Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Por qué y cuándo AMS accede a tu cuenta
AWS Managed Services (AMS) administra la infraestructura de AWS y, en ocasiones, por motivos específicos, los operadores y administradores de AMS acceden a su cuenta. Estos eventos de acceso se documentan en sus registros AWS CloudTrail (CloudTrail).
En los siguientes temas se explica por qué, cuándo y cómo AMS accede a su cuenta.
Activadores de acceso a la cuenta de cliente de AMS
La actividad de acceso a la cuenta de los clientes de AMS depende de factores desencadenantes. Los factores desencadenantes actuales son los AWS tickets creados en nuestro sistema de gestión de problemas en respuesta a las alarmas y eventos de Amazon CloudWatch (CloudWatch), y los informes de incidentes o las solicitudes de servicio que envíes. Se pueden realizar varias llamadas de servicio y actividades a nivel de anfitrión para cada acceso.
La justificación del acceso, los activadores y el iniciador del disparador se muestran en la siguiente tabla.
| Acceso | Initiator | Desencadenador |
|---|---|---|
Aplicación de parches |
AMS |
Problema con el parche |
Implementaciones de infraestructura |
AMS |
Problema de despliegue |
Investigación de problemas internos |
AMS |
Problema problemático (un problema que se ha identificado como sistémico) |
Investigación y solución de alertas |
AMS |
Elementos de trabajo operativos (SSM OpsItems) de AWS Systems Manager |
Ejecución manual de RFC |
Usted |
Problema con la solicitud de cambio (RFC). (Los sistemas no automatizados RFCs pueden requerir el acceso de AMS a sus recursos) |
Investigación y solución de incidentes |
Usted |
Caso de soporte entrante (una solicitud de servicio o incidente que envíes) |
Cumplimiento de una solicitud de servicio entrante |
Usted |
Funciones de IAM para el acceso a la cuenta de los clientes de AMS
Cuando se activa, AMS accede a las cuentas de los clientes mediante funciones AWS Identity and Access Management (IAM). Como ocurre con toda la actividad de su cuenta, se registran los roles y su uso. CloudTrail
importante
No modifique ni elimine estas funciones.
| Nombre de función | Tipo de cuenta (SALZ, MALZ Management, MALZ Application, etc.) | Descripción |
|---|---|---|
ams-service-admin |
SALZ, MALZ |
AMS Service automatiza el acceso y los despliegues de infraestructura automatizados, por ejemplo, Patch, Backup o Automated Remediation. |
ams-application-infra-read-solo |
SALZ, aplicación MALZ, aplicación MALZ Tools-aplicación |
Acceso de solo lectura por parte del operador |
ams-application-infra-operations |
Acceso del operador para incidents/service las solicitudes | |
ams-application-infra-admin |
Acceso de administrador de AD | |
ams-primary-read-only |
Administración de MALZ |
Acceso de solo lectura por parte del operador |
ams-primary-operations |
Acceso del operador para incidents/service las solicitudes | |
ams-primary-admin |
Acceso de administrador de AD | |
ams-logging-read-only |
Registro de MALZ |
Acceso de solo lectura por parte del operador |
ams-logging-operations |
Acceso del operador para incidents/service las solicitudes | |
ams-logging-admin |
Acceso de administrador de AD | |
ams-networking-read-only |
MALZ Networking |
Acceso de solo lectura por parte del operador |
ams-networking-operations |
Acceso del operador para incidents/service las solicitudes | |
ams-networking-admin |
Acceso de administrador de AD | |
ams-shared-services-read-solo |
Servicios compartidos MALZ |
Acceso de solo lectura por parte del operador |
ams-shared-services-operations |
Acceso del operador para incidents/service las solicitudes | |
ams-shared-services-admin |
Acceso de administrador de AD | |
ams-security-read-only |
Seguridad MALZ |
Acceso de solo lectura por parte del operador |
ams-security-operations |
Acceso del operador para incidents/service las solicitudes | |
ams-security-admin |
Acceso de administrador de AD | |
ams-access-security-analyst |
SALZ, aplicación MALZ, aplicación MALZ Tools-Aplicación, MALZ Core |
Acceso a AMS Security |
ams-access-security-analyst-de solo lectura |
AMS Security, acceso de solo lectura | |
Sentinel_ _Role_ 0 AdminUser MBhE PXHaz RQadu PVc CDc |
SALSA |
[BreakGlassRole] Se utiliza para introducir Glass en las cuentas de los clientes |
PowerUserSentinel_ _Role_ S0 0 wZuPu ROOl IazDb RI9 |
SAL, MALTA |
Acceso de usuarios avanzados a las cuentas de los clientes para la ejecución de RFC |
Sentinel_ _Role_PD4L6RW9RD0lnLKD5 ReadOnlyUser JOo |
ReadOnly acceso a las cuentas de los clientes para la ejecución de la RFC | |
ams_admin_role |
Acceso de administrador a las cuentas de los clientes para ejecutar el RFC | |
AWSManagedServices_Provisioning_CustomerStacksRole |
Se utiliza para lanzar y actualizar las pilas de CFN en nombre de los clientes a través de Ingest CloudFormation | |
customer_ssm_automation_role |
Las ejecuciones de CT transfieren el rol a SSM Automation para la ejecución del runbook | |
ams_ssm_automation_role |
SALZ, aplicación MALZ, código MALZ |
Los servicios de AMS transfirieron la función a SSM Automation para la ejecución del manual |
ams_ssm_iam_deployment_role |
Aplicación MALZ |
Función utilizada por el catálogo de IAM |
ams_ssm_shared_svcs_intermediary_role |
Servicios compartidos MALZ |
Función utilizada por la aplicación ams_ssm_automation_role para ejecutar documentos SSM específicos en la cuenta de Shared Services |
AmsOpsCenterRole |
SAL, MALA |
Se utiliza para crear y actualizar cuentas OpsItems de clientes |
AMSOpsItemAutoExecutionRole |
Se utiliza para obtener documentos SSM, describir etiquetas de recursos OpsItems, actualizar e iniciar la automatización | |
customer-mc-ecPerfil de 2 instancias |
Perfil de EC2 instancia de cliente predeterminado (rol) |
¿Solicita acceso a la instancia
Para acceder a un recurso, primero debe enviar una solicitud de cambio (RFC) para ese acceso. Hay dos tipos de acceso que puede solicitar: de administrador (permisos de lectura/escritura) y de solo lectura (acceso de usuario estándar). De forma predeterminada, el acceso dura ocho horas. Esta información es obligatoria:
ID de pila, o conjunto de pilas IDs, de la instancia o instancias a las que quieres acceder.
El nombre de dominio completo de su dominio de confianza en AMS.
El nombre de usuario de Active Directory de la persona que quiere acceder.
El ID de la VPC en la que se encuentran las pilas a las que desea acceder.
Una vez que se te haya concedido el acceso, puedes actualizar la solicitud según sea necesario.
Para ver ejemplos de cómo solicitar acceso, consulta Stack Admin Access | Grant o Stack Read-only Access | Grant.
