Dettagli della modifica delle autorizzazioni IAM - Guida utente di AMS Accelerate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Dettagli della modifica delle autorizzazioni IAM

Ogni istanza gestita deve avere un AWS Identity and Access Management ruolo che includa le seguenti politiche gestite:

  • arn:aws:iam: :aws:policy/Amazon SSMManaged InstanceCore

  • arn:aws:iam: :aws:policy/ CloudWatchAgentServerPolicy

  • arn:aws:iam: :aws:policy/ AMSInstance ProfileBasePolicy

Le prime due sono politiche gestite. AWS La policy gestita da AMS è la seguente:

AMSInstanceProfileBasePolicy

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:UpdateSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:*:*:secret:/ams/byoa/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "kms:Encrypt"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

Se alla tua istanza è già associato un ruolo IAM, ma manca una di queste policy, AMS aggiunge le policy mancanti al tuo ruolo IAM. Se la tua istanza non ha un ruolo IAM, AMS assegna il ruolo AMSOSConfigurationCustomerInstanceProfileIAM. Il ruolo AMSOSConfigurationCustomerInstanceProfileIAM ha tutte le politiche richieste da AMS Accelerate.

Nota

Se viene raggiunto il limite predefinito del profilo di istanza di 10, AMS aumenta il limite a 20, in modo da poter allegare i profili di istanza richiesti.