Izin IAM mengubah detail - Panduan Pengguna AMS Accelerate

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Izin IAM mengubah detail

Setiap instans terkelola harus memiliki AWS Identity and Access Management peran yang mencakup kebijakan terkelola berikut:

  • arn:aws:iam: :AWS:Kebijakan/Amazon SSMManaged InstanceCore

  • arn:aws:iam: :aws:policy/ CloudWatchAgentServerPolicy

  • arn:aws:iam: :aws:policy/ AMSInstance ProfileBasePolicy

Dua yang pertama adalah kebijakan AWS yang dikelola. Kebijakan yang dikelola AMS adalah:

AMSInstanceProfileBasePolicy

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:UpdateSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:*:*:secret:/ams/byoa/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "kms:Encrypt"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

Jika instans Anda sudah memiliki peran IAM terlampir, tetapi tidak ada kebijakan ini, AMS menambahkan kebijakan yang hilang ke peran IAM Anda. Jika instans Anda tidak memiliki peran IAM, AMS melampirkan peran AMSOSConfigurationCustomerInstanceProfileIAM. Peran AMSOSConfigurationCustomerInstanceProfileIAM memiliki semua kebijakan yang diwajibkan oleh AMS Accelerate.

catatan

Jika batas profil instans default 10 tercapai, maka AMS meningkatkan batas menjadi 20, sehingga profil instance yang diperlukan dapat dilampirkan.