Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengapa dan kapan AMS mengakses akun Anda
AWS Managed Services (AMS) mengelola infrastruktur AWS Anda dan terkadang, karena alasan tertentu, operator dan administrator AMS mengakses akun Anda. Peristiwa akses ini didokumentasikan dalam log AWS CloudTrail (CloudTrail) Anda.
Mengapa, kapan, dan bagaimana AMS mengakses akun Anda dijelaskan dalam topik berikut.
Pemicu akses akun pelanggan AMS
Aktivitas akses akun pelanggan AMS didorong oleh pemicu. Pemicu hari ini adalah AWS tiket yang dibuat dalam sistem manajemen masalah kami sebagai respons terhadap alarm dan peristiwa Amazon CloudWatch (CloudWatch), serta laporan insiden atau permintaan layanan yang Anda kirimkan. Beberapa panggilan layanan dan aktivitas tingkat host dapat dilakukan untuk setiap akses.
Pembenaran akses, pemicu, dan inisiator pemicu tercantum dalam tabel berikut.
| Akses | Inisiator | Pemicu |
|---|---|---|
Menambal |
AMS |
Masalah tambalan |
Penyebaran infrastruktur |
AMS |
Masalah penyebaran |
Investigasi masalah internal |
AMS |
Masalah masalah (masalah yang telah diidentifikasi sebagai sistemik) |
Investigasi dan remediasi peringatan |
AMS |
Item kerja operasional AWS Systems Manager (SSM OpsItems) |
Eksekusi RFC manual |
Anda |
Masalah Request for Change (RFC). (Non-otomatis RFCs mungkin memerlukan akses AMS ke sumber daya Anda) |
Investigasi dan remediasi insiden |
Anda |
Kasus dukungan masuk (insiden atau permintaan layanan yang Anda kirimkan) |
Pemenuhan permintaan layanan masuk |
Anda |
Akun pelanggan AMS mengakses peran IAM
Saat dipicu, AMS mengakses akun pelanggan menggunakan peran AWS Identity and Access Management (IAM). Seperti semua aktivitas di akun Anda, peran dan penggunaannya masuk CloudTrail.
penting
Jangan memodifikasi atau menghapus peran ini.
| Nama Peran | Jenis Akun (SALZ, Manajemen MALZ, Aplikasi MALZ, dll.) | Deskripsi |
|---|---|---|
ams-service-admin |
SALZ, MALZ |
Akses otomatisasi layanan AMS dan penerapan infrastruktur otomatis misalnya Patch, Backup, Remediasi Otomatis. |
ams-application-infra-read-hanya |
SALZ, Aplikasi MALZ, Aplikasi Alat MALZ |
Operator hanya membaca akses |
ams-application-infra-operations |
Akses operator untuk incidents/service permintaan | |
ams-application-infra-admin |
Akses Admin AD | |
ams-primary-read-only |
Manajemen MALZ |
Operator hanya membaca akses |
ams-primary-operations |
Akses operator untuk incidents/service permintaan | |
ams-primary-admin |
Akses Admin AD | |
ams-logging-read-only |
Penebangan MALZ |
Operator hanya membaca akses |
ams-logging-operations |
Akses operator untuk incidents/service permintaan | |
ams-logging-admin |
Akses Admin AD | |
ams-networking-read-only |
Jaringan MALZ |
Operator hanya membaca akses |
ams-networking-operations |
Akses operator untuk incidents/service permintaan | |
ams-networking-admin |
Akses Admin AD | |
ams-shared-services-read-hanya |
Layanan Bersama MALZ |
Operator hanya membaca akses |
ams-shared-services-operations |
Akses operator untuk incidents/service permintaan | |
ams-shared-services-admin |
Akses Admin AD | |
ams-security-read-only |
Keamanan MALZ |
Operator hanya membaca akses |
ams-security-operations |
Akses operator untuk incidents/service permintaan | |
ams-security-admin |
Akses Admin AD | |
ams-access-security-analyst |
SALZ, Aplikasi MALZ, Aplikasi Alat MALZ, MALZ Core |
Akses Keamanan AMS |
ams-access-security-analyst-baca-saja |
AMS Security, akses hanya baca | |
Sentinel_ _Peran_ 0 MBHe AdminUser PXHaz RQadu PVc CDc |
SALZ |
[BreakGlassRole] Digunakan untuk BreakGlass ke akun pelanggan |
Sentinel_ _Peran_ S0 0 PowerUser wZuPu ROOl IazDb RI9 |
SALZ, MALZ |
Akses Poweruser ke akun pelanggan untuk eksekusi RFC |
Sentinel_ ReadOnlyUser _peran_pd4l6rw9rd0lnlkd5 JOo |
ReadOnly akses ke akun pelanggan untuk eksekusi RFC | |
ams_admin_role |
Akses admin ke akun pelanggan untuk eksekusi RFC | |
AWSManagedServices_Provisioning_CustomerStacksRole |
Digunakan untuk meluncurkan dan memperbarui tumpukan CFN atas nama pelanggan melalui Ingest CloudFormation | |
customer_ssm_automation_role |
Peran diteruskan oleh eksekusi CT ke SSM Automation untuk eksekusi runbook | |
ams_ssm_automation_role |
SALZ, Aplikasi MALZ, MALZ Core |
Peran diteruskan oleh layanan AMS ke SSM Automation untuk eksekusi runbook |
ams_ssm_iam_deployment_role |
Aplikasi MALZ |
Peran yang digunakan oleh katalog IAM |
ams_ssm_shared_svcs_intermediary_role |
Layanan Bersama MALZ |
Peran yang digunakan oleh aplikasi ams_ssm_automation_role untuk mengeksekusi Dokumen SSM tertentu di akun Layanan Bersama |
AmsOpsCenterRole |
SALZ, MALZ |
Digunakan untuk membuat dan memperbarui OpsItems di akun pelanggan |
AMSOpsItemAutoExecutionRole |
Digunakan untuk mendapatkan Dokumen SSM, menjelaskan tag sumber daya, memperbarui OpsItems, dan memulai otomatisasi | |
customer-mc-ec2-instance-profil |
Profil EC2 contoh pelanggan default (peran) |
Meminta akses instans
Untuk mengakses sumber daya, Anda harus terlebih dahulu mengirimkan permintaan untuk perubahan (RFC) untuk akses tersebut. Ada dua jenis akses yang dapat Anda minta: admin (izin baca/tulis) dan read-only (akses pengguna standar). Akses berlangsung selama delapan jam, secara default. Informasi ini diperlukan:
Stack ID, atau set stack IDs, untuk instance atau instance yang ingin Anda akses.
Nama domain yang sepenuhnya memenuhi syarat dari domain tepercaya AMS Anda.
Nama pengguna Active Directory dari orang yang menginginkan akses.
ID VPC tempat tumpukan yang ingin Anda akses.
Setelah Anda diberikan akses, Anda dapat memperbarui permintaan sesuai kebutuhan.
Untuk contoh cara meminta akses, lihat Stack Admin Access | Grant atau Stack Read-only Access | Grant.
