Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Ruolo utente IAM in AMS
Un ruolo IAM è simile a quello di un utente IAM, in quanto è un' AWS identità con politiche di autorizzazione che determinano ciò che l'identità può e non può fare AWS. Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque.
Attualmente esiste un ruolo utente AMS predefinito`Customer_ReadOnly_Role`, per gli account AMS standard e un ruolo aggiuntivo, `customer_managed_ad_user_role` per gli account AMS con Managed Active Directory.
Le politiche di ruolo stabiliscono le autorizzazioni CloudWatch e le azioni di registro di Amazon S3, l'accesso alla console AMS, le restrizioni di sola lettura per la Servizi AWS maggior parte, l'accesso limitato alla console S3 dell'account e l'accesso al tipo di modifica AMS.
Inoltre, `Customer_ReadOnly_Role` dispone di autorizzazioni mutative per le istanze riservate che consentono di prenotare le istanze. Ha alcuni vantaggi in termini di risparmio, quindi, se sai che avrai bisogno di un certo numero di EC2 istanze Amazon per un lungo periodo di tempo, puoi chiamarle. APIs Per ulteriori informazioni, consulta [Amazon EC2 Reserved Instances.](https://aws.amazon.com/ec2/pricing/reserved-instances/)
**Nota**
L'obiettivo del livello di servizio (SLO) di AMS per la creazione di policy IAM personalizzate per gli utenti IAM è di quattro giorni lavorativi, a meno che non si voglia riutilizzare una policy esistente. Se desideri modificare il ruolo utente IAM esistente o aggiungerne uno nuovo, invia rispettivamente una RFC [IAM: Update Entity](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-review-required.html) o [IAM: Create Entity](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy.html).
Se non conosci i ruoli Amazon IAM, consulta Ruoli [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) per informazioni importanti.
**Multi-Account Landing Zone (MALZ)**: per visualizzare le politiche relative ai ruoli utente predefinite e non personalizzate di AMS per i ruoli utente, vedere, successivo. [MALZ: ruoli utente IAM predefiniti](#json-default-role-malz)
## MALZ: ruoli utente IAM predefiniti
Dichiarazioni sulle policy JSON per i ruoli utente predefiniti multi-account AMS multi-account landing zone.
**Nota**
I ruoli utente sono personalizzabili e possono differire in base all'account. Vengono fornite istruzioni su come trovare il proprio ruolo.
Questi sono esempi dei ruoli utente MALZ predefiniti. Per assicurarti di avere le policy impostate di cui hai bisogno, esegui il comando AWS [https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)o accedi alla [console AWS Management -> IAM](https://console.aws.amazon.com/iam/) e scegli **Ruoli** nel riquadro di navigazione.
### Ruoli principali dell'account OU
Un account principale è un account di infrastruttura gestito da Malz. Gli account AMS multi-account landing zone Gli account Core includono un account di gestione e un account di rete.
**Account Core OU: ruoli e politiche comuni**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/userguide/defaults-user-role.html)
**Account Core OU: ruoli e politiche dell'account di gestione**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/userguide/defaults-user-role.html)
**Account Core OU: ruoli e politiche degli account di rete**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/userguide/defaults-user-role.html)
### Ruoli dell'account dell'applicazione
I ruoli degli account dell'applicazione vengono applicati agli account specifici dell'applicazione.
**Account dell'applicazione: ruoli e politiche**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/userguide/defaults-user-role.html)
### Esempi di policy
Vengono forniti esempi per la maggior parte delle politiche utilizzate. Per visualizzare la ReadOnlyAccess policy (lunga pagine in quanto fornisce l'accesso in sola lettura a tutti i AWS servizi), puoi utilizzare questo link, se disponi di un account AWS attivo:. [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary) Inoltre, qui è inclusa una versione ridotta.
#### AMSBillingPolitica
`AMSBillingPolicy`
Il nuovo ruolo Fatturazione può essere utilizzato dal reparto contabilità per visualizzare e modificare le informazioni di fatturazione o le impostazioni dell'account nell'account di gestione. Per accedere a informazioni come Contatti alternativi, visualizzare l'utilizzo delle risorse dell'account o tenere sotto controllo la fatturazione o persino modificare i metodi di pagamento, utilizzi questo ruolo. Questo nuovo ruolo comprende tutte le autorizzazioni elencate nella [pagina Web delle azioni IAM di AWS Billing](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#example-billing-deny-modifyaccount).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-portal:ViewBilling",
"aws-portal:ModifyBilling"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToBilling"
},
{
"Action": [
"aws-portal:ViewAccount",
"aws-portal:ModifyAccount"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountSettings"
},
{
"Action": [
"budgets:ViewBudget",
"budgets:ModifyBudget"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountBudget"
},
{
"Action": [
"aws-portal:ViewPaymentMethods",
"aws-portal:ModifyPaymentMethods"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPaymentMethods"
},
{
"Action": [
"aws-portal:ViewUsage"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToUsage"
},
{
"Action": [
"cur:DescribeReportDefinitions",
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostAndUsageReport"
},
{
"Action": [
"pricing:DescribeServices",
"pricing:GetAttributeValues",
"pricing:GetProducts"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPricing"
},
{
"Action": [
"ce:*",
"compute-optimizer:*"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostExplorerComputeOptimizer"
},
{
"Action": [
"purchase-orders:ViewPurchaseOrders",
"purchase-orders:ModifyPurchaseOrders"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPurchaseOrders"
},
{
"Action": [
"redshift:AcceptReservedNodeExchange",
"redshift:PurchaseReservedNodeOffering"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToRedshiftAction"
},
{
"Action": "savingsplans:*",
"Resource": "*",
"Effect": "Allow",
"Sid": "AWSSavingsPlansFullAccess"
}
]
}
```
------
#### AMSChangeManagementReadOnlyPolicy
`AMSChangeManagementReadOnlyPolicy`
Autorizzazioni per visualizzare tutti i tipi di modifica AMS e la cronologia dei tipi di modifica richiesti.
#### AMSMasterAccountSpecificChangeManagementInfrastructurePolicy
`AMSMasterAccountSpecificChangeManagementInfrastructurePolicy`
Autorizzazioni per richiedere il tipo di modifica Deployment \$1 Managed landing zone \$1 Management account \$1 Create application account (con VPC).
#### AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy
`AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy `
Autorizzazioni per richiedere l'account Deployment \$1 Managed landing zone \$1 Networking \$1 Create application route table.
#### AMSChangeManagementInfrastructurePolicy
`AMSChangeManagementInfrastructurePolicy`(per gestione \$1 Altro \$1 Altro CTs)
Autorizzazioni per richiedere i tipi di modifica Gestione \$1 Altro \$1 Altro \$1 Creazione e gestione \$1 Altro \$1 Altro \$1 Aggiornamento dei tipi di modifica.
#### AMSSecretsManagerSharedPolicy
`AMSSecretsManagerSharedPolicy`
Autorizzazioni per la visualizzazione di dati segreti passwords/hashes condivisi da AMS Gestione dei segreti AWS (ad esempio password di accesso all'infrastruttura per il controllo).
Autorizzazioni per creare dati segreti da condividere con AMS password/hashes . (ad esempio, chiavi di licenza per prodotti che devono essere distribuiti).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyGetSecretOnCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowReadAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
#### AMSChangeManagementPolicy
`AMSChangeManagementPolicy`
Autorizzazioni per richiedere e visualizzare tutti i tipi di modifica AMS e la cronologia dei tipi di modifica richiesti.
#### AMSReservedInstancesPolicy
`AMSReservedInstancesPolicy`
Autorizzazioni per gestire le istanze EC2 riservate di Amazon; per informazioni sui prezzi, consulta [Amazon EC2 Reserved](https://aws.amazon.com/ec2/pricing/reserved-instances/) Instances.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowReservedInstancesManagement",
"Effect": "Allow",
"Action": [
"ec2:ModifyReservedInstances",
"ec2:PurchaseReservedInstancesOffering"
],
"Resource": [
"*"
]
}]
}
```
------
#### AMSS3Politica
`AMSS3Policy`
Autorizzazioni per creare ed eliminare file da bucket Amazon S3 esistenti.
**Nota**
Queste autorizzazioni non garantiscono la possibilità di creare bucket S3; ciò deve essere fatto con il tipo Deployment \$1 Advanced stack components \$1 S3 storage \$1 Create change.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:PutObject"
],
"Resource": "*"
}
]
}
```
------
#### AWSSupportAccesso
`AWSSupportAccess`
Accesso completo a Supporto. Per informazioni, consulta [Guida introduttiva a Supporto](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html). Per informazioni su Premium Support, vedere [Supporto](https://aws.amazon.com/premiumsupport/).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"support:*"
],
"Resource": "*"
}]
}
```
------
#### AWSMarketplaceManageSubscriptions
`AWSMarketplaceManageSubscriptions`(Politica AWS gestita dal pubblico)
Autorizzazioni per sottoscrivere, annullare l'iscrizione e visualizzare Marketplace AWS gli abbonamenti.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe",
"aws-marketplace:Unsubscribe"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### AWSCertificateManagerFullAccess
`AWSCertificateManagerFullAccess`
Accesso completo a. AWS Certificate Manager Per ulteriori informazioni, consulta [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/).
[https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy](https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy)informazioni, (Public AWS Managed Policy).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"acm:*"
],
"Resource": "*"
}]
}
```
------
#### AWSWAFFullAccesso
`AWSWAFFullAccess`
Accesso completo a AWS WAF. Per ulteriori informazioni, vedere [AWS WAF - Web Application Firewall](https://aws.amazon.com/waf/).
[https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html](https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html)informazioni, (politica AWS gestita dal pubblico). Questa politica garantisce l'accesso completo alle AWS WAF risorse.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"waf:*",
"waf-regional:*",
"elasticloadbalancing:SetWebACL"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### ReadOnlyAccess
`ReadOnlyAccess`
Accesso in sola lettura a tutti i AWS servizi e le risorse sulla console. AWS Quando AWS lancia un nuovo servizio, AMS aggiorna la ReadOnlyAccess policy per aggiungere autorizzazioni di sola lettura per il nuovo servizio. Le autorizzazioni aggiornate vengono applicate a tutte le entità principali a cui la policy è collegata.
Ciò non garantisce la possibilità di accedere agli host o agli EC2 host del database.
Se ne hai uno attivo Account AWS, puoi utilizzare questo link [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary)per visualizzare l'intera ReadOnlyAccess politica. L'intera ReadOnlyAccess politica è molto lunga in quanto fornisce l'accesso in sola lettura a tutti. Servizi AWS Di seguito è riportato un estratto parziale della politica. ReadOnlyAccess
**Single-Account Landing Zone (SALZ)**: per visualizzare le politiche relative ai ruoli utente predefinite e non personalizzate di AMS relative ai ruoli utente, vedere, successivo. [SALZ: ruolo utente IAM predefinito](#json-default-role)
## SALZ: ruolo utente IAM predefinito
Dichiarazioni di policy JSON per il ruolo utente predefinito di AMS single-account landing zone.
**Nota**
Il ruolo utente predefinito di SALZ è personalizzabile e potrebbe differire in base all'account. Vengono fornite istruzioni su come trovare il proprio ruolo.
Di seguito è riportato un esempio del ruolo utente SALZ predefinito. Per assicurarti di avere le politiche impostate per te, esegui il [https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)comando. In alternativa, accedi alla AWS Identity and Access Management console all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/), quindi scegli **Ruoli**.
Il ruolo di sola lettura del cliente è una combinazione di più politiche. Segue una suddivisione del ruolo (JSON).
Politica di audit di Managed Services:
ReadOnly Politica IAM di Managed Services
Politica per gli utenti di Managed Services
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomerToListTheLogBucketLogs",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"aws/*",
"app/*",
"encrypted",
"encrypted/",
"encrypted/app/*"
]
}
}
},
{
"Sid": "BasicAccessRequiredByS3Console",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
]
},
{
"Sid": "AllowCustomerToGetLogs",
"Effect": "Allow",
"Action": [
"s3:GetObject*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/aws/*",
"arn:aws:s3:::mc-a*-logs-*/encrypted/app/*"
]
},
{
"Sid": "AllowAccessToOtherObjects",
"Effect": "Allow",
"Action": [
"s3:DeleteObject*",
"s3:Get*",
"s3:List*",
"s3:PutObject*"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCustomerToListTheLogBucketRoot",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringEquals": {
"s3:prefix": [
"",
"/"
]
}
}
},
{
"Sid": "AllowCustomerCWLConsole",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "AllowCustomerCWLAccessLogs",
"Effect": "Allow",
"Action": [
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/*",
"arn:aws:logs:*:*:log-group:/infra/*",
"arn:aws:logs:*:*:log-group:/app/*",
"arn:aws:logs:*:*:log-group:RDSOSMetrics:*:*"
]
},
{
"Sid": "AWSManagedServicesFullAccess",
"Effect": "Allow",
"Action": [
"amscm:*",
"amsskms:*"
],
"Resource": [
"*"
]
},
{
"Sid": "ModifyAWSBillingPortal",
"Effect": "Allow",
"Action": [
"aws-portal:Modify*"
],
"Resource": [
"*"
]
},
{
"Sid": "DenyDeleteCWL",
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "DenyMCCWL",
"Effect": "Deny",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:FilterLogEvents",
"logs:GetLogEvents",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/mc/*"
]
},
{
"Sid": "DenyS3MCNamespace",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/encrypted/mc/*",
"arn:aws:s3:::mc-a*-logs-*/mc/*",
"arn:aws:s3:::mc-a*-logs-*-audit/*",
"arn:aws:s3:::mc-a*-internal-*/*",
"arn:aws:s3:::mc-a*-internal-*"
]
},
{
"Sid": "ExplicitDenyS3CfnBucket",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::cf-templates-*"
]
},
{
"Sid": "DenyListBucketS3LogsMC",
"Action": [
"s3:ListBucket"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"auditlog/*",
"encrypted/mc/*",
"mc/*"
]
}
}
},
{
"Sid": "DenyS3LogsDelete",
"Effect": "Deny",
"Action": [
"s3:Delete*",
"s3:Put*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/*"
]
},
{
"Sid": "DenyAccessToKmsKeysStartingWithMC",
"Effect": "Deny",
"Action": [
"kms:*"
],
"Resource": [
"arn:aws:kms::*:key/mc-*",
"arn:aws:kms::*:alias/mc-*"
]
},
{
"Sid": "DenyListingOfStacksStartingWithMC",
"Effect": "Deny",
"Action": [
"cloudformation:*"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/mc-*"
]
},
{
"Sid": "AllowCreateCWMetricsAndManageDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCreateandDeleteCWDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:DeleteDashboards",
"cloudwatch:PutDashboard"
],
"Resource": [
"*"
]
}
]
}
```
Politica condivisa di Customer Secrets Manager
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSecretsManagerListSecrets",
"Effect": "Allow",
"Action": "secretsmanager:listSecrets",
"Resource": "*"
},
{
"Sid": "AllowCustomerAdminAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyCustomerGetSecretCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowCustomerReadOnlyAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
Politica di iscrizione al Customer Marketplace
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMarketPlaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe"
],
"Resource": [
"*"
]
}
]
}
```
------