Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS Identity and Access Management dans AMS Accelerate
AWS Identity and Access Management est un service Web qui vous permet de contrôler en toute sécurité l'accès aux AWS ressources. Vous pouvez utiliser IAM pour contrôler les personnes qui s'authentifient (sont connectées) et sont autorisées (disposent d'autorisations) à utiliser des ressources. Lors de l'intégration d'AMS Accelerate, vous êtes chargé de créer des rôles d'administrateur IAM entre comptes au sein de chacun de vos comptes gérés.
Dans AMS Accelerate, vous êtes responsable de la gestion de l'accès à vos ressources Comptes AWS et à leurs ressources sous-jacentes, telles que les solutions de gestion des accès, les politiques d'accès et les processus associés. Cela signifie que vous gérez le cycle de vie de vos utilisateurs, les autorisations dans les services d'annuaire et le système d'authentification fédérée, pour accéder à la AWS console ou AWS APIs. Pour vous aider à gérer votre solution d'accès, AMS Accelerate déploie des AWS Config règles qui détectent les erreurs de configuration courantes de l'IAM et envoie des notifications de correction. Pour en savoir plus, consultez Règles gérées AWS Config.
Authentification avec des identités dans AMS Accelerate
AMS utilise des rôles IAM, qui sont un type d'identité IAM. Un rôle IAM est similaire à un utilisateur, dans la mesure où il s'agit d'une identité dotée de politiques d'autorisation qui déterminent ce que l'identité peut et ne peut pas faire. AWS Cependant, aucun identifiant n'est associé à un rôle et, au lieu d'être associé de manière unique à une seule personne, il peut être assumé par tous ceux qui en ont besoin. Un utilisateur IAM peut endosser un rôle pour accepter différentes autorisations temporaires concernant un tâche spécifique.
Les rôles d'accès sont contrôlés par l'appartenance à un groupe interne, qui est administré et révisé périodiquement par la direction des opérations. AMS utilise les rôles IAM suivants.
Note
Les rôles d'accès AMS permettent aux opérateurs AMS d'accéder à vos ressources pour fournir des fonctionnalités AMS (voirService description (Description du service)). La modification de ces rôles peut entraver notre capacité à fournir ces capacités. Si vous devez modifier les rôles d'accès AMS, consultez votre architecte cloud.
| Nom de rôle | Description |
|---|---|
| Utilisé par (entité) : AMS Access Service uniquement | |
ams-access-management |
Déployé manuellement par vos soins lors de l'intégration. Supposé uniquement par AMS Access pour déployer ou mettre à jour les rôles d'accès. Reste dans votre compte après l'intégration pour toute future mise à jour des rôles d'accès. |
| Utilisé par (entité) : AMS Operations | |
ams-access-admin-operations |
Ce rôle dispose des autorisations administratives nécessaires pour opérer dans les comptes, mais pas pour lire, écrire ou supprimer le contenu client dans les AWS services couramment utilisés comme magasins de données, tels qu'Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift et Amazon. ElastiCache Seules quelques personnes sélectionnées dans le cadre de l'AMS peuvent assumer ce rôle. |
ams-access-operations |
Ce rôle AMS Operations est autorisé à effectuer des tâches administratives dans vos comptes. Ce rôle ne dispose pas d'autorisations de lecture, d'écriture ou de suppression du contenu client dans les AWS services couramment utilisés comme magasins de données, tels qu'Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift et Amazon. ElastiCache Les autorisations permettant d'effectuer des opérations d' AWS Identity and Access Management écriture sont également exclues de ce rôle. |
ams-access-read-only |
Ce rôle en lecture seule AMS est limité aux autorisations en lecture seule de votre compte AMS. Les autorisations de lecture du contenu client dans les AWS services couramment utilisés comme magasins de données, tels qu'Amazon S3, Amazon RDS, DynamoDB, Amazon Redshift, etc. ne sont pas accordées par ElastiCache ce rôle. |
| Utilisé par (entité) : AMS Operations et AMS Services | |
ams_ssm_automation_role |
Supposé par AWS Systems Manager exécuter les documents SSM Automation sur votre compte. |
ams_ssm_automation_role | |
| Utilisé par (entité) : AMS Security | |
ams-access-security-analyst |
Ce rôle de sécurité AMS est autorisé dans votre compte AMS à effectuer une surveillance dédiée des alertes de sécurité et à la gestion des incidents de sécurité. Seules quelques personnes sélectionnées d'AMS Security peuvent assumer ce rôle. Les autorisations de lecture du contenu client dans les AWS services couramment utilisés comme magasins de données, tels qu'Amazon S3, Amazon RDS, Amazon DynamoDB, Amazon Redshift, ne sont pas ElastiCache accordées par ce rôle. |
ams-access-security-analyst-lecture seule |
Ce rôle de sécurité AMS est limité aux autorisations en lecture seule de votre compte AMS pour effectuer une surveillance dédiée des alertes de sécurité et une gestion des incidents de sécurité. Les autorisations de lecture du contenu client dans les AWS services couramment utilisés comme magasins de données, tels qu'Amazon S3, Amazon RDS, Amazon DynamoDB, Amazon Redshift, ne sont pas ElastiCache accordées par ce rôle. |
| Utilisé par (entité) : AWS Services | |
ams-access-admin |
Ce rôle d'administrateur AMS dispose de toutes les autorisations nécessaires pour opérer sur des comptes sans restrictions. Seuls les services internes d'AMS (avec une politique de session limitée) peuvent assumer le rôle d'administrateur. |
ams-opscenter-eventbridge-role |
Supposé par Amazon EventBridge AWS Systems Manager OpsItems comme étant créé dans le cadre d'un flux de travail de AWS Config Rules correction spécifique à AMS. |
AMSOSConfigurationCustomerInstanceRole |
Ce rôle IAM est appliqué à vos EC2 instances Amazon lorsque le service de configuration du système d'exploitation AMS découvre que les politiques IAM requises sont manquantes. Il permet à vos EC2 instances Amazon d'interagir avec AWS Systems Manager Amazon et CloudWatch les EventBridge services Amazon. Il a également joint la politique gérée personnalisée AMS pour permettre l'accès RDP à vos instances Windows. |
mc-patch-glue-service-rôle |
Supposé par le flux de travail AWS Glue ETL pour effectuer la transformation des données et les préparer pour le générateur de rapports AMS Patch. |
| Utilisé par (entité) : AMS Service | |
ams-alarm-manager- AWSManaged ServicesAlarmManagerDe - <8-digit hash> |
Supposé par l'infrastructure du gestionnaire d'alarmes AMS au sein de votre compte AMS pour effectuer une AWS Config Rules évaluation en vue d'un nouveau AWS AppConfig déploiement. |
ams-alarm-manager- AWSManaged ServicesAlarmManagerRe - <8-digit hash> |
Supposée par l'infrastructure de correction du gestionnaire d'alarmes AMS au sein de votre compte AMS pour permettre la création ou la suppression d'alarmes à des fins de correction. |
ams-alarm-manager- AWSManaged ServicesAlarmManager SS- <8-digit hash> |
Supposé par AWS Systems Manager appeler le service de correction du gestionnaire d'alarmes AMS dans votre compte AMS. |
ams-alarm-manager- AWSManaged ServicesAlarmManagerTr - <8-digit hash> |
Supposé par l'infrastructure du gestionnaire d'alarmes AMS au sein de votre AWS compte pour effectuer une AWS Config Rules évaluation AMS périodique. |
ams-alarm-manager- AWSManaged ServicesAlarmManagerVa - <8-digit hash> |
Supposée par l'infrastructure du gestionnaire d'alarmes AMS au sein de votre compte AMS pour garantir que les alarmes requises existent dans le AWS compte. |
ams-backup-iam-role |
Ce rôle est utilisé pour fonctionner AWS Backup au sein de vos comptes. |
surveillance AMS-- AWSManaged ServicesLogGroupLimitLamb <8-digit hash> |
Supposé par l'infrastructure de journalisation et de surveillance AMS de votre compte AMS pour évaluer la limite CloudWatch des groupes Amazon Logs et la comparer aux quotas de service. |
surveillance des ondes- AWSManaged Services RDSMonitoring RDSE- <8-digit hash> |
Supposé par l'infrastructure de journalisation et de surveillance AMS de votre compte AMS pour transférer les événements Amazon RDS vers Amazon CloudWatch Events. |
surveillance AMS-- AWSManaged ServicesRedshiftMonitorin <8-digit hash> |
Supposé par l'infrastructure de journalisation et de surveillance AMS de votre compte AMS pour transférer les événements Amazon Redshift (CreateCluster et DeleteCuster) vers Amazon CloudWatch Events. |
ams-monitoring-infrastruc- AWSManaged ServicesMonito - <8-digit hash> |
L'infrastructure AMS Logging & Monitoring de votre compte AMS est censée publier des messages sur Amazon Simple Notification Service afin de valider que le compte fournit toutes les données nécessaires. |
ams-opscenter-role |
Supposé par le système de gestion des notifications AMS de votre compte AMS AWS Systems Manager OpsItems pour gérer les alertes de votre compte. |
ams-opsitem-autoexecution-role |
Supposé par le système de gestion des notifications AMS pour gérer la correction automatique à l'aide de documents SSM pour surveiller les alertes liées aux ressources de votre compte. |
ams-patch-infrastructure-amspatchconfigruleroleC1- <8-digit hash> |
Supposé par AWS Config pour évaluer les ressources des correctifs AMS et détecter la dérive dans ses AWS CloudFormation piles. |
ams-patch-infrastructure-amspatchcwruleopsitemams- <8-digit hash> |
Supposé par Amazon EventBridge pour être créé en cas AWS Systems Manager OpsItems d'échec des correctifs. |
ams-patch-infrastructure-amspatchservicebusamspat- <8-digit hash> |
Supposé par Amazon EventBridge pour envoyer un événement au bus d'événements AMS Patch Orchestrator pour les notifications de modification de l'état de AWS Systems Manager Maintenance Windows. |
ams-patch-reporting-infra-amspatchreportingconfigr- <8-digit hash> |
Supposé par AWS Config pour évaluer les ressources de reporting d'AMS Patch et détecter la dérive dans ses AWS CloudFormation piles. |
ams-resource-tagger- AWSManaged ServicesResourceTagg - <8-digit hash> |
Supposé par l'infrastructure AMS Resource Tagger au sein de votre compte AMS pour effectuer une AWS Config Rules évaluation lors d'un nouveau AWS AppConfig déploiement. |
ams-resource-tagger- AWSManaged ServicesResourceTagg - <8-digit hash> |
Supposé par l'infrastructure AMS Resource Tagger au sein de votre compte AMS pour valider l'existence des AWS balises requises pour les ressources gérées. |
ams-resource-tagger- AWSManaged ServicesResourceTagg - <8-digit hash> |
Supposé par AWS Systems Manager invoquer le flux de travail de correction AMS Resource Tagger dans votre compte AMS. |
ams-resource-tagger- AWSManaged ServicesResourceTagg - <8-digit hash> |
Supposée par l'infrastructure de correction AMS Resource Tagger au sein de votre compte AMS pour créer ou supprimer des AWS balises pour les ressources gérées. |
ams-resource-tagger- AWSManaged ServicesResourceTagg - <8-digit hash> |
Supposé par l'infrastructure AMS Resource Tagger de votre AWS compte pour effectuer une évaluation périodique des règles de configuration AMS. |
ams_os_configuration_event_rule_role- <AWS Region> |
Supposé par Amazon EventBridge pour transférer les événements de votre compte au service de configuration du système d'exploitation AMS EventBus dans la bonne région. |
mc-patch-reporting-service |
Supposé par l'agrégateur de données de patch et le générateur de rapports AMS. |
Note
Il s'agit du modèle du ams-access-management rôle. Il s'agit de la pile que les architectes du cloud (CAs) déploient manuellement dans votre compte lors de l'intégration : management-role.yaml
Il s'agit du modèle pour les différents rôles et niveaux d'accès : ams-access-read-only,, ams-access-operations ams-access-admin-operations, ams-access-admin : accelerate-roles.yaml
Les services de fonctionnalités AMS Accelerate ams-access-adminjouent le rôle d'accès programmatique au compte, mais avec une politique de session définie pour le service de fonctionnalités concerné (par exemple, correctif, sauvegarde, surveillance, etc.).
AMS Accelerate suit les meilleures pratiques du secteur pour respecter et maintenir l'éligibilité en matière de conformité. L'accès à votre compte AMS Accelerate est enregistré CloudTrail et peut également être consulté par le biais du suivi des modifications. Pour plus d'informations sur les requêtes que vous pouvez utiliser pour obtenir ces informations, consultezSuivi des modifications apportées à vos comptes AMS Accelerate.
Gestion des accès à l’aide de politiques
Diverses équipes de support d'AMS Accelerate, telles que les ingénieurs d'exploitation, les architectes cloud et les responsables de la prestation de services cloud (CSDMs), ont parfois besoin d'accéder à vos comptes pour répondre aux demandes de service et aux incidents. Leur accès est régi par un service d'accès AMS interne qui applique des contrôles, tels que la justification commerciale, les demandes de service, les éléments opérationnels et les dossiers de support. L'accès par défaut est en lecture seule, et tous les accès sont suivis et enregistrés ; voir également. Suivi des modifications apportées à vos comptes AMS Accelerate
Validation des ressources IAM
Le système d'accès AMS Accelerate assume régulièrement des rôles dans vos comptes (au moins toutes les 24 heures) et vérifie que toutes nos ressources IAM sont conformes aux attentes.
Afin de protéger vos comptes, AMS Accelerate dispose d'un « canari » qui surveille et émet des alertes concernant la présence et le statut des rôles IAM, ainsi que les politiques associées, mentionnées ci-dessus. Régulièrement, le Canary assume le ams-access-read-onlyrôle CloudFormation et lance des appels d'API IAM vers vos comptes. Le canari évalue l'état des rôles d'accès AMS Accelerate pour s'assurer qu'ils ne sont toujours pas modifiés et. up-to-date Cette activité crée CloudTrail des connexions dans le compte.
Le nom de session AWS Security Token Service (AWS STS) du canary est AMS-Access-Roles-Auditor- {uuid4 ()} comme indiqué dans et les appels d'API suivants ont lieu : CloudTrail
Appels d'API Cloud Formation :
describe_stacks()Appels d'API IAM :
get_role()list_attached_role_policies()list_role_policies()get_policy()get_policy_version()get_role_policy()
