Informations relatives à la modification des autorisations IAM - Guide de l'utilisateur d'AMS Accelerate

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Informations relatives à la modification des autorisations IAM

Chaque instance gérée doit avoir un AWS Identity and Access Management rôle qui inclut les politiques gérées suivantes :

  • arn:aws:iam : :aws:policy/Amazon SSMManaged InstanceCore

  • arn:aws:iam : :aws:policy/ CloudWatchAgentServerPolicy

  • arn:aws:iam : :aws:policy/ AMSInstance ProfileBasePolicy

Les deux premières sont des politiques AWS gérées. La politique gérée par AMS est la suivante :

AMSInstanceProfileBasePolicy

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:UpdateSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:*:*:secret:/ams/byoa/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "kms:Encrypt"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

Si votre instance possède déjà un rôle IAM attaché, mais qu'aucune de ces politiques n'est absente, AMS ajoute les politiques manquantes à votre rôle IAM. Si votre instance ne possède pas de rôle IAM, AMS attache le rôle AMSOSConfigurationCustomerInstanceProfileIAM. Le rôle AMSOSConfigurationCustomerInstanceProfileIAM possède toutes les politiques requises par AMS Accelerate.

Note

Si la limite de 10 profils d'instance par défaut est atteinte, AMS augmente la limite à 20, afin que les profils d'instance requis puissent être attachés.