Detalles de cambio de permisos de IAM - Guía del usuario de AMS Accelerate

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Detalles de cambio de permisos de IAM

Cada instancia administrada debe tener una AWS Identity and Access Management función que incluya las siguientes políticas administradas:

  • arn:aws:iam: :aws:policy/Amazon SSMManaged InstanceCore

  • arn:aws:iam: :aws:policy/ CloudWatchAgentServerPolicy

  • arn:aws:iam: :aws:policy/ AMSInstance ProfileBasePolicy

Las dos primeras son políticas administradas. AWS La política administrada por AMS es:

AMSInstanceProfileBasePolicy

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:UpdateSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:*:*:secret:/ams/byoa/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "kms:Encrypt"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

Si su instancia ya tiene una función de IAM asociada, pero le falta alguna de estas políticas, AMS añadirá las políticas que faltan a su función de IAM. Si la instancia no tiene una función de IAM, AMS la asigna. AMSOSConfigurationCustomerInstanceProfile La función AMSOSConfigurationCustomerInstanceProfilede IAM tiene todas las políticas requeridas por AMS Accelerate.

nota

Si se alcanza el límite de 10 perfiles de instancia predeterminado, AMS aumenta el límite a 20 para poder adjuntar los perfiles de instancia necesarios.