기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AMS가 계정에 액세스하는 이유와 시간
AWS Managed Services(AMS)는 AWS 인프라를 관리하며, 특정 이유로 AMS 운영자와 관리자가 계정에 액세스하는 경우도 있습니다. 이러한 액세스 이벤트는 AWS CloudTrail (CloudTrail) 로그에 문서화됩니다.
AMS가 계정에 액세스하는 이유, 시기 및 방법은 다음 주제에 설명되어 있습니다.
AMS 고객 계정 액세스 트리거
AMS 고객 계정 액세스 활동은 트리거에 의해 구동됩니다. 오늘 트리거는 Amazon CloudWatch(CloudWatch) 경보 및 이벤트에 대한 응답으로 문제 관리 시스템에서 생성된 AWS 티켓과 제출한 인시던트 보고서 또는 서비스 요청입니다. 각 액세스에 대해 여러 서비스 호출 및 호스트 수준 활동을 수행할 수 있습니다.
액세스 근거, 트리거 및 트리거의 이니시에이터는 다음 표에 나열되어 있습니다.
| 액세스 | 시작한 사용자 | 트리거 |
|---|---|---|
패치 적용 |
AMS |
패치 문제 |
인프라 배포 |
AMS |
배포 문제 |
내부 문제 조사 |
AMS |
문제 문제(시스템적으로 식별된 문제) |
알림 조사 및 문제 해결 |
AMS |
AWS Systems Manager 운영 작업 항목(SSM OpsItems) |
수동 RFC 실행 |
사용자 |
변경 요청(RFC) 문제입니다. (자동화되지 않은 RFCs 리소스에 대한 AMS 액세스가 필요할 수 있음) |
인시던트 조사 및 해결 |
사용자 |
인바운드 지원 사례(제출한 인시던트 또는 서비스 요청) |
인바운드 서비스 요청 이행 |
사용자 |
AMS 고객 계정 액세스 IAM 역할
트리거되면 AMS는 AWS Identity and Access Management (IAM) 역할을 사용하여 고객 계정에 액세스합니다. 계정의 모든 활동과 마찬가지로 역할 및 사용량은 CloudTrail에 기록됩니다.
중요
이러한 역할을 수정하거나 삭제하지 마십시오.
| 역할 이름 | 계정 유형(SALZ, MALZ 관리, MALZ 애플리케이션 등) | 설명 |
|---|---|---|
ams-service-admin |
SALZ, MALZ |
패치, 백업, 자동 문제 해결과 같은 AMS 서비스 자동화 액세스 및 자동 인프라 배포. |
ams-application-infra-read-only |
SALZ, MALZ 애플리케이션, MALZ 도구-애플리케이션 |
운영자 읽기 전용 액세스 |
ams-application-infra-operations |
인시던트/서비스 요청에 대한 운영자 액세스 | |
ams-application-infra-admin |
AD 관리자 액세스 | |
ams-primary-read-only |
MALZ 관리 |
운영자 읽기 전용 액세스 |
ams-primary-operations |
인시던트/서비스 요청에 대한 운영자 액세스 | |
ams-primary-admin |
AD 관리자 액세스 | |
ams-logging-read-only |
MALZ 로깅 |
운영자 읽기 전용 액세스 |
ams-logging-operations |
인시던트/서비스 요청에 대한 운영자 액세스 | |
ams-logging-admin |
AD 관리자 액세스 | |
ams-networking-read-only |
MALZ 네트워킹 |
운영자 읽기 전용 액세스 |
ams-networking-operations |
인시던트/서비스 요청에 대한 운영자 액세스 | |
ams-networking-admin |
AD 관리자 액세스 | |
ams-shared-services-read-only |
MALZ 공유 서비스 |
운영자 읽기 전용 액세스 |
ams-shared-services-operations |
인시던트/서비스 요청에 대한 운영자 액세스 | |
ams-shared-services-admin |
AD 관리자 액세스 | |
ams-security-read-only |
MALZ 보안 |
운영자 읽기 전용 액세스 |
ams-security-operations |
인시던트/서비스 요청에 대한 운영자 액세스 | |
ams-security-admin |
AD 관리자 액세스 | |
ams-access-security-analyst |
SALZ, MALZ 애플리케이션, MALZ 도구-애플리케이션, MALZ Core |
AMS 보안 액세스 |
ams-access-security-analyst-read-only |
AMS 보안, 읽기 전용 액세스 | |
Sentinel_AdminUser_Role_PXHazRQadu0PVcCDcMbHE |
SALZ |
[BreakGlassRole]breakGlass를 고객 계정으로 나누는 데 사용됩니다. |
Sentinel_PowerUser_Role_wZuPuS0ROOl0IazDbRI9 |
SALZ, MALZ |
RFC 실행을 위한 고객 계정에 대한 Poweruser 액세스 |
Sentinel_ReadOnlyUser_Role_Pd4L6Rw9RD0lnLkD5JOo |
RFC 실행을 위한 고객 계정에 대한 ReadOnly 액세스 | |
ams_admin_역할 |
RFC 실행을 위한 고객 계정에 대한 관리자 액세스 | |
AWSManagedServices_Provisioning_CustomerStacksRole |
CloudFormation Ingest를 통해 고객을 대신하여 CFN 스택을 시작하고 업데이트하는 데 사용됩니다. | |
customer_ssm_automation_역할 |
실행서 실행을 위해 CT 실행에 의해 SSM Automation으로 전달되는 역할 | |
ams_ssm_automation_역할 |
SALZ, MALZ 애플리케이션, MALZ Core |
실행서 실행을 위해 AMS 서비스가 SSM Automation에 전달하는 역할 |
ams_ssm_iam_deployment_역할 |
MALZ 애플리케이션 |
IAM 카탈로그에서 사용하는 역할 |
ams_ssm_shared_svcs_intermediary_role |
MALZ 공유 서비스 |
애플리케이션 ams_ssm_automation_role이 공유 서비스 계정에서 특정 SSM 문서를 실행하는 데 사용하는 역할 |
AmsOpsCenterRole |
SALZ, MALZ |
고객 계정에서 OpsItems 생성하고 업데이트하는 데 사용됩니다. |
AMSOpsItemAutoExecutionRole |
SSM 문서를 가져오고, 리소스 태그를 설명하고, OpsItems 업데이트하고, 자동화를 시작하는 데 사용됩니다. | |
customer-mc-ec2-instance-profile |
기본 고객 EC2 인스턴스 프로파일(역할) |
인스턴스 액세스 요청
리소스에 액세스하려면 먼저 해당 액세스에 대한 변경 요청(RFC)을 제출해야 합니다. 요청할 수 있는 액세스에는 관리자(읽기/쓰기 권한)와 읽기 전용(표준 사용자 액세스)의 두 가지 유형이 있습니다. 액세스는 기본적으로 8시간 동안 지속됩니다. 이 정보는 필수입니다.
액세스하려는 인스턴스의 스택 ID 또는 스택 IDs.
AMS 신뢰 도메인의 정규화된 도메인 이름입니다.
액세스하려는 사람의 Active Directory 사용자 이름입니다.
스택이 액세스하려는 VPC의 ID입니다.
액세스 권한이 부여되면 필요에 따라 요청을 업데이트할 수 있습니다.
액세스를 요청하는 방법의 예는 스택 관리자 액세스 | 권한 부여 또는 스택 읽기 전용 액세스 | 권한 부여를 참조하세요.
