AMS 자동 IAM 프로비저닝 권한 경계 확인 - AMS 고급 사용 설명서

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AMS 자동 IAM 프로비저닝 권한 경계 확인

AMS 권한 경계 검사는 AMS에서 제공하는 기본 권한 경계 정책을 준수하는 데 도움이 됩니다. 이 정책은 AMS 자동 IAM 프로비저닝에서 거부한 작업 목록입니다. 이러한 제한된 작업이 포함된 프로비저닝 정책을 사용하려면 추가적인 명시적 위험 수락이 필요합니다. 여기에서 정책을 다운로드합니다. boundary-policy.zip.

고객 정의 권한 경계 정책 검사를 사용하여 AMS 권한 경계 정책 기본값을 초과하는 거부 작업을 사용자 지정합니다. 관리 | 관리형 계정 | 읽기-쓰기 권한이 있는 AMS 자동 IAM 프로비저닝 | 활성화(검토 필요)(ct-1706xvvk6j9hf) 변경 유형을 사용하여 AMS 자동 IAM 프로비저닝에 온보딩하는 경우 추가 제한 작업을 지정하는 사용자 지정 거부 작업 목록을 포함할 수 있습니다.

관리 | 관리형 계정 | 읽기-쓰기 권한이 있는 자동 IAM 프로비저닝 | 사용자 지정 거부 목록 업데이트(ct-2r9xvd3sdsic0) 변경 유형을 사용하여 거부 작업 목록을 업데이트할 수 있습니다. 이 변경 유형을 실행AWSManagedServicesIAMProvisionAdminRole하려면 전용 IAM 역할을 사용해야 합니다.

참고

  • 각 업데이트에 대한 포괄적인 거부 작업 목록을 제공해야 합니다. 이전 목록은 새 목록으로 대체됩니다.

  • 거부 작업 목록에는 거부할 작업만 포함되어야 합니다. 허용 작업은 지원되지 않습니다.

  • 거부 작업 목록은 계정 내에 라는 IAM 관리형 정책으로 상주합니다AWSManagedServicesIAMProvisionCustomerBoundaryPolicy. 정책은 어떤 역할에도 연결되어서는 안 됩니다.

  • AMS 자동 IAM 프로비저닝에서 거부된 작업을 나타내는 데 사용되는 권한 경계라는 용어는 IAM 권한 경계와 컨텍스트적 의미가 다릅니다. IAM 권한 경계는 정책이 런타임 시 IAM 엔터티에 부여할 수 있는 최대 권한을 설정합니다. IAM 권한 경계에 대한 자세한 내용은 AWS Identity and Access Management 사용 설명서정책 유형을 참조하세요. AMS 자동 IAM 프로비저닝의 권한 경계를 사용하면 거부된 작업 목록과 같은 특정 권한 집합이 포함된 IAM 정책을 프로비저닝할 수 없습니다.