MALZ: Funciones de usuario de IAM predeterminadas SALZ: rol de usuario de IAM predeterminado

Función de usuario de IAM en AMS

Una función de IAM es similar a la de un usuario de IAM, en el sentido de que es una AWS identidad con políticas de permisos que determinan lo que la identidad puede y no puede hacer en ella. AWS No obstante, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier usuario pueda asumir un rol que necesite.

Actualmente, Customer_ReadOnly_Role hay un rol de usuario predeterminado de AMS para las cuentas de AMS estándar y un rol adicional customer_managed_ad_user_role para las cuentas de AMS con Active Directory administrado.

Las políticas de roles establecen los permisos CloudWatch y las acciones de registro de Amazon S3, el acceso a la consola AMS, las restricciones de solo lectura en la mayoría de los casos Servicios de AWS, el acceso restringido a la consola S3 de la cuenta y el acceso mediante cambios de tipo.

Además, Customer_ReadOnly_Role tiene permisos mutables de instancias reservadas que le permiten reservar instancias. Tiene algunos valores de ahorro de costes, por lo que, si sabe que va a necesitar un número determinado de EC2 instancias de Amazon durante un período prolongado, puede llamarlas APIs. Para obtener más información, consulte Amazon EC2 Reserved Instances.

nota

El objetivo de nivel de servicio (SLO) de AMS para crear políticas de IAM personalizadas para los usuarios de IAM es de cuatro días hábiles, a menos que se vaya a reutilizar una política existente. Si desea modificar el rol de usuario de IAM existente o añadir uno nuevo, envíe un RFC de IAM: Update Entity o IAM: Create Entity, respectivamente.

Si no está familiarizado con las funciones de Amazon IAM, consulte Funciones de IAM para obtener información importante.

Zona de aterrizaje multicuenta (MALZ): para ver las políticas de rol de usuario predeterminadas y no personalizadas de las zonas de aterrizaje multicuenta de AMS, consulte a continuación. MALZ: Funciones de usuario de IAM predeterminadas

MALZ: Funciones de usuario de IAM predeterminadas

Declaraciones de política de JSON para los roles de usuario multicuenta predeterminados de AMS multicuenta en la zona de landing zone.

nota

Los roles de usuario se pueden personalizar y pueden variar según la cuenta. Se proporcionan instrucciones para encontrar su función.

Estos son ejemplos de los roles de usuario predeterminados de MALZ. Para asegurarse de que ha establecido las políticas que necesita, ejecute el comando AWS get-roleo inicie sesión en la consola AWS Management -> IAM y seleccione Roles en el panel de navegación.

Funciones principales de la cuenta OU

Una cuenta principal es una cuenta de infraestructura gestionada por Malz. Las cuentas principales de AMS multi-account landing zone incluyen una cuenta de administración y una cuenta de red.

Cuenta principal de OU: funciones y políticas comunes
Rol	Política o políticas
AWSManagedServicesReadOnlyRole	ReadOnlyAccess(Política gestionada pública de AWS).
AWSManagedServicesCaseRole	ReadOnlyAccess
AWSManagedServicesCaseRole	AWSSupportAcceso (política gestionada pública de AWS).
AWSManagedServicesChangeManagementRole (Versión de la cuenta principal)	ReadOnlyAccess
	AWSSupportAcceso
	AMSChangeManagementReadOnlyPolicy
	AMSChangeManagementInfrastructurePolicy

Cuenta principal de OU: funciones y políticas de la cuenta de administración
Rol	Política o políticas
AWSManagedServicesBillingRole	AMSBillingPolítica (AMSBillingPolítica).
AWSManagedServicesReadOnlyRole	ReadOnlyAccess(Política gestionada pública de AWS).
AWSManagedServicesCaseRole	ReadOnlyAccess
AWSManagedServicesCaseRole	AWSSupportAcceso (política gestionada pública de AWS).
AWSManagedServicesChangeManagementRole (Versión de cuenta de administración)	ReadOnlyAccess
	AWSSupportAcceso
	AMSChangeManagementReadOnlyPolicy
	AMSChangeManagementInfrastructurePolicy
	AMSMasterAccountSpecificChangeManagementInfrastructurePolicy

Cuenta principal de OU: funciones y políticas de las cuentas de red
Rol	Política o políticas
AWSManagedServicesReadOnlyRole	ReadOnlyAccess(Política gestionada pública de AWS).
AWSManagedServicesCaseRole	ReadOnlyAccess
AWSManagedServicesCaseRole	AWSSupportAcceso (política gestionada pública de AWS).
AWSManagedServicesChangeManagementRole (Versión de cuenta de red)	ReadOnlyAccess
	AWSSupportAcceso
	AMSChangeManagementReadOnlyPolicy
	AMSChangeManagementInfrastructurePolicy
	AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy

Funciones de la cuenta de la aplicación

Los roles de la cuenta de la aplicación se aplican a las cuentas específicas de la aplicación.

Cuenta de aplicación: funciones y políticas
Rol	Política o políticas
AWSManagedServicesReadOnlyRole	ReadOnlyAccess(Política gestionada pública de AWS).
AWSManagedServicesCaseRole	ReadOnlyAccess
AWSManagedServicesCaseRole	AWSSupportAcceso (política gestionada pública de AWS). Esta política proporciona acceso a todas las operaciones y recursos de soporte. Para obtener más información, consulte Introducción a AWS Support.
AWSManagedServicesSecurityOpsRole	ReadOnlyAccess
	AWSSupportEjemplo de acceso Esta política proporciona acceso a todas las operaciones y recursos de soporte.
	`AWSCertificateManagerFullAccess`información, (Política pública gestionada de AWS)
	`AWSWAFFullAccess`información (política pública gestionada por AWS). Esta política otorga acceso total a los recursos de AWS WAF.
	AMSSecretsManagerSharedPolicy
AWSManagedServicesChangeManagementRole (Versión de la cuenta de la aplicación)	ReadOnlyAccess
	AWSSupportAcceso (política gestionada pública de AWS). Esta política proporciona acceso a todas las operaciones y recursos de soporte. Para obtener más información, consulte Introducción a AWS Support.
	AMSSecretsManagerSharedPolicy
	AMSChangeManagementPolicy
	AMSReservedInstancesPolicy
	AMSS3Política
AWSManagedServicesAdminRole	ReadOnlyAccess
	AWSSupportAcceso
	AMSChangeManagementInfrastructurePolicy
	AWSMarketplaceManageSubscriptions
	AMSSecretsManagerSharedPolicy
	AMSChangeManagementPolicy
	AWSCertificateManagerFullAccess
	AWSWAFFullAcceso
	AMSS3Política
	AMSReservedInstancesPolicy

Ejemplos de política

Se proporcionan ejemplos de la mayoría de las políticas utilizadas. Para ver la ReadOnlyAccess política (que tiene una extensión de páginas, ya que proporciona acceso de solo lectura a todos los AWS servicios), puede utilizar este enlace si tiene una cuenta de AWS activa:. ReadOnlyAccess Además, aquí se incluye una versión resumida.

AMSBillingPolítica

AMSBillingPolicy

El departamento de contabilidad puede utilizar la nueva función de facturación para ver y cambiar la información de facturación o la configuración de la cuenta de gestión. Para acceder a información como los contactos alternativos, ver el uso de los recursos de la cuenta, controlar tu facturación o incluso modificar tus métodos de pago, utilizas esta función. Esta nueva función incluye todos los permisos que figuran en la página web de acciones de IAM sobre facturación de AWS.

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "aws-portal:ViewBilling",
                "aws-portal:ModifyBilling"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToBilling"
        },
        {
            "Action": [
                "aws-portal:ViewAccount",
                "aws-portal:ModifyAccount"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToAccountSettings"
        },
        {
            "Action": [
                "budgets:ViewBudget",
                "budgets:ModifyBudget"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToAccountBudget"
        },
        {
            "Action": [
                "aws-portal:ViewPaymentMethods",
                "aws-portal:ModifyPaymentMethods"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToPaymentMethods"
        },
        {
            "Action": [
                "aws-portal:ViewUsage"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToUsage"
        },
        {
            "Action": [
                "cur:DescribeReportDefinitions",
                "cur:PutReportDefinition",
                "cur:DeleteReportDefinition",
                "cur:ModifyReportDefinition"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToCostAndUsageReport"
        },
        {
            "Action": [
                "pricing:DescribeServices",
                "pricing:GetAttributeValues",
                "pricing:GetProducts"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToPricing"
        },
        {
            "Action": [
                "ce:*",
                "compute-optimizer:*"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToCostExplorerComputeOptimizer"
        },
        {
            "Action": [
                "purchase-orders:ViewPurchaseOrders",
                "purchase-orders:ModifyPurchaseOrders"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToPurchaseOrders"
        },
        {
            "Action": [
                "redshift:AcceptReservedNodeExchange",
                "redshift:PurchaseReservedNodeOffering"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToRedshiftAction"
        },
        {
            "Action": "savingsplans:*",
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AWSSavingsPlansFullAccess"
        }
    ]
}

AMSChangeManagementReadOnlyPolicy

AMSChangeManagementReadOnlyPolicy

Permisos para ver todos los tipos de cambios de AMS y el historial de los tipos de cambios solicitados.

AMSMasterAccountSpecificChangeManagementInfrastructurePolicy

AMSMasterAccountSpecificChangeManagementInfrastructurePolicy

Permisos para solicitar el tipo de cambio de despliegue | Managed landing zone | Cuenta de administración | Crear cuenta de aplicación (con VPC).

AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy

AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy

Permisos para solicitar el tipo de cambio de implementación | Managed landing zone | Cuenta de red | Crear tabla de rutas de aplicaciones.

AMSChangeManagementInfrastructurePolicy

AMSChangeManagementInfrastructurePolicy(para administración | Otros | Otros CTs)

AMSSecretsManagerSharedPolicy

AMSSecretsManagerSharedPolicy

Permisos para ver los datos secretos passwords/hashes compartidos por AMS AWS Secrets Manager (por ejemplo, las contraseñas de la infraestructura para su auditoría).

Permisos para crear un secreto password/hashes para compartirlo con AMS. (por ejemplo, las claves de licencia de los productos que se deben implementar).

AMSChangeManagementPolicy

AMSChangeManagementPolicy

Permisos para solicitar y ver todos los tipos de cambios de AMS y el historial de los tipos de cambios solicitados.

AMSReservedInstancesPolicy

AMSReservedInstancesPolicy

Permisos para gestionar las instancias EC2 reservadas de Amazon; para obtener información sobre los precios, consulte Amazon EC2 Reserved Instances.

AMSS3Política

AMSS3Policy

Permisos para crear y eliminar archivos de buckets de Amazon S3 existentes.

nota

Estos permisos no permiten crear buckets de S3; esto debe hacerse con el tipo de cambio Deployment | Advanced stack components | S3 storage | Create.

AWSSupportAcceso

AWSSupportAccess

Acceso completo a Soporte. Para obtener información, consulte Cómo empezar con Soporte. Para obtener información sobre Premium Support, consulte Soporte.

AWSMarketplaceManageSubscriptions

AWSMarketplaceManageSubscriptions(Política de AWS gestión pública)

Permisos para suscribirse, cancelar la suscripción y ver AWS Marketplace las suscripciones.

AWSCertificateManagerFullAccess

AWSCertificateManagerFullAccess

Acceso completo a AWS Certificate Manager. Para obtener más información, consulte AWS Certificate Manager.

AWSCertificateManagerFullAccessinformación (Política pública gestionada de AWS).

AWSWAFFullAcceso

AWSWAFFullAccess

Acceso completo a AWS WAF. Para obtener más información, consulte AWS WAF : Web Application Firewall.

AWSWAFFullAccessinformación, (política de AWS gestión pública). Esta política otorga acceso total a AWS WAF los recursos.

ReadOnlyAccess

ReadOnlyAccess

Acceso de solo lectura a todos los AWS servicios y recursos de la AWS consola. Cuando AWS lanza un nuevo servicio, AMS actualiza la ReadOnlyAccess política para añadir permisos de solo lectura al nuevo servicio. Los permisos actualizados se aplican a todas las entidades principales a las que la política está asociada.

Esto no permite iniciar sesión en los hosts o en los EC2 hosts de bases de datos.

Si tienes una política activa Cuenta de AWS, puedes usar este enlace ReadOnlyAccesspara ver la ReadOnlyAccess política completa. Toda la ReadOnlyAccess política es muy larga, ya que proporciona acceso de solo lectura para todos. Servicios de AWS El siguiente es un extracto parcial de la política. ReadOnlyAccess

Zona de aterrizaje de cuenta única (SALZ): para ver las políticas de rol de usuario predeterminadas y no personalizadas de la zona de aterrizaje de cuenta única de AMS, consulte a continuación. SALZ: rol de usuario de IAM predeterminado

SALZ: rol de usuario de IAM predeterminado

Declaraciones de política de JSON para el rol de usuario predeterminado de AMS con una sola cuenta en la zona de landing zone.

nota

El rol de usuario predeterminado de SALZ se puede personalizar y puede variar según la cuenta. Se proporcionan instrucciones para encontrar su función.

El siguiente es un ejemplo del rol de usuario de SALZ predeterminado. Para asegurarse de que tiene las políticas definidas para usted, ejecute el get-rolecomando. O bien, inicie sesión en la AWS Identity and Access Management consola en y https://console.aws.amazon.com/iam/, a continuación, seleccione Roles.

La función de cliente de solo lectura es una combinación de varias políticas. A continuación se presenta un desglose del rol (JSON).

Política de auditoría de Managed Services:

Política de IAM ReadOnly de Managed Services

Política de usuario de Managed Services



	{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowCustomerToListTheLogBucketLogs",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*"
      ],
      "Condition": {
        "StringLike": {
          "s3:prefix": [
            "aws/*",
            "app/*",
            "encrypted",
            "encrypted/",
            "encrypted/app/*"
          ]
        }
      }
    },
    {
      "Sid": "BasicAccessRequiredByS3Console",
      "Effect": "Allow",
      "Action": [
        "s3:ListAllMyBuckets",
        "s3:GetBucketLocation"
      ],
      "Resource": [
        "arn:aws:s3:::*"
      ]
    },
    {
      "Sid": "AllowCustomerToGetLogs",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject*"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*/aws/*",
        "arn:aws:s3:::mc-a*-logs-*/encrypted/app/*"
      ]
    },
    {
      "Sid": "AllowAccessToOtherObjects",
      "Effect": "Allow",
      "Action": [
        "s3:DeleteObject*",
        "s3:Get*",
        "s3:List*",
        "s3:PutObject*"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "AllowCustomerToListTheLogBucketRoot",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:prefix": [
            "",
            "/"
          ]
        }
      }
    },
    {
      "Sid": "AllowCustomerCWLConsole",
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogStreams",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:*"
      ]
    },
    {
      "Sid": "AllowCustomerCWLAccessLogs",
      "Effect": "Allow",
      "Action": [
        "logs:FilterLogEvents",
        "logs:GetLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:/aws/*",
        "arn:aws:logs:*:*:log-group:/infra/*",
        "arn:aws:logs:*:*:log-group:/app/*",
        "arn:aws:logs:*:*:log-group:RDSOSMetrics:*:*"
      ]
    },
    {
      "Sid": "AWSManagedServicesFullAccess",
      "Effect": "Allow",
      "Action": [
        "amscm:*",
        "amsskms:*"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "ModifyAWSBillingPortal",
      "Effect": "Allow",
      "Action": [
        "aws-portal:Modify*"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "DenyDeleteCWL",
      "Effect": "Deny",
      "Action": [
        "logs:DeleteLogGroup",
        "logs:DeleteLogStream"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:*"
      ]
    },
    {
      "Sid": "DenyMCCWL",
      "Effect": "Deny",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:DescribeLogStreams",
        "logs:FilterLogEvents",
        "logs:GetLogEvents",
        "logs:PutLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:/mc/*"
      ]
    },
    {
      "Sid": "DenyS3MCNamespace",
      "Effect": "Deny",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*/encrypted/mc/*",
        "arn:aws:s3:::mc-a*-logs-*/mc/*",
        "arn:aws:s3:::mc-a*-logs-*-audit/*",
        "arn:aws:s3:::mc-a*-internal-*/*",
        "arn:aws:s3:::mc-a*-internal-*"
      ]
    },
    {
      "Sid": "ExplicitDenyS3CfnBucket",
      "Effect": "Deny",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "arn:aws:s3:::cf-templates-*"
      ]
    },
    {
      "Sid": "DenyListBucketS3LogsMC",
      "Action": [
        "s3:ListBucket"
      ],
      "Effect": "Deny",
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*"
      ],
      "Condition": {
        "StringLike": {
          "s3:prefix": [
            "auditlog/*",
            "encrypted/mc/*",
            "mc/*"
          ]
        }
      }
    },
    {
      "Sid": "DenyS3LogsDelete",
      "Effect": "Deny",
      "Action": [
        "s3:Delete*",
        "s3:Put*"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*/*"
      ]
    },
    {
      "Sid": "DenyAccessToKmsKeysStartingWithMC",
      "Effect": "Deny",
      "Action": [
        "kms:*"
      ],
      "Resource": [
        "arn:aws:kms::*:key/mc-*",
        "arn:aws:kms::*:alias/mc-*"
      ]
    },
    {
      "Sid": "DenyListingOfStacksStartingWithMC",
      "Effect": "Deny",
      "Action": [
        "cloudformation:*"
      ],
      "Resource": [
        "arn:aws:cloudformation:*:*:stack/mc-*"
      ]
    },
    {
      "Sid": "AllowCreateCWMetricsAndManageDashboards",
      "Effect": "Allow",
      "Action": [
        "cloudwatch:PutMetricData"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "AllowCreateandDeleteCWDashboards",
      "Effect": "Allow",
      "Action": [
        "cloudwatch:DeleteDashboards",
        "cloudwatch:PutDashboard"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

Política compartida de Customer Secrets Manager

Política de suscripción a Customer Marketplace

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Gestión del tráfico de salida AMS

Reglas de firewall de acceso predeterminadas