Penerapan IAM otomatis menggunakan ingest CFN atau pembaruan tumpukan di AMS CTs - Panduan Pengembang Aplikasi AMS Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Penerapan IAM otomatis menggunakan ingest CFN atau pembaruan tumpukan di AMS CTs

Anda dapat menggunakan jenis perubahan AMS ini untuk menerapkan peran IAM (AWS::IAM::Rolesumber daya) di landing zone multi-akun (MALZ) dan single-account landing zone (SALZ):

  • Penerapan | Tertelan | Tumpukan dari CloudFormation Template | Buat (ct-36cn2avfrrj9v)

  • Manajemen | Tumpukan Kustom | Tumpukan Dari CloudFormation Template | Pembaruan (ct-361tlo1k7339x)

  • Manajemen | Tumpukan Kustom | Tumpukan Dari CloudFormation Template | Menyetujui dan Memperbarui (ct-1404e21baa2ox)

Validasi yang dilakukan pada peran IAM di template CFN Anda:

  • ManagedPolicyArns: Atribut tidak ManagedPolicyArnsboleh ada diAWS::IAM::Role. Validasi melarang melampirkan kebijakan terkelola ke peran yang disediakan. Sebagai gantinya, izin untuk peran dapat dikelola menggunakan kebijakan sebaris melalui Kebijakan properti.

  • PermissionsBoundary: Kebijakan yang digunakan untuk menetapkan batas izin untuk peran hanya dapat berupa kebijakan terkelola penjual AMS:. AWSManagedServices_IAM_PermissionsBoundary Kebijakan ini bertindak sebagai rel penjaga yang melindungi sumber daya infrastruktur AMS agar tidak dimodifikasi menggunakan peran yang disediakan. Dengan batas izin default ini, manfaat keamanan yang diberikan AMS dipertahankan.

    AWSManagedServices_IAM_PermissionsBoundary(default) diperlukan, tanpanya, permintaan ditolak.

  • MaxSessionDuration: Durasi sesi maksimum yang dapat diatur untuk peran IAM adalah 1 hingga 4 jam. Standar teknis AMS memerlukan penerimaan risiko pelanggan untuk durasi sesi di atas 4 jam.

  • RoleName: Ruang nama berikut dipertahankan oleh AMS dan tidak dapat digunakan sebagai awalan nama peran IAM:

    AmazonSSMRole,
AMS,
Ams,
ams,
AWSManagedServices,
customer_developer_role,
customer-mc-,
Managed_Services,
MC,
Mc,
mc,
SENTINEL,
Sentinel,
sentinel,
StackSet-AMS,
StackSet-Ams,
StackSet-ams,
StackSet-AWS,
StackSet-MC,
StackSet-Mc,
StackSet-mc

  • Kebijakan: Kebijakan inline yang disematkan dalam peran IAM hanya dapat menyertakan serangkaian tindakan IAM yang telah disetujui sebelumnya oleh AMS. Ini adalah batas atas dari semua tindakan IAM yang diizinkan untuk membuat peran IAM dengan (kebijakan kontrol). Kebijakan kontrol terdiri dari:

    • Semua tindakan dalam kebijakan AWS terkelola ReadOnlyAccess yang menyediakan akses hanya-baca ke semua Layanan AWS dan sumber daya

    • Tindakan berikut, dengan pembatasan tindakan S3 lintas akun yaitu tindakan S3 yang diizinkan hanya dapat dilakukan pada sumber daya yang ada di akun yang sama dengan peran yang sedang dibuat:

      amscm:*,
amsskms:*,
lambda:InvokeFunction,
logs:CreateLogStream,
logs:PutLogEvents,
s3:AbortMultipartUpload,
s3:DeleteObject,
s3:DeleteObjectVersion,
s3:ObjectOwnerOverrideToBucketOwner,
s3:PutObject,
s3:ReplicateTags,
secretsmanager:GetRandomPassword,
sns:Publish

      Setiap peran IAM yang dibuat atau diperbarui melalui CFN ingest dapat memungkinkan tindakan yang tercantum dalam kebijakan kontrol ini, atau tindakan yang dicakup dari (kurang permisif daripada) tindakan yang tercantum pada kebijakan kontrol. Saat ini kami mengizinkan tindakan IAM aman ini yang dapat dikategorikan sebagai tindakan hanya-baca, ditambah tindakan non-readonly yang disebutkan di atas yang tidak dapat dilakukan melalui CTs dan telah disetujui sebelumnya sesuai standar teknis AMS.

  • AssumeRolePolicyDocument: Entitas berikut telah disetujui sebelumnya dan dapat dimasukkan dalam kebijakan kepercayaan untuk mengambil peran yang sedang dibuat:

    • Entitas IAM apa pun (peran, pengguna, pengguna root, sesi peran yang dianggap STS) di akun yang sama dapat mengambil peran tersebut.

    • Berikut ini Layanan AWS dapat mengambil peran:

      apigateway.amazonaws.com,
autoscaling.amazonaws.com,
cloudformation.amazonaws.com,
codebuild.amazonaws.com,
codedeploy.amazonaws.com,
codepipeline.amazonaws.com,
datapipeline.amazonaws.com,
datasync.amazonaws.com,
dax.amazonaws.com,
dms.amazonaws.com,
ec2.amazonaws.com,
ecs-tasks.amazonaws.com,
ecs.application-autoscaling.amazonaws.com,
elasticmapreduce.amazonaws.com,
es.amazonaws.com,
events.amazonaws.com,
firehose.amazonaws.com,
glue.amazonaws.com,
lambda.amazonaws.com,
monitoring.rds.amazonaws.com,
pinpoint.amazonaws.com,
rds.amazonaws.com,
redshift.amazonaws.com,
s3.amazonaws.com,
sagemaker.amazonaws.com,
servicecatalog.amazonaws.com,
sns.amazonaws.com,
ssm.amazonaws.com,
states.amazonaws.com,
storagegateway.amazonaws.com,
transfer.amazonaws.com,
vmie.amazonaws.com

    • Penyedia SAMP di akun yang sama dapat mengambil peran tersebut. Saat ini, satu-satunya nama penyedia SAMP yang didukung adalahcustomer-saml.

Jika satu atau lebih validasi gagal, RFC ditolak. Contoh alasan penolakan RFC terlihat seperti ini:

{"errorMessage":"[ 'LambdaRole: The maximum session duration (in seconds) should be a numeric value in the range 3600 to 14400 (i.e. 1 to 4 hours).', 'lambda-policy: Policy document is too permissive.']","errorType":"ClientError"}

Jika Anda memerlukan bantuan dengan validasi atau eksekusi RFC yang gagal, gunakan korespondensi RFC untuk menghubungi AMS. Untuk petunjuk, lihat Korespondensi dan lampiran RFC (konsol). Untuk pertanyaan lain, kirimkan permintaan layanan. Untuk mengetahui caranya, lihat Membuat Permintaan Layanan.

catatan

Saat ini kami tidak menerapkan praktik terbaik IAM sebagai bagian dari validasi IAM kami. Untuk praktik terbaik IAM, lihat Praktik terbaik keamanan di IAM.

Membuat peran IAM dengan tindakan yang lebih permisif atau menegakkan praktik terbaik IAM

Buat entitas IAM Anda dengan jenis perubahan manual berikut:

  • Deployment | Komponen tumpukan lanjutan | Identity and Access Management (IAM) | Buat entitas atau kebijakan (ct-3dpd8mdd9jn1r)

  • Manajemen | Komponen tumpukan tingkat lanjut | Identity and Access Management (IAM) | Perbarui entitas atau kebijakan (ct-27tuth19k52b4)

Kami menyarankan Anda membaca dan memahami standar teknis kami sebelum mengajukan manual RFCs ini. Untuk akses, lihat Cara mengakses standar teknis.

catatan

Setiap peran IAM yang dibuat langsung dengan jenis perubahan manual ini milik tumpukan individualnya sendiri dan tidak berada di tumpukan yang sama di mana sumber daya infrastruktur lainnya dibuat melalui CFN Ingest CT.

Memperbarui Peran IAM yang dibuat dengan konsumsi CFN melalui jenis perubahan manual ketika pembaruan tidak dapat dilakukan melalui jenis perubahan otomatis

Gunakan Manajemen | Komponen tumpukan lanjutan | Identity and Access Management (IAM) | Perbarui jenis perubahan entitas atau kebijakan (ct-27tuth19k52b4).

penting

Pembaruan pada peran IAM melalui CT manual tidak tercermin dalam templat tumpukan CFN dan menyebabkan penyimpangan tumpukan. Setelah peran diperbarui melalui permintaan manual ke status yang tidak lulus validasi kami, peran tidak dapat diperbarui lebih lanjut menggunakan Stack Update CT (ct-361tlo1k7339x) lagi selama itu terus tidak sesuai dengan validasi kami. Pembaruan CT hanya dapat digunakan jika template tumpukan CFN sesuai dengan validasi kami. Namun, tumpukan masih dapat diperbarui melalui Stack Update CT (ct-361tlo1k7339x), selama sumber daya IAM yang tidak sesuai dengan validasi kami tidak diperbarui dan template CFN melewati validasi kami.

Menghapus peran IAM Anda yang dibuat melalui ingest AWS CloudFormation

Jika Anda ingin menghapus seluruh tumpukan, gunakan jenis perubahan Delete Stack otomatis berikut. Untuk petunjuk, lihat Menghapus Tumpukan:

  • Ubah Jenis ID: ct-0q0bic0ywqk6c

  • Klasifikasi: Manajemen | Tumpukan standar | Tumpukan | Hapus dan Manajemen | Komponen tumpukan tingkat lanjut | Tumpukan | Hapus

Jika Anda ingin menghapus peran IAM tanpa menghapus seluruh tumpukan, Anda dapat menghapus peran IAM dari CloudFormation template dan menggunakan template yang diperbarui sebagai input ke jenis perubahan Pembaruan Tumpukan otomatis:

  • Ubah Tipe ID: ct-361tlo1k7339x

  • Klasifikasi: Manajemen | Tumpukan khusus | Tumpukan dari CloudFormation templat | Perbarui

Untuk petunjuknya, lihat Memperbarui tumpukan AWS CloudFormation ingest.