Commencer à utiliser le mode Direct Change - Guide de l'utilisateur avancé d'AMS
Rôles et politiques IAM en mode Changement direct

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Commencer à utiliser le mode Direct Change

Commencez par vérifier les conditions préalables, puis soumettez une demande de modification (RFC) sur votre compte AMS Advanced éligible.

  1. Vérifiez que le compte que vous souhaitez utiliser avec DCM répond aux exigences :

    • Le compte est AMS Advanced Plus ou Premium.

    • Service Catalog n'est pas activé sur le compte. À l'heure actuelle, nous ne prenons pas en charge l'intégration de comptes à la fois à DCM et à Service Catalog. Si vous êtes déjà inscrit à Service Catalog mais que vous êtes intéressé par DCM, discutez de vos besoins avec votre responsable de prestation de services cloud (CSDM). Si vous décidez de passer de Service Catalog à DCM, déconnectez Service Catalog. Pour ce faire, incluez la demande dans la demande de modification ci-dessous. Pour plus de détails sur Service Catalog dans AMS, consultez AMS and Service Catalog.

  2. Soumettez une demande de modification (RFC) à l'aide de la commande Gestion | Compte géré | Mode de changement direct | Activer le type de modification (ct-3rd4781c2nnhp). Pour un exemple de procédure pas à pas, voir Mode de changement direct | Activer.

    Une fois le CT traité, les rôles IAM prédéfinis AWSManagedServicesUpdateRole sont provisionnés dans le compte spécifié. AWSManagedServicesCloudFormationAdminRole

  3. Attribuez le rôle approprié aux utilisateurs qui ont besoin d'un accès au DCM à l'aide de votre processus de fédération interne.

Note

Vous pouvez spécifier un nombre illimité de SAMLIdentity fournisseurs, de AWS services et d'entités IAM (rôles, utilisateurs, etc.) pour assumer les rôles. Vous devez fournir au moins un : SAMLIdentityProviderARNsIAMEntityARNs, ouAWSServicePrincipals. Pour plus d'informations, contactez le service IAM de votre entreprise ou votre architecte cloud AMS (CA).

Rôles et politiques IAM en mode Changement direct

Lorsque le mode Direct Change est activé dans un compte, les nouvelles entités IAM suivantes sont déployées :

AWSManagedServicesCloudFormationAdminRole: ce rôle permet d'accéder à la CloudFormation console, de créer et de mettre à jour des CloudFormation piles, d'afficher des rapports de dérive, de créer et d'exécuter CloudFormation ChangeSets. L'accès à ce rôle est géré par le biais de votre fournisseur SAML.

Les politiques gérées déployées et associées au rôle AWSManagedServicesCloudFormationAdminRole sont les suivantes :

  • Compte d'application AMS Advanced multi-comptes landing zone (MALZ)

    • AWSManagedServices_CloudFormationAdminPolicy1

    • AWSManagedServices_CloudFormationAdminPolicy2

      • Cette politique représente les autorisations accordées àAWSManagedServicesCloudFormationAdminRole. Vous et vos partenaires utilisez cette politique pour accorder l'accès à un rôle existant dans le compte et permettre à ce rôle de lancer et de mettre à jour des CloudFormation stacks dans le compte. Cela peut nécessiter des mises à jour supplémentaires de la politique de contrôle des services (SCP) AMS pour permettre à d'autres entités IAM de lancer CloudFormation des stacks.

  • Compte de zone d'atterrissage à compte unique (SALZ) AMS Advanced

    • AWSManagedServices_CloudFormationAdminPolicy1

    • AWSManagedServices_CloudFormationAdminPolicy2

    • cdk-legacy-mode-s3-accès [politique en ligne]

    • AWS ReadOnlyAccess politique

AWSManagedServicesUpdateRole: ce rôle accorde un accès restreint au AWS service en aval APIs. Le rôle est déployé avec des politiques gérées qui fournissent des opérations d'API mutantes et non mutantes, mais limitent en général les opérations mutantes (telles queCreate/Delete/PUT) à certains services tels que les ressources et la configuration de l'infrastructure IAM, KMS, GuardDuty VPC, AMS, etc. L'accès à ce rôle est géré par le biais de votre fournisseur SAML.

Les politiques gérées déployées et associées au rôle AWSManagedServicesUpdateRole sont les suivantes :

  • Compte d'application de zone d'atterrissage multi-comptes AMS Advanced

    • AWSManagedServicesUpdateBasePolicy 

    • AWSManagedServicesUpdateDenyPolicy 

    • AWSManagedServicesUpdateDenyProvisioningPolicy 

    • AWSManagedServicesUpdateEC2Et RDSPolicy 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfraPolitique

  • Compte de zone d'atterrissage à compte unique AMS Advanced

    • AWSManagedServicesUpdateBasePolicy 

    • AWSManagedServicesUpdateDenyProvisioningPolicy 

    • AWSManagedServicesUpdateEC2Et RDSPolicy 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfraPolitique 1 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfraPolitique 2

En outre, la stratégie gérée est également ViewOnlyAccess associée au AWSManagedServicesUpdateRole rôle de stratégie AWS gérée.