Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS Identity and Access Management di AMS Accelerate
AWS Identity and Access Management adalah layanan web yang membantu Anda mengontrol akses ke AWS sumber daya dengan aman. Anda menggunakan IAM untuk mengontrol siapa yang diautentikasi (masuk) dan diotorisasi (memiliki izin) untuk menggunakan sumber daya. Selama orientasi AMS Accelerate, Anda bertanggung jawab untuk membuat peran administrator IAM lintas akun dalam setiap akun terkelola Anda.
Di AMS Accelerate, Anda bertanggung jawab untuk mengelola akses ke sumber daya Anda Akun AWS dan sumber daya dasarnya, seperti solusi manajemen akses, kebijakan akses, dan proses terkait. Ini berarti Anda mengelola siklus hidup pengguna, izin dalam layanan direktori, dan sistem otentikasi federasi, untuk mengakses konsol atau. AWS AWS APIs Untuk membantu Anda mengelola solusi akses, AMS Accelerate menerapkan AWS Config aturan yang mendeteksi kesalahan konfigurasi IAM yang umum, dan mengirimkan pemberitahuan remediasi. Untuk informasi selengkapnya, lihat AWS Config Managed Rules.
Mengautentikasi dengan identitas di AMS Accelerate
AMS menggunakan peran IAM, yang merupakan jenis identitas IAM. Peran IAM mirip dengan pengguna, karena itu adalah identitas dengan kebijakan izin yang menentukan apa yang dapat dan tidak dapat dilakukan identitas. AWS Namun, peran tidak memiliki kredensi yang terkait dengannya dan, alih-alih dikaitkan secara unik dengan satu orang, dapat diasumsikan oleh siapa saja yang membutuhkannya. Seorang pengguna IAM dapat mengambil peran untuk sementara mengambil izin yang berbeda untuk tugas tertentu.
Peran akses dikendalikan oleh keanggotaan kelompok internal, yang dikelola dan ditinjau secara berkala oleh Manajemen Operasi. AMS menggunakan peran IAM berikut.
catatan
Peran akses AMS memungkinkan operator AMS mengakses sumber daya Anda untuk menyediakan kemampuan AMS (lihatDeskripsi layanan). Mengubah peran ini dapat menghambat kemampuan kita untuk menyediakan kemampuan ini. Jika Anda perlu mengubah peran akses AMS, konsultasikan dengan Cloud Architect Anda.
| Nama peran | Deskripsi |
|---|---|
| Digunakan oleh (entitas): Hanya Layanan Akses AMS | |
ams-access-management |
Digunakan secara manual oleh Anda selama orientasi. Diasumsikan hanya oleh akses AMS untuk menyebarkan atau memperbarui peran akses. Tetap berada di akun Anda setelah melakukan onboarding untuk pembaruan masa depan untuk peran akses. |
| Digunakan oleh (entitas): Operasi AMS | |
ams-access-admin-operations |
Peran ini memiliki izin administratif untuk beroperasi di akun, tetapi tidak memiliki izin untuk membaca, menulis, atau menghapus konten pelanggan dalam AWS layanan yang biasa digunakan sebagai penyimpanan data, seperti Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift, dan Amazon. ElastiCache Hanya sedikit individu AMS terpilih yang dapat mengambil peran ini. |
ams-access-operations |
Peran Operasi AMS ini memiliki izin untuk melakukan tugas administratif di akun Anda. Peran ini tidak memiliki izin membaca, menulis, atau menghapus konten pelanggan dalam AWS layanan yang biasa digunakan sebagai penyimpanan data, seperti Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift, dan Amazon. ElastiCache Izin untuk melakukan operasi AWS Identity and Access Management penulisan juga dikecualikan dari peran ini. |
ams-access-read-only |
Peran hanya-baca AMS ini terbatas pada izin hanya-baca di akun AMS Anda. Izin membaca konten pelanggan dalam AWS layanan yang biasa digunakan sebagai penyimpanan data, seperti Amazon S3, Amazon RDS, DynamoDB, Amazon Redshift, dan, tidak diberikan oleh peran ElastiCache ini. |
| Digunakan oleh (entitas): Operasi AMS dan Layanan AMS | |
ams_ssm_automation_role |
Diasumsikan oleh AWS Systems Manager untuk mengeksekusi dokumen SSM Automation dalam akun Anda. |
ams_ssm_automation_role | |
| Digunakan oleh (entitas): AMS Security | |
ams-access-security-analyst |
Peran keamanan AMS ini memiliki izin di akun AMS Anda untuk melakukan pemantauan peringatan keamanan khusus dan penanganan insiden keamanan. Hanya sedikit individu AMS Security terpilih yang dapat mengambil peran ini. Izin membaca konten pelanggan di AWS layanan yang biasa digunakan sebagai penyimpanan data, seperti Amazon S3;, Amazon RDS;, Amazon DynamoDB, Amazon Redshift, dan, tidak diberikan oleh peran ini. ElastiCache |
ams-access-security-analyst-baca-saja |
Peran keamanan AMS ini terbatas pada izin hanya-baca di akun AMS Anda untuk melakukan pemantauan peringatan keamanan khusus dan penanganan insiden keamanan. Izin membaca konten pelanggan di AWS layanan yang biasa digunakan sebagai penyimpanan data, seperti Amazon S3;, Amazon RDS;, Amazon DynamoDB, Amazon Redshift, dan, tidak diberikan oleh peran ini. ElastiCache |
| Digunakan oleh (entitas): AWS Services | |
ams-access-admin |
Peran admin AMS ini memiliki izin penuh untuk beroperasi di akun tanpa batasan. Hanya layanan internal AMS (dengan kebijakan sesi tertutup) yang dapat mengambil peran admin. |
ams-opscenter-eventbridge-role |
Diasumsikan oleh Amazon EventBridge untuk membuat AWS Systems Manager OpsItems sebagai bagian dari alur kerja Aturan AWS Config remediasi khusus AMS. |
AMSOSConfigurationCustomerInstanceRole |
Peran IAM ini diterapkan ke EC2 instans Amazon Anda ketika layanan konfigurasi OS AMS menemukan bahwa kebijakan IAM yang diperlukan tidak ada. Ini memungkinkan EC2 instans Amazon Anda berinteraksi dengan AWS Systems Manager, Amazon CloudWatch, dan EventBridge layanan Amazon. Ini juga telah melampirkan kebijakan AMS yang dikelola khusus untuk mengaktifkan akses RDP ke instance Windows Anda. |
mc-patch-glue-service-peran |
Diasumsikan oleh alur kerja AWS Glue ETL untuk melakukan transformasi data dan mempersiapkannya untuk generator laporan AMS Patch. |
| Digunakan oleh (entitas): Layanan AMS | |
ams-alarm-manager- AWSManaged ServicesAlarmManagerDe - <8-digit hash> |
Diasumsikan oleh infrastruktur manajer alarm AMS dalam akun AMS Anda untuk melakukan Aturan AWS Config evaluasi AWS AppConfig penerapan baru. |
ams-alarm-manager- AWSManaged ServicesAlarmManagerRe - <8-digit hash> |
Diasumsikan oleh infrastruktur remediasi manajer alarm AMS dalam akun AMS Anda untuk memungkinkan pembuatan atau penghapusan alarm untuk perbaikan. |
ams-alarm-manager- AWSManaged ServicesAlarmManager SS- <8-digit hash> |
Diasumsikan oleh AWS Systems Manager untuk memanggil layanan remediasi manajer alarm AMS dalam akun AMS Anda. |
ams-alarm-manager- AWSManaged ServicesAlarmManagerTr - <8-digit hash> |
Diasumsikan oleh infrastruktur manajer alarm AMS dalam AWS akun Anda untuk melakukan Aturan AWS Config evaluasi AMS berkala. |
ams-alarm-manager- AWSManaged ServicesAlarmManagerVa - <8-digit hash> |
Diasumsikan oleh infrastruktur manajer alarm AMS dalam akun AMS Anda untuk memastikan bahwa alarm yang diperlukan ada di AWS akun. |
ams-backup-iam-role |
Peran ini digunakan untuk berjalan AWS Backup di dalam akun Anda. |
ams-pemantauan- - AWSManaged ServicesLogGroupLimitLamb <8-digit hash> |
Diasumsikan oleh infrastruktur AMS Logging & Monitoring di akun AMS Anda untuk mengevaluasi batas grup Amazon CloudWatch Logs dan membandingkannya dengan kuota layanan. |
ams-monitoring- AWSManaged Layanan RDSMonitoring RDSE- <8-digit hash> |
Diasumsikan oleh infrastruktur AMS Logging & Monitoring di akun AMS Anda untuk meneruskan peristiwa Amazon RDS ke Amazon CloudWatch Events. |
ams-pemantauan- - AWSManaged ServicesRedshiftMonitorin <8-digit hash> |
Diasumsikan oleh infrastruktur Pencatatan & Pemantauan AMS di akun AMS Anda untuk meneruskan peristiwa Amazon Redshift (CreateCluster dan DeleteCuster) ke Acara Amazon CloudWatch . |
ams-monitoring-infrastruc- AWSManaged ServicesMonito - <8-digit hash> |
Diasumsikan oleh infrastruktur AMS Logging & Monitoring di akun AMS Anda untuk mempublikasikan pesan ke Amazon Simple Notification Service untuk memvalidasi bahwa akun tersebut melaporkan semua data yang diperlukan. |
ams-opscenter-role |
Diasumsikan oleh sistem Manajemen Pemberitahuan AMS di akun AMS Anda untuk mengelola AWS Systems Manager OpsItems terkait dengan peringatan di akun Anda. |
ams-opsitem-autoexecution-role |
Diasumsikan oleh sistem Manajemen Pemberitahuan AMS untuk menangani remediasi otomatis menggunakan dokumen SSM untuk memantau peringatan yang terkait dengan sumber daya di akun Anda. |
ams-patch-infrastructure-amspatchconfigruleroleC1- <8-digit hash> |
Diasumsikan oleh AWS Config untuk mengevaluasi sumber daya patch AMS dan mendeteksi penyimpangan di CloudFormation tumpukannya. |
ams-patch-infrastructure-amspatchcwruleopsitemams- <8-digit hash> |
Diasumsikan oleh Amazon EventBridge AWS Systems Manager OpsItems untuk membuat kegagalan penambalan. |
ams-patch-infrastructure-amspatchservicebusamspat- <8-digit hash> |
Diasumsikan oleh Amazon EventBridge untuk mengirim acara ke bus acara orkestrator AMS Patch untuk AWS Systems Manager Pemeliharaan Pemberitahuan perubahan status Windows. |
ams-patch-reporting-infra-amspatchreportingconfigr- <8-digit hash> |
Diasumsikan oleh AWS Config untuk mengevaluasi sumber daya pelaporan AMS Patch dan mendeteksi penyimpangan di CloudFormation tumpukannya. |
ams-resource-tagger- AWSManaged ServicesResourceTagg - <8-digit hash> |
Diasumsikan oleh infrastruktur AMS Resource Tagger dalam akun AMS Anda untuk melakukan Aturan AWS Config evaluasi pada AWS AppConfig penerapan baru. |
ams-resource-tagger- AWSManaged ServicesResourceTagg - <8-digit hash> |
Diasumsikan oleh infrastruktur AMS Resource Tagger dalam akun AMS Anda untuk memvalidasi bahwa AWS tag yang diperlukan ada untuk sumber daya terkelola. |
ams-resource-tagger- AWSManaged ServicesResourceTagg - <8-digit hash> |
Diasumsikan oleh AWS Systems Manager untuk menjalankan alur kerja remediasi AMS Resource Tagger di akun AMS Anda. |
ams-resource-tagger- AWSManaged ServicesResourceTagg - <8-digit hash> |
Diasumsikan oleh infrastruktur remediasi AMS Resource Tagger dalam akun AMS Anda untuk membuat atau menghapus AWS tag untuk sumber daya terkelola. |
ams-resource-tagger- AWSManaged ServicesResourceTagg - <8-digit hash> |
Diasumsikan oleh infrastruktur AMS Resource Tagger dalam AWS akun Anda untuk melakukan evaluasi Aturan Konfigurasi AMS secara berkala. |
ams_os_configuration_event_rule_role- <AWS Region> |
Diasumsikan oleh Amazon EventBridge untuk meneruskan peristiwa dari akun Anda ke layanan konfigurasi OS AMS EventBus di Wilayah yang benar. |
mc-patch-reporting-service |
Diasumsikan oleh agregator data patch AMS dan generator laporan. |
catatan
Ini adalah template untuk ams-access-management peran tersebut. Ini adalah tumpukan yang diterapkan oleh arsitek cloud (CAs) secara manual di akun Anda saat onboarding: management-role.yaml.
Ini adalah template untuk berbagai peran akses dan tingkat akses: ams-access-read-only,, ams-access-operations ams-access-admin-operations, ams-access-admin: accelerate-roles.yaml
Layanan fitur AMS Accelerate ams-access-adminberperan untuk akses terprogram ke akun, tetapi dengan kebijakan sesi yang dicakup untuk masing-masing layanan fitur (misalnya, tambalan, cadangan, pemantauan, dan sebagainya).
AMS Accelerate mengikuti praktik terbaik industri untuk memenuhi dan mempertahankan kelayakan kepatuhan. AMS Mempercepat akses ke akun Anda dicatat CloudTrail dan juga tersedia untuk ditinjau melalui pelacakan perubahan. Untuk informasi tentang kueri yang dapat Anda gunakan untuk mendapatkan informasi ini, lihatMelacak perubahan di akun AMS Accelerate.
Mengelola akses menggunakan kebijakan
Berbagai tim dukungan AMS Accelerate seperti Operations Engineers, Cloud Architects, dan Cloud Service Delivery Manager (CSDMs), terkadang memerlukan akses ke akun Anda untuk menanggapi permintaan dan insiden layanan. Akses mereka diatur oleh layanan akses AMS internal yang memberlakukan kontrol, seperti pembenaran bisnis, permintaan layanan, item operasi, dan kasus dukungan. Akses default hanya baca, dan semua akses dilacak dan direkam; lihat juga. Melacak perubahan di akun AMS Accelerate
Validasi sumber daya IAM
Sistem akses Akselerasi AMS secara berkala mengambil peran dalam akun Anda (setidaknya setiap 24 jam) dan memvalidasi bahwa semua sumber daya IAM kami sesuai dengan yang diharapkan.
Untuk melindungi akun Anda, AMS Accelerate memiliki “kenari” yang memantau dan mengkhawatirkan keberadaan dan status peran IAM, serta kebijakan terlampirnya, yang disebutkan di atas. Secara berkala, kenari mengambil ams-access-read-onlyperan dan memulai CloudFormation dan panggilan API IAM terhadap akun Anda. Kenari mengevaluasi status peran akses Akselerasi AMS untuk memastikan peran tersebut selalu tidak dimodifikasi dan. up-to-date Aktivitas ini membuat CloudTrail log di akun.
Nama sesi AWS Security Token Service (AWS STS) kenari adalah AMS-access-roles-auditor- {uuid4 ()} seperti yang terlihat di dan panggilan API berikut terjadi: CloudTrail
Panggilan API Pembentukan Awan:
describe_stacks()Panggilan API IAM:
get_role()list_attached_role_policies()list_role_policies()get_policy()get_policy_version()get_role_policy()
