AMS での AMS 自動 IAM プロビジョニングの使用 - AMS Advanced ユーザーガイド

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AMS での AMS 自動 IAM プロビジョニングの使用

次の AMS 自動 IAM プロビジョニング変更タイプを使用して RFCs を作成できます。

注記

  • ロールとポリシーのプロビジョニングのみがサポートされています。

    ロールの更新中、Update CT は、マネージドポリシー Amazon リソースネーム (ARNs」ポリシードキュメントを、提供されたマネージドポリシー ARNsと「ロールを引き受ける」ポリシードキュメントに置き換えます。部分的な更新。たとえば、マネージドポリシー ARN の既存のリストで ARNs」ポリシードキュメントに追加または削除することはできません。同様に、ポリシーの更新中、Update CT は既存のポリシードキュメントを置き換え、既存のポリシードキュメントで個々のポリシーステートメントを追加または削除することはできません。

  • 「検証のみ」オプションを選択すると、IAM エンティティまたはポリシーをプロビジョニングせずにランタイムチェックが実行されます。検出結果にかかわらず、RFC ステータスは「成功」です。「成功」ステータスは、指定された IAM エンティティまたはポリシーに対する検証が成功したことを示します。

専用 IAM ロール を使用してのみ、前述の 3 つの CTs を呼び出すことができますAWSManagedServicesIAMProvisionAdminRole。このロールは、 管理 | マネージドアカウント | AMS 自動 IAM プロビジョニングの読み取り/書き込みアクセス許可 | 有効 (レビューが必要) (ct-1706xvvk6j9hf) を使用して 機能にオンボードされたアカウントでのみ使用できます。

重要

変更タイプの作成、更新、削除は常にアカウントに表示されますが、デフォルトでは有効になっていません。最初に AMS 自動 IAM プロビジョニング機能を有効にせずに、これらの変更タイプのいずれかを使用して RFC を送信しようとすると、「未承認」エラーが表示されます。

[Limitations:] (制限:)

  • Create CT では、 AWS リソースを作成するアクセス許可を持つ IAM ロールまたはポリシーを作成できる場合があります。ただし、これらのロールとポリシーによって作成された AWS リソースは AMS によって管理されません。このようなロールやポリシーの作成を制限するために、組織の管理に従うのがベストプラクティスです。

  • Update CT は、CFN Ingest、Direct Change Mode、Developer Mode、または場合によっては既存の AMS Advanced 手動または自動 CTs を使用して作成された IAM ロールとポリシーを変更できません。

  • Delete CT は、AMS 自動 IAM プロビジョニング Create CT で作成されていない既存のロールやポリシーを削除することはできません。

  • 読み取り/書き込みアクセス許可を持つ AMS 自動 IAM プロビジョニング機能は、Direct Change Mode ロールではサポートされていません。つまり、これらのロールを使用して読み取り/書き込みアクセス許可を持つ IAM ロールとポリシーをプロビジョニングまたは更新することはできません。

  • 読み取り/書き込みアクセス許可を持つ AMS 自動 IAM プロビジョニング 変更タイプの作成、更新、削除は、ServiceNow Connector と互換性がありません。