AMS가 계정에 액세스하는 이유와 시간 - AMS Accelerate 사용 설명서
액세스 트리거IAM 역할 액세스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AMS가 계정에 액세스하는 이유와 시간

AMS Accelerate(Accelerate) 운영자는 특정 상황에서 리소스 관리를 위해 계정 콘솔 및 인스턴스에 액세스할 수 있습니다. 이러한 액세스 이벤트는 AWS CloudTrail (CloudTrail) 로그에 문서화됩니다. AMS Accelerate Operations 팀 및 AMS Accelerate 자동화를 통해 계정의 활동을 검토하는 방법에 대한 자세한 내용은 섹션을 참조하세요AMS Accelerate 계정의 변경 사항 추적.

AMS가 계정에 액세스하는 이유, 시기 및 방법은 다음 주제에 설명되어 있습니다.

AMS 고객 계정 액세스 트리거

AMS 고객 계정 액세스 활동은 트리거에 의해 구동됩니다. 오늘 트리거는 Amazon CloudWatch(CloudWatch) 경보 및 이벤트에 대한 응답으로 문제 관리 시스템에서 생성된 AWS 티켓과 제출한 인시던트 보고서 또는 서비스 요청입니다. 각 액세스에 대해 여러 서비스 호출 및 호스트 수준 활동을 수행할 수 있습니다.

액세스 근거, 트리거 및 트리거의 이니시에이터는 다음 표에 나열되어 있습니다.

액세스 트리거
액세스 시작한 사용자 트리거

패치 적용

AMS

패치 문제

내부 문제 조사

AMS

문제 문제(시스템적으로 식별된 문제)

알림 조사 및 문제 해결

AMS

AWS Systems Manager 운영 작업 항목(SSM OpsItems)

인시던트 조사 및 해결

사용자

인바운드 지원 사례(제출한 인시던트 또는 서비스 요청)

인바운드 서비스 요청 이행

사용자

AMS 고객 계정 액세스 IAM 역할

AMS 운영자가 계정을 서비스하려면 다음 역할이 필요합니다.

참고

AMS 액세스 역할을 사용하면 AMS 운영자가 리소스에 액세스하여 AMS 기능을 제공할 수 있습니다( 참조서비스 설명). 이러한 역할을 변경하면 이러한 기능을 제공할 수 없게 될 수 있습니다. AMS 액세스 역할을 변경해야 하는 경우 Cloud Architect에 문의하세요.

고객 계정에 대한 AMS 액세스를 위한 IAM 역할
역할 이름 설명

ams-access-admin

이 역할에는 제한 없이 계정에 대한 전체 관리 액세스 권한이 있습니다. AMS 서비스는 AMS 인프라를 배포하고 계정을 운영하기 위한 액세스를 제한하는 제한적인 세션 정책과 함께이 역할을 사용합니다.

ams-access-admin-operations

이 역할은 AMS 운영자에게 계정을 운영할 수 있는 관리 권한을 부여합니다. 이 역할은 Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift, Amazon ElastiCache와 같이 데이터 스토어로 일반적으로 사용되는 AWS 서비스의 고객 콘텐츠에 대한 읽기, 쓰기 또는 삭제 권한을 부여하지 않습니다. 액세스 관리에 대한 이해와 배경이 뛰어난 적격 AMS 운영자만이 역할을 수임할 수 있습니다. 이러한 연산자는 액세스 관리 문제 및 계정에 대한 에스컬레이션 지점 역할을 하여 AMS 연산자 액세스 문제를 해결합니다.

ams-access-management

온보딩 중에 수동으로 배포됩니다. AMS Access 시스템에서 ams-access-rolesams-access-managed-policies 스택을 관리하려면이 역할이 필요합니다.

ams-access-operations

이 역할에는 계정에서 관리 작업을 수행할 수 있는 권한이 있습니다. 이 역할에는 Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift, Amazon ElastiCache와 같이 데이터 스토어로 일반적으로 사용되는 AWS 서비스의 고객 콘텐츠에 대한 읽기, 쓰기 또는 삭제 권한이 없습니다. AWS Identity and Access Management 쓰기 작업을 수행할 수 있는 권한도이 역할에서 제외됩니다. AMS Accelerate 운영 직원 및 클라우드 아키텍트(CAs)가이 역할을 맡을 수 있습니다.

ams-access-read-only

이 역할에는 계정에 대한 읽기 전용 액세스 권한이 있습니다. AMS Accelerate 운영 직원 및 클라우드 아키텍트(CAs)가이 역할을 맡을 수 있습니다. Amazon S3, Amazon RDS, DynamoDB, Amazon Redshift, ElastiCache와 같이 데이터 스토어로 일반적으로 사용되는 AWS 서비스의 고객 콘텐츠에 대한 읽기 권한은이 역할에 부여되지 않습니다.

ams-access-security-analyst

이 AMS 보안 역할은 AMS 계정에 전용 보안 알림 모니터링 및 보안 인시던트 처리를 수행할 수 있는 권한이 있습니다. 일부 AMS 보안 담당자만이 역할을 수임할 수 있습니다.

ams-access-security-analyst-read-only

이 AMS 보안 역할은 전용 보안 알림 모니터링 및 보안 인시던트 처리를 수행할 수 있는 AMS 계정의 읽기 전용 권한으로 제한됩니다.

참고

ams-access-management 역할의 템플릿입니다. 온보딩 시 클라우드 아키텍트(CAs)가 계정에 수동으로 배포하는 스택은 management-role.yaml입니다.

이 템플릿은 ams-access-read-only, ams-access-operations, ams-access-admin-operations, ams-access-admin: accelerate-roles.yaml 등 다양한 액세스 수준에 대한 다양한 액세스 역할을 위한 템플릿입니다.