Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione degli accessi in AMS Accelerate
La gestione degli accessi è il modo in cui le risorse vengono protette, permettendo solo l'accesso autorizzato e autenticato. Con AMS Accelerate, sei responsabile della gestione dell'accesso alle tue Account AWS e alle relative risorse sottostanti, come le soluzioni di gestione degli accessi, le politiche di accesso e i processi correlati. Per aiutarti a gestire la tua soluzione di accesso, AMS Accelerate implementa AWS Config regole che rilevano le configurazioni errate più comuni di IAM e quindi fornisce notifiche di correzione. Un errore di configurazione comune di IAM è rappresentato dal fatto che l'utente root dispone delle chiavi di accesso. La regola di `iam-root-access-key-check` configurazione verifica se la chiave di accesso dell'utente root è disponibile ed è conforme o se la chiave di accesso non esiste. [Per un elenco delle regole di configurazione distribuite da AMS, consulta la libreria delle regole AMS. AWS Config](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sec-compliance.html#acc-sec-compliance-rules)
**Topics**
+ [Accedi alla console Accelerate](acc-access-permissions.md)
+ [Autorizzazioni per l'utilizzo delle funzionalità AMS](acc-access-customer.md)
+ [Perché e quando AMS accede al tuo account](access-justification.md)
+ [In che modo AMS accede al tuo account](acc-access-operator.md)
+ [Come e quando usare l'account utente root in AMS](how-when-to-use-root.md)
# Accedi alla console Accelerate
Quando entri a bordo con Accelerate, hai automaticamente accesso alla console Accelerate. Puoi accedere alla console cercando **Managed Services** nella tua console di gestione AWS. La console Accelerate offre una panoramica riassuntiva delle funzionalità disponibili con Accelerate. Questa visualizzazione include i singoli componenti presentati nella dashboard e nelle pagine di configurazione.
# Autorizzazioni per l'utilizzo delle funzionalità AMS
Per consentire agli utenti di leggere e configurare le funzionalità di AMS Accelerate, come l'accesso alla console AMS o la configurazione dei backup, è necessario concedere autorizzazioni esplicite ai rispettivi ruoli IAM per eseguire tali azioni. Il seguente CloudFormation modello contiene le politiche necessarie per leggere e configurare i servizi associati ad AMS in modo da poterli assegnare ai ruoli IAM. Sono progettati per allinearsi strettamente alle responsabilità lavorative comuni nel settore IT, in cui sono richieste le autorizzazioni di amministratore o di sola lettura; tuttavia, se è necessario concedere autorizzazioni diverse agli utenti, è possibile modificare la politica per includere o escludere autorizzazioni specifiche. Puoi anche creare policy personalizzate.
Il modello fornisce due politiche. La `AMSAccelerateAdminAccess` policy è pensata per essere utilizzata per configurare e utilizzare i componenti AMS Accelerate. Questa politica viene in genere adottata da un amministratore IT e concede le autorizzazioni per configurare le funzionalità AMS come l'applicazione di patch e i backup. `AMSAccelerateReadOnly`Concede le autorizzazioni minime richieste per la visualizzazione delle risorse relative ad AMS Accelerate.
```
AWSTemplateFormatVersion: 2010-09-09
Description: AMSAccelerateCustomerAccessPolicies
Resources:
AMSAccelerateAdminAccess:
Type: 'AWS::IAM::ManagedPolicy'
Properties:
ManagedPolicyName: AMSAccelerateAdminAccess
Path: /
PolicyDocument:
Fn::Sub:
- |
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AmsSelfServiceReport",
"Effect": "Allow",
"Action": "amsssrv:*",
"Resource": "*"
},
{
"Sid": "AmsBackupPolicy",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::${AWS::AccountId}:role/ams-backup-iam-role"
},
{
"Sid": "AmsChangeRecordKMSPolicy",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:${AWS::Region}:${AWS::AccountId}:key/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"kms:ResourceAliases": "alias/AMSCloudTrailLogManagement"
}
}
},
{
"Sid": "AmsChangeRecordAthenaReadPolicy",
"Effect": "Allow",
"Action": [
"athena:BatchGetNamedQuery",
"athena:Get*",
"athena:List*",
"athena:StartQueryExecution",
"athena:UpdateWorkGroup",
"glue:GetDatabase*",
"glue:GetTable*",
"s3:GetAccountPublicAccessBlock",
"s3:ListAccessPoints",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "AmsChangeRecordS3ReadPolicy",
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": [
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}",
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}/*",
"arn:aws:s3:::ams-a${AWS::AccountId}-cloudtrail-${AWS::Region}",
"arn:aws:s3:::ams-a${AWS::AccountId}-cloudtrail-${AWS::Region}/*"
]
},
{
"Sid": "AmsChangeRecordS3WritePolicy",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectLegalHold",
"s3:PutObjectRetention"
],
"Resource": [
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}/*"
]
},
{
"Sid": "MaciePolicy",
"Effect": "Allow",
"Action": [
"macie2:GetFindingStatistics"
],
"Resource": "*"
},
{
"Sid": "GuardDutyPolicy",
"Effect": "Allow",
"Action": [
"guardduty:GetFindingsStatistics",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Sid": "SupportPolicy",
"Effect": "Allow",
"Action": "support:*",
"Resource": "*"
},
{
"Sid": "ConfigPolicy",
"Effect": "Allow",
"Action": [
"config:Get*",
"config:Describe*",
"config:Deliver*",
"config:List*",
"config:StartConfigRulesEvaluation"
],
"Resource": "*"
},
{
"Sid": "AppConfigReadPolicy",
"Effect": "Allow",
"Action": [
"appconfig:List*",
"appconfig:Get*"
],
"Resource": "*"
},
{
"Sid": "AppConfigPolicy",
"Effect": "Allow",
"Action": [
"appconfig:StartDeployment",
"appconfig:StopDeployment",
"appconfig:CreateHostedConfigurationVersion",
"appconfig:ValidateConfiguration"
],
"Resource": [
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSAlarmManagerConfigurationApplicationId}",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSAlarmManagerConfigurationApplicationId}/configurationprofile/${AMSAlarmManagerConfigurationCustomerManagedAlarmsProfileID}",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSAlarmManagerConfigurationApplicationId}/environment/*",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSResourceTaggerConfigurationApplicationId}",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSResourceTaggerConfigurationApplicationId}/configurationprofile/${AMSResourceTaggerConfigurationCustomerManagedTagsProfileID}",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSResourceTaggerConfigurationApplicationId}/environment/*",
"arn:aws:appconfig:*:${AWS::AccountId}:deploymentstrategy/*"
]
},
{
"Sid": "CloudFormationStacksPolicy",
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStacks"
],
"Resource": "*"
},
{
"Sid": "EC2Policy",
"Action": [
"ec2:DescribeInstances"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "SSMPolicy",
"Effect": "Allow",
"Action": [
"ssm:AddTagsToResource",
"ssm:CancelCommand",
"ssm:CancelMaintenanceWindowExecution",
"ssm:CreateAssociation",
"ssm:CreateAssociationBatch",
"ssm:CreateMaintenanceWindow",
"ssm:CreateOpsItem",
"ssm:CreatePatchBaseline",
"ssm:DeleteAssociation",
"ssm:DeleteMaintenanceWindow",
"ssm:DeletePatchBaseline",
"ssm:DeregisterPatchBaselineForPatchGroup",
"ssm:DeregisterTargetFromMaintenanceWindow",
"ssm:DeregisterTaskFromMaintenanceWindow",
"ssm:Describe*",
"ssm:Get*",
"ssm:List*",
"ssm:PutConfigurePackageResult",
"ssm:RegisterDefaultPatchBaseline",
"ssm:RegisterPatchBaselineForPatchGroup",
"ssm:RegisterTargetWithMaintenanceWindow",
"ssm:RegisterTaskWithMaintenanceWindow",
"ssm:RemoveTagsFromResource",
"ssm:SendCommand",
"ssm:StartAssociationsOnce",
"ssm:StartAutomationExecution",
"ssm:StartSession",
"ssm:StopAutomationExecution",
"ssm:TerminateSession",
"ssm:UpdateAssociation",
"ssm:UpdateAssociationStatus",
"ssm:UpdateMaintenanceWindow",
"ssm:UpdateMaintenanceWindowTarget",
"ssm:UpdateMaintenanceWindowTask",
"ssm:UpdateOpsItem",
"ssm:UpdatePatchBaseline"
],
"Resource": "*"
},
{
"Sid": "AmsPatchRestrictAMSResources",
"Effect": "Deny",
"Action": [
"ssm:DeletePatchBaseline",
"ssm:UpdatePatchBaseline"
],
"Resource": [
"arn:aws:ssm:${AWS::Region}:${AWS::AccountId}:patchbaseline/*"
],
"Condition": {
"StringLike": {
"aws:ResourceTag/ams:resourceOwner": "*"
}
}
},
{
"Sid": "AmsPatchRestrictAmsTags",
"Effect": "Deny",
"Action": [
"ssm:AddTagsToResource",
"ssm:RemoveTagsFromResource"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringLike": {
"aws:TagKeys": [
"AMS*",
"Ams*",
"ams*"
]
}
}
},
{
"Sid": "TagReadPolicy",
"Effect": "Allow",
"Action": [
"tag:GetResources",
"tag:GetTagKeys"
],
"Resource": "*"
},
{
"Sid": "CloudtrailReadPolicy",
"Effect": "Allow",
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
},
{
"Sid": "EventBridgePolicy",
"Effect": "Allow",
"Action": [
"events:Describe*",
"events:List*",
"events:TestEventPattern"
],
"Resource": "*"
},
{
"Sid": "IAMReadOnlyPolicy",
"Action": [
"iam:ListRoles",
"iam:GetRole"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AmsResourceSchedulerPassRolePolicy",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::${AWS::AccountId}:role/ams_resource_scheduler_ssm_automation_role",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ssm.amazonaws.com"
}
}
}
]
}
- AMSAlarmManagerConfigurationApplicationId: !ImportValue "AMS-Alarm-Manager-Configuration-ApplicationId"
AMSAlarmManagerConfigurationCustomerManagedAlarmsProfileID: !ImportValue "AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID"
AMSResourceTaggerConfigurationApplicationId: !ImportValue "AMS-ResourceTagger-Configuration-ApplicationId"
AMSResourceTaggerConfigurationCustomerManagedTagsProfileID: !ImportValue "AMS-ResourceTagger-Configuration-CustomerManagedTags-ProfileID"
AMSAccelerateReadOnly:
Type: 'AWS::IAM::ManagedPolicy'
Properties:
ManagedPolicyName: AMSAccelerateReadOnly
Path: /
PolicyDocument: !Sub |
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AmsSelfServiceReport",
"Effect": "Allow",
"Action": "amsssrv:*",
"Resource": "*"
},
{
"Sid": "AmsBackupPolicy",
"Effect": "Allow",
"Action": [
"backup:Describe*",
"backup:Get*",
"backup:List*"
],
"Resource": "*"
},
{
"Action": [
"rds:DescribeDBSnapshots",
"rds:ListTagsForResource",
"rds:DescribeDBInstances",
"rds:describeDBSnapshots",
"rds:describeDBEngineVersions",
"rds:describeOptionGroups",
"rds:describeOrderableDBInstanceOptions",
"rds:describeDBSubnetGroups",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBInstanceAutomatedBackups"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"dynamodb:ListBackups",
"dynamodb:ListTables"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"elasticfilesystem:DescribeFilesystems"
],
"Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
"Effect": "Allow"
},
{
"Action": [
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes",
"ec2:describeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:DescribeAccountAttributes",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeSubnets",
"ec2:DescribePlacementGroups",
"ec2:DescribeInstances",
"ec2:DescribeInstanceTypes"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"tag:GetTagKeys",
"tag:GetTagValues",
"tag:GetResources"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"storagegateway:DescribeCachediSCSIVolumes",
"storagegateway:DescribeStorediSCSIVolumes"
],
"Resource": "arn:aws:storagegateway:*:*:gateway/*/volume/*"
},
{
"Effect": "Allow",
"Action": [
"storagegateway:ListGateways"
],
"Resource": "arn:aws:storagegateway:*:*:*"
},
{
"Effect": "Allow",
"Action": [
"storagegateway:DescribeGatewayInformation",
"storagegateway:ListVolumes",
"storagegateway:ListLocalDisks"
],
"Resource": "arn:aws:storagegateway:*:*:gateway/*"
},
{
"Action": [
"iam:ListRoles",
"iam:GetRole"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "organizations:DescribeOrganization",
"Resource": "*"
},
{
"Action": "fsx:DescribeBackups",
"Effect": "Allow",
"Resource": "arn:aws:fsx:*:*:backup/*"
},
{
"Action": "fsx:DescribeFileSystems",
"Effect": "Allow",
"Resource": "arn:aws:fsx:*:*:file-system/*"
},
{
"Action": "ds:DescribeDirectories",
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AmsChangeRecordKMSPolicy",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:${AWS::Region}:${AWS::AccountId}:key/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"kms:ResourceAliases": "alias/AMSCloudTrailLogManagement"
}
}
},
{
"Sid": "AmsChangeRecordAthenaReadPolicy",
"Effect": "Allow",
"Action": [
"athena:BatchGetNamedQuery",
"athena:Get*",
"athena:List*",
"athena:StartQueryExecution",
"athena:UpdateWorkGroup",
"glue:GetDatabase*",
"glue:GetTable*",
"s3:GetAccountPublicAccessBlock",
"s3:ListAccessPoints",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "AmsChangeRecordS3ReadPolicy",
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": [
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}",
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}/*",
"arn:aws:s3:::ams-a${AWS::AccountId}-cloudtrail-${AWS::Region}",
"arn:aws:s3:::ams-a${AWS::AccountId}-cloudtrail-${AWS::Region}/*"
]
},
{
"Sid": "AmsChangeRecordS3WritePolicy",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectLegalHold",
"s3:PutObjectRetention"
],
"Resource": [
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}/*"
]
},
{
"Sid": "MaciePolicy",
"Effect": "Allow",
"Action": [
"macie2:GetFindingStatistics"
],
"Resource": "*"
},
{
"Sid": "GuardDutyReadPolicy",
"Effect": "Allow",
"Action": [
"guardduty:GetFindingsStatistics",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Sid": "SupportReadPolicy",
"Effect": "Allow",
"Action": "support:Describe*",
"Resource": "*"
},
{
"Sid": "ConfigReadPolicy",
"Effect": "Allow",
"Action": [
"config:Get*",
"config:Describe*",
"config:List*"
],
"Resource": "*"
},
{
"Sid": "AppConfigReadPolicy",
"Effect": "Allow",
"Action": [
"appconfig:List*",
"appconfig:Get*"
],
"Resource": "*"
},
{
"Sid": "CloudFormationReadPolicy",
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStacks"
],
"Resource": "*"
},
{
"Sid": "EC2ReadPolicy",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances"
],
"Resource": "*"
},
{
"Sid": "SSMReadPolicy",
"Effect": "Allow",
"Action": [
"ssm:Describe*",
"ssm:Get*",
"ssm:List*"
],
"Resource": "*"
},
{
"Sid": "TagReadPolicy",
"Effect": "Allow",
"Action": [
"tag:GetResources",
"tag:GetTagKeys"
],
"Resource": "*"
},
{
"Sid": "CloudtrailReadPolicy",
"Effect": "Allow",
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
},
{
"Sid": "EventBridgePolicy",
"Effect": "Allow",
"Action": [
"events:Describe*",
"events:List*",
"events:TestEventPattern"
],
"Resource": "*"
}
]
}
```
# Perché e quando AMS accede al tuo account
Gli operatori di AMS Accelerate (Accelerate) possono accedere alla console e alle istanze del vostro account, in determinate circostanze, per gestire le vostre risorse. Questi eventi di accesso sono documentati nei tuoi AWS CloudTrail (CloudTrail) log. Per i dettagli su come esaminare l'attività del tuo account da parte del team di AMS Accelerate Operations e di AMS Accelerate automation, consulta. [Monitoraggio delle modifiche nei tuoi account AMS Accelerate](acc-change-record.md)
Nei seguenti argomenti vengono spiegati perché, quando e come AMS accede al tuo account.
## Trigger di accesso all'account cliente AMS
L'attività di accesso all'account cliente AMS è determinata dai trigger. I fattori scatenanti oggi sono i AWS ticket creati nel nostro sistema di gestione dei problemi in risposta agli allarmi e agli eventi di Amazon CloudWatch (CloudWatch) e le segnalazioni di incidenti o le richieste di assistenza che invii. Per ogni accesso potrebbero essere eseguite più chiamate di servizio e attività a livello di host.
La giustificazione dell'accesso, i trigger e l'iniziatore del trigger sono elencati nella tabella seguente.
**Trigger di accesso**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/access-justification.html)
## Ruoli IAM di accesso all'account cliente AMS
Gli operatori AMS richiedono i seguenti ruoli per gestire il tuo account.
**Nota**
I ruoli di accesso AMS consentono agli operatori AMS di accedere alle risorse dell'utente per fornire funzionalità AMS (vedi[Descrizione del servizio](acc-sd.md)). La modifica di questi ruoli può inibire la nostra capacità di fornire tali funzionalità. Se hai bisogno di modificare i ruoli di accesso AMS, consulta il tuo Cloud Architect.
**Ruoli IAM per l'accesso di AMS agli account dei clienti**
| Nome ruolo | Descrizione |
| --- | --- |
| ams-access-admin | Questo ruolo ha pieno accesso amministrativo al tuo account senza restrizioni. I servizi AMS utilizzano questo ruolo con politiche di sessione restrittive che limitano l'accesso all'implementazione dell'infrastruttura AMS e alla gestione dell'account. |
| ams-access-admin-operations | Questo ruolo concede agli operatori AMS le autorizzazioni amministrative per gestire l'account. Questo ruolo non concede autorizzazioni di lettura, scrittura o eliminazione ai contenuti dei clienti in AWS servizi comunemente usati come archivi dati, come Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift e Amazon. ElastiCache Solo gli operatori AMS qualificati che hanno una solida conoscenza ed esperienza nella gestione degli accessi possono assumere questo ruolo. Questi operatori fungono da punto di riferimento per i problemi di gestione degli accessi e accedono ai vostri account per risolvere i problemi di accesso degli operatori AMS. |
| ams-access-management | Implementato manualmente durante l'onboarding. Il sistema AMS Access richiede questo ruolo per la gestione `ams-access-roles` e lo stack. `ams-access-managed-policies` |
| ams-access-operations | Questo ruolo dispone delle autorizzazioni per eseguire attività amministrative nei tuoi account. Questo ruolo non dispone delle autorizzazioni di lettura, scrittura o eliminazione dei contenuti dei clienti nei AWS servizi comunemente usati come archivi dati, come Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift e Amazon. ElastiCache Anche le autorizzazioni per eseguire operazioni di AWS Identity and Access Management scrittura sono escluse da questo ruolo. Lo staff operativo di AMS Accelerate e gli architetti cloud (CAs) possono assumere questo ruolo. |
| ams-access-read-only | Questo ruolo ha accesso in sola lettura al tuo account. Lo staff operativo di AMS Accelerate e gli architetti cloud (CAs) possono assumere questo ruolo. Le autorizzazioni di lettura per i contenuti dei clienti nei AWS servizi comunemente utilizzati come archivi dati, come Amazon S3, Amazon RDS, DynamoDB, Amazon Redshift, e questo ruolo non viene concesso ElastiCache. |
| ams-access-security-analyst | Questo ruolo di sicurezza AMS dispone delle autorizzazioni nel tuo account AMS per eseguire il monitoraggio dedicato degli avvisi di sicurezza e la gestione degli incidenti di sicurezza. Solo pochissime persone selezionate di AMS Security possono assumere questo ruolo. |
| ams-access-security-analyst-sola lettura | Questo ruolo di sicurezza AMS è limitato alle autorizzazioni di sola lettura nel tuo account AMS per eseguire il monitoraggio dedicato degli avvisi di sicurezza e la gestione degli incidenti di sicurezza. |
**Nota**
Questo è il modello per il ruolo. ams-access-management [È lo stack che gli architetti cloud (CAs) distribuiscono manualmente nel tuo account al momento dell'onboarding: management-role.yaml.](https://ams-account-access-templates.s3.amazonaws.com/management-role.yaml)
[Questo è il modello per i diversi ruoli di accesso per i diversi livelli di accesso:,,,: accelerate-roles.yaml. ams-access-read-only ams-access-operations ams-access-admin-operations ams-access-admin](https://ams-account-access-templates.s3.amazonaws.com/accelerate-roles.yaml)
# In che modo AMS accede al tuo account
Gli operatori di AMS Accelerate possono accedere alla console e alle istanze del tuo account, in determinate circostanze.
![\[Metodo di accesso alla console AMS Accelerate.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/images/acc-op-console-access-method2.png)
Gli operatori AMS utilizzano il servizio di accesso interno AMS Accelerate per accedere ai vostri account in modo sicuro e controllato. Per accedere alle istanze, gli operatori AMS utilizzano lo stesso servizio di accesso AMS interno del broker e, una volta concesso l'accesso, gli operatori AMS Accelerate utilizzano il gestore di sessioni SSM per ottenere l'accesso utilizzando le credenziali di sessione. L'accesso RDP per le istanze Windows viene fornito stabilendo il port forwarding all'istanza e creando un utente locale tramite SSM. Le credenziali utente locali vengono utilizzate per l'accesso RDP e rimosse alla fine della sessione.
# Come e quando usare l'account utente root in AMS
L'[utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) è il superutente del tuo AWS account. AMS monitora l'utilizzo dei root. Ti consigliamo di utilizzare root solo per le poche attività che lo richiedono, ad esempio: modifica delle impostazioni dell'account, attivazione dell'accesso AWS Identity and Access Management (IAM) alla fatturazione e alla gestione dei costi, modifica della password root e abilitazione dell'autenticazione a più fattori (MFA). *Vedi [Attività che richiedono credenziali utente root nella Guida per l'utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).AWS Identity and Access Management *
**Root con AMS Accelerate**:
AMS non ti proibisce di utilizzare il tuo account utente root. Tuttavia, AMS Operations and Security considera il suo utilizzo come un problema su cui indagare e contatteremo il tuo team di sicurezza per ogni utilizzo.
Ti consigliamo di contattare il CSDM e la CA con ventiquattro ore di anticipo, per informarli sulle operazioni di accesso root che intendi eseguire.
**Operazioni AMS e risposta di sicurezza all'utilizzo del root**:
AMS riceve un allarme quando viene utilizzato l'account utente root. Se l'utilizzo delle credenziali root non è pianificato, contatta il team di sicurezza AMS e il team dell'account per verificare se si tratta di un'attività prevista. Se non si tratta di un'attività prevista, AMS collabora con il team di sicurezza per esaminare il problema.