Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Perché e quando AMS accede al tuo account
AWS Managed Services (AMS) gestisce l'infrastruttura AWS e talvolta, per motivi specifici, gli operatori e gli amministratori AMS accedono al tuo account. Questi eventi di accesso sono documentati nei tuoi AWS CloudTrail (CloudTrail) log.
Nei seguenti argomenti vengono spiegati perché, quando e come AMS accede al tuo account.
Trigger di accesso all'account cliente AMS
L'attività di accesso all'account cliente AMS è determinata dai trigger. I fattori scatenanti oggi sono i AWS ticket creati nel nostro sistema di gestione dei problemi in risposta agli allarmi e agli eventi di Amazon CloudWatch (CloudWatch) e le segnalazioni di incidenti o le richieste di assistenza che invii. Per ogni accesso potrebbero essere eseguite più chiamate di servizio e attività a livello di host.
La giustificazione dell'accesso, i trigger e l'iniziatore del trigger sono elencati nella tabella seguente.
| Accesso | Iniziatore | Trigger |
|---|---|---|
Applicazione di patch |
AMBITI |
Problema con la patch |
Implementazioni dell'infrastruttura |
AMS |
Problema di distribuzione |
Indagine interna sui problemi |
ARMS |
Problema (un problema che è stato identificato come sistemico) |
Indagine e risoluzione degli avvisi |
AMS |
Elementi di lavoro operativi (SSM OpsItems) di AWS Systems Manager |
Esecuzione RFC manuale |
Utente corrente |
Problema relativo alla richiesta di modifica (RFC). (La modalità non automatizzata RFCs potrebbe richiedere l'accesso di AMS alle tue risorse) |
Indagine e risoluzione degli incidenti |
Utente corrente |
Caso di assistenza in entrata (un incidente o una richiesta di assistenza inviata dall'utente) |
Adempimento della richiesta di assistenza in entrata |
Utente corrente |
Ruoli IAM di accesso all'account cliente AMS
Quando attivato, AMS accede agli account dei clienti utilizzando i ruoli AWS Identity and Access Management (IAM). Come tutte le attività del tuo account, i ruoli e il loro utilizzo vengono registrati. CloudTrail
Importante
Non modificare o eliminare questi ruoli.
| Nome ruolo | Tipo di account (SALZ, MALZ Management, MALZ Application, ecc.) | Descrizione |
|---|---|---|
ams-service-admin |
SALZ, MALZ |
Accesso automatizzato ai servizi AMS e implementazioni automatizzate dell'infrastruttura, ad esempio Patch, Backup, Riparazione automatica. |
ams-application-infra-read-solo |
SALZ, applicazione MALZ, applicazione MALZ Tools-Applicazione |
Accesso in sola lettura da parte dell'operatore |
ams-application-infra-operations |
Accesso dell'operatore per incidents/service le richieste | |
ams-application-infra-admin |
Accesso ad Admin | |
ams-primary-read-only |
Gestione MALZ |
Accesso in sola lettura da parte dell'operatore |
ams-primary-operations |
Accesso dell'operatore per incidents/service le richieste | |
ams-primary-admin |
Accesso ad Admin | |
ams-logging-read-only |
Registrazione MALZ |
Accesso in sola lettura da parte dell'operatore |
ams-logging-operations |
Accesso dell'operatore per incidents/service le richieste | |
ams-logging-admin |
Accesso ad Admin | |
ams-networking-read-only |
Rete MALZ |
Accesso in sola lettura da parte dell'operatore |
ams-networking-operations |
Accesso dell'operatore per incidents/service le richieste | |
ams-networking-admin |
Accesso ad Admin | |
ams-shared-services-read-solo |
Servizi condivisi MALZ |
Accesso in sola lettura da parte dell'operatore |
ams-shared-services-operations |
Accesso dell'operatore per incidents/service le richieste | |
ams-shared-services-admin |
Accesso ad Admin | |
ams-security-read-only |
Sicurezza MALZ |
Accesso in sola lettura da parte dell'operatore |
ams-security-operations |
Accesso dell'operatore per incidents/service le richieste | |
ams-security-admin |
Accesso ad Admin | |
ams-access-security-analyst |
SALZ, applicazione MALZ, applicazione MALZ Tools, MALZ Core |
Accesso di sicurezza AMS |
ams-access-security-analyst-sola lettura |
AMS Security, accesso in sola lettura | |
Sentinel_ _Ruolo_ 0 MBhe AdminUser PXHaz RQadu PVc CDc |
SALZ |
[BreakGlassRole] Utilizzato per inserire BreakGlass negli account dei clienti |
PowerUserSentinel_ _Ruolo_ S0 0 wZuPu ROOl IazDb RI9 |
SALE, MALZ |
Accesso Poweruser agli account dei clienti per l'esecuzione di RFC |
Sentinel_ _Role_PD4L6RW9RD0LNLKD5 ReadOnlyUser JOo |
ReadOnly accesso agli account dei clienti per l'esecuzione di RFC | |
ams_admin_role |
Accesso amministrativo agli account dei clienti per l'esecuzione di RFC | |
AWSManagedServices_Provisioning_CustomerStacksRole |
Utilizzato per avviare e aggiornare gli stack CFN per conto dei clienti tramite Ingest CloudFormation | |
customer_ssm_automation_role |
Ruolo passato dalle esecuzioni CT a SSM Automation per l'esecuzione dei runbook | |
ams_ssm_automation_role |
SALZ, applicazione MALZ, codice MALZ |
Ruolo passato dai servizi AMS a SSM Automation per l'esecuzione dei runbook |
ams_ssm_iam_deployment_role |
Applicazione MALZ |
Ruolo utilizzato dal catalogo IAM |
ams_ssm_shared_svcs_intermediary_role |
Servizi condivisi MALZ |
Ruolo utilizzato dall'applicazione ams_ssm_automation_role per eseguire documenti SSM specifici nell'account Shared Services |
AmsOpsCenterRole |
SALZ, MALZ |
Utilizzato per creare e aggiornare gli account dei OpsItems clienti |
AMSOpsItemAutoExecutionRole |
Utilizzato per ottenere documenti SSM, descrivere i tag delle risorse OpsItems, aggiornare e avviare l'automazione | |
customer-mc-ecProfilo a 2 istanze |
Profilo predefinito dell' EC2 istanza del cliente (ruolo) |
Richiesta dell'accesso all'istanza
Per accedere a una risorsa, devi prima inviare una richiesta di modifica (RFC) per tale accesso. È possibile richiedere due tipi di accesso: amministratore (autorizzazioni di lettura/scrittura) e sola lettura (accesso utente standard). Per impostazione predefinita, l'accesso dura otto ore. Queste informazioni sono obbligatorie:
Stack ID, o set di stack IDs, per l'istanza o le istanze a cui desideri accedere.
Il nome di dominio completo del tuo dominio affidabile AMS.
Il nome utente di Active Directory della persona che desidera accedere.
L'ID del VPC in cui si trovano gli stack a cui desideri accedere.
Una volta ottenuto l'accesso, puoi aggiornare la richiesta in base alle tue esigenze.
Per esempi di come richiedere l'accesso, vedi Stack Admin Access | Grant o Stack Read-only Access | Grant.
