Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS Identity and Access Management en AMS Accelerate
AWS Identity and Access Management es un servicio web que le ayuda a controlar de forma segura el acceso a AWS los recursos. Utilice IAM para controlar quién está autenticado (ha iniciado sesión) y autorizado (tiene permisos) para utilizar recursos. Durante la incorporación de AMS Accelerate, usted es responsable de crear funciones de administrador de IAM multicuenta en cada una de sus cuentas gestionadas.
En AMS Accelerate, eres responsable de gestionar el acceso a tus recursos Cuentas de AWS y a los recursos subyacentes, como las soluciones de gestión de acceso, las políticas de acceso y los procesos relacionados. Esto significa que debe gestionar el ciclo de vida de los usuarios, los permisos en los servicios de directorio y el sistema de autenticación federada para acceder a la AWS consola o AWS APIs. Para ayudarlo a administrar su solución de acceso, AMS Accelerate implementa AWS Config reglas que detectan los errores de configuración más comunes de IAM y envía notificaciones de corrección. Para obtener más información, consulte Reglas administradas de AWS Config.
Autenticación con identidades en AMS Accelerate
AMS usa funciones de IAM, que son un tipo de identidad de IAM. Una función de IAM es similar a la de un usuario, ya que es una identidad con políticas de permisos que determinan lo que la identidad puede y no puede hacer en ella. AWS Sin embargo, un rol no tiene credenciales asociadas y, en lugar de estar asociado exclusivamente a una persona, cualquier persona que lo necesite puede asumirlo. Un usuario de IAM puede asumir una función para disponer temporalmente de diferentes permisos para una tarea específica.
Los roles de acceso se controlan mediante la pertenencia a un grupo interno, que la Gerencia de Operaciones administra y revisa periódicamente. AMS utiliza las siguientes funciones de IAM.
nota
Las funciones de acceso de AMS permiten a los operadores de AMS acceder a sus recursos para proporcionar las capacidades de AMS (consulteDescripción del servicio). La modificación de estas funciones puede inhibir nuestra capacidad de proporcionar estas capacidades. Si necesita modificar las funciones de acceso a AMS, consulte a su arquitecto de nube.
| Nombre del rol | Descripción |
|---|---|
| Utilizado por (entidad): solo AMS Access Service | |
ams-access-management |
Usted lo implementó manualmente durante la incorporación. AMS Access solo lo asume para implementar o actualizar las funciones de acceso. Permanece en tu cuenta después de la incorporación para futuras actualizaciones de las funciones de acceso. |
| Utilizado por (entidad): AMS Operations | |
ams-access-admin-operations |
Esta función tiene permisos administrativos para operar en las cuentas, pero no tiene permisos para leer, escribir o eliminar el contenido de los clientes en los AWS servicios que se utilizan habitualmente como almacenes de datos, como Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift y Amazon. ElastiCache Solo unas pocas personas selectas de AMS pueden asumir esta función. |
ams-access-operations |
Esta función de operaciones de AMS tiene permisos para realizar tareas administrativas en sus cuentas. Este rol no tiene permisos de lectura, escritura o eliminación del contenido de los clientes en los AWS servicios que se utilizan habitualmente como almacenes de datos, como Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift y Amazon. ElastiCache Los permisos para realizar operaciones de AWS Identity and Access Management escritura también están excluidos de esta función. |
ams-access-read-only |
Esta función de solo lectura de AMS se limita a los permisos de solo lectura de su cuenta de AMS. Esta función no concede permisos de lectura del contenido de los clientes en los AWS servicios que se utilizan habitualmente como almacenes de datos, como Amazon S3, Amazon RDS, DynamoDB o Amazon Redshift ElastiCache. |
| Utilizado por (entidad): AMS Operations y AMS Services | |
ams_ssm_automation_role |
Se supone que ejecuta los documentos de SSM Automation en AWS Systems Manager su cuenta. |
ams_ssm_automation_role | |
| Usado por (entidad): AMS Security | |
ams-access-security-analyst |
Este rol de seguridad de AMS tiene permisos en su cuenta de AMS para supervisar específicamente las alertas de seguridad y gestionar los incidentes de seguridad. Solo unas pocas personas selectas de AMS Security pueden asumir esta función. Permisos de lectura del contenido de los clientes en los AWS servicios que se utilizan habitualmente como almacenes de datos, como Amazon S3, Amazon RDS, Amazon DynamoDB o Amazon ElastiCache Redshift, y que esta función no concede. |
ams-access-security-analyst-de solo lectura |
Esta función de seguridad de AMS se limita a los permisos de solo lectura en su cuenta de AMS para realizar una supervisión específica de las alertas de seguridad y gestionar los incidentes de seguridad. Permisos de lectura del contenido de los clientes en los AWS servicios que se utilizan habitualmente como almacenes de datos, como Amazon S3, Amazon RDS, Amazon DynamoDB o Amazon ElastiCache Redshift, y que esta función no concede. |
| Utilizado por (entidad): AWS Services | |
ams-access-admin |
Esta función de administrador de AMS tiene todos los permisos necesarios para operar en las cuentas sin restricciones. Solo los servicios internos de AMS (con una política de sesión limitada) pueden asumir la función de administrador. |
ams-opscenter-eventbridge-role |
Amazon asume que EventBridge la creación forma parte del AWS Systems Manager OpsItems flujo de trabajo de Reglas de AWS Config remediación específico de AMS. |
AMSOSConfigurationCustomerInstanceRole |
Esta función de IAM se aplica a sus EC2 instancias de Amazon cuando el servicio de configuración del sistema operativo AMS descubre que faltan las políticas de IAM requeridas. Permite que tus EC2 instancias de Amazon interactúen con AWS Systems Manager Amazon CloudWatch y EventBridge los servicios de Amazon. También incluye la política de administración personalizada de AMS para permitir el acceso RDP a sus instancias de Windows. |
mc-patch-glue-service-rol |
El flujo de trabajo de AWS Glue ETL lo asume para realizar la transformación de los datos y prepararlos para el generador de informes AMS Patch. |
| Utilizado por (entidad): AMS Service | |
ams-alarm-manager- AWSManaged ServicesAlarmManagerDe - <8-digit hash> |
Asume la infraestructura del administrador de alarmas de AMS incluida en su cuenta de AMS para realizar Reglas de AWS Config la evaluación de una nueva AWS AppConfig implementación. |
ams-alarm-manager- AWSManaged ServicesAlarmManagerRe - <8-digit hash> |
Lo asume la infraestructura de remediación del administrador de alarmas de AMS incluida en su cuenta de AMS para permitir la creación o eliminación de alarmas para su corrección. |
ams-alarm-manager- SS- AWSManaged ServicesAlarmManager <8-digit hash> |
Se asume AWS Systems Manager al invocar el servicio de reparación del administrador de alarmas de AMS en su cuenta de AMS. |
ams-alarm-manager- - AWSManaged ServicesAlarmManagerTr <8-digit hash> |
Asume la infraestructura de gestión de alarmas de AMS incluida en su AWS cuenta para realizar una Reglas de AWS Config evaluación periódica de AMS. |
ams-alarm-manager- AWSManaged ServicesAlarmManagerVa - <8-digit hash> |
Lo asume la infraestructura de gestión de alarmas de AMS incluida en su cuenta de AMS para garantizar que existan las alarmas necesarias en la AWS cuenta. |
ams-backup-iam-role |
Esta función se utiliza para ejecutarse AWS Backup en sus cuentas. |
ams-monitoring- - AWSManaged ServicesLogGroupLimitLamb <8-digit hash> |
Lo asume la infraestructura de registro y monitoreo de AMS en su cuenta de AMS para evaluar el límite de grupos de Amazon CloudWatch Logs y compararlo con las cuotas de servicio. |
ams-monitoring- AWSManaged Services RDSMonitoring RDSE- <8-digit hash> |
Lo asume la infraestructura de registro y monitoreo de AMS en su cuenta de AMS para reenviar los eventos de Amazon RDS a Amazon CloudWatch Events. |
ams-monitoring- - AWSManaged ServicesRedshiftMonitorin <8-digit hash> |
Lo asume la infraestructura de registro y monitoreo de AMS en su cuenta de AMS para reenviar los eventos de Amazon Redshift (CreateCluster y DeleteCuster) a Amazon CloudWatch Events. |
ams-monitoring-infrastruc- - AWSManaged ServicesMonito <8-digit hash> |
La infraestructura de registro y monitoreo de AMS de su cuenta de AMS asume que publica mensajes en Amazon Simple Notification Service para validar que la cuenta informa de todos los datos necesarios. |
ams-opscenter-role |
Lo utiliza el sistema de gestión de notificaciones de AMS de su cuenta de AMS para gestionar las alertas AWS Systems Manager OpsItems relacionadas con su cuenta. |
ams-opsitem-autoexecution-role |
El sistema de gestión de notificaciones de AMS lo utiliza para gestionar las correcciones automatizadas mediante documentos SSM para supervisar las alertas relacionadas con los recursos de su cuenta. |
ams-patch-infrastructure-amspatchconfigruleroleC1- <8-digit hash> |
Asumido AWS Config para evaluar los recursos de parches de AMS y detectar desviaciones en sus AWS CloudFormation pilas. |
ams-patch-infrastructure-amspatchcwruleopsitemams- <8-digit hash> |
Asumido por Amazon EventBridge AWS Systems Manager OpsItems para crear errores de parcheo. |
ams-patch-infrastructure-amspatchservicebusamspat- <8-digit hash> |
Amazon asume que envía un evento EventBridge al bus de eventos de AMS Patch Orchestrator para recibir notificaciones de cambio de estado de AWS Systems Manager Maintenance Windows. |
ams-patch-reporting-infra-amspatchreportingconfig- <8-digit hash> |
Asumido AWS Config para evaluar los recursos de informes de AMS Patch y detectar desviaciones en sus pilas. AWS CloudFormation |
ams-resource-tagger- - AWSManaged ServicesResourceTagg <8-digit hash> |
Asume la infraestructura de AMS Resource Tagger de su cuenta de AMS para realizar una Reglas de AWS Config evaluación en caso de una nueva AWS AppConfig implementación. |
ams-resource-tagger- - AWSManaged ServicesResourceTagg <8-digit hash> |
Lo asume la infraestructura de AMS Resource Tagger de su cuenta de AMS para validar que existen las AWS etiquetas necesarias para los recursos gestionados. |
ams-resource-tagger- - AWSManaged ServicesResourceTagg <8-digit hash> |
Se supone que AWS Systems Manager para invocar el flujo de trabajo de corrección de AMS Resource Tagger en su cuenta de AMS. |
ams-resource-tagger- - AWSManaged ServicesResourceTagg <8-digit hash> |
Asume la infraestructura de remediación de AMS Resource Tagger de su cuenta de AMS para crear o eliminar AWS etiquetas para los recursos gestionados. |
ams-resource-tagger- - AWSManaged ServicesResourceTagg <8-digit hash> |
Lo asume la infraestructura de AMS Resource Tagger de su AWS cuenta para realizar una evaluación periódica de las reglas de AMS Config. |
ams_os_configuration_event_rule_role- <AWS Region> |
Amazon lo asume EventBridge para reenviar los eventos de su cuenta al servicio de configuración del sistema operativo AMS EventBus en la región correcta. |
mc-patch-reporting-service |
Asumido por el agregador de datos de parches y generador de informes AMS. |
nota
Esta es la plantilla para el ams-access-management rol. Es la pila que los arquitectos de nube (CAs) implementan manualmente en tu cuenta en el momento de la incorporación: management-role.yaml
Los servicios de funciones de AMS Accelerate asumen la ams-access-adminfunción de acceso programático a la cuenta, pero con una política de sesión definida para el servicio de funciones correspondiente (por ejemplo, parches, copias de seguridad, monitoreo, etc.).
AMS Accelerate sigue las mejores prácticas del sector para cumplir y mantener los requisitos de conformidad. El acceso de AMS Accelerate a su cuenta está registrado CloudTrail y también está disponible para su revisión mediante el seguimiento de cambios. Para obtener información sobre las consultas que puede utilizar para obtener esta información, consulteSeguimiento de los cambios en sus cuentas de AMS Accelerate.
Administración de acceso mediante políticas
Varios equipos de soporte de AMS Accelerate, como ingenieros de operaciones, arquitectos de nube y gerentes de prestación de servicios en la nube (CSDMs), a veces necesitan acceder a sus cuentas para responder a las solicitudes de servicio e incidentes. Su acceso se rige por un servicio de acceso interno a AMS que impone controles, como la justificación empresarial, las solicitudes de servicio, las operaciones y los casos de soporte. El acceso predeterminado es de solo lectura y todos los accesos se rastrean y registran; consulte también. Seguimiento de los cambios en sus cuentas de AMS Accelerate
Validación de los recursos de IAM
El sistema de acceso AMS Accelerate asume funciones en sus cuentas de forma periódica (al menos cada 24 horas) y valida que todos nuestros recursos de IAM sean los esperados.
Para proteger sus cuentas, AMS Accelerate cuenta con un sistema «canario» que monitorea y alerta sobre la presencia y el estado de las funciones de IAM, así como sobre las políticas asociadas a ellas, mencionadas anteriormente. Periódicamente, el canario asume esa ams-access-read-onlyfunción CloudFormation e inicia llamadas a la API de IAM contra tus cuentas. El canario evalúa el estado de las funciones de acceso de AMS Accelerate para asegurarse de que estén siempre intactas y. up-to-date Esta actividad crea CloudTrail registros en la cuenta.
El nombre de sesión AWS Security Token Service (AWS STS) del canario es AMS-Access-Roles-Auditor- {uuid4 ()} como se ve en y se producen las siguientes llamadas a la API: CloudTrail
Llamadas a la API Cloud Formation:
describe_stacks()Llamadas a la API de IAM:
get_role()list_attached_role_policies()list_role_policies()get_policy()get_policy_version()get_role_policy()
