSChangeManagementReadOnlyPolicy

Berechtigungen zum Einsehen aller AMS-Änderungstypen und des Verlaufs der angeforderten Änderungstypen.

AMSMasterAccountSpecificChangeManagementInfrastructurePolicy

AMSMasterAccountSpecificChangeManagementInfrastructurePolicy

Berechtigungen zum Anfordern des Änderungstyps Deployment | Verwaltete landing zone | Verwaltungskonto | Anwendungskonto erstellen (mit VPC).

AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy

AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy

Berechtigungen zum Anfordern der Bereitstellung | Verwaltete landing zone | Netzwerkkonto | Änderungstyp der Anwendungsroutentabelle erstellen.

AMSChangeManagementInfrastructurePolicy

AMSChangeManagementInfrastructurePolicy(für die Verwaltung | Andere | Andere CTs)

AMSSecretsManagerSharedPolicy

AMSSecretsManagerSharedPolicy

Berechtigungen zum Einsehen von passwords/hashes Geheimnissen, die von AMS geteilt wurden AWS Secrets Manager (z. B. Passwörter für die Infrastruktur zu Prüfungszwecken).

Berechtigungen zum Erstellen von password/hashes Geheimnissen zur Weitergabe an AMS. (zum Beispiel Lizenzschlüssel für Produkte, die bereitgestellt werden müssen).

AMSChangeManagementPolicy

AMSChangeManagementPolicy

Berechtigungen zum Anfordern und Anzeigen aller AMS-Änderungstypen sowie des Verlaufs der angeforderten Änderungstypen.

AMSReservedInstancesPolicy

AMSReservedInstancesPolicy

Berechtigungen zur Verwaltung von Amazon EC2 Reserved Instances; Preisinformationen finden Sie unter Amazon EC2 Reserved Instances.

AMSS3Richtlinie

AMSS3Policy

Berechtigungen zum Erstellen und Löschen von Dateien aus vorhandenen Amazon S3 S3-Buckets.

Anmerkung

Diese Berechtigungen gewähren nicht die Möglichkeit, S3-Buckets zu erstellen. Dies muss mit dem Änderungstyp Deployment | Erweiterte Stack-Komponenten | S3-Speicher | Create erfolgen.

AWSSupportZugriff

AWSSupportAccess

Voller Zugriff auf Support. Weitere Informationen finden Sie unter Erste Schritte mit Support. Informationen zum Premium-Support finden Sie unter Support.

AWSMarketplaceManageSubscriptions

AWSMarketplaceManageSubscriptions(Öffentlich AWS verwaltete Richtlinie)

Berechtigungen zum Abonnieren, Abbestellen und Ansehen von AWS Marketplace Abonnements.

AWSCertificateManagerFullAccess

AWSCertificateManagerFullAccess

Voller Zugriff auf AWS Certificate Manager. Weitere Informationen finden Sie unter AWS Certificate Manager.

AWSCertificateManagerFullAccessInformationen, (Öffentliche AWS-verwaltete Richtlinie).

AWSWAFFullZugriff

AWSWAFFullAccess

Voller Zugriff auf AWS WAF. Weitere Informationen finden Sie unter AWS WAF - Web Application Firewall.

AWSWAFFullAccessInformationen, (Öffentlich AWS verwaltete Richtlinie). Diese Richtlinie gewährt vollen Zugriff auf AWS WAF Ressourcen.

ReadOnlyAccess

ReadOnlyAccess

Schreibgeschützter Zugriff auf alle AWS Dienste und Ressourcen auf der AWS Konsole. Wenn ein neuer Dienst AWS gestartet wird, aktualisiert AMS die ReadOnlyAccess Richtlinie, um Nur-Lese-Berechtigungen für den neuen Dienst hinzuzufügen. Die aktualisierten Berechtigungen werden auf alle Auftraggeber-Entitäten angewendet, an die die Richtlinie angefügt ist.

Dies gewährt nicht die Möglichkeit, sich bei EC2 Hosts oder Datenbank-Hosts anzumelden.

Wenn Sie eine aktive Richtlinie haben AWS-Konto, können Sie diesen Link verwenden ReadOnlyAccess, um die gesamte ReadOnlyAccess Richtlinie einzusehen. Die gesamte ReadOnlyAccess Richtlinie ist sehr lang, da sie nur Lesezugriff für alle bietet. AWS-Services Das Folgende ist ein teilweiser Auszug der Richtlinie. ReadOnlyAccess

Single-Account-Landingzone (SALZ): Die standardmäßigen, unangepassten Benutzerrollenrichtlinien für Single-Account-Landingzonen von AMS finden Sie unter SALZ: Standard-IAM-Benutzerrolle Weiter.

SALZ: Standard-IAM-Benutzerrolle

JSON-Richtlinienerklärungen für die standardmäßige AMS-Landingzone-Benutzerrolle mit einem Konto.

Anmerkung

Die SALZ-Standardbenutzerrolle ist anpassbar und kann je nach Konto unterschiedlich sein. Anweisungen zur Suche nach Ihrer Rolle finden Sie hier.

Im Folgenden finden Sie ein Beispiel für die standardmäßige SALZ-Benutzerrolle. Führen Sie den get-roleBefehl aus, um sicherzustellen, dass Sie die Richtlinien für Sie festgelegt haben. Oder melden Sie sich bei der AWS Identity and Access Management Konsole unter an https://console.aws.amazon.com/iam/und wählen Sie dann Rollen aus.

Die Rolle „Nur Lesen“ für den Kunden ist eine Kombination aus mehreren Richtlinien. Es folgt eine Aufschlüsselung der Rolle (JSON).

Audit-Richtlinie für Managed Services:

ReadOnly IAM-Richtlinie für Managed Services

Benutzerrichtlinie für Managed Services



	{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowCustomerToListTheLogBucketLogs",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*"
      ],
      "Condition": {
        "StringLike": {
          "s3:prefix": [
            "aws/*",
            "app/*",
            "encrypted",
            "encrypted/",
            "encrypted/app/*"
          ]
        }
      }
    },
    {
      "Sid": "BasicAccessRequiredByS3Console",
      "Effect": "Allow",
      "Action": [
        "s3:ListAllMyBuckets",
        "s3:GetBucketLocation"
      ],
      "Resource": [
        "arn:aws:s3:::*"
      ]
    },
    {
      "Sid": "AllowCustomerToGetLogs",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject*"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*/aws/*",
        "arn:aws:s3:::mc-a*-logs-*/encrypted/app/*"
      ]
    },
    {
      "Sid": "AllowAccessToOtherObjects",
      "Effect": "Allow",
      "Action": [
        "s3:DeleteObject*",
        "s3:Get*",
        "s3:List*",
        "s3:PutObject*"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "AllowCustomerToListTheLogBucketRoot",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:prefix": [
            "",
            "/"
          ]
        }
      }
    },
    {
      "Sid": "AllowCustomerCWLConsole",
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogStreams",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:*"
      ]
    },
    {
      "Sid": "AllowCustomerCWLAccessLogs",
      "Effect": "Allow",
      "Action": [
        "logs:FilterLogEvents",
        "logs:GetLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:/aws/*",
        "arn:aws:logs:*:*:log-group:/infra/*",
        "arn:aws:logs:*:*:log-group:/app/*",
        "arn:aws:logs:*:*:log-group:RDSOSMetrics:*:*"
      ]
    },
    {
      "Sid": "AWSManagedServicesFullAccess",
      "Effect": "Allow",
      "Action": [
        "amscm:*",
        "amsskms:*"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "ModifyAWSBillingPortal",
      "Effect": "Allow",
      "Action": [
        "aws-portal:Modify*"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "DenyDeleteCWL",
      "Effect": "Deny",
      "Action": [
        "logs:DeleteLogGroup",
        "logs:DeleteLogStream"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:*"
      ]
    },
    {
      "Sid": "DenyMCCWL",
      "Effect": "Deny",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:DescribeLogStreams",
        "logs:FilterLogEvents",
        "logs:GetLogEvents",
        "logs:PutLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:/mc/*"
      ]
    },
    {
      "Sid": "DenyS3MCNamespace",
      "Effect": "Deny",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*/encrypted/mc/*",
        "arn:aws:s3:::mc-a*-logs-*/mc/*",
        "arn:aws:s3:::mc-a*-logs-*-audit/*",
        "arn:aws:s3:::mc-a*-internal-*/*",
        "arn:aws:s3:::mc-a*-internal-*"
      ]
    },
    {
      "Sid": "ExplicitDenyS3CfnBucket",
      "Effect": "Deny",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "arn:aws:s3:::cf-templates-*"
      ]
    },
    {
      "Sid": "DenyListBucketS3LogsMC",
      "Action": [
        "s3:ListBucket"
      ],
      "Effect": "Deny",
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*"
      ],
      "Condition": {
        "StringLike": {
          "s3:prefix": [
            "auditlog/*",
            "encrypted/mc/*",
            "mc/*"
          ]
        }
      }
    },
    {
      "Sid": "DenyS3LogsDelete",
      "Effect": "Deny",
      "Action": [
        "s3:Delete*",
        "s3:Put*"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*/*"
      ]
    },
    {
      "Sid": "DenyAccessToKmsKeysStartingWithMC",
      "Effect": "Deny",
      "Action": [
        "kms:*"
      ],
      "Resource": [
        "arn:aws:kms::*:key/mc-*",
        "arn:aws:kms::*:alias/mc-*"
      ]
    },
    {
      "Sid": "DenyListingOfStacksStartingWithMC",
      "Effect": "Deny",
      "Action": [
        "cloudformation:*"
      ],
      "Resource": [
        "arn:aws:cloudformation:*:*:stack/mc-*"
      ]
    },
    {
      "Sid": "AllowCreateCWMetricsAndManageDashboards",
      "Effect": "Allow",
      "Action": [
        "cloudwatch:PutMetricData"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "AllowCreateandDeleteCWDashboards",
      "Effect": "Allow",
      "Action": [
        "cloudwatch:DeleteDashboards",
        "cloudwatch:PutDashboard"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

Gemeinsame Richtlinie für Customer Secrets Manager

Abonnementrichtlinie für Customer Marketplace

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Authentifizierung mit Identitäten

Protokollierung und Überwachung von Sicherheitsereignissen