AMS がアカウントにアクセスする理由とタイミング - AMS Accelerate ユーザーガイド
アクセストリガーIAM ロールにアクセスする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AMS がアカウントにアクセスする理由とタイミング

AMS Accelerate (Accelerate) 演算子は、特定の状況で、 リソースを管理するためにアカウントコンソールとインスタンスにアクセスできます。これらのアクセスイベントは、 AWS CloudTrail (CloudTrail) ログに記録されます。AMS Accelerate Operations チームおよび AMS Accelerate Automation によってアカウントのアクティビティを確認する方法の詳細については、「」を参照してくださいAMS Accelerate アカウントの変更の追跡

AMS がアカウントにアクセスする理由、タイミング、および方法については、以下のトピックで説明します。

AMS カスタマーアカウントアクセストリガー

AMS カスタマーアカウントアクセスアクティビティは、トリガーによって駆動されます。今日のトリガーは、Amazon CloudWatch (CloudWatch) アラームとイベントに応答して問題管理システムで作成された AWS チケット、および送信したインシデントレポートまたはサービスリクエストです。アクセスごとに複数のサービスコールとホストレベルのアクティビティが実行される場合があります。

アクセスの根拠、トリガー、トリガーのイニシエータを次の表に示します。

アクセストリガー
アクセス イニシエータ Trigger トリガー)

パッチ適用

AMS

パッチの問題

内部問題調査

AMS

問題 (システムとして特定された問題)

アラートの調査と修復

AMS

AWS Systems Manager 運用作業項目 (SSM OpsItems)

インシデントの調査と修復

お客様

インバウンドサポートケース (送信したインシデントまたはサービスリクエスト)

インバウンドサービスリクエストのフルフィルメント

お客様

AMS カスタマーアカウントアクセス IAM ロール

AMS 演算子は、アカウントをサービスするために次のロールを必要とします。

注記

AMS アクセスロールを使用すると、AMS オペレーターはリソースにアクセスして AMS 機能を提供できます (「」を参照サービスの説明)。これらのロールを変更すると、これらの機能を提供する機能が妨げられる可能性があります。AMS アクセスロールを変更する必要がある場合は、Cloud Architect を参照してください。

カスタマーアカウントへの AMS アクセス用の IAM ロール
ロール名 説明

ams-access-admin

このロールには、制限なしでアカウントへの完全な管理アクセス権があります。AMS サービスは、AMS インフラストラクチャをデプロイしてアカウントを運用するためのアクセスを制限する制限付きセッションポリシーでこのロールを使用します。

ams-access-admin-operations

このロールは、アカウントを運用するための管理アクセス許可を AMS オペレーターに付与します。このロールは、Amazon Simple Storage Service、Amazon Relational Database Service、Amazon DynamoDB、Amazon Redshift、Amazon ElastiCache など、データストアとして一般的に使用される AWS サービスの顧客コンテンツに読み取り、書き込み、または削除のアクセス許可を付与しません。このロールを引き受けることができるのは、アクセス管理の知識と経験が豊富な認定 AMS オペレーターのみです。これらのオペレーターは、アクセス管理の問題のエスカレーションポイントとして機能し、アカウントにアクセスして AMS オペレーターのアクセスの問題をトラブルシューティングします。

ams-access-management

オンボーディング中に手動でデプロイされます。AMS Access システムでは、 ams-access-rolesams-access-managed-policiesスタックを管理するためにこのロールが必要です。

ams-access-operations

このロールには、アカウントで管理タスクを実行するアクセス許可があります。このロールには、Amazon Simple Storage Service、Amazon Relational Database Service、Amazon DynamoDB、Amazon Redshift、Amazon ElastiCache など、データストアとして一般的に使用される AWS サービスの顧客コンテンツに対する読み取り、書き込み、または削除のアクセス許可はありません。 AWS Identity and Access Management 書き込みオペレーションを実行するアクセス許可もこのロールから除外されます。AMS Accelerate オペレーションスタッフとクラウドアーキテクト (CAs) がこのロールを引き受けることができます。

ams-access-read-only

このロールには、 アカウントへの読み取り専用アクセス権があります。AMS Accelerate オペレーションスタッフとクラウドアーキテクト (CAs) がこのロールを引き受けることができます。Amazon S3、Amazon RDS、DynamoDB、Amazon Redshift、ElastiCache など、データストアとして一般的に使用される AWS サービスの顧客コンテンツへの読み取りアクセス許可は、このロールには付与されません。

ams-access-security-analyst

この AMS セキュリティロールには、専用のセキュリティアラートモニタリングとセキュリティインシデント処理を実行するアクセス許可が AMS アカウントに付与されています。このロールを引き受けることができる AMS セキュリティ担当者はほとんどいません。

ams-access-security-analyst-read-only

この AMS セキュリティロールは、専用のセキュリティアラートモニタリングとセキュリティインシデント処理を実行するための AMS アカウントの読み取り専用アクセス許可に制限されています。

注記

これは、ams-access-management ロールのテンプレートです。これは、クラウドアーキテクト (CAs) がオンボーディング時にアカウント内に手動でデプロイするスタックです: management-role.yaml

これは、さまざまなアクセスレベルのさまざまなアクセスロールのテンプレートです。ams-access-read-only、ams-access-operations、ams-access-admin-operations、ams-access-admin: accelerate-roles.yaml