Uso del aprovisionamiento automatizado de IAM de AMS en AMS - Guía de usuario avanzada de AMS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso del aprovisionamiento automatizado de IAM de AMS en AMS

Puede crear RFCs con los siguientes tipos de cambios en el aprovisionamiento automatizado de IAM de AMS.

nota

  • Solo se admite el aprovisionamiento de funciones y políticas.

    Al actualizar las funciones, la actualización CT sustituye la lista existente de nombres de recursos de Amazon para políticas gestionadas y el documento de política «asumir una función», por la lista proporcionada de políticas gestionadas ARNs y el documento de política «asumir funciones». ARNs En una actualización parcial, por ejemplo, no se permite agregar o eliminar un ARN de la lista existente de políticas administradas ARNs, ni agregar o eliminar declaraciones de políticas individuales al documento de política de «asumir funciones». Del mismo modo, al actualizar las políticas, la actualización CT reemplaza el documento de política existente y no permite agregar o eliminar una declaración de política individual en el documento de política existente.

  • Cuando se selecciona la opción «validar únicamente», las comprobaciones en tiempo de ejecución se realizan sin aprovisionar ninguna entidad o política de IAM. Independientemente de los resultados, el estado de la RFC es «correcto». El estado «correcto» indica que la validación se realizó correctamente con respecto a la entidad o política de IAM proporcionada.

Solo puede llamar a las tres anteriores mediante una función de IAM dedicada:. CTs AWSManagedServicesIAMProvisionAdminRole Esta función solo está disponible en las cuentas que se han incorporado a la función mediante los permisos de lectura/escritura de Administración | Cuenta gestionada | AMS Automated IAM Provisioning | Habilitar (es necesario revisar) (ct-1706xvvk6j9hf).

importante

Los tipos de cambios de creación, actualización y eliminación siempre están visibles en su cuenta, pero no están activados de forma predeterminada. Si intenta enviar una RFC mediante uno de estos tipos de cambios sin activar primero la función de aprovisionamiento automatizado de IAM por parte de AMS, aparecerá un mensaje de error que indica que no está autorizado.

Limitaciones:

  • La función Create CT podría permitirle crear un rol o una política de IAM con permiso para crear recursos. AWS Sin embargo, AMS no administra los AWS recursos creados por estas funciones y políticas. Se recomienda ceñirse al control de la organización para limitar la creación de dichos roles o políticas.

  • La actualización CT no puede modificar las funciones y políticas de IAM creadas con CFN Ingest, Direct Change Mode, Developer Mode o, en algunos casos, mediante el AMS Advanced existente, manual o automatizado. CTs

  • El comando Delete CT no puede eliminar las funciones o políticas existentes que no se hayan creado con el AMS Automated IAM Provisioning Create CT.

  • La función de aprovisionamiento automatizado de IAM de AMS con permisos de lectura y escritura no es compatible con las funciones del modo de cambio directo. Esto significa que no puede aprovisionar ni actualizar las funciones y políticas de IAM con permisos de lectura y escritura mediante estas funciones.

  • El aprovisionamiento automatizado de IAM por AMS con permisos de lectura y escritura Los tipos de cambios de creación, actualización y eliminación no son compatibles con el Connector. ServiceNow