Beschränken Sie Berechtigungen mit IAM-Rollenrichtlinienerklärungen - AMS-Benutzerhandbuch für Fortgeschrittene

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beschränken Sie Berechtigungen mit IAM-Rollenrichtlinienerklärungen

AMS verwendet eine IAM-Rolle, um Benutzerberechtigungen über Ihren Verbunddienst festzulegen.

Einzelkonto Landing Zone AMS: Siehe SALZ: Standard-IAM-Benutzerrollen.

Landing Zone AMS mit mehreren Konten: Siehe MALZ: Standard-IAM-Benutzerrollen.

Eine IAM-Rolle ist eine IAM-Entität, die eine Reihe von Berechtigungen für das Stellen von Serviceanfragen definiert. AWS IAM-Rollen sind keinem bestimmten Benutzer oder keiner bestimmten Gruppe zugeordnet. Stattdessen übernehmen vertrauenswürdige Entitäten Rollen wie IAM-Benutzer, Anwendungen oder AWS Dienste wie Amazon EC2. Weitere Informationen finden Sie unter IAM-Rollen.

Sie können die gewünschte Richtlinie für einen Benutzer, der die AMS-IAM-Benutzerrolle annimmt, mithilfe des API-Vorgangs AWS Security Token Service (STS) einschränken, AssumeRoleindem Sie im Anforderungsfeld eine restriktivere IAM-Richtlinie angeben. Policy

Im Folgenden finden Sie Beispiele für Richtlinienerklärungen, mit denen Sie den CT-Zugriff einschränken können.

Mithilfe Ihrer konfigurierten Active Directory (AD) -Gruppen und der API-Operation AssumeRoleAWS Security Token Service (STS) können Sie Berechtigungen für bestimmte Benutzer oder Gruppen festlegen, einschließlich der Beschränkung des Zugriffs auf bestimmte Änderungstypen (CTs). Sie können die unten aufgeführten Richtlinienerklärungen verwenden, um den CT-Zugriff auf verschiedene Arten einzuschränken.

AMS-Änderungstyp-Anweisung im Standard-IAM-Instanzprofil, die den Zugriff auf alle AMS-API-Aufrufe (amscm und amsskms) und alle Änderungstypen ermöglicht:

{
    "Sid": "AWSManagedServicesFullAccess",
    "Effect": "Allow",
    "Action": [
        "amscm:*",
        "amsskms:*"
    ],
    "Resource": [
        "*"
    ]
}

  1. Anweisung zur Genehmigung des Zugriffs und aller Aktionen für nur zwei angegebene Benutzer CTs, wobei „Aktion“ für die AMS-API-Operationen (entweder amscm oderamsskms) und „Resource“ für den vorhandenen Änderungstyp und die Versionsnummer steht: IDs

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "amscm:*",
            "Resource": [
                "arn:aws:amscm:*:*:changetype/ct-ID1:1.0",
                "arn:aws:amscm:*:*:changetype/ct-ID2:1.0"
            ]
        }
    ]
}

  2. Anweisung, um den Zugriff für CreateRfc UpdateRfc, und nur für zwei SubmitRfc der angegebenen Daten zu gewähren CTs:

  3. Anweisung, um den Zugriff für CreateRfc UpdateRfc, und SubmitRfc auf alle verfügbaren Daten zu gewähren CTs:

  4. Erklärung zur Verweigerung des Zugriffs für alle Aktionen auf eingeschränktem CT und zur Zulassung anderer CTs: