Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Pourquoi et quand AMS accède à votre compte
AWS Managed Services (AMS) gère votre infrastructure AWS et parfois, pour des raisons spécifiques, les opérateurs et administrateurs AMS accèdent à votre compte. Ces événements d'accès sont documentés dans vos journaux AWS CloudTrail (CloudTrail).
Pourquoi, quand et comment AMS accède à votre compte sont expliqués dans les rubriques suivantes.
Déclencheurs d'accès au compte client AMS
L'activité d'accès au compte client AMS est déterminée par des déclencheurs. Les déclencheurs actuels sont les AWS tickets créés dans notre système de gestion des problèmes en réponse aux alarmes et aux événements d'Amazon CloudWatch (CloudWatch), ainsi que les rapports d'incidents ou les demandes de service que vous soumettez. Plusieurs appels de service et activités au niveau de l'hôte peuvent être effectués pour chaque accès.
La justification de l'accès, les déclencheurs et l'initiateur du déclencheur sont répertoriés dans le tableau suivant.
| Accès | Initiateur | Déclencheur |
|---|---|---|
Corriger |
AMS |
Problème lié au correctif |
Déploiements d'infrastructures |
AMS |
Problème de déploiement |
Enquête sur un problème interne |
AMS |
Problème (problème identifié comme systémique) |
Enquête sur les alertes et mesures correctives |
AMS |
Éléments de travail opérationnels (SSM OpsItems) d'AWS Systems Manager |
Exécution manuelle des RFC |
Vous |
Problème de demande de modification (RFC). (La non-automatisation RFCs peut nécessiter un accès AMS à vos ressources) |
Enquête sur les incidents et résolution des incidents |
Vous |
Dossier d'assistance entrant (un incident ou une demande de service que vous soumettez) |
Traitement des demandes de service entrantes |
Vous |
Accès au compte client AMS | Rôles IAM
Lorsqu'il est déclenché, AMS accède aux comptes clients à l'aide de AWS Identity and Access Management rôles (IAM). Comme pour toutes les activités de votre compte, les rôles et leur utilisation sont connectés CloudTrail.
Important
Ne modifiez ni ne supprimez ces rôles.
| Nom du rôle | Type de compte (SALZ, gestion MALZ, application MALZ, etc.) | Description |
|---|---|---|
ams-service-admin |
SEL, MALZ |
Accès automatisé aux services AMS et déploiements d'infrastructures automatisés, par exemple Patch, Backup, Automated Remediation. |
ams-application-infra-read-uniquement |
SALZ, application MALZ, application d'outils MALZ |
Accès en lecture seule par l'opérateur |
ams-application-infra-operations |
Accès de l'opérateur pour les incidents/service demandes | |
ams-application-infra-admin |
Accès AD Admin | |
ams-primary-read-only |
Gestion du MALZ |
Accès en lecture seule par l'opérateur |
ams-primary-operations |
Accès de l'opérateur pour les incidents/service demandes | |
ams-primary-admin |
Accès AD Admin | |
ams-logging-read-only |
Journalisation MALZ |
Accès en lecture seule par l'opérateur |
ams-logging-operations |
Accès de l'opérateur pour les incidents/service demandes | |
ams-logging-admin |
Accès AD Admin | |
ams-networking-read-only |
Réseau MALZ |
Accès en lecture seule par l'opérateur |
ams-networking-operations |
Accès de l'opérateur pour les incidents/service demandes | |
ams-networking-admin |
Accès AD Admin | |
ams-shared-services-read-uniquement |
Services partagés MALZ |
Accès en lecture seule par l'opérateur |
ams-shared-services-operations |
Accès de l'opérateur pour les incidents/service demandes | |
ams-shared-services-admin |
Accès AD Admin | |
ams-security-read-only |
Sécurité MALZ |
Accès en lecture seule par l'opérateur |
ams-security-operations |
Accès de l'opérateur pour les incidents/service demandes | |
ams-security-admin |
Accès AD Admin | |
ams-access-security-analyst |
SALZ, application MALZ, application d'outils MALZ, noyau MALZ |
Accès à la sécurité AMS |
ams-access-security-analyst-lecture seule |
AMS Security, accès en lecture seule | |
Sentinel_ AdminUser _Role_ 0 MBhe PXHaz RQadu PVc CDc |
SALZ |
[BreakGlassRole] Utilisé pour introduire du verre dans les comptes clients |
Sentinel_ PowerUser _Role_ S0 0 wZuPu ROOl IazDb RI9 |
SEL, MALZ |
Accès des utilisateurs avancés aux comptes clients pour l'exécution des RFC |
Sentinelle _ _Role_PD4L6RW9RD0LNLKD5 ReadOnlyUser JOo |
ReadOnly accès aux comptes clients pour l'exécution des RFC | |
ams_admin_role |
Accès administrateur aux comptes clients pour l'exécution des RFC | |
AWSManagedServices_Provisioning_CustomerStacksRole |
Utilisé pour lancer et mettre à jour les piles CFN pour le compte des clients via Ingest CloudFormation | |
rôle_automation_client |
Rôle transmis par les exécutions CT à SSM Automation pour l'exécution du runbook | |
ams_ssm_automation_role |
SALZ, application MALZ, noyau MALZ |
Rôle transmis par les services AMS à SSM Automation pour l'exécution du runbook |
ams_ssm_iam_deployment_role |
Application MALZ |
Rôle utilisé par le catalogue IAM |
ams_ssm_shared_svcs_intermediary_role |
Services partagés MALZ |
Rôle utilisé par l'application ams_ssm_automation_role pour exécuter des documents SSM spécifiques dans un compte Shared Services |
AmsOpsCenterRole |
SEL, MALZ |
Utilisé pour créer et mettre OpsItems à jour des comptes clients |
AMSOpsItemAutoExecutionRole |
Utilisé pour obtenir des documents SSM, décrire les balises de ressources OpsItems, mettre à jour et démarrer l'automatisation | |
customer-mc-ecprofil à 2 instances |
Profil d' EC2 instance client par défaut (rôle) |
Demande d'accès à une instance
Pour accéder à une ressource, vous devez d'abord soumettre une demande de modification (RFC) pour cet accès. Vous pouvez demander deux types d'accès : administrateur (autorisations de lecture/écriture) et lecture seule (accès utilisateur standard). L'accès dure huit heures, par défaut. Ces informations sont obligatoires :
ID de pile, ou ensemble de piles IDs, pour l'instance ou les instances auxquelles vous souhaitez accéder.
Le nom de domaine complet de votre domaine approuvé par AMS.
Le nom d'utilisateur Active Directory de la personne qui souhaite y accéder.
L'ID du VPC où se trouvent les piles auxquelles vous souhaitez accéder.
Une fois que l'accès vous a été accordé, vous pouvez mettre à jour la demande selon vos besoins.
Pour des exemples de demande d'accès, voir Stack Admin Access | Grant ou Stack Read-only Access | Grant.
