Guida introduttiva alla modalità Direct Change - Guida per l'utente avanzato di AMS
Ruoli e politiche IAM in modalità Direct Change

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Guida introduttiva alla modalità Direct Change

Inizia controllando i prerequisiti e poi inviando una richiesta di modifica (RFC) nel tuo account AMS Advanced idoneo.

  1. Verifica che l'account che desideri utilizzare con DCM soddisfi i requisiti:

    • L'account è AMS Advanced Plus o Premium.

    • L'account non ha Service Catalog abilitato. Al momento non supportiamo l'onboarding degli account sia su DCM che su Service Catalog allo stesso tempo. Se hai già effettuato l'accesso a Service Catalog ma sei interessato a DCM, discuti le tue esigenze con il tuo cloud service delivery manager (CSDM). Se decidi di passare da Service Catalog a DCM, offboard Service Catalog, per farlo, includi la richiesta nella richiesta di modifica riportata di seguito. Per informazioni dettagliate su Service Catalog in AMS, consulta AMS and Service Catalog.

  2. Invia una richiesta di modifica (RFC) utilizzando la modalità Gestione | Account gestito | Modifica diretta | Abilita il tipo di modifica (ct-3rd4781c2nnhp). Per un esempio di procedura dettagliata, consulta la modalità Direct Change | Enable.

    Dopo l'elaborazione del CT, i ruoli IAM predefiniti AWSManagedServicesUpdateRole vengono assegnati all'account specificato. AWSManagedServicesCloudFormationAdminRole

  3. Assegna il ruolo appropriato agli utenti che richiedono l'accesso a DCM utilizzando il processo di federazione interno.

Nota

È possibile specificare un numero qualsiasi di SAMLIdentity provider, AWS servizi ed entità IAM (ruoli, utenti, ecc.) per assumere i ruoli. È necessario fornire almeno uno: SAMLIdentityProviderARNsIAMEntityARNs, oAWSServicePrincipals. Per ulteriori informazioni, rivolgiti al dipartimento IAM della tua azienda o al tuo architetto cloud AMS (CA).

Ruoli e politiche IAM in modalità Direct Change

Quando la modalità Direct Change è abilitata in un account, vengono implementate queste nuove entità IAM:

AWSManagedServicesCloudFormationAdminRole: Questo ruolo consente l'accesso alla CloudFormation console, la creazione e l'aggiornamento degli CloudFormation stack, la visualizzazione dei report sulle deviazioni e la creazione e l'esecuzione. CloudFormation ChangeSets L'accesso a questo ruolo è gestito tramite il tuo provider SAML.

Le politiche gestite che vengono implementate e associate al ruolo AWSManagedServicesCloudFormationAdminRole sono:

  • Account applicativo AMS Advanced multi-account landing zone (MALZ)

    • AWSManagedServices_CloudFormationAdminPolicy1

    • AWSManagedServices_CloudFormationAdminPolicy2

      • Questa politica rappresenta le autorizzazioni concesse a. AWSManagedServicesCloudFormationAdminRole Tu e i tuoi partner utilizzate questa politica per concedere l'accesso a un ruolo esistente nell'account e consentire a tale ruolo di avviare e aggiornare gli CloudFormation stack nell'account. Ciò potrebbe richiedere aggiornamenti aggiuntivi della politica di controllo dei servizi AMS (SCP) per consentire ad altre entità IAM di avviare CloudFormation stack.

  • Account di landing zone con account singolo AMS Advanced (SALZ)

    • AWSManagedServices_CloudFormationAdminPolicy1

    • AWSManagedServices_CloudFormationAdminPolicy2

    • cdk-legacy-mode-s3 accessi [politica in linea]

    • AWS ReadOnlyAccess politica

AWSManagedServicesUpdateRole: Questo ruolo garantisce un accesso limitato al servizio downstream AWS . APIs Il ruolo viene implementato con policy gestite che forniscono operazioni API mutanti e non mutanti, ma in generale limita le operazioni mutanti (ad esempioCreate/Delete/PUT) rispetto a determinati servizi come IAM, KMS, GuardDuty VPC, risorse e configurazione dell'infrastruttura AMS e così via. L'accesso a questo ruolo è gestito tramite il tuo provider SAML.

Le politiche gestite che vengono implementate e associate al ruolo AWSManagedServicesUpdateRole sono:

  • Account applicativo AMS Advanced multi-account per la landing zone

    • AWSManagedServicesUpdateBasePolicy 

    • AWSManagedServicesUpdateDenyPolicy 

    • AWSManagedServicesUpdateDenyProvisioningPolicy 

    • AWSManagedServicesUpdateEC2E RDSPolicy 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfraPolitica

  • Account di landing zone AMS Advanced con account singolo

    • AWSManagedServicesUpdateBasePolicy 

    • AWSManagedServicesUpdateDenyProvisioningPolicy 

    • AWSManagedServicesUpdateEC2E RDSPolicy 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfraPolitica 1 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfraPolitica 2

Oltre a questi, al AWSManagedServicesUpdateRole ruolo di policy gestita è ViewOnlyAccess associata anche la policy AWS gestita.