Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Peran pengguna IAM di AMS
Peran IAM mirip dengan pengguna IAM, karena itu adalah AWS identitas dengan kebijakan izin yang menentukan apa yang dapat dan tidak dapat dilakukan identitas. AWS Namun, alih-alih secara unik terkait dengan satu orang, peran dimaksudkan untuk menjadi dapat diambil oleh siapa pun yang membutuhkannya.
Saat ini ada satu peran pengguna default AMS`Customer_ReadOnly_Role`, untuk akun AMS standar dan peran tambahan, `customer_managed_ad_user_role` untuk akun AMS dengan Direktori Aktif Terkelola.
Kebijakan peran menetapkan izin untuk CloudWatch dan tindakan log Amazon S3, akses konsol AMS, pembatasan hanya-baca pada Layanan AWS sebagian besar, akses terbatas ke konsol S3 akun, dan akses tipe perubahan AMS.
Selain itu, `Customer_ReadOnly_Role` memiliki izin instans cadangan mutatif yang memungkinkan Anda untuk memesan instance. Ini memiliki beberapa nilai penghematan biaya, jadi, jika Anda tahu bahwa Anda akan memerlukan sejumlah EC2 instans Amazon untuk jangka waktu yang lama, Anda dapat memanggilnya. APIs Untuk mempelajari lebih lanjut, lihat [Instans EC2 Cadangan Amazon](https://aws.amazon.com/ec2/pricing/reserved-instances/).
**catatan**
Tujuan tingkat layanan AMS (SLO) untuk membuat kebijakan IAM khusus untuk pengguna IAM adalah empat hari kerja, kecuali kebijakan yang ada akan digunakan kembali. Jika Anda ingin mengubah peran pengguna IAM yang ada, atau menambahkan yang baru, kirimkan [IAM: Update Entity atau [IAM: Create Entity](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy.html)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-review-required.html) RFC, masing-masing.
Jika Anda tidak terbiasa dengan peran Amazon IAM, lihat Peran [IAM untuk informasi penting](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).
**Zona Pendaratan Multi-Akun (MALZ)**: Untuk melihat kebijakan peran pengguna default, tanpa penyesuaian, zona pendaratan multi-akun AMS, lihat, selanjutnya. [MALZ: Peran Pengguna IAM Default](#json-default-role-malz)
## MALZ: Peran Pengguna IAM Default
Pernyataan kebijakan JSON untuk peran pengguna landing zone multi-akun AMS multi-akun default.
**catatan**
Peran pengguna dapat disesuaikan dan mungkin berbeda berdasarkan per akun. Petunjuk untuk menemukan peran Anda disediakan.
Ini adalah contoh peran pengguna MALZ default. Untuk memastikan bahwa Anda memiliki kebijakan yang ditetapkan yang Anda butuhkan, jalankan perintah AWS [https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)atau masuk ke AWS Management -> [konsol IAM](https://console.aws.amazon.com/iam/) dan pilih **Peran** di panel navigasi.
### Peran akun inti OU
Akun inti adalah akun infrastruktur yang dikelola Malz. Akun inti zona pendaratan multi-akun AMS mencakup akun manajemen dan akun jaringan.
**Akun Core OU: Peran dan kebijakan umum**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/userguide/defaults-user-role.html)
**Akun Core OU: Peran dan kebijakan akun manajemen**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/userguide/defaults-user-role.html)
**Akun Core OU: Peran dan kebijakan akun jaringan**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/userguide/defaults-user-role.html)
### Peran Akun Aplikasi
Peran akun aplikasi diterapkan ke akun khusus aplikasi Anda.
**Akun aplikasi: Peran dan kebijakan**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/userguide/defaults-user-role.html)
### Contoh Kebijakan
Contoh disediakan untuk sebagian besar kebijakan yang digunakan. Untuk melihat ReadOnlyAccess kebijakan (yang merupakan halaman selama menyediakan akses hanya-baca ke semua AWS layanan), Anda dapat menggunakan tautan ini, jika Anda memiliki akun AWS aktif:. [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary) Juga, versi kental disertakan di sini.
#### AMSBillingKebijakan
`AMSBillingPolicy`
Peran Penagihan baru dapat digunakan oleh departemen akuntansi Anda untuk melihat dan mengubah informasi penagihan atau pengaturan akun di akun Manajemen. Untuk mengakses informasi seperti Kontak Alternatif, melihat penggunaan sumber daya akun, atau menyimpan tab penagihan Anda atau bahkan mengubah metode pembayaran, Anda menggunakan peran ini. Peran baru ini terdiri dari semua izin yang tercantum di halaman web tindakan [AWS Billing IAM](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#example-billing-deny-modifyaccount).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-portal:ViewBilling",
"aws-portal:ModifyBilling"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToBilling"
},
{
"Action": [
"aws-portal:ViewAccount",
"aws-portal:ModifyAccount"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountSettings"
},
{
"Action": [
"budgets:ViewBudget",
"budgets:ModifyBudget"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountBudget"
},
{
"Action": [
"aws-portal:ViewPaymentMethods",
"aws-portal:ModifyPaymentMethods"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPaymentMethods"
},
{
"Action": [
"aws-portal:ViewUsage"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToUsage"
},
{
"Action": [
"cur:DescribeReportDefinitions",
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostAndUsageReport"
},
{
"Action": [
"pricing:DescribeServices",
"pricing:GetAttributeValues",
"pricing:GetProducts"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPricing"
},
{
"Action": [
"ce:*",
"compute-optimizer:*"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostExplorerComputeOptimizer"
},
{
"Action": [
"purchase-orders:ViewPurchaseOrders",
"purchase-orders:ModifyPurchaseOrders"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPurchaseOrders"
},
{
"Action": [
"redshift:AcceptReservedNodeExchange",
"redshift:PurchaseReservedNodeOffering"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToRedshiftAction"
},
{
"Action": "savingsplans:*",
"Resource": "*",
"Effect": "Allow",
"Sid": "AWSSavingsPlansFullAccess"
}
]
}
```
------
#### AMSChangeManagementReadOnlyPolicy
`AMSChangeManagementReadOnlyPolicy`
Izin untuk melihat semua jenis perubahan AMS, dan riwayat jenis perubahan yang diminta.
#### AMSMasterAccountSpecificChangeManagementInfrastructurePolicy
`AMSMasterAccountSpecificChangeManagementInfrastructurePolicy`
Izin untuk meminta Deployment \$1 Managed landing zone \$1 Akun manajemen \$1 Buat akun aplikasi (dengan VPC) mengubah jenis.
#### AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy
`AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy `
Izin untuk meminta Deployment \$1 Managed landing zone \$1 Akun jaringan \$1 Buat jenis perubahan tabel rute aplikasi.
#### AMSChangeManagementInfrastructurePolicy
`AMSChangeManagementInfrastructurePolicy`(untuk Manajemen \$1 Lainnya \$1 Lainnya CTs)
Izin untuk meminta Manajemen \$1 Lainnya \$1 Lainnya \$1 Buat, dan Manajemen \$1 Lainnya \$1 Lainnya \$1 Perbarui jenis perubahan.
#### AMSSecretsManagerSharedPolicy
`AMSSecretsManagerSharedPolicy`
Izin untuk melihat rahasia yang passwords/hashes dibagikan oleh AMS melalui AWS Secrets Manager (misalnya kata sandi ke infrastruktur untuk audit).
Izin untuk membuat rahasia password/hashes untuk dibagikan dengan AMS. (misalnya, kunci lisensi untuk produk yang perlu digunakan).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyGetSecretOnCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowReadAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
#### AMSChangeManagementPolicy
`AMSChangeManagementPolicy`
Izin untuk meminta dan melihat semua jenis perubahan AMS, dan riwayat jenis perubahan yang diminta.
#### AMSReservedInstancesPolicy
`AMSReservedInstancesPolicy`
Izin untuk mengelola instans EC2 cadangan Amazon; untuk informasi harga, lihat Instans [ EC2 Cadangan Amazon](https://aws.amazon.com/ec2/pricing/reserved-instances/).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowReservedInstancesManagement",
"Effect": "Allow",
"Action": [
"ec2:ModifyReservedInstances",
"ec2:PurchaseReservedInstancesOffering"
],
"Resource": [
"*"
]
}]
}
```
------
#### AMSS3Kebijakan
`AMSS3Policy`
Izin untuk membuat dan menghapus file dari bucket Amazon S3 yang ada.
**catatan**
Izin ini tidak memberikan kemampuan untuk membuat bucket S3; yang harus dilakukan dengan Deployment \$1 Komponen tumpukan lanjutan \$1 Penyimpanan S3 \$1 Buat jenis perubahan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:PutObject"
],
"Resource": "*"
}
]
}
```
------
#### AWSSupportAkses
`AWSSupportAccess`
Akses penuh ke Dukungan. Untuk selengkapnya, lihat [Memulai dengan Dukungan](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html). Untuk informasi Dukungan Premium, lihat [Dukungan](https://aws.amazon.com/premiumsupport/).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"support:*"
],
"Resource": "*"
}]
}
```
------
#### AWSMarketplaceManageSubscriptions
`AWSMarketplaceManageSubscriptions`(Kebijakan yang AWS Dikelola Publik)
Izin untuk berlangganan, berhenti berlangganan, dan melihat AWS Marketplace langganan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe",
"aws-marketplace:Unsubscribe"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### AWSCertificateManagerFullAccess
`AWSCertificateManagerFullAccess`
Akses penuh ke AWS Certificate Manager. Untuk informasi selengkapnya, lihat [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/).
[https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy](https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy)informasi, (Kebijakan Terkelola AWS Publik).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"acm:*"
],
"Resource": "*"
}]
}
```
------
#### AWSWAFFullAkses
`AWSWAFFullAccess`
Akses penuh ke AWS WAF. Untuk informasi selengkapnya, lihat [AWS WAF - Firewall Aplikasi Web](https://aws.amazon.com/waf/).
[https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html](https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html)informasi, (Kebijakan yang AWS Dikelola Publik). Kebijakan ini memberikan akses penuh ke AWS WAF sumber daya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"waf:*",
"waf-regional:*",
"elasticloadbalancing:SetWebACL"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### ReadOnlyAccess
`ReadOnlyAccess`
Akses hanya-baca ke semua AWS layanan dan sumber daya di konsol. AWS Saat AWS meluncurkan layanan baru, AMS memperbarui ReadOnlyAccess kebijakan untuk menambahkan izin hanya-baca untuk layanan baru. Izin yang diperbarui diterapkan pada semua entitas prinsipal yang kebijakannya dilampirkan.
Ini tidak memberikan kemampuan untuk masuk ke EC2 host atau host database.
Jika Anda aktif Akun AWS, maka Anda dapat menggunakan tautan ini [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary)untuk melihat seluruh ReadOnlyAccess kebijakan. Seluruh ReadOnlyAccess kebijakan sangat panjang karena menyediakan akses hanya-baca ke semua. Layanan AWS Berikut ini adalah kutipan sebagian dari kebijakan tersebut. ReadOnlyAccess
**Zona Pendaratan Akun Tunggal (SALZ)**: Untuk melihat kebijakan peran pengguna default, tidak disesuaikan, zona pendaratan akun tunggal AMS, lihat, selanjutnya. [SALZ: Peran Pengguna IAM Default](#json-default-role)
## SALZ: Peran Pengguna IAM Default
Pernyataan kebijakan JSON untuk peran pengguna landing zone akun tunggal AMS default.
**catatan**
Peran pengguna default SALZ dapat disesuaikan dan mungkin berbeda berdasarkan per akun. Petunjuk untuk menemukan peran Anda disediakan.
Berikut ini adalah contoh peran pengguna SALZ default. Untuk memastikan bahwa Anda memiliki kebijakan yang ditetapkan untuk Anda, jalankan [https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)perintah. Atau, masuk ke AWS Identity and Access Management konsol di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/), lalu pilih **Peran**.
Peran read-only pelanggan adalah kombinasi dari beberapa kebijakan. Rincian peran (JSON) mengikuti.
Kebijakan Audit Managed Services:
Kebijakan IAM ReadOnly Managed Services
Kebijakan Pengguna Managed Services
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomerToListTheLogBucketLogs",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"aws/*",
"app/*",
"encrypted",
"encrypted/",
"encrypted/app/*"
]
}
}
},
{
"Sid": "BasicAccessRequiredByS3Console",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
]
},
{
"Sid": "AllowCustomerToGetLogs",
"Effect": "Allow",
"Action": [
"s3:GetObject*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/aws/*",
"arn:aws:s3:::mc-a*-logs-*/encrypted/app/*"
]
},
{
"Sid": "AllowAccessToOtherObjects",
"Effect": "Allow",
"Action": [
"s3:DeleteObject*",
"s3:Get*",
"s3:List*",
"s3:PutObject*"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCustomerToListTheLogBucketRoot",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringEquals": {
"s3:prefix": [
"",
"/"
]
}
}
},
{
"Sid": "AllowCustomerCWLConsole",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "AllowCustomerCWLAccessLogs",
"Effect": "Allow",
"Action": [
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/*",
"arn:aws:logs:*:*:log-group:/infra/*",
"arn:aws:logs:*:*:log-group:/app/*",
"arn:aws:logs:*:*:log-group:RDSOSMetrics:*:*"
]
},
{
"Sid": "AWSManagedServicesFullAccess",
"Effect": "Allow",
"Action": [
"amscm:*",
"amsskms:*"
],
"Resource": [
"*"
]
},
{
"Sid": "ModifyAWSBillingPortal",
"Effect": "Allow",
"Action": [
"aws-portal:Modify*"
],
"Resource": [
"*"
]
},
{
"Sid": "DenyDeleteCWL",
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "DenyMCCWL",
"Effect": "Deny",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:FilterLogEvents",
"logs:GetLogEvents",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/mc/*"
]
},
{
"Sid": "DenyS3MCNamespace",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/encrypted/mc/*",
"arn:aws:s3:::mc-a*-logs-*/mc/*",
"arn:aws:s3:::mc-a*-logs-*-audit/*",
"arn:aws:s3:::mc-a*-internal-*/*",
"arn:aws:s3:::mc-a*-internal-*"
]
},
{
"Sid": "ExplicitDenyS3CfnBucket",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::cf-templates-*"
]
},
{
"Sid": "DenyListBucketS3LogsMC",
"Action": [
"s3:ListBucket"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"auditlog/*",
"encrypted/mc/*",
"mc/*"
]
}
}
},
{
"Sid": "DenyS3LogsDelete",
"Effect": "Deny",
"Action": [
"s3:Delete*",
"s3:Put*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/*"
]
},
{
"Sid": "DenyAccessToKmsKeysStartingWithMC",
"Effect": "Deny",
"Action": [
"kms:*"
],
"Resource": [
"arn:aws:kms::*:key/mc-*",
"arn:aws:kms::*:alias/mc-*"
]
},
{
"Sid": "DenyListingOfStacksStartingWithMC",
"Effect": "Deny",
"Action": [
"cloudformation:*"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/mc-*"
]
},
{
"Sid": "AllowCreateCWMetricsAndManageDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCreateandDeleteCWDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:DeleteDashboards",
"cloudwatch:PutDashboard"
],
"Resource": [
"*"
]
}
]
}
```
Kebijakan Bersama Manajer Rahasia Pelanggan
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSecretsManagerListSecrets",
"Effect": "Allow",
"Action": "secretsmanager:listSecrets",
"Resource": "*"
},
{
"Sid": "AllowCustomerAdminAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyCustomerGetSecretCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowCustomerReadOnlyAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
Kebijakan Berlangganan Marketplace Pelanggan
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMarketPlaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe"
],
"Resource": [
"*"
]
}
]
}
```
------