Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Gestión de acceso en AMS Accelerate
La gestión del acceso es la forma en que se protegen sus recursos, ya que solo permite el acceso autorizado y autenticado. Con AMS Accelerate, usted es responsable de administrar el acceso a sus recursos Cuentas de AWS y a los recursos subyacentes, como las soluciones de administración de acceso, las políticas de acceso y los procesos relacionados. Para ayudarle a gestionar su solución de acceso, AMS Accelerate implementa AWS Config reglas que detectan los errores de configuración más comunes de la IAM y, a continuación, envían notificaciones de corrección. Un error común de configuración de IAM es que el usuario raíz tiene claves de acceso. La regla de `iam-root-access-key-check` configuración comprueba si la clave de acceso del usuario raíz está disponible y es compatible o si la clave de acceso no existe. Para obtener una lista de las reglas de configuración implementadas por AMS, consulte la [biblioteca de AWS Config reglas de AMS](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sec-compliance.html#acc-sec-compliance-rules).
**Topics**
+ [Obtenga acceso a la consola Accelerate](acc-access-permissions.md)
+ [Permisos para usar las funciones de AMS](acc-access-customer.md)
+ [Por qué y cuándo AMS accede a tu cuenta](access-justification.md)
+ [Cómo accede AMS a tu cuenta](acc-access-operator.md)
+ [Cómo y cuándo usar la cuenta de usuario root en AMS](how-when-to-use-root.md)
# Obtenga acceso a la consola Accelerate
Cuando incorpore Accelerate, tendrá acceso automáticamente a la consola Accelerate. Para acceder a la consola, busque **Managed Services** en la consola de administración de AWS. La consola Accelerate le ofrece una vista resumida de las funciones de las que dispone con Accelerate. Esta vista incluye los componentes individuales que se presentan en el panel de control y en las páginas de configuración.
# Permisos para usar las funciones de AMS
Para que los usuarios puedan leer y configurar las funciones de AMS Accelerate, como acceder a la consola AMS o configurar las copias de seguridad, debe conceder permisos explícitos a sus funciones de IAM para que realicen esas acciones. La siguiente CloudFormation plantilla contiene las políticas necesarias para leer y configurar los servicios asociados a AMS de forma que pueda asignarlos a sus funciones de IAM. Están diseñadas para ajustarse estrechamente a las responsabilidades laborales habituales en el sector de TI, donde se requieren permisos de administrador o de solo lectura; sin embargo, si necesita conceder permisos diferentes a los usuarios, puede editar la política para incluir o excluir permisos específicos. También puede crear su propia política personalizada.
La plantilla proporciona dos políticas. La `AMSAccelerateAdminAccess` política está destinada a utilizarse para configurar y operar los componentes de AMS Accelerate. Por lo general, esta política la asume un administrador de TI y otorga permisos para configurar las funciones de AMS, como la aplicación de parches y las copias de seguridad. `AMSAccelerateReadOnly`Otorga los permisos mínimos necesarios para ver los recursos relacionados con AMS Accelerate.
```
AWSTemplateFormatVersion: 2010-09-09
Description: AMSAccelerateCustomerAccessPolicies
Resources:
AMSAccelerateAdminAccess:
Type: 'AWS::IAM::ManagedPolicy'
Properties:
ManagedPolicyName: AMSAccelerateAdminAccess
Path: /
PolicyDocument:
Fn::Sub:
- |
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AmsSelfServiceReport",
"Effect": "Allow",
"Action": "amsssrv:*",
"Resource": "*"
},
{
"Sid": "AmsBackupPolicy",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::${AWS::AccountId}:role/ams-backup-iam-role"
},
{
"Sid": "AmsChangeRecordKMSPolicy",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:${AWS::Region}:${AWS::AccountId}:key/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"kms:ResourceAliases": "alias/AMSCloudTrailLogManagement"
}
}
},
{
"Sid": "AmsChangeRecordAthenaReadPolicy",
"Effect": "Allow",
"Action": [
"athena:BatchGetNamedQuery",
"athena:Get*",
"athena:List*",
"athena:StartQueryExecution",
"athena:UpdateWorkGroup",
"glue:GetDatabase*",
"glue:GetTable*",
"s3:GetAccountPublicAccessBlock",
"s3:ListAccessPoints",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "AmsChangeRecordS3ReadPolicy",
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": [
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}",
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}/*",
"arn:aws:s3:::ams-a${AWS::AccountId}-cloudtrail-${AWS::Region}",
"arn:aws:s3:::ams-a${AWS::AccountId}-cloudtrail-${AWS::Region}/*"
]
},
{
"Sid": "AmsChangeRecordS3WritePolicy",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectLegalHold",
"s3:PutObjectRetention"
],
"Resource": [
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}/*"
]
},
{
"Sid": "MaciePolicy",
"Effect": "Allow",
"Action": [
"macie2:GetFindingStatistics"
],
"Resource": "*"
},
{
"Sid": "GuardDutyPolicy",
"Effect": "Allow",
"Action": [
"guardduty:GetFindingsStatistics",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Sid": "SupportPolicy",
"Effect": "Allow",
"Action": "support:*",
"Resource": "*"
},
{
"Sid": "ConfigPolicy",
"Effect": "Allow",
"Action": [
"config:Get*",
"config:Describe*",
"config:Deliver*",
"config:List*",
"config:StartConfigRulesEvaluation"
],
"Resource": "*"
},
{
"Sid": "AppConfigReadPolicy",
"Effect": "Allow",
"Action": [
"appconfig:List*",
"appconfig:Get*"
],
"Resource": "*"
},
{
"Sid": "AppConfigPolicy",
"Effect": "Allow",
"Action": [
"appconfig:StartDeployment",
"appconfig:StopDeployment",
"appconfig:CreateHostedConfigurationVersion",
"appconfig:ValidateConfiguration"
],
"Resource": [
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSAlarmManagerConfigurationApplicationId}",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSAlarmManagerConfigurationApplicationId}/configurationprofile/${AMSAlarmManagerConfigurationCustomerManagedAlarmsProfileID}",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSAlarmManagerConfigurationApplicationId}/environment/*",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSResourceTaggerConfigurationApplicationId}",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSResourceTaggerConfigurationApplicationId}/configurationprofile/${AMSResourceTaggerConfigurationCustomerManagedTagsProfileID}",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSResourceTaggerConfigurationApplicationId}/environment/*",
"arn:aws:appconfig:*:${AWS::AccountId}:deploymentstrategy/*"
]
},
{
"Sid": "CloudFormationStacksPolicy",
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStacks"
],
"Resource": "*"
},
{
"Sid": "EC2Policy",
"Action": [
"ec2:DescribeInstances"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "SSMPolicy",
"Effect": "Allow",
"Action": [
"ssm:AddTagsToResource",
"ssm:CancelCommand",
"ssm:CancelMaintenanceWindowExecution",
"ssm:CreateAssociation",
"ssm:CreateAssociationBatch",
"ssm:CreateMaintenanceWindow",
"ssm:CreateOpsItem",
"ssm:CreatePatchBaseline",
"ssm:DeleteAssociation",
"ssm:DeleteMaintenanceWindow",
"ssm:DeletePatchBaseline",
"ssm:DeregisterPatchBaselineForPatchGroup",
"ssm:DeregisterTargetFromMaintenanceWindow",
"ssm:DeregisterTaskFromMaintenanceWindow",
"ssm:Describe*",
"ssm:Get*",
"ssm:List*",
"ssm:PutConfigurePackageResult",
"ssm:RegisterDefaultPatchBaseline",
"ssm:RegisterPatchBaselineForPatchGroup",
"ssm:RegisterTargetWithMaintenanceWindow",
"ssm:RegisterTaskWithMaintenanceWindow",
"ssm:RemoveTagsFromResource",
"ssm:SendCommand",
"ssm:StartAssociationsOnce",
"ssm:StartAutomationExecution",
"ssm:StartSession",
"ssm:StopAutomationExecution",
"ssm:TerminateSession",
"ssm:UpdateAssociation",
"ssm:UpdateAssociationStatus",
"ssm:UpdateMaintenanceWindow",
"ssm:UpdateMaintenanceWindowTarget",
"ssm:UpdateMaintenanceWindowTask",
"ssm:UpdateOpsItem",
"ssm:UpdatePatchBaseline"
],
"Resource": "*"
},
{
"Sid": "AmsPatchRestrictAMSResources",
"Effect": "Deny",
"Action": [
"ssm:DeletePatchBaseline",
"ssm:UpdatePatchBaseline"
],
"Resource": [
"arn:aws:ssm:${AWS::Region}:${AWS::AccountId}:patchbaseline/*"
],
"Condition": {
"StringLike": {
"aws:ResourceTag/ams:resourceOwner": "*"
}
}
},
{
"Sid": "AmsPatchRestrictAmsTags",
"Effect": "Deny",
"Action": [
"ssm:AddTagsToResource",
"ssm:RemoveTagsFromResource"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringLike": {
"aws:TagKeys": [
"AMS*",
"Ams*",
"ams*"
]
}
}
},
{
"Sid": "TagReadPolicy",
"Effect": "Allow",
"Action": [
"tag:GetResources",
"tag:GetTagKeys"
],
"Resource": "*"
},
{
"Sid": "CloudtrailReadPolicy",
"Effect": "Allow",
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
},
{
"Sid": "EventBridgePolicy",
"Effect": "Allow",
"Action": [
"events:Describe*",
"events:List*",
"events:TestEventPattern"
],
"Resource": "*"
},
{
"Sid": "IAMReadOnlyPolicy",
"Action": [
"iam:ListRoles",
"iam:GetRole"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AmsResourceSchedulerPassRolePolicy",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::${AWS::AccountId}:role/ams_resource_scheduler_ssm_automation_role",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ssm.amazonaws.com"
}
}
}
]
}
- AMSAlarmManagerConfigurationApplicationId: !ImportValue "AMS-Alarm-Manager-Configuration-ApplicationId"
AMSAlarmManagerConfigurationCustomerManagedAlarmsProfileID: !ImportValue "AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID"
AMSResourceTaggerConfigurationApplicationId: !ImportValue "AMS-ResourceTagger-Configuration-ApplicationId"
AMSResourceTaggerConfigurationCustomerManagedTagsProfileID: !ImportValue "AMS-ResourceTagger-Configuration-CustomerManagedTags-ProfileID"
AMSAccelerateReadOnly:
Type: 'AWS::IAM::ManagedPolicy'
Properties:
ManagedPolicyName: AMSAccelerateReadOnly
Path: /
PolicyDocument: !Sub |
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AmsSelfServiceReport",
"Effect": "Allow",
"Action": "amsssrv:*",
"Resource": "*"
},
{
"Sid": "AmsBackupPolicy",
"Effect": "Allow",
"Action": [
"backup:Describe*",
"backup:Get*",
"backup:List*"
],
"Resource": "*"
},
{
"Action": [
"rds:DescribeDBSnapshots",
"rds:ListTagsForResource",
"rds:DescribeDBInstances",
"rds:describeDBSnapshots",
"rds:describeDBEngineVersions",
"rds:describeOptionGroups",
"rds:describeOrderableDBInstanceOptions",
"rds:describeDBSubnetGroups",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBInstanceAutomatedBackups"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"dynamodb:ListBackups",
"dynamodb:ListTables"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"elasticfilesystem:DescribeFilesystems"
],
"Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
"Effect": "Allow"
},
{
"Action": [
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes",
"ec2:describeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:DescribeAccountAttributes",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeSubnets",
"ec2:DescribePlacementGroups",
"ec2:DescribeInstances",
"ec2:DescribeInstanceTypes"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"tag:GetTagKeys",
"tag:GetTagValues",
"tag:GetResources"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"storagegateway:DescribeCachediSCSIVolumes",
"storagegateway:DescribeStorediSCSIVolumes"
],
"Resource": "arn:aws:storagegateway:*:*:gateway/*/volume/*"
},
{
"Effect": "Allow",
"Action": [
"storagegateway:ListGateways"
],
"Resource": "arn:aws:storagegateway:*:*:*"
},
{
"Effect": "Allow",
"Action": [
"storagegateway:DescribeGatewayInformation",
"storagegateway:ListVolumes",
"storagegateway:ListLocalDisks"
],
"Resource": "arn:aws:storagegateway:*:*:gateway/*"
},
{
"Action": [
"iam:ListRoles",
"iam:GetRole"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "organizations:DescribeOrganization",
"Resource": "*"
},
{
"Action": "fsx:DescribeBackups",
"Effect": "Allow",
"Resource": "arn:aws:fsx:*:*:backup/*"
},
{
"Action": "fsx:DescribeFileSystems",
"Effect": "Allow",
"Resource": "arn:aws:fsx:*:*:file-system/*"
},
{
"Action": "ds:DescribeDirectories",
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AmsChangeRecordKMSPolicy",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:${AWS::Region}:${AWS::AccountId}:key/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"kms:ResourceAliases": "alias/AMSCloudTrailLogManagement"
}
}
},
{
"Sid": "AmsChangeRecordAthenaReadPolicy",
"Effect": "Allow",
"Action": [
"athena:BatchGetNamedQuery",
"athena:Get*",
"athena:List*",
"athena:StartQueryExecution",
"athena:UpdateWorkGroup",
"glue:GetDatabase*",
"glue:GetTable*",
"s3:GetAccountPublicAccessBlock",
"s3:ListAccessPoints",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "AmsChangeRecordS3ReadPolicy",
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": [
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}",
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}/*",
"arn:aws:s3:::ams-a${AWS::AccountId}-cloudtrail-${AWS::Region}",
"arn:aws:s3:::ams-a${AWS::AccountId}-cloudtrail-${AWS::Region}/*"
]
},
{
"Sid": "AmsChangeRecordS3WritePolicy",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectLegalHold",
"s3:PutObjectRetention"
],
"Resource": [
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}/*"
]
},
{
"Sid": "MaciePolicy",
"Effect": "Allow",
"Action": [
"macie2:GetFindingStatistics"
],
"Resource": "*"
},
{
"Sid": "GuardDutyReadPolicy",
"Effect": "Allow",
"Action": [
"guardduty:GetFindingsStatistics",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Sid": "SupportReadPolicy",
"Effect": "Allow",
"Action": "support:Describe*",
"Resource": "*"
},
{
"Sid": "ConfigReadPolicy",
"Effect": "Allow",
"Action": [
"config:Get*",
"config:Describe*",
"config:List*"
],
"Resource": "*"
},
{
"Sid": "AppConfigReadPolicy",
"Effect": "Allow",
"Action": [
"appconfig:List*",
"appconfig:Get*"
],
"Resource": "*"
},
{
"Sid": "CloudFormationReadPolicy",
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStacks"
],
"Resource": "*"
},
{
"Sid": "EC2ReadPolicy",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances"
],
"Resource": "*"
},
{
"Sid": "SSMReadPolicy",
"Effect": "Allow",
"Action": [
"ssm:Describe*",
"ssm:Get*",
"ssm:List*"
],
"Resource": "*"
},
{
"Sid": "TagReadPolicy",
"Effect": "Allow",
"Action": [
"tag:GetResources",
"tag:GetTagKeys"
],
"Resource": "*"
},
{
"Sid": "CloudtrailReadPolicy",
"Effect": "Allow",
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
},
{
"Sid": "EventBridgePolicy",
"Effect": "Allow",
"Action": [
"events:Describe*",
"events:List*",
"events:TestEventPattern"
],
"Resource": "*"
}
]
}
```
# Por qué y cuándo AMS accede a tu cuenta
Los operadores de AMS Accelerate (Accelerate) pueden acceder a la consola y a las instancias de su cuenta, en determinadas circunstancias, para gestionar sus recursos. Estos eventos de acceso están documentados en sus registros AWS CloudTrail (CloudTrail). Para obtener más información sobre cómo el equipo de AMS Accelerate Operations y la automatización de AMS Accelerate Operations revisan la actividad de su cuenta, consulte[Seguimiento de los cambios en sus cuentas de AMS Accelerate](acc-change-record.md).
En los siguientes temas se explica por qué, cuándo y cómo AMS accede a su cuenta.
## Activadores de acceso a la cuenta de cliente de AMS
La actividad de acceso a la cuenta de los clientes de AMS depende de factores desencadenantes. Los factores desencadenantes actuales son los AWS tickets creados en nuestro sistema de gestión de problemas en respuesta a las alarmas y eventos de Amazon CloudWatch (CloudWatch), y los informes de incidentes o las solicitudes de servicio que envíes. Se pueden realizar varias llamadas de servicio y actividades a nivel de anfitrión para cada acceso.
La justificación del acceso, los activadores y el iniciador del disparador se muestran en la siguiente tabla.
**Activadores de acceso**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/access-justification.html)
## Funciones de IAM para el acceso a la cuenta de los clientes de AMS
Los operadores de AMS requieren las siguientes funciones para gestionar tu cuenta.
**nota**
Las funciones de acceso a AMS permiten a los operadores de AMS acceder a sus recursos para proporcionar las capacidades de AMS (consulte[Descripción del servicio](acc-sd.md)). La modificación de estas funciones puede inhibir nuestra capacidad de proporcionar estas capacidades. Si necesita modificar las funciones de acceso a AMS, consulte a su arquitecto de nube.
**Funciones de IAM para el acceso de AMS a las cuentas de los clientes**
| Nombre de función | Description (Descripción) |
| --- | --- |
| ams-access-admin | Este rol tiene acceso administrativo completo a su cuenta sin restricciones. Los servicios de AMS utilizan esta función con políticas de sesión restrictivas que limitan el acceso para implementar la infraestructura de AMS y administrar su cuenta. |
| ams-access-admin-operations | Esta función otorga a los operadores de AMS permisos administrativos para administrar su cuenta. Esta función no concede permisos de lectura, escritura o eliminación del contenido de los clientes en los AWS servicios que se utilizan habitualmente como almacenes de datos, como Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift y Amazon. ElastiCache Solo los operadores de AMS cualificados que tengan sólidos conocimientos y experiencia en la gestión de acceso pueden asumir esta función. Estos operadores sirven como punto de referencia para los problemas de administración de acceso y acceden a sus cuentas para solucionar los problemas de acceso de los operadores de AMS. |
| ams-access-management | Se implementa manualmente durante la incorporación. El sistema AMS Access requiere esta función para gestionarla `ams-access-roles` y `ams-access-managed-policies` apilarla. |
| ams-access-operations | Este rol tiene permisos para realizar tareas administrativas en sus cuentas. Este rol no tiene permisos de lectura, escritura o eliminación del contenido de los clientes en los AWS servicios que se utilizan habitualmente como almacenes de datos, como Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift y Amazon. ElastiCache Los permisos para realizar operaciones de AWS Identity and Access Management escritura también están excluidos de esta función. El personal de operaciones y los arquitectos de la nube de AMS Accelerate (CAs) pueden asumir esta función. |
| ams-access-read-only | Este rol tiene acceso de solo lectura a su cuenta. El personal de operaciones y los arquitectos de la nube de AMS Accelerate (CAs) pueden asumir esta función. Los permisos de lectura del contenido de los clientes en los AWS servicios que se utilizan habitualmente como almacenes de datos, como Amazon S3, Amazon RDS, DynamoDB o Amazon Redshift ElastiCache, y no tienen esta función. |
| ams-access-security-analyst | Esta función de seguridad de AMS tiene permisos en su cuenta de AMS para realizar una supervisión específica de las alertas de seguridad y gestionar los incidentes de seguridad. Solo unas pocas personas selectas de AMS Security pueden asumir esta función. |
| ams-access-security-analyst-de solo lectura | Esta función de seguridad de AMS se limita a los permisos de solo lectura en su cuenta de AMS para realizar una supervisión específica de las alertas de seguridad y gestionar los incidentes de seguridad. |
**nota**
Esta es la plantilla del rol. ams-access-management Es la pila que los arquitectos de nube (CAs) implementan manualmente en tu cuenta en el momento de la incorporación: [management-role.yaml](https://ams-account-access-templates.s3.amazonaws.com/management-role.yaml).
[Esta es la plantilla para los distintos roles de acceso para los distintos niveles de acceso:,,,: accelerate-roles.json. ams-access-read-only ams-access-operations ams-access-admin-operations ams-access-admin](https://ams-account-access-templates.s3.amazonaws.com/ams-access-roles.template.json)
# Cómo accede AMS a tu cuenta
Los operadores de AMS Accelerate pueden acceder a la consola y a las instancias de su cuenta en determinadas circunstancias.
![\[Método de acceso a la consola AMS Accelerate.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/images/acc-op-console-access-method2.png)
Los operadores de AMS utilizan el servicio de acceso interno AMS Accelerate para acceder a sus cuentas de forma segura y auditada. Para acceder a sus instancias, los operadores de AMS utilizan el mismo servicio de acceso interno a AMS que el intermediario y, una vez concedido el acceso, los operadores de AMS Accelerate utilizan el administrador de sesiones SSM para acceder mediante credenciales de sesión. El acceso RDP para las instancias de Windows se proporciona mediante el establecimiento del reenvío de puertos a la instancia y la creación de un usuario local mediante SSM. Las credenciales del usuario local se utilizan para el acceso RDP y se eliminan al final de la sesión.
# Cómo y cuándo usar la cuenta de usuario root en AMS
El [usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) es el superusuario de su AWS cuenta. AMS monitorea el uso de root. Le recomendamos que utilice root solo para las pocas tareas que lo requieran, por ejemplo: cambiar la configuración de la cuenta, activar el acceso AWS Identity and Access Management (IAM) a la facturación y la gestión de costes, cambiar la contraseña raíz y habilitar la autenticación multifactor (MFA). *Consulte [las tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la Guía del AWS Identity and Access Management usuario.*
**Rootee con AMS Accelerate**:
AMS no le prohíbe usar su cuenta de usuario root. Sin embargo, AMS Operations and Security considera que su uso es una cuestión que debe investigarse y nos pondremos en contacto con su equipo de seguridad cada vez que lo utilice.
Le recomendamos que se ponga en contacto con su CSDM y su CA con veinticuatro horas de antelación para informarles sobre las tareas de acceso a la raíz que piensa realizar.
**Respuesta de seguridad y operaciones de AMS** al uso de root:
AMS recibe una alarma cuando se utiliza la cuenta de usuario raíz. Si el uso de las credenciales raíz no está programado, se ponen en contacto con el equipo de seguridad de AMS y con el equipo de su cuenta para comprobar si se trata de una actividad esperada. Si no es una actividad prevista, AMS trabaja con su equipo de seguridad para investigar el problema.