As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS Identity and Access Management no AMS Accelerate
AWS Identity and Access Management é um serviço web que ajuda você a controlar com segurança o acesso aos AWS recursos. Você usa o IAM para controlar quem é autenticado (fez login) e autorizado (tem permissões) a usar os recursos. Durante a integração do AMS Accelerate, você é responsável por criar funções de administrador do IAM entre contas em cada uma de suas contas gerenciadas.
No AMS Accelerate, você é responsável por gerenciar o acesso aos seus recursos subjacentes Contas da AWS e aos deles, como soluções de gerenciamento de acesso, políticas de acesso e processos relacionados. Isso significa que você gerencia o ciclo de vida do usuário, as permissões nos serviços de diretório e o sistema de autenticação federada para acessar o AWS console ou. AWS APIs Para ajudá-lo a gerenciar sua solução de acesso, o AMS Accelerate implanta AWS Config regras que detectam configurações incorretas comuns do IAM e fornece notificações de remediação. Para obter mais informações, consulte Regras gerenciadas do AWS Config.
Autenticação com identidades no AMS Accelerate
O AMS usa funções do IAM, que são um tipo de identidade do IAM. Uma função do IAM é semelhante à de um usuário, pois é uma identidade com políticas de permissões que determinam o que a identidade pode ou não fazer AWS. No entanto, uma função não tem credenciais associadas a ela e, em vez de ser associada exclusivamente a uma pessoa, pode ser assumida por qualquer pessoa que precise dela. Um usuário do IAM pode assumir uma função para conseguir temporariamente permissões diferentes para uma tarefa específica.
As funções de acesso são controladas pela associação interna ao grupo, que é administrada e revisada periodicamente pelo Operations Management. O AMS usa as seguintes funções do IAM.
nota
As funções de acesso do AMS permitem que os operadores do AMS acessem seus recursos para fornecer recursos do AMS (consulteService description (Descrição do serviço)). Alterar essas funções pode inibir nossa capacidade de fornecer esses recursos. Se você precisar alterar as funções de acesso ao AMS, consulte seu Cloud Architect.
| Nome da função | Descrição |
|---|---|
| Usado por (entidade): somente AMS Access Service | |
ams-access-management |
Implantado manualmente por você durante a integração. Presumido somente pelo AMS Access para implantar ou atualizar funções de acesso. Permanece em sua conta após a integração para futuras atualizações das funções de acesso. |
| Usado por (entidade): AMS Operations | |
ams-access-admin-operations |
Essa função tem permissões administrativas para operar em contas, mas não tem permissões para ler, gravar ou excluir conteúdo do cliente em AWS serviços comumente usados como armazenamentos de dados, como Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift e Amazon. ElastiCache Apenas alguns poucos indivíduos selecionados do AMS podem assumir essa função. |
ams-access-operations |
Essa função de operações do AMS tem permissões para realizar tarefas administrativas em suas contas. Essa função não tem permissões de leitura, gravação ou exclusão do conteúdo do cliente em AWS serviços comumente usados como armazenamentos de dados, como Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift e Amazon. ElastiCache As permissões para realizar operações de AWS Identity and Access Management gravação também são excluídas dessa função. |
ams-access-read-only |
Essa função de somente leitura do AMS está limitada às permissões de somente leitura em sua conta do AMS. As permissões de leitura para o conteúdo do cliente em AWS serviços comumente usados como armazenamentos de dados, como Amazon S3, Amazon RDS, DynamoDB, Amazon Redshift e, não são concedidas por essa função. ElastiCache |
| Usado por (entidade): AMS Operations e AMS Services | |
função de automação ams_ssm_ |
Presumido por AWS Systems Manager executar documentos de automação SSM em sua conta. |
função de automação ams_ssm_ | |
| Usado por (entidade): AMS Security | |
ams-access-security-analyst |
Essa função de segurança do AMS tem permissões em sua conta do AMS para realizar monitoramento dedicado de alertas de segurança e tratamento de incidentes de segurança. Somente algumas pessoas selecionadas da AMS Security podem assumir essa função. As permissões de leitura para o conteúdo do cliente em AWS serviços que são comumente usados como armazenamentos de dados, como Amazon S3;, Amazon RDS;, Amazon DynamoDB, Amazon Redshift e, não são concedidas por essa função. ElastiCache |
ams-access-security-analyst-somente leitura |
Essa função de segurança do AMS está limitada às permissões somente de leitura em sua conta do AMS para realizar monitoramento dedicado de alertas de segurança e tratamento de incidentes de segurança. As permissões de leitura para o conteúdo do cliente em AWS serviços que são comumente usados como armazenamentos de dados, como Amazon S3;, Amazon RDS;, Amazon DynamoDB, Amazon Redshift e, não são concedidas por essa função. ElastiCache |
| Usado por (entidade): AWS Services | |
ams-access-admin |
Essa função de administrador do AMS tem permissões completas para operar em contas sem restrições. Somente os serviços internos do AMS (com uma política de sessão com escopo reduzido) podem assumir a função de administrador. |
ams-opscenter-eventbridge-role |
Presume-se EventBridge que a Amazon crie AWS Systems Manager OpsItems como parte do fluxo de trabalho de Regras do AWS Config remediação específico da AMS. |
AMSOSConfigurationCustomerInstanceRole |
Essa função do IAM é aplicada às suas EC2 instâncias da Amazon quando o serviço de configuração do sistema operacional do AMS descobre que as políticas necessárias do IAM estão ausentes. Ele permite que suas EC2 instâncias da Amazon interajam com AWS Systems Manager a Amazon CloudWatch e EventBridge os serviços da Amazon. Ele também anexou a política gerenciada personalizada do AMS para permitir o acesso RDP às suas instâncias do Windows. |
mc-patch-glue-service-função |
Assumido pelo fluxo de trabalho AWS Glue ETL para realizar a transformação de dados e prepará-los para o gerador de relatórios AMS Patch. |
| Usado por (entidade): Serviço AMS | |
ams-alarm-manager- AWSManaged ServicesAlarmManagerDe - <8-digit hash> |
Assumido pela infraestrutura do gerenciador de alarmes do AMS em sua conta AMS para realizar a Regras do AWS Config avaliação de uma nova AWS AppConfig implantação. |
ams-alarm-manager- AWSManaged ServicesAlarmManagerRe - <8-digit hash> |
Assumido pela infraestrutura de remediação do gerenciador de alarmes do AMS em sua conta AMS para permitir a criação ou exclusão de alarmes para remediação. |
ams-alarm-manager- AWSManaged ServicesAlarmManager SS- <8-digit hash> |
Presumido por AWS Systems Manager invocar o serviço de remediação do gerenciador de alarmes do AMS em sua conta do AMS. |
ams-alarm-manager- AWSManaged ServicesAlarmManagerTr - <8-digit hash> |
Assumido pela infraestrutura do gerenciador de alarmes do AMS em sua AWS conta para realizar uma Regras do AWS Config avaliação periódica do AMS. |
ams-alarm-manager- AWSManaged ServicesAlarmManagerVa - <8-digit hash> |
Assumido pela infraestrutura do gerenciador de alarmes do AMS em sua conta AMS para garantir que os alarmes necessários existam na AWS conta. |
ams-backup-iam-role |
Essa função é usada para ser executada AWS Backup em suas contas. |
monitoramento de ams- - AWSManaged ServicesLogGroupLimitLamb <8-digit hash> |
Assumido pela infraestrutura de registro e monitoramento do AMS em sua conta do AMS para avaliar o limite de grupos do Amazon CloudWatch Logs e comparar com as cotas de serviço. |
ams-monitoring- AWSManaged Serviços RDSMonitoring RDSE- <8-digit hash> |
Assumido pela infraestrutura de registro e monitoramento do AMS em sua conta do AMS para encaminhar eventos do Amazon RDS para o Amazon CloudWatch Events. |
monitoramento de ams- - AWSManaged ServicesRedshiftMonitorin <8-digit hash> |
Assumido pela infraestrutura de registro e monitoramento do AMS em sua conta do AMS para encaminhar eventos do Amazon Redshift (CreateCluster e DeleteCuster) para o Amazon CloudWatch Events. |
ams-monitoring-infrastruc- AWSManaged ServicesMonito - <8-digit hash> |
Presume-se que a infraestrutura de registro e monitoramento do AMS em sua conta do AMS publique mensagens no Amazon Simple Notification Service para validar se a conta está relatando todos os dados necessários. |
ams-opscenter-role |
Assumido pelo sistema de gerenciamento de notificações do AMS em sua conta AMS para gerenciar alertas AWS Systems Manager OpsItems relacionados a alertas em sua conta. |
ams-opsitem-autoexecution-role |
Assumido pelo sistema de gerenciamento de notificações da AMS para lidar com a remediação automatizada usando documentos SSM para monitorar alertas relacionados aos recursos em sua conta. |
ams-patch-infrastructure-amspatchconfigruleroleC1- <8-digit hash> |
Presumido por AWS Config avaliar os recursos de patch do AMS e detectar desvios em suas AWS CloudFormation pilhas. |
ams-patch-infrastructure-amspatchcwruleopsitemams- <8-digit hash> |
Assumido pela Amazon EventBridge AWS Systems Manager OpsItems para criar falhas de correção. |
ams-patch-infrastructure-amspatchservicebusamspat- <8-digit hash> |
Presume-se EventBridge que a Amazon envie um evento ao barramento de eventos do AMS Patch Orchestrator para notificações de alteração de estado do AWS Systems Manager Maintenance Windows. |
ams-patch-reporting-infra-amspatch reportingconfigr- <8-digit hash> |
Presumido por AWS Config avaliar os recursos de relatórios do AMS Patch e detectar desvios em suas AWS CloudFormation pilhas. |
ams-resource-tagger- AWSManaged ServicesResourceTagg - <8-digit hash> |
Assumido pela infraestrutura do AMS Resource Tagger em sua conta AMS para realizar uma Regras do AWS Config avaliação após a nova AWS AppConfig implantação. |
ams-resource-tagger- AWSManaged ServicesResourceTagg - <8-digit hash> |
Assumido pela infraestrutura do AMS Resource Tagger em sua conta AMS para validar a existência das AWS tags necessárias para os recursos gerenciados. |
ams-resource-tagger- AWSManaged ServicesResourceTagg - <8-digit hash> |
Presumido por AWS Systems Manager para invocar o fluxo de trabalho de remediação do AMS Resource Tagger em sua conta AMS. |
ams-resource-tagger- AWSManaged ServicesResourceTagg - <8-digit hash> |
Assumido pela infraestrutura de remediação do AMS Resource Tagger em sua conta AMS para criar ou excluir AWS tags para os recursos gerenciados. |
ams-resource-tagger- AWSManaged ServicesResourceTagg - <8-digit hash> |
Assumido pela infraestrutura do AMS Resource Tagger em sua AWS conta para realizar uma avaliação periódica do AMS Config Rule. |
ams_os_configuration_event_rule_role- <AWS Region> |
Presume-se EventBridge que a Amazon encaminhe eventos de sua conta para o serviço de configuração do AMS OS EventBus na região correta. |
mc-patch-reporting-service |
Assumido pelo agregador de dados de patch e gerador de relatórios do AMS. |
nota
Esse é o modelo para a ams-access-management função. É a pilha que os arquitetos de nuvem (CAs) implantam manualmente em sua conta na integração: management-role.yaml.
Esse é o modelo para as diferentes funções e níveis de acesso: ams-access-read-only,, ams-access-operations ams-access-admin-operations, ams-access-admin: accelerate-roles.yaml
Os serviços de recursos do AMS Accelerate assumem a ams-access-adminfunção de acesso programático à conta, mas com uma política de sessão definida para o respectivo serviço de recursos (por exemplo, patch, backup, monitoramento e assim por diante).
O AMS Accelerate segue as melhores práticas do setor para atender e manter a elegibilidade de conformidade. O acesso do AMS Accelerate à sua conta é registrado CloudTrail e também está disponível para sua análise por meio do rastreamento de alterações. Para obter informações sobre consultas que você pode usar para obter essas informações, consulteRastreando alterações em suas contas do AMS Accelerate.
Gerenciar o acesso usando políticas
Várias equipes de suporte do AMS Accelerate, como engenheiros de operações, arquitetos de nuvem e gerentes de prestação de serviços em nuvem (CSDMs), às vezes exigem acesso às suas contas para responder a solicitações e incidentes de serviço. Seu acesso é controlado por um serviço de acesso interno do AMS que impõe controles, como justificativa comercial, solicitações de serviço, itens operacionais e casos de suporte. O acesso padrão é somente leitura e todo o acesso é rastreado e registrado; consulte também. Rastreando alterações em suas contas do AMS Accelerate
Validação de recursos do IAM
O sistema de acesso do AMS Accelerate assume periodicamente funções em suas contas (pelo menos a cada 24 horas) e valida se todos os nossos recursos do IAM estão conforme o esperado.
Para proteger suas contas, o AMS Accelerate tem um “canário” que monitora e alerta sobre a presença e o status das funções do IAM, bem como suas políticas anexas, mencionadas acima. Periodicamente, o canário assume a ams-access-read-onlyfunção e inicia CloudFormation chamadas de API do IAM em suas contas. O canário avalia o status das funções de acesso do AMS Accelerate para garantir que elas estejam sempre inalteradas e. up-to-date Essa atividade cria CloudTrail registros na conta.
O nome da sessão AWS Security Token Service (AWS STS) do canário é AMS-Access-Roles-Auditor- {uuid4 ()}, conforme visto em, e as seguintes chamadas de API ocorrem: CloudTrail
Chamadas da API Cloud Formation:
describe_stacks()Chamadas de API do IAM:
get_role()list_attached_role_policies()list_role_policies()get_policy()get_policy_version()get_role_policy()
