Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS Identity and Access Management in AMS Accelerate
AWS Identity and Access Management è un servizio web che consente di controllare in modo sicuro l'accesso alle AWS risorse. Utilizza IAM per controllare chi è autenticato (accesso effettuato) e autorizzato (dispone di autorizzazioni) per l'utilizzo di risorse. Durante l'onboarding di AMS Accelerate, sei responsabile della creazione di ruoli di amministratore IAM su più account all'interno di ciascuno dei tuoi account gestiti.
In AMS Accelerate, sei responsabile della gestione dell'accesso alle tue Account AWS e alle relative risorse sottostanti, come le soluzioni di gestione degli accessi, le politiche di accesso e i processi correlati. Ciò significa che gestisci il ciclo di vita degli utenti, le autorizzazioni nei servizi di directory e il sistema di autenticazione federato, per accedere alla console o. AWS AWS APIs Per aiutarti a gestire la tua soluzione di accesso, AMS Accelerate implementa AWS Config regole che rilevano le configurazioni errate più comuni di IAM e fornisce notifiche di correzione. Per ulteriori informazioni, consulta Regole gestite di AWS Config.
Autenticazione con identità in AMS Accelerate
AMS utilizza i ruoli IAM, che sono un tipo di identità IAM. Un ruolo IAM è simile a quello di un utente, in quanto è un'identità con politiche di autorizzazione che determinano ciò che l'identità può e non può fare. AWS Tuttavia, a un ruolo non sono associate credenziali e, invece di essere associato in modo univoco a una persona, è assunto da chiunque ne abbia bisogno. Un utente IAM può assumere un ruolo per ottenere temporaneamente autorizzazioni diverse per un'attività specifica.
I ruoli di accesso sono controllati dall'appartenenza al gruppo interno, che viene amministrata e rivista periodicamente da Operations Management. AMS utilizza i seguenti ruoli IAM.
Nota
I ruoli di accesso AMS consentono agli operatori AMS di accedere alle risorse dell'utente per fornire funzionalità AMS (vediDescrizione del servizio). La modifica di questi ruoli può inibire la nostra capacità di fornire tali funzionalità. Se hai bisogno di modificare i ruoli di accesso AMS, consulta il tuo Cloud Architect.
| Role name (Nome ruolo) | Descrizione |
|---|---|
| Utilizzato da (entità): solo AMS Access Service | |
ams-access-management |
Implementato manualmente dall'utente durante l'onboarding. Assunto solo da AMS Access per implementare o aggiornare i ruoli di accesso. Rimane nel tuo account dopo l'onboarding per eventuali aggiornamenti futuri dei ruoli di accesso. |
| Utilizzato da (entità): AMS Operations | |
ams-access-admin-operations |
Questo ruolo dispone delle autorizzazioni amministrative per operare negli account, ma non dispone delle autorizzazioni per leggere, scrivere o eliminare i contenuti dei clienti nei AWS servizi comunemente usati come archivi dati, come Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift e Amazon. ElastiCache Solo pochissime persone selezionate di AMS possono assumere questo ruolo. |
ams-access-operations |
Questo ruolo AMS Operations dispone delle autorizzazioni per eseguire attività amministrative nei tuoi account. Questo ruolo non dispone delle autorizzazioni di lettura, scrittura o eliminazione dei contenuti dei clienti nei AWS servizi comunemente usati come archivi dati, come Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift e Amazon. ElastiCache Anche le autorizzazioni per eseguire operazioni di AWS Identity and Access Management scrittura sono escluse da questo ruolo. |
ams-access-read-only |
Questo ruolo di sola lettura AMS è limitato alle autorizzazioni di sola lettura nel tuo account AMS. Le autorizzazioni di lettura per i contenuti dei clienti nei AWS servizi comunemente utilizzati come archivi dati, come Amazon S3, Amazon RDS, DynamoDB, Amazon Redshift e, non sono concesse da questo ruolo. ElastiCache |
| Utilizzato da (entità): AMS Operations e AMS Services | |
ams_ssm_automation_role |
Si presume che esegua i documenti di SSM Automation all' AWS Systems Manager interno del tuo account. |
ams_ssm_automation_role | |
| Usato da (entità): AMS Security | |
ams-access-security-analyst |
Questo ruolo di sicurezza AMS dispone delle autorizzazioni nel tuo account AMS per eseguire il monitoraggio dedicato degli avvisi di sicurezza e la gestione degli incidenti di sicurezza. Solo pochissime persone selezionate di AMS Security possono assumere questo ruolo. Le autorizzazioni di lettura per i contenuti dei clienti in AWS servizi comunemente utilizzati come archivi dati, come Amazon S3, Amazon RDS, Amazon DynamoDB, Amazon Redshift e, non sono concesse da questo ruolo. ElastiCache |
ams-access-security-analyst-sola lettura |
Questo ruolo di sicurezza AMS è limitato alle autorizzazioni di sola lettura nel tuo account AMS per eseguire il monitoraggio dedicato degli avvisi di sicurezza e la gestione degli incidenti di sicurezza. Le autorizzazioni di lettura per i contenuti dei clienti in AWS servizi comunemente utilizzati come archivi dati, come Amazon S3, Amazon RDS, Amazon DynamoDB, Amazon Redshift e, non sono concesse da questo ruolo. ElastiCache |
| Usato da (entità): Servizi AWS | |
ams-access-admin |
Questo ruolo di amministratore di AMS dispone delle autorizzazioni complete per operare negli account senza restrizioni. Solo i servizi interni AMS (con una politica di sessione ristretta) possono assumere il ruolo di amministratore. |
ams-opscenter-eventbridge-role |
Creato da Amazon AWS Systems Manager OpsItems come parte EventBridge di un flusso di lavoro di Regole di AWS Config riparazione specifico per AMS. |
AMSOSConfigurationCustomerInstanceRole |
Questo ruolo IAM viene applicato alle EC2 istanze Amazon quando il servizio di configurazione del sistema operativo AMS rileva che mancano le policy IAM richieste. Consente alle EC2 istanze Amazon di interagire con AWS Systems Manager Amazon e CloudWatch i EventBridge servizi Amazon. Ha inoltre allegato la policy gestita su misura da AMS per consentire l'accesso RDP alle istanze Windows. |
mc-patch-glue-service-ruolo |
Supposto da AWS Glue ETL Workflow per eseguire la trasformazione dei dati e prepararli per il generatore di report AMS Patch. |
| Utilizzato da (entità): AMS Service | |
ams-alarm-manager- AWSManaged ServicesAlarmManagerDe - <8-digit hash> |
Presupposto dall'infrastruttura AMS Alarm Manager all'interno del tuo account AMS per eseguire la Regole di AWS Config valutazione di una nuova AWS AppConfig implementazione. |
ams-alarm-manager- AWSManaged ServicesAlarmManagerRe - <8-digit hash> |
Presupposto dall'infrastruttura di bonifica di AMS Alarm Manager all'interno del tuo account AMS per consentire la creazione o l'eliminazione di allarmi per la riparazione. |
ams-alarm-manager- SS- AWSManaged ServicesAlarmManager <8-digit hash> |
Si presume che richiami il servizio di riparazione degli allarmi AMS all'interno del tuo account AMS. AWS Systems Manager |
ams-alarm-manager- - AWSManaged ServicesAlarmManagerTr <8-digit hash> |
Presupposto dall'infrastruttura di gestione degli allarmi AMS all'interno AWS del tuo account per condurre una Regole di AWS Config valutazione AMS periodica. |
ams-alarm-manager- - AWSManaged ServicesAlarmManagerVa <8-digit hash> |
Assunto dall'infrastruttura di gestione degli allarmi AMS all'interno del tuo account AMS per garantire che gli allarmi richiesti esistano nell' AWS account. |
ams-backup-iam-role |
Questo ruolo viene utilizzato per funzionare all' AWS Backup interno dei tuoi account. |
ams-monitoring- - AWSManaged ServicesLogGroupLimitLamb <8-digit hash> |
Presupposto dall'infrastruttura AMS Logging & Monitoring nel tuo account AMS per valutare il limite CloudWatch dei gruppi Amazon Logs e confrontarli con le quote di servizio. |
ams-monitoring- Servizi RDSE- AWSManaged RDSMonitoring <8-digit hash> |
Presupposto dall'infrastruttura AMS Logging & Monitoring nel tuo account AMS per inoltrare gli eventi Amazon RDS ad Amazon CloudWatch Events. |
ams-monitoring- - AWSManaged ServicesRedshiftMonitorin <8-digit hash> |
Presupposto dall'infrastruttura AMS Logging & Monitoring nel tuo account AMS per inoltrare gli eventi Amazon Redshift CreateCluster ( DeleteCustere) ad Amazon CloudWatch Events. |
ams-monitoring-infrastruc- - AWSManaged ServicesMonito <8-digit hash> |
Presupposto dall'infrastruttura AMS Logging & Monitoring del tuo account AMS per pubblicare messaggi su Amazon Simple Notification Service per confermare che l'account riporti tutti i dati necessari. |
ams-opscenter-role |
Presupposto dal sistema AMS Notification Management del tuo account AMS per la gestione degli avvisi AWS Systems Manager OpsItems relativi al tuo account. |
ams-opsitem-autoexecution-role |
Presupposto dal sistema di gestione delle notifiche AMS per gestire la riparazione automatica utilizzando documenti SSM per il monitoraggio degli avvisi relativi alle risorse dell'account. |
ams-patch-infrastructure-amspatchconfigruleroleC1- <8-digit hash> |
Si presume che valuti AWS Config le risorse delle patch AMS e rilevi eventuali variazioni nei relativi AWS CloudFormation stack. |
ams-patch-infrastructure-amspatchcwruleopsitemams- <8-digit hash> |
Creato da Amazon EventBridge per risolvere AWS Systems Manager OpsItems gli errori di patching. |
ams-patch-infrastructure-amspatchservicebusamspat- <8-digit hash> |
Ipotizzato da Amazon EventBridge per inviare un evento al bus di eventi di AMS Patch Orchestrator per le notifiche di modifica dello stato di Windows di AWS Systems Manager manutenzione. |
ams-patch-reporting-infra-amspatchreportingconfigr- <8-digit hash> |
Si presume che valuti AWS Config le risorse di reporting di AMS Patch e rilevi eventuali variazioni nei suoi stack. AWS CloudFormation |
ams-resource-tagger- - AWSManaged ServicesResourceTagg <8-digit hash> |
Presupposto dall'infrastruttura AMS Resource Tagger all'interno del tuo account AMS per eseguire la Regole di AWS Config valutazione in caso di nuova AWS AppConfig implementazione. |
ams-resource-tagger- - AWSManaged ServicesResourceTagg <8-digit hash> |
Presupposto dall'infrastruttura AMS Resource Tagger all'interno del tuo account AMS per convalidare l'esistenza dei AWS tag richiesti per le risorse gestite. |
ams-resource-tagger- - AWSManaged ServicesResourceTagg <8-digit hash> |
Si presume che AWS Systems Manager richiami il flusso di lavoro di riparazione di AMS Resource Tagger nel tuo account AMS. |
ams-resource-tagger- - AWSManaged ServicesResourceTagg <8-digit hash> |
Supposto dall'infrastruttura di riparazione AMS Resource Tagger all'interno del tuo account AMS per creare o eliminare i AWS tag per le risorse gestite. |
ams-resource-tagger- - AWSManaged ServicesResourceTagg <8-digit hash> |
Presupposto dall'infrastruttura AMS Resource Tagger all'interno del tuo AWS account per condurre una valutazione periodica delle regole AMS Config. |
ams_os_configuration_event_rule_role- <AWS Region> |
Amazon presume che EventBridge inoltri gli eventi dal tuo account al servizio di configurazione del sistema operativo AMS EventBus nella regione corretta. |
mc-patch-reporting-service |
Presupposto dall'aggregatore di dati sulle patch e dal generatore di report AMS. |
Nota
Questo è il modello per il ams-access-management ruolo. È lo stack che gli architetti cloud (CAs) distribuiscono manualmente nel tuo account al momento dell'onboarding: management-role.yaml.
I feature service di AMS Accelerate assumono il ams-access-adminruolo di accesso programmatico all'account, ma con una politica di sessione specifica per il rispettivo feature service (ad esempio, patch, backup, monitoraggio e così via).
AMS Accelerate segue le migliori pratiche del settore per soddisfare e mantenere l'idoneità alla conformità. L'accesso di AMS Accelerate al tuo account è registrato CloudTrail e disponibile anche per la revisione tramite il monitoraggio delle modifiche. Per informazioni sulle interrogazioni che puoi utilizzare per ottenere queste informazioni, consultaMonitoraggio delle modifiche nei tuoi account AMS Accelerate.
Gestione dell'accesso con policy
Diversi team di supporto di AMS Accelerate, come Operations Engineers, Cloud Architects e Cloud Service Delivery Managers (CSDMs), a volte richiedono l'accesso ai tuoi account per rispondere alle richieste di servizio e agli incidenti. Il loro accesso è regolato da un servizio di accesso AMS interno che applica controlli quali la giustificazione aziendale, le richieste di assistenza, gli elementi operativi e i casi di supporto. L'accesso predefinito è di sola lettura e tutti gli accessi vengono tracciati e registrati; vedi anche. Monitoraggio delle modifiche nei tuoi account AMS Accelerate
Convalida delle risorse IAM
Il sistema di accesso AMS Accelerate assume periodicamente ruoli nei tuoi account (almeno ogni 24 ore) e verifica che tutte le nostre risorse IAM siano quelle previste.
Per proteggere i vostri account, AMS Accelerate dispone di un «canarino» che monitora e segnala la presenza e lo status dei ruoli IAM, nonché le relative politiche, menzionate sopra. Periodicamente, Canary assume il ams-access-read-onlyruolo CloudFormation e avvia chiamate API IAM contro i vostri account. The Canary valuta lo stato dei ruoli di accesso di AMS Accelerate per assicurarsi che siano sempre invariati e... up-to-date Questa attività crea CloudTrail registri nell'account.
Il nome di sessione AWS Security Token Service (AWS STS) del canarino è AMS-Access-Roles-Auditor- {uuid4 ()} come mostrato in e si verificano le seguenti chiamate API: CloudTrail
Chiamate API Cloud Formation:
describe_stacks()Chiamate API IAM:
get_role()list_attached_role_policies()list_role_policies()get_policy()get_policy_version()get_role_policy()
