直接変更モードの開始方法 - AMS Advanced ユーザーガイド
直接変更モードの IAM ロールとポリシー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

直接変更モードの開始方法

まず前提条件を確認してから、対象となる AMS Advanced アカウントで変更リクエスト (RFC) を送信します。

  1. DCM で使用するアカウントが要件を満たしていることを確認します。

    • アカウントは AMS Advanced Plus または Premium です。

    • アカウントで Service Catalog が有効になっていません。現在、DCM と Service Catalog の両方へのアカウントのオンボーディングはサポートされていません。Service Catalog に既にオンボーディングされているが DCM に関心がある場合は、クラウドサービスデリバリーマネージャー (CSDM) とニーズについて話し合ってください。Service Catalog から DCM に切り替える場合は、Service Catalog をオフボードして変更を依頼してください。AMS での Service Catalog の詳細については、「AMS と Service Catalog」を参照してください。

  2. Management | Managed Account | Direct Change Mode | Enable change type (ct-3rd4781c2nnhp) を使用して、変更リクエスト (RFC) を送信します。チュートリアルの例については、「直接変更モード | 有効化」を参照してください。

    CT が処理されると、事前定義された IAM ロールAWSManagedServicesCloudFormationAdminRoleAWSManagedServicesUpdateRoleが指定されたアカウントにプロビジョニングされます。

  3. 内部フェデレーションプロセスを使用して DCM アクセスを必要とするユーザーに適切なロールを割り当てます。

注記

ロールを引き受けるには、任意の数の SAMLIdentityProviders、 AWS Services、IAM エンティティ (ロール、ユーザーなど) を指定できます。、SAMLIdentityProviderARNsIAMEntityARNsまたは の少なくとも 1 つを指定する必要がありますAWSServicePrincipals。詳細については、会社の IAM 部門または AMS クラウドアーキテクト (CA) にお問い合わせください。

直接変更モードの IAM ロールとポリシー

アカウントで直接変更モードが有効になっている場合、これらの新しい IAM エンティティがデプロイされます。

AWSManagedServicesCloudFormationAdminRole: このロールは、CloudFormation コンソールへのアクセス、CloudFormation スタックの作成と更新、ドリフトレポートの表示、CloudFormation ChangeSets の作成と実行を許可します。このロールへのアクセスは、SAML プロバイダーを通じて管理されます。

ロールAWSManagedServicesCloudFormationAdminRoleにデプロイおよびアタッチされる管理ポリシーは次のとおりです。

  • AMS Advanced マルチアカウントランディングゾーン (MALZ) アプリケーションアカウント

    • AWSManagedServices_CloudFormationAdminPolicy1

    • AWSManagedServices_CloudFormationAdminPolicy2

      • このポリシーは、 に付与されたアクセス許可を表しますAWSManagedServicesCloudFormationAdminRole。このポリシーを使用して、アカウント内の既存のロールへのアクセスを許可し、そのロールがアカウント内の CloudFormation スタックを起動および更新できるようにします。これには、他の IAM エンティティが CloudFormation スタックを起動できるように、追加の AMS サービスコントロールポリシー (SCP) 更新が必要になる場合があります。

  • AMS Advanced シングルアカウントランディングゾーン (SALZ) アカウント

    • AWSManagedServices_CloudFormationAdminPolicy1

    • AWSManagedServices_CloudFormationAdminPolicy2

    • cdk-legacy-mode-s3-access [インラインポリシー〕

    • AWS ReadOnlyAccess ポリシー

AWSManagedServicesUpdateRole: このロールは、ダウンストリーム AWS サービス APIs への制限付きアクセスを許可します。ロールは、変更および非変更 API オペレーションを提供する マネージドポリシーでデプロイされますが、一般的には、IAM、KMS、GuardDuty、VPC、AMS インフラストラクチャリソースや設定などの特定のサービスに対して変更オペレーション (Create/Delete/PUT など) を制限します。このロールへのアクセスは、SAML プロバイダーを通じて管理されます。

ロールAWSManagedServicesUpdateRoleにデプロイおよびアタッチされる管理ポリシーは次のとおりです。

  • AMS Advanced マルチアカウントランディングゾーンアプリケーションアカウント

    • AWSManagedServicesUpdateBasePolicy 

    • AWSManagedServicesUpdateDenyPolicy 

    • AWSManagedServicesUpdateDenyProvisioningPolicy 

    • AWSManagedServicesUpdateEC2AndRDSPolicy 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfraPolicy

  • AMS Advanced シングルアカウントランディングゾーンアカウント

    • AWSManagedServicesUpdateBasePolicy 

    • AWSManagedServicesUpdateDenyProvisioningPolicy 

    • AWSManagedServicesUpdateEC2AndRDSPolicy 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfraPolicy1 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfraPolicy2

これらに加えて、 マネージドポリシーAWSManagedServicesUpdateRoleロールには AWS マネージドポリシーもアViewOnlyAccessタッチされています。