翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AMS がアカウントにアクセスする理由とタイミング
AWS Managed Services (AMS) は AWS インフラストラクチャを管理し、特定の理由で AMS オペレーターと管理者がアカウントにアクセスすることがあります。これらのアクセスイベントは、 AWS CloudTrail (CloudTrail) ログに記録されます。
AMS がアカウントにアクセスする理由、タイミング、および方法については、以下のトピックで説明します。
AMS カスタマーアカウントアクセストリガー
AMS カスタマーアカウントアクセスアクティビティは、トリガーによって駆動されます。今日のトリガーは、Amazon CloudWatch (CloudWatch) アラームとイベントに応答して問題管理システムで作成された AWS チケット、および送信したインシデントレポートまたはサービスリクエストです。アクセスごとに複数のサービスコールとホストレベルのアクティビティが実行される場合があります。
アクセスの根拠、トリガー、トリガーのイニシエータを次の表に示します。
| アクセス | イニシエータ | Trigger トリガー) |
|---|---|---|
パッチ適用 |
AMS |
パッチの問題 |
インフラストラクチャのデプロイ |
AMS |
デプロイの問題 |
内部問題調査 |
AMS |
問題 (システムとして特定された問題) |
アラートの調査と修復 |
AMS |
AWS Systems Manager 運用作業項目 (SSM OpsItems) |
手動 RFC 実行 |
お客様 |
Request for Change (RFC) の問題。(自動化されていない RFCsリソースへの AMS アクセスが必要になる場合があります) |
インシデントの調査と修復 |
お客様 |
インバウンドサポートケース (送信したインシデントまたはサービスリクエスト) |
インバウンドサービスリクエストのフルフィルメント |
お客様 |
AMS カスタマーアカウントアクセス IAM ロール
トリガーされると、AMS は AWS Identity and Access Management (IAM) ロールを使用してカスタマーアカウントにアクセスします。アカウントのすべてのアクティビティと同様に、ロールとその使用状況は CloudTrail に記録されます。
重要
これらのロールを変更または削除しないでください。
| ロール名 | アカウントタイプ (SALZ、MALZ 管理、MALZ アプリケーションなど) | 説明 |
|---|---|---|
ams-service-admin |
SALZ、MALZ |
AMS サービスの自動化アクセスと、パッチ、バックアップ、自動修復などの自動インフラストラクチャデプロイ。 |
ams-application-infra-read-only |
SALZ、MALZ アプリケーション、MALZ Tools-Application |
オペレーターの読み取り専用アクセス |
ams-application-infra-operations |
インシデント/サービスリクエストのオペレーターアクセス | |
ams-application-infra-admin |
AD 管理者アクセス | |
ams-primary-read-only |
MALZ 管理 |
オペレーターの読み取り専用アクセス |
ams-primary-operations |
インシデント/サービスリクエストのオペレーターアクセス | |
ams-primary-admin |
AD 管理者アクセス | |
ams-logging-read-only |
MALZ ログ記録 |
オペレーターの読み取り専用アクセス |
ams-logging-operations |
インシデント/サービスリクエストのオペレーターアクセス | |
ams-logging-admin |
AD 管理者アクセス | |
ams-networking-read-only |
MALZ ネットワーキング |
オペレーターの読み取り専用アクセス |
ams-networking-operations |
インシデント/サービスリクエストのオペレーターアクセス | |
ams-networking-admin |
AD 管理者アクセス | |
ams-shared-services-read-only |
MALZ 共有サービス |
オペレーターの読み取り専用アクセス |
ams-shared-services-operations |
インシデント/サービスリクエストのオペレーターアクセス | |
ams-shared-services-admin |
AD 管理者アクセス | |
ams-security-read-only |
MALZ セキュリティ |
オペレーターの読み取り専用アクセス |
ams-security-operations |
インシデント/サービスリクエストのオペレーターアクセス | |
ams-security-admin |
AD 管理者アクセス | |
ams-access-security-analyst |
SALZ、MALZ アプリケーション、MALZ Tools-Application、MALZ Core |
AMS セキュリティアクセス |
ams-access-security-analyst-read-only |
AMS セキュリティ、読み取り専用アクセス | |
Sentinel_AdminUser_Role_PXHazRQadu0PVcCDcMbHE |
SALZ |
[BreakGlassRole]breakGlassするために使用します |
Sentinel_PowerUser_Role_wZuPuS0ROOl0IazDbRI9 |
SALZ、MALZ |
RFC 実行のためのユーザーアカウントへのパワーユーザーアクセス |
Sentinel_ReadOnlyUser_Role_Pd4L6Rw9RD0lnLkD5JOo |
RFC 実行のためのカスタマーアカウントへのReadOnlyアクセス | |
ams_admin_role |
RFC 実行のためのカスタマーアカウントへの管理者アクセス | |
AWSManagedServices_Provisioning_CustomerStacksRole |
CloudFormation Ingest を通じて顧客に代わって CFN スタックを起動および更新するために使用されます | |
customer_ssm_automation_role |
ランブック実行のために CT 実行によって SSM Automation に渡されるロール | |
ams_ssm_automation_role |
SALZ、MALZ アプリケーション、MALZ Core |
ランブック実行のために AMS サービスによって SSM Automation に渡されるロール |
ams_ssm_iam_deployment_role |
MALZ アプリケーション |
IAM カタログで使用されるロール |
ams_ssm_shared_svcs_intermediary_role |
MALZ 共有サービス |
共有サービスアカウントで特定の SSM ドキュメントを実行するためにアプリケーション ams_ssm_automation_role で使用されるロール |
AmsOpsCenterRole |
SALZ、MALZ |
カスタマーアカウントで OpsItems を作成および更新するために使用されます。 |
AMSOpsItemAutoExecutionRole |
SSM ドキュメントの取得、リソースタグの説明、OpsItems の更新、自動化の開始に使用されます。 | |
customer-mc-ec2-instance-profile |
デフォルトのカスタマー EC2 インスタンスプロファイル (ロール) |
インスタンスアクセスのリクエスト
リソースにアクセスするには、まずそのアクセスの変更リクエスト (RFC) を送信する必要があります。リクエストできるアクセスには、admin (読み取り/書き込みアクセス許可) と読み取り専用 (標準ユーザーアクセス) の 2 種類があります。デフォルトでは、アクセスは 8 時間続きます。この情報は必須です。
アクセスするインスタンスのスタック ID、またはスタック IDs のセット。
AMS 信頼ドメインの完全修飾ドメイン名。
アクセスを希望するユーザーの Active Directory ユーザー名。
アクセスするスタックがある VPC の ID。
アクセス権が付与されたら、必要に応じてリクエストを更新できます。
アクセスをリクエストする方法の例については、「スタック管理者アクセス | 許可」または「スタック読み取り専用アクセス | 許可」を参照してください。
