Memulai dengan mode Perubahan Langsung - Panduan Pengguna Tingkat Lanjut AMS
Mode Perubahan Langsung peran dan kebijakan IAM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memulai dengan mode Perubahan Langsung

Mulailah dengan memeriksa prasyarat dan kemudian mengirimkan permintaan perubahan (RFC) di akun AMS Advanced Anda yang memenuhi syarat.

  1. Konfirmasikan bahwa akun yang ingin Anda gunakan dengan DCM memenuhi persyaratan:

    • Akun tersebut adalah AMS Advanced Plus atau Premium.

    • Akun tidak mengaktifkan Service Catalog. Saat ini kami tidak mendukung akun orientasi ke DCM dan Service Catalog secara bersamaan. Jika Anda sudah onboard ke Service Catalog tetapi tertarik dengan DCM, diskusikan kebutuhan Anda dengan manajer pengiriman layanan cloud (CSDM) Anda. Jika Anda memutuskan untuk beralih dari Service Catalog ke DCM, offboard Service Catalog, untuk melakukan itu, sertakan permintaan dalam permintaan perubahan di bawah ini. Untuk detail tentang Service Catalog di AMS, lihat AMS dan Service Catalog.

  2. Kirim permintaan perubahan (RFC) menggunakan Manajemen | Akun terkelola | Mode Perubahan Langsung | Aktifkan jenis perubahan (ct-3rd4781c2nnhp). Untuk contoh panduan, lihat Mode Perubahan Langsung | Aktifkan.

    Setelah CT diproses, peran IAM yang telah ditentukan sebelumnya, AWSManagedServicesCloudFormationAdminRole dan AWSManagedServicesUpdateRole disediakan dalam akun yang ditentukan.

  3. Tetapkan peran yang sesuai untuk pengguna yang memerlukan akses DCM menggunakan proses federasi internal Anda.

catatan

Anda dapat menentukan sejumlah SAMLIdentity Penyedia, AWS Layanan, dan Entitas IAM (Peran, Pengguna, dll) untuk mengambil peran. Anda harus memberikan setidaknya satu:SAMLIdentityProviderARNs,IAMEntityARNs, atauAWSServicePrincipals. Untuk informasi lebih lanjut, konsultasikan dengan departemen IAM perusahaan Anda atau dengan arsitek cloud AMS (CA) Anda.

Mode Perubahan Langsung peran dan kebijakan IAM

Saat mode Perubahan Langsung diaktifkan di akun, entitas IAM baru ini diterapkan:

AWSManagedServicesCloudFormationAdminRole: Peran ini memberikan akses ke CloudFormation konsol, membuat dan memperbarui CloudFormation tumpukan, melihat laporan drift, dan membuat dan mengeksekusi. CloudFormation ChangeSets Akses ke peran ini dikelola melalui penyedia SAMP Anda.

Kebijakan terkelola yang diterapkan dan dilampirkan pada peran AWSManagedServicesCloudFormationAdminRole adalah:

  • Akun aplikasi AMS Advanced multi-account landing zone (MALZ)

    • AWSManagedServices_CloudFormationAdminPolicy1

    • AWSManagedServices_CloudFormationAdminPolicy2

      • Kebijakan ini mewakili izin yang diberikan kepada. AWSManagedServicesCloudFormationAdminRole Anda dan mitra menggunakan kebijakan ini untuk memberikan akses ke peran yang ada di akun dan mengizinkan peran tersebut untuk meluncurkan dan memperbarui CloudFormation tumpukan di akun. Ini mungkin memerlukan pembaruan kebijakan kontrol layanan AMS (SCP) tambahan untuk mengizinkan entitas IAM lainnya meluncurkan CloudFormation tumpukan.

  • Akun landing zone (SALZ) akun AMS Advanced single-account

    • AWSManagedServices_CloudFormationAdminPolicy1

    • AWSManagedServices_CloudFormationAdminPolicy2

    • cdk-legacy-mode-s3-akses [kebijakan in-line]

    • AWS ReadOnlyAccess kebijakan

AWSManagedServicesUpdateRole: Peran ini memberikan akses terbatas ke layanan hilir AWS . APIs Peran ini diterapkan dengan kebijakan terkelola yang menyediakan operasi API yang bermutasi dan tidak bermutasi, tetapi secara umum membatasi operasi mutasi (sepertiCreate/Delete/PUT), terhadap layanan tertentu seperti IAM, KMS,, VPC, sumber daya dan konfigurasi infrastruktur AMSGuardDuty, dan sebagainya. Akses ke peran ini dikelola melalui penyedia SAMP Anda.

Kebijakan terkelola yang diterapkan dan dilampirkan pada peran AWSManagedServicesUpdateRole adalah:

  • Akun aplikasi landing zone multi-akun AMS tingkat lanjut

    • AWSManagedServicesUpdateBasePolicy 

    • AWSManagedServicesUpdateDenyPolicy 

    • AWSManagedServicesUpdateDenyProvisioningPolicy 

    • AWSManagedServicesUpdateEC2dan RDSPolicy 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfraKebijakan

  • Akun landing zone akun tunggal AMS Advanced

    • AWSManagedServicesUpdateBasePolicy 

    • AWSManagedServicesUpdateDenyProvisioningPolicy 

    • AWSManagedServicesUpdateEC2dan RDSPolicy 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfraKebijakan1 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfraKebijakan2

Selain itu, AWSManagedServicesUpdateRole peran kebijakan terkelola juga memiliki kebijakan AWS terkelola yang ViewOnlyAccess melekat padanya.