Detalhes da alteração de permissões do IAM - Guia do usuário do AMS Accelerate

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Detalhes da alteração de permissões do IAM

Cada instância gerenciada deve ter uma AWS Identity and Access Management função que inclua as seguintes políticas gerenciadas:

  • arn:aws:iam: :aws:policy/Amazon SSMManaged InstanceCore

  • arn:aws:iam: :aws:policy/ CloudWatchAgentServerPolicy

  • arn:aws:iam: :aws:policy/ AMSInstance ProfileBasePolicy

As duas primeiras são políticas AWS gerenciadas. A política gerenciada pela AMS é:

AMSInstanceProfileBasePolicy

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:UpdateSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:*:*:secret:/ams/byoa/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "kms:Encrypt"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

Se sua instância já tiver uma função do IAM anexada, mas não tiver nenhuma dessas políticas, o AMS adicionará as políticas ausentes à sua função do IAM. Se sua instância não tiver uma função do IAM, o AMS anexará a função do AMSOSConfigurationCustomerInstanceProfileIAM. A função AMSOSConfigurationCustomerInstanceProfiledo IAM tem todas as políticas exigidas pelo AMS Accelerate.

nota

Se o limite padrão do perfil de instância de 10 for atingido, o AMS aumentará o limite para 20, para que os perfis de instância necessários possam ser anexados.