AMS での AMS 自動 IAM プロビジョニングへのオンボーディング

新しい変更タイプを使用するには、まず、次の変更タイプを使用して RFC を送信して AMS 自動 IAM プロビジョニングを有効にします。管理 | 管理アカウント | 読み取り/書き込みアクセス許可を持つ AMS 自動 IAM プロビジョニング | 有効化 (レビューが必要） (ct-1706xvvk6j9hf)。 AWS では、これらの変更タイプの使用が組織ポリシーと一致していることを確認するために、カスタマーセキュリティリスク管理 (CSRM) プロセスを実行する必要があります。 AWS 運用チームはお客様と協力して、必要なレビューの一環として、リスク承諾の形式でセキュリティチームの連絡先から明示的な承認を取得します。詳細については、RFC カスタマーリスク管理 (CSRM) プロセスを参照してください。

読み取り/書き込みアクセス許可機能を使用して AMS 自動 IAM プロビジョニングを有効にするための RFC が成功すると、AMS は、有効化 RFC の送信に使用したアカウントで AMS 自動 IAM プロビジョニングの変更タイプを有効にします。アカウントで AMS 自動 IAM プロビジョニングが有効になっていることを確認するには、IAM コンソールでAWSManagedServicesIAMProvisionAdminRoleロールを確認します。

オンボーディングの一環として、AMS はアカウントの同じ AWS リージョンに IAM Access Analyzer をプロビジョニングして、アクセスプレビュー機能を活用します。IAM Access Analyzer は、組織内のリソースと外部エンティティと共有されているアカウントを識別し、ポリシーの文法とベストプラクティスに照らして IAM ポリシーを検証し、 AWS CloudTrail ログ内のアクセスアクティビティに基づいて IAM ポリシーを生成します。詳細については、「 の使用 AWS Identity and Access Management Access Analyzer」を参照してください。

オンボーディングされると、 AWSManagedServicesIAMProvisionAdminRoleは有効なアカウントにデプロイされます。SAML フェデレーションでこのロールを使用する場合は、フェデレーションソリューションにロールをオンボードする必要があります。

オンボーディングの一環として、AWSManagedServicesIAMProvisionAdminRole の信頼ポリシーを更新して、このロールを引き受ける別の IAM ロール ARN を付与するようにリクエストできます AWS Security Token Service。