Utilisation du provisionnement IAM automatisé d'AMS dans AMS - Guide de l'utilisateur avancé d'AMS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation du provisionnement IAM automatisé d'AMS dans AMS

Vous pouvez créer RFCs avec les types de modifications AMS Automated IAM Provisioning suivants.

Note

  • Seul le provisionnement basé sur les rôles et les politiques est pris en charge.

    Lors de la mise à jour des rôles, l'Update CT remplace la liste existante des noms de ressources Amazon des politiques gérées (ARNs) et le document de politique « assumer un rôle », par la liste fournie des politiques gérées ARNs et du document de politique « assumer un rôle » fournis. Lors d'une mise à jour partielle, par exemple, l'ajout ou la suppression d'un ARN dans la liste existante des politiques gérées ARNs, l'ajout ou la suppression de déclarations de politique individuelles dans le document de politique « assumer un rôle » n'est pas autorisé. De même, lors de la mise à jour des politiques, l'Update CT remplace le document de politique existant et ne permet pas d'ajouter ou de supprimer des déclarations de politique individuelles dans le document de politique existant.

  • Lorsque l'option « valider uniquement » est sélectionnée, les contrôles d'exécution sont effectués sans provisionner d'entité ou de politique IAM. Quels que soient les résultats, le statut de la RFC est « succès ». Le statut « réussite » indique une validation réussie par rapport à l'entité ou à la politique IAM fournie.

Vous ne pouvez appeler les trois précédents qu' CTs en utilisant un rôle IAM dédié :AWSManagedServicesIAMProvisionAdminRole. Ce rôle n'est disponible que dans les comptes qui ont été intégrés à la fonctionnalité à l'aide des autorisations de lecture/écriture Management | Compte géré | AMS Automated IAM Provisioning | Activer (révision requise) (ct-1706xvvk6j9hf).

Important

Les types de modification Créer, Mettre à jour et Supprimer sont toujours visibles dans votre compte, mais ils ne sont pas activés par défaut. Si vous essayez de soumettre une RFC en utilisant l'un de ces types de modification sans activer au préalable la fonctionnalité AMS Automated IAM Provisioning, une erreur « non autorisée » s'affiche.

Limites :

  • Le Create CT peut vous permettre de créer un rôle ou une politique IAM avec l'autorisation de créer des AWS ressources. Cependant, AWS les ressources créées par ces rôles et politiques ne sont pas gérées par AMS. Il est recommandé de respecter le contrôle de votre organisation afin de limiter la création de tels rôles ou politiques.

  • L'Update CT ne peut pas modifier les rôles et politiques IAM créés avec CFN Ingest, le mode Direct Change, le mode développeur ou, dans certains cas, via le manuel ou automatisé AMS Advanced existant. CTs

  • Le Delete CT ne peut pas supprimer les rôles ou les politiques existants qui ne sont pas créés avec l'AMS Automated IAM Provisioning Create CT.

  • La fonctionnalité AMS Automated IAM Provisioning avec autorisations de lecture-écriture n'est pas prise en charge dans les rôles en mode de changement direct. Cela signifie que vous ne pouvez pas attribuer ou mettre à jour des rôles et des politiques IAM avec des autorisations de lecture-écriture à l'aide de ces rôles.

  • Le provisionnement IAM automatisé AMS avec autorisations de lecture/écriture Les types de modification de création, de mise à jour et de suppression ne sont pas compatibles avec le connecteur. ServiceNow