Cómo empezar con el modo Direct Change - Guía de usuario avanzada de AMS
Funciones y políticas de IAM del modo Direct Change

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo empezar con el modo Direct Change

Comience por comprobar los requisitos previos y, a continuación, envíe una solicitud de cambio (RFC) en su cuenta de AMS Advanced que cumpla los requisitos.

  1. Confirme que la cuenta que quiere usar con DCM cumpla los requisitos:

    • La cuenta es AMS Advanced Plus o Premium.

    • La cuenta no tiene activado Service Catalog. Actualmente, no admitimos la incorporación de cuentas a DCM y a Service Catalog al mismo tiempo. Si ya está incorporado a Service Catalog pero está interesado en DCM, hable de sus necesidades con su administrador de prestación de servicios en la nube (CSDM). Si decide cambiar de Service Catalog a DCM, fuera de Service Catalog, para ello, incluya la solicitud de cambio en la solicitud de cambio que aparece a continuación. Para obtener más información sobre el catálogo de servicios en AMS, consulte AMS y Service Catalog.

  2. Envíe una solicitud de cambio (RFC) mediante el modo Administración | Cuenta gestionada | Cambio directo | Habilitar el tipo de cambio (ct-3rd4781c2nnhp). Para ver un ejemplo de tutorial, consulte Modo de cambio directo | Activar.

    Una vez procesado el CT, las funciones de IAM predefinidas AWSManagedServicesUpdateRole se aprovisionan en la cuenta especificada. AWSManagedServicesCloudFormationAdminRole

  3. Asigne la función adecuada a los usuarios que requieren acceso a DCM mediante su proceso de federación interno.

nota

Puede especificar cualquier número de SAMLIdentity proveedores, AWS servicios y entidades de IAM (funciones, usuarios, etc.) para que asuman las funciones. Debe proporcionar al menos uno: SAMLIdentityProviderARNsIAMEntityARNs, oAWSServicePrincipals. Para obtener más información, consulte con el departamento de IAM de su empresa o con su arquitecto de nube (CA) de AMS.

Funciones y políticas de IAM del modo Direct Change

Cuando el modo Direct Change está habilitado en una cuenta, se implementan estas nuevas entidades de IAM:

AWSManagedServicesCloudFormationAdminRole: Esta función permite acceder a la CloudFormation consola, crear y actualizar CloudFormation pilas, ver los informes de desviaciones y crear y ejecutar. CloudFormation ChangeSets El acceso a este rol se administra a través de su proveedor de SAML.

Las políticas administradas que se implementan y se asocian a la función AWSManagedServicesCloudFormationAdminRole son:

  • Cuenta de aplicación AMS Advanced multi-account landing zone (MALZ)

    • AWSManagedServices_CloudFormationAdminPolicy1

    • AWSManagedServices_CloudFormationAdminPolicy2.

      • Esta política representa los permisos otorgados a. AWSManagedServicesCloudFormationAdminRole Tú y tus socios usáis esta política para conceder acceso a un rol existente en la cuenta y permitir que ese rol lance y actualice CloudFormation pilas en la cuenta. Esto puede requerir actualizaciones adicionales de la política de control de servicios (SCP) de AMS para permitir que otras entidades de IAM lancen pilas. CloudFormation

  • Cuenta AMS Advanced Single-Account Landing Zone (SALZ)

    • AWSManagedServices_CloudFormationAdminPolicy1

    • AWSManagedServices_CloudFormationAdminPolicy2.

    • cdk-legacy-mode-s3 accesos [política en línea]

    • AWS ReadOnlyAccess política

AWSManagedServicesUpdateRole: Esta función otorga acceso restringido al AWS servicio APIs descendente. La función se implementa con políticas administradas que proporcionan operaciones de API mutantes y no mutantes, pero en general restringen las operaciones mutantes (por ejemploCreate/Delete/PUT) a ciertos servicios, como IAM, KMS, GuardDuty VPC, AMS, recursos y configuración de infraestructura, etc. El acceso a este rol se administra a través del proveedor de SAML.

Las políticas administradas que se implementan y se asocian a la función AWSManagedServicesUpdateRole son:

  • Cuenta de aplicación AMS Advanced multicuenta para zonas de landing zone

    • AWSManagedServicesUpdateBasePolicy 

    • AWSManagedServicesUpdateDenyPolicy 

    • AWSManagedServicesUpdateDenyProvisioningPolicy 

    • AWSManagedServicesUpdateEC2Y RDSPolicy 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfraPolítica

  • Cuenta AMS Advanced de una sola cuenta en la zona de landing zone

    • AWSManagedServicesUpdateBasePolicy 

    • AWSManagedServicesUpdateDenyProvisioningPolicy 

    • AWSManagedServicesUpdateEC2Y RDSPolicy 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfraPolítica 1 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfraPolítica 2

Además, la AWSManagedServicesUpdateRole función de política administrada también tiene ViewOnlyAccess asociada la política AWS administrada.