AMS での IAM 自動プロビジョニングの仕組み - AMS Advanced ユーザーガイド

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AMS での IAM 自動プロビジョニングの仕組み

自動 IAM プロビジョニングは、IAM リソースの変更を検証するために IAM の自動ランタイムチェックに依存します。これらの自動チェックは、変更タイプの作成、更新、または削除が実行されたときに実行され、過度に許可されている、または安全でないパターンを持つ IAM リソースがアカウントにデプロイされるのを防ぎます。これにより、IAM レビューの厳密さのレベルをチームの専門知識と一致させることができます。クラウドサービスを初めて使用し、すべての IAM リソースの変更に手動チェックが必要なチームは、既存のレビューに必要な変更タイプを使用することをお勧めします。デプロイ | 高度なスタックコンポーネント | Identity and Access Management (IAM) | エンティティまたはポリシーの作成 (レビューが必要)、 (ct-3dpd8mdd9jn1r)。環境の AWS 専門知識と制御を備えたチームは、自動 IAM プロビジョニングを使用してデプロイを高速化できます。この機能を使用して、自動ランタイムチェックによる検証を実行したり、検証が成功した後に IAM リソースの検証とプロビジョニングを実行したりできます。

重要

AWS Managed Services は、特定のアクセス許可と条件を持つ IAM リソースまたはポリシーの作成を妨げる検証ランタイムチェックのリストを事前に実装しています。これらの権限と条件の詳細については、「AMS Advanced での IAM リソースのデプロイ」を参照してください。自動変更タイプ ct-1n9gfnog5x7flct-1e0xmuy1diafqct-17cj84y7632o6 では、IAM リソースの管理に精通しているユーザーが、読み取り専用権限を超えるアクションを許可する IAM ロールとポリシーをプロビジョニングできます。

さらに、自動変更タイプ ct-1n9gfnog5x7flct-1e0xmuy1diafqct-17cj84y7632o6 で作成されたロールを使用して、新しいリソースを作成できます。ただし、リソースは AMS 命名基準に従うことができず、標準 AMS スタックの一部ではありません。AMS は、ベストエフォートベースでこれらの特定のリソースの運用およびセキュリティサポートを提供します。

手動プロセスと自動プロセスの両方がセキュリティ標準を維持することを目指していますが、この 2 つのチェックには違いがあることに注意してください。自動プロビジョニングにより、ロールとポリシーの作成と更新の柔軟性が向上します。したがって、これらは同じではありません。組織が AMS ユーザーガイドに記載されている検証ランタイムチェックを注意深く確認し、組織の期待と要件に沿っていることを確認することをお勧めします。

検証フロー

検証フロー

検証とプロビジョニングのフロー

検証とプロビジョニングのフロー
注記

この機能は、 AWS および IAM リソースの経験があるチームに適しています。また、初めてのチームにはお勧めしません AWS。自動検証プロセスは、ほとんどのエラーをキャッチするように設計されており、チームが必要なアクセス許可を理解したときに、IAM の変更をすばやくレビューするのに役立ちます。新しい変更タイプを安全かつ効果的に使用するには、IAM AWS と、変更タイプによって提供されるランタイムチェックをよく理解し、それらがチームに適しているかどうかを判断することをお勧めします。