Usando funções vinculadas a serviços para o AMS Accelerate - Guia do usuário do AMS Accelerate
Kit de ferramentas de implantação SLRDetective controla SLRSLR de EventBridge regras da AmazonPolítica de contatos gerenciadosRegiões suportadas para SLRsAtualizações para SLRs

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando funções vinculadas a serviços para o AMS Accelerate

O AMS Accelerate usa AWS Identity and Access Management funções vinculadas a serviços (IAM). Uma função vinculada ao serviço (SLR) é um tipo exclusivo de função do IAM vinculada diretamente ao AMS Accelerate. As funções vinculadas ao serviço são predefinidas pelo AMS Accelerate e incluem todas as permissões que o serviço exige para ligar para outros AWS serviços em seu nome.

Uma função vinculada ao serviço facilita a configuração do AMS Accelerate porque você não precisa adicionar manualmente as permissões necessárias. O AMS Accelerate define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, somente o AMS Accelerate pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte AWS Serviços que funcionam com IAM e procure os serviços que têm Sim na coluna Funções vinculadas ao serviço. Escolha um Sim com um link para visualizar a documentação do perfil vinculado para esse serviço.

Função vinculada ao serviço do kit de ferramentas de implantação para o AMS Accelerate

O AMS Accelerate usa a função vinculada ao serviço (SLR) chamada AWSServiceRoleForAWSManagedServicesDeploymentToolkit— essa função implanta a infraestrutura do AMS Accelerate nas contas dos clientes.

nota

Esta política foi atualizada recentemente; para obter detalhes, consulteAcelere as atualizações de funções vinculadas a serviços.

Kit de ferramentas de implantação do AMS Accelerate SLR

A função AWSService RoleFor AWSManaged ServicesDeploymentToolkit vinculada ao serviço confia nos seguintes serviços para assumir a função:

  • deploymenttoolkit.managedservices.amazonaws.com

A política nomeada AWSManagedServicesDeploymentToolkitPolicypermite que o AMS Accelerate execute ações nos seguintes recursos:

  • arn:aws*:s3:::ams-cdktoolkit*

  • arn:aws*:cloudformation:*:*:stack/ams-cdk-toolkit*

  • arn:aws:ecr:*:*:repository/ams-cdktoolkit*

Essa SLR concede ao Amazon S3 permissões para criar e gerenciar o bucket de implantação usado pelo AMS para carregar recursos, CloudFormation como modelos ou pacotes de ativos Lambda, na conta para implantações de componentes. Essa SLR concede CloudFormation permissões para implantar a CloudFormation pilha que define os buckets de implantação. Para obter detalhes ou fazer o download da política, consulte AWSManagedServices_DeploymentToolkitPolicy.

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para ter mais informações, consulte Permissões de função vinculada a serviços no Guia do usuário do IAM.

Criação de um kit de ferramentas de implantação SLR para o AMS Accelerate

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você se integra ao AMS na AWS Management Console, na ou na AWS API AWS CLI, o AMS Accelerate cria a função vinculada ao serviço para você.

Importante

Essa função vinculada ao serviço pode aparecer em sua conta se você estava usando o serviço AMS Accelerate antes de 09 de junho de 2022, quando ele começou a oferecer suporte a funções vinculadas ao serviço. Depois, o AMS Accelerate criou a AWSService RoleFor AWSManaged ServicesDeploymentToolkit função em sua conta. Para saber mais, consulte Uma nova função apareceu na minha conta do IAM.

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você se integra ao AMS, o AMS Accelerate cria a função vinculada ao serviço para você novamente.

Editando um kit de ferramentas de implantação SLR para AMS Accelerate

O AMS Accelerate não permite que você edite a função AWSService RoleFor AWSManaged ServicesDeploymentToolkit vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.

Excluindo um kit de ferramentas de implantação SLR para AMS Accelerate

Você não precisa excluir manualmente a AWSService RoleFor AWSManaged ServicesDeploymentToolkit função. Quando você desconecta do AMS na AWS Management Console, na ou na AWS API AWS CLI, o AMS Accelerate limpa os recursos e exclui a função vinculada ao serviço para você.

Você também pode usar o console do IAM AWS CLI ou a AWS API para excluir manualmente a função vinculada ao serviço. Para isso, primeiro você deve limpar manualmente os recursos de sua função vinculada ao serviço e depois excluí-la manualmente.

nota

Se o serviço AMS Accelerate estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para excluir os recursos do AMS Accelerate usados pela função vinculada ao AWSService RoleFor AWSManaged ServicesDeploymentToolkit serviço

Exclua a ams-cdk-toolkit pilha de todas as regiões às quais sua conta foi integrada no AMS (talvez seja necessário esvaziar manualmente os buckets do S3 primeiro).

Como excluir manualmente o perfil vinculado ao serviço usando o IAM

Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSService RoleFor AWSManaged ServicesDeploymentToolkit vinculada ao serviço. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.

Detective controla a função vinculada ao serviço do AMS Accelerate

O AMS Accelerate usa a função vinculada ao serviço (SLR) chamada AWSServiceRoleForManagedServices_DetectiveControlsConfig— O AWS Managed Services usa essa função vinculada ao serviço para implantar gravador de configuração, regras de configuração e controles de detetive de bucket do S3.

A seguinte política gerenciada está AWSServiceRoleForManagedServices_DetectiveControlsConfiganexada à função vinculada ao serviço: AWSManagedServices_DetectiveControlsConfig _. ServiceRolePolicy Para obter atualizações dessa política, consulte Acelere as atualizações das políticas AWS gerenciadas.

Permissões para controles de detetive SLR para AMS Accelerate

A função AWSServiceRoleForManagedServices_DetectiveControlsConfig vinculada ao serviço confia nos seguintes serviços para assumir a função:

  • detectivecontrols.managedservices.amazonaws.com

Anexada a essa função está a política AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy AWS gerenciada (consulte AWS política gerenciada: AWSManagedServices_DetectiveControlsConfig _ ServiceRolePolicy O serviço usa a função para criar a configuração do AMS Detective Controls em sua conta), o que requer a implantação de recursos como buckets s3, regras de configuração e um agregador. Você deve configurar permissões para permitir que uma entidade do IAM (como um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consulte Permissões de função vinculadas ao serviço no Guia do usuário do AWS Identity and Access Management.

Criando uma SLR de controle de detetive para o AMS Accelerate

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você se integra ao AMS na AWS Management Console, na ou na AWS API AWS CLI, o AMS Accelerate cria a função vinculada ao serviço para você.

Importante

Essa função vinculada ao serviço pode aparecer em sua conta se você estava usando o serviço AMS Accelerate antes de 09 de junho de 2022, quando ele começou a oferecer suporte a funções vinculadas ao serviço e, em seguida, o AMS Accelerate criou a AWSServiceRoleForManagedServices_DetectiveControlsConfig função em sua conta. Para saber mais, consulte Uma nova função apareceu na minha conta do IAM.

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você se integra ao AMS, o AMS Accelerate cria a função vinculada ao serviço para você novamente.

Editando uma SLR de controles de detetive para AMS Accelerate

O AMS Accelerate não permite que você edite a função AWSServiceRoleForManagedServices_DetectiveControlsConfig vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Excluindo uma SLR de controles de detetive para AMS Accelerate

Você não precisa excluir manualmente a AWSServiceRoleForManagedServices_DetectiveControlsConfig função. Quando você desconecta do AMS na AWS Management Console, na ou na AWS API AWS CLI, o AMS Accelerate limpa os recursos e exclui a função vinculada ao serviço para você.

Você também pode usar o console do IAM AWS CLI ou a AWS API para excluir manualmente a função vinculada ao serviço. Para isso, primeiro você deve limpar manualmente os recursos de sua função vinculada ao serviço e depois excluí-la manualmente.

nota

Se o serviço AMS Accelerate estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para excluir os recursos do AMS Accelerate usados pela função vinculada ao AWSServiceRoleForManagedServices_DetectiveControlsConfig serviço

ams-detective-controls-config-recorderExclua ams-detective-controls-config-rules-cdk e ams-detective-controls-infrastructure-cdk acumule pilhas de todas as regiões às quais sua conta foi integrada no AMS (talvez seja necessário esvaziar manualmente os buckets do S3 primeiro).

Como excluir manualmente o perfil vinculado ao serviço usando o IAM

Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSServiceRoleForManagedServices_DetectiveControlsConfig vinculada ao serviço. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Função vinculada ao serviço de EventBridge regras da Amazon para o AMS Accelerate

O AMS Accelerate usa a função vinculada ao serviço (SLR) chamada. AWSServiceRoleForManagedServices_Events Essa função confia em um dos diretores de serviços do AWS Managed Services (events.managedservices.amazonaws.com) para assumir a função para você. O serviço usa a função para criar a regra EventBridge gerenciada pela Amazon. Essa regra é a infraestrutura necessária em sua conta da AWS para entregar informações de alteração do estado de alarme da sua conta para o AWS Managed Services.

Permissões para EventBridge SLR for AMS Accelerate

A função AWSServiceRoleForManagedServices_Events vinculada ao serviço confia nos seguintes serviços para assumir a função:

  • events.managedservices.amazonaws.com

A política AWSManagedServices_EventsServiceRolePolicy AWS gerenciada está anexada a essa função (consulteAWS política gerenciada: AWSManagedServices_EventsServiceRolePolicy). O serviço usa a função para fornecer informações de alteração do estado do alarme da sua conta para o AMS. Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte Permissões da função vinculada ao serviço no Guia do usuário do AWS Identity and Access Management .

Você pode baixar o JSON AWSManagedServices_EventsServiceRolePolicy neste ZIP: EventsServiceRolePolicy.zip.

Criação de uma EventBridge SLR para o AMS Accelerate

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você se integra ao AMS na AWS Management Console, na ou na AWS API AWS CLI, o AMS Accelerate cria a função vinculada ao serviço para você.

Importante

Essa função vinculada ao serviço pode aparecer em sua conta se você estava usando o serviço AMS Accelerate antes de 7 de fevereiro de 2023, quando começou a oferecer suporte a funções vinculadas ao serviço e, em seguida, o AMS Accelerate criou a AWSServiceRoleForManagedServices_Events função em sua conta. Para saber mais, consulte Uma nova função apareceu na minha conta do IAM.

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você se integra ao AMS, o AMS Accelerate cria a função vinculada ao serviço para você novamente.

Editando uma EventBridge SLR para o AMS Accelerate

O AMS Accelerate não permite que você edite a função AWSServiceRoleForManagedServices_Events vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.

Excluindo uma EventBridge SLR para o AMS Accelerate

Você não precisa excluir manualmente a AWSServiceRoleForManagedServices_Events função. Quando você desconecta do AMS na AWS Management Console, na ou na AWS API AWS CLI, o AMS Accelerate limpa os recursos e exclui a função vinculada ao serviço para você.

Você também pode usar o console do IAM AWS CLI ou a AWS API para excluir manualmente a função vinculada ao serviço. Para isso, primeiro você deve limpar manualmente os recursos de sua função vinculada ao serviço e depois excluí-la manualmente.

nota

Se o serviço AMS Accelerate estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para excluir os recursos do AMS Accelerate usados pela função vinculada ao AWSServiceRoleForManagedServices_Events serviço

Como excluir manualmente o perfil vinculado ao serviço usando o IAM

Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSServiceRoleForManagedServices_Events vinculada ao serviço. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Função vinculada ao serviço de contatos do AMS Accelerate

O AMS Accelerate usa a função vinculada ao serviço (SLR) chamada AWSServiceRoleForManagedServices_Contacts— Essa função facilita as notificações automatizadas quando ocorrem incidentes, permitindo que o serviço leia as tags existentes do recurso afetado e recupere o e-mail configurado do ponto de contato apropriado.

Esse é o único serviço que usa essa função vinculada ao serviço.

Anexada à função AWSServiceRoleForManagedServices_Contactsvinculada ao serviço está a seguinte política gerenciada:. AWSManagedServices_ContactsServiceRolePolicy Para obter atualizações dessa política, consulte Acelere as atualizações das políticas AWS gerenciadas.

Permissões para contatos SLR para AMS Accelerate

A função AWSServiceRoleForManagedServices_Contacts vinculada ao serviço confia nos seguintes serviços para assumir a função:

  • contacts-service.managedservices.amazonaws.com

Anexada a essa função está a política gerenciada da AWSManagedServices_ContactsServiceRolePolicy AWS (consulteAWS política gerenciada: AWSManagedServices_ContactsServiceRolePolicy). O serviço usa a função para ler as tags em qualquer AWS recurso e encontrar o e-mail contido na tag, do ponto de contato apropriado para quando ocorrerem incidentes. Essa função facilita as notificações automatizadas quando ocorrem incidentes, permitindo que o AMS leia essa tag em um recurso afetado e recupere o e-mail. Para obter mais informações, consulte Permissões de função vinculadas ao serviço no Guia do usuário do AWS Identity and Access Management.

Importante

Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sigilosas em tags. O AMS usa tags para fornecer serviços administrativos. As tags não devem ser usadas para dados privados ou confidenciais.

A política de permissões de função nomeada AWSManagedServices_ContactsServiceRolePolicy permite que o AMS Accelerate conclua as seguintes ações nos recursos especificados:

  • Ação: permite que o Serviço de Contatos leia as tags especificamente configuradas para conter o e-mail para que o AMS envie notificações de incidentes em qualquer recurso da AWS.

Você pode baixar o JSON AWSManagedServices_ContactsServiceRolePolicy neste ZIP: ContactsServicePolicy.zip.

Criando uma SLR de contatos para o AMS Accelerate

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você se integra ao AMS na AWS Management Console, na ou na AWS API AWS CLI, o AMS Accelerate cria a função vinculada ao serviço para você.

Importante

Essa função vinculada ao serviço pode aparecer em sua conta se você estava usando o serviço AMS Accelerate antes de 16 de fevereiro de 2023, quando começou a oferecer suporte a funções vinculadas ao serviço e, em seguida, o AMS Accelerate criou a AWSServiceRoleForManagedServices_Contacts função em sua conta. Para saber mais, consulte Uma nova função apareceu na minha conta do IAM.

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você se integra ao AMS, o AMS Accelerate cria a função vinculada ao serviço para você novamente.

Editando uma SLR de contatos para o AMS Accelerate

O AMS Accelerate não permite que você edite a função AWSServiceRoleForManagedServices_Contacts vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.

Excluindo uma SLR de contatos para o AMS Accelerate

Você não precisa excluir manualmente a AWSServiceRoleForManagedServices_Contacts função. Quando você desconecta do AMS na AWS Management Console, na ou na AWS API AWS CLI, o AMS Accelerate limpa os recursos e exclui a função vinculada ao serviço para você.

Você também pode usar o console do IAM AWS CLI ou a AWS API para excluir manualmente a função vinculada ao serviço. Para isso, primeiro você deve limpar manualmente os recursos de sua função vinculada ao serviço e depois excluí-la manualmente.

nota

Se o serviço AMS Accelerate estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para excluir os recursos do AMS Accelerate usados pela função vinculada ao AWSServiceRoleForManagedServices_Contacts serviço

Como excluir manualmente o perfil vinculado ao serviço usando o IAM

Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSServiceRoleForManagedServices_Contacts vinculada ao serviço. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Regiões suportadas pelas funções vinculadas ao serviço do AMS Accelerate

O AMS Accelerate oferece suporte ao uso de funções vinculadas a serviços em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte Regiões e endpoints da AWS.

Acelere as atualizações de funções vinculadas a serviços

Veja detalhes sobre as atualizações das funções vinculadas ao serviço do Accelerate desde que esse serviço começou a monitorar essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na Histórico de documentos do Guia do usuário do AMS Accelerate página Accelerate.

Alteração Descrição Data

Política atualizada — Kit de ferramentas de implantação

  • Essas novas permissões foram adicionadas para o recursoarn:aws:ecr:*:*:repository/ams-cdktoolkit*:

    ecr:BatchGetRepositoryScanningConfiguration
ecr:PutImageScanningConfiguration
 4 de abril de 2024

Política atualizada — Kit de ferramentas de implantação

  • Essas novas permissões foram adicionadas para o recursoarn:aws:cloudformation:*:*:stack/ams-cdk-toolkit*:

    cloudformation:DeleteChangeSet
cloudformation:DescribeStackEvents
cloudformation:GetTemplate
cloudformation:TagResource
cloudformation:UntagResource

  • Essas novas permissões foram adicionadas para o recursoarn:aws:ecr:*:*:repository/ams-cdktoolkit*:

    ecr:CreateRepository
ecr:DeleteLifecyclePolicy
ecr:DeleteRepository
ecr:DeleteRepositoryPolicy
ecr:DescribeRepositories
ecr:GetLifecyclePolicy
ecr:ListTagsForResource
ecr:PutImageTagMutability
ecr:PutLifecyclePolicy
ecr:SetRepositoryPolicy
ecr:TagResource
ecr:UntagResource

  • Além disso, algumas ações existentes com caracteres curinga foram reduzidas a ações individuais:

    - s3:DeleteObject*
+ s3:DeleteObject
+ s3:DeleteObjectTagging
+ s3:DeleteObjectVersion
+ s3:DeleteObjectVersionTagging

- s3:GetObject*
+ s3:GetObject
+ s3:GetObjectAcl
+ s3:GetObjectAttributes
+ s3:GetObjectLegalHold
+ s3:GetObjectRetention
+ s3:GetObjectTagging
+ s3:GetObjectVersion
+ s3:GetObjectVersionAcl
+ s3:GetObjectVersionAttributes
+ s3:GetObjectVersionForReplication
+ s3:GetObjectVersionTagging
+ s3:GetObjectVersionTorrent

- cloudformation:UpdateTermination*
+ cloudformation:UpdateTerminationProtection
 09 de maio de 2023

Política atualizada — Detective Controls

  • As CloudFormation ações foram ampliadas ainda mais após a confirmação com a equipe de segurança e acesso

  • As ações do Lambda foram removidas da política porque não afetam o embarque onboarding/off

10 de abril de 2023

Política atualizada — Detective Controls

Atualizou a política e adicionou a política de limite de permissões.

 21 de março de 2023

Nova função vinculada ao serviço — Contacts SLR

O Accelerate adicionou uma nova função vinculada ao serviço de Contatos.

Essa função facilita as notificações automatizadas quando ocorrem incidentes, permitindo que o serviço leia as tags existentes do recurso afetado e recupere o e-mail configurado do ponto de contato apropriado.

 16 de fevereiro de 2023

Nova função vinculada ao serviço — EventBridge

O Accelerate adicionou uma nova função vinculada a serviços para uma regra da Amazon EventBridge .

Essa função confia em um dos diretores de serviços do AWS Managed Services (events.managedservices.amazonaws.com) para assumir a função para você. O serviço usa a função para criar a regra EventBridge gerenciada pela Amazon. Essa regra é a infraestrutura necessária em sua conta da AWS para entregar informações de alteração do estado de alarme da sua conta para o AWS Managed Services.

 7 de fevereiro de 2023

Função vinculada ao serviço atualizada — Kit de ferramentas de implantação

Acelere a atualização AWSService RoleFor AWSManaged ServicesDeploymentToolkit com as novas permissões do S3.

Essas novas permissões foram adicionadas:

"s3:GetLifecycleConfiguration",
"s3:GetBucketLogging",
"s3:ListBucket",
"s3:GetBucketVersioning",
"s3:PutLifecycleConfiguration",
"s3:GetBucketLocation",
"s3:GetObject*"
 30 de janeiro de 2023

Acelere o início do rastreamento de alterações

A Accelerate começou a monitorar as mudanças em suas funções vinculadas a serviços.

 30 de novembro de 2022

Nova função vinculada a serviços — Detective Controls

O Accelerate adicionou uma nova função vinculada ao serviço para implantar os controles de detetive do Accelerate.

O AWS Managed Services usa essa função vinculada ao serviço para implantar gravador de configuração, regras de configuração e controles de detetive de bucket do S3.

 13 de outubro de 2022

Nova função vinculada ao serviço — Kit de ferramentas de implantação

O Accelerate adicionou uma nova função vinculada a serviços para implantar a infraestrutura do Accelerate.

essa função implanta a infraestrutura do AMS Accelerate nas contas dos clientes.

 9 de junho de 2022