Implantações automatizadas de IAM usando ingestão de CFN ou atualização de pilha no AMS CTs - Guia do desenvolvedor de aplicativos avançados do AMS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Implantações automatizadas de IAM usando ingestão de CFN ou atualização de pilha no AMS CTs

Você pode usar esses tipos de alteração do AMS para implantar funções do IAM (o AWS::IAM::Role recurso) na zona de pouso com várias contas (MALZ) e na zona de destino de conta única (SALZ):

  • Implantação | Ingestão | Pilha a partir do CloudFormation modelo | Criar (ct-36cn2avfrrj9v)

  • Gerenciamento | Pilha personalizada | Pilha a partir do CloudFormation modelo | Atualização (ct-361tlo1k7339x)

  • Gerenciamento | Pilha personalizada | Empilhar a partir do CloudFormation modelo | Aprovar e atualizar (ct-1404e21baa2ox)

Validações realizadas nas funções do IAM em seu modelo CFN:

  • ManagedPolicyArns: O atributo não ManagedPolicyArnsdeve existir emAWS::IAM::Role. A validação não permite anexar políticas gerenciadas à função que está sendo provisionada. Em vez disso, as permissões para a função podem ser gerenciadas usando a política embutida por meio das Políticas da propriedade.

  • PermissionsBoundary: A política usada para definir o limite de permissões para a função só pode ser a política gerenciada por vendedores do AMS:. AWSManagedServices_IAM_PermissionsBoundary Essa política atua como uma barreira que protege os recursos da infraestrutura do AMS de serem modificados usando a função que está sendo provisionada. Com esse limite de permissões padrão, os benefícios de segurança que o AMS oferece são preservados.

    O AWSManagedServices_IAM_PermissionsBoundary (o padrão) é obrigatório, sem ele, a solicitação é rejeitada.

  • MaxSessionDuration: a duração máxima da sessão que pode ser definida para a função do IAM é de 1 a 4 horas. O padrão técnico do AMS exige que o cliente aceite o risco para uma duração de sessão superior a 4 horas.

  • RoleName: os namespaces a seguir são preservados pelo AMS e não podem ser usados como prefixos de nome de função do IAM:

    AmazonSSMRole,
AMS,
Ams,
ams,
AWSManagedServices,
customer_developer_role,
customer-mc-,
Managed_Services,
MC,
Mc,
mc,
SENTINEL,
Sentinel,
sentinel,
StackSet-AMS,
StackSet-Ams,
StackSet-ams,
StackSet-AWS,
StackSet-MC,
StackSet-Mc,
StackSet-mc

  • Políticas: a política embutida na função do IAM só pode incluir um conjunto de ações do IAM que são pré-aprovadas pelo AMS. Esse é o limite superior de todas as ações do IAM permitidas para criar uma função do IAM com (política de controle). A política de controle consiste em:

    • Todas as ações na política AWS gerenciada ReadOnlyAccess que fornece acesso somente de leitura a todos os recursos Serviços da AWS

    • As ações a seguir, com a restrição de ações do S3 entre contas, ou seja, ações permitidas do S3, só podem ser executadas em recursos presentes na mesma conta da função que está sendo criada:

      amscm:*,
amsskms:*,
lambda:InvokeFunction,
logs:CreateLogStream,
logs:PutLogEvents,
s3:AbortMultipartUpload,
s3:DeleteObject,
s3:DeleteObjectVersion,
s3:ObjectOwnerOverrideToBucketOwner,
s3:PutObject,
s3:ReplicateTags,
secretsmanager:GetRandomPassword,
sns:Publish

      Qualquer função do IAM criada ou atualizada por meio do CFN ingest pode permitir ações listadas nessa política de controle ou ações com escopo inferior (menos permissivo) às ações listadas na política de controle. Atualmente, permitimos essas ações seguras do IAM que podem ser categorizadas como ações somente para leitura, além das ações não somente para leitura mencionadas acima, que não podem ser realizadas por meio do padrão técnico do AMS CTs e são pré-aprovadas de acordo com o padrão técnico do AMS.

  • AssumeRolePolicyDocument: as seguintes entidades são pré-aprovadas e podem ser incluídas na política de confiança para assumir a função que está sendo criada:

    • Qualquer entidade do IAM (função, usuário, usuário raiz, sessão de função assumida pelo STS) na mesma conta pode assumir a função.

    • O seguinte Serviços da AWS pode assumir a função:

      apigateway.amazonaws.com,
autoscaling.amazonaws.com,
cloudformation.amazonaws.com,
codebuild.amazonaws.com,
codedeploy.amazonaws.com,
codepipeline.amazonaws.com,
datapipeline.amazonaws.com,
datasync.amazonaws.com,
dax.amazonaws.com,
dms.amazonaws.com,
ec2.amazonaws.com,
ecs-tasks.amazonaws.com,
ecs.application-autoscaling.amazonaws.com,
elasticmapreduce.amazonaws.com,
es.amazonaws.com,
events.amazonaws.com,
firehose.amazonaws.com,
glue.amazonaws.com,
lambda.amazonaws.com,
monitoring.rds.amazonaws.com,
pinpoint.amazonaws.com,
rds.amazonaws.com,
redshift.amazonaws.com,
s3.amazonaws.com,
sagemaker.amazonaws.com,
servicecatalog.amazonaws.com,
sns.amazonaws.com,
ssm.amazonaws.com,
states.amazonaws.com,
storagegateway.amazonaws.com,
transfer.amazonaws.com,
vmie.amazonaws.com

    • O provedor de SAML na mesma conta pode assumir a função. Atualmente, o único nome de provedor SAML compatível écustomer-saml.

Se uma ou mais validações falharem, a RFC será rejeitada. Um exemplo de motivo de rejeição de RFC tem a seguinte aparência:

{"errorMessage":"[ 'LambdaRole: The maximum session duration (in seconds) should be a numeric value in the range 3600 to 14400 (i.e. 1 to 4 hours).', 'lambda-policy: Policy document is too permissive.']","errorType":"ClientError"}

Se você precisar de ajuda com uma falha na validação ou execução da RFC, use a correspondência da RFC para entrar em contato com o AMS. Para obter instruções, consulte Correspondência e anexo RFC (console). Para qualquer outra dúvida, envie uma solicitação de serviço. Para obter instruções, consulte Como criar uma solicitação de serviço.

nota

Atualmente, não aplicamos nenhuma das melhores práticas do IAM como parte de nossas validações do IAM. Para ver as melhores práticas do IAM, consulte Melhores práticas de segurança no IAM.

Criação de funções do IAM com ações mais permissivas ou aplicação das melhores práticas do IAM

Crie suas entidades do IAM com os seguintes tipos de alteração manual:

  • Implantação | Componentes avançados da pilha | Identity and Access Management (IAM) | Criar entidade ou política (ct-3dpd8mdd9jn1r)

  • Gerenciamento | Componentes avançados da pilha | Identity and Access Management (IAM) | Atualizar entidade ou política (ct-27tuth19k52b4)

Recomendamos que você leia e compreenda nossos padrões técnicos antes de preencher este manual RFCs. Para obter acesso, consulte Como acessar os padrões técnicos.

nota

Cada função do IAM criada diretamente com esses tipos de alteração manual pertence à sua própria pilha individual e não reside na mesma pilha em que os outros recursos de infraestrutura são criados por meio do CFN Ingest CT.

Atualização de funções do IAM criadas com a ingestão de CFN por meio de tipos de alteração manual quando as atualizações não podem ser feitas por meio de tipos de alteração automatizados

Use os componentes de pilha Management | Advanced Stack | Identity and Access Management (IAM) | Atualizar tipo de alteração de entidade ou política (ct-27tuth19k52b4).

Importante

As atualizações nas funções do IAM por meio da CT manual não são refletidas nos modelos de pilha do CFN e causam o desvio da pilha. Depois que a função é atualizada por meio de uma solicitação manual para um estado que não passa em nossas validações, ela não pode ser atualizada novamente usando o Stack Update CT (ct-361tlo1k7339x), desde que continue não em conformidade com nossas validações. A atualização CT só pode ser usada se o modelo de pilha CFN estiver em conformidade com nossas validações. No entanto, a pilha ainda pode ser atualizada por meio do Stack Update CT (ct-361tlo1k7339x), desde que o recurso do IAM que não esteja em conformidade com nossas validações não esteja sendo atualizado e o modelo CFN seja aprovado em nossas validações.

Excluindo suas funções do IAM criadas por meio AWS CloudFormation do ingest

Se você quiser excluir toda a pilha, use o seguinte tipo de alteração automática de Excluir pilha. Para obter instruções, consulte Delete Stack:

  • ID do tipo de alteração: ct-0q0bic0ywqk6c

  • Classificação: Gerenciamento | Pilhas padrão | Pilha | Excluir e gerenciar | Componentes avançados da pilha | Pilha | Excluir

Se quiser excluir uma função do IAM sem excluir toda a pilha, você pode remover a função do IAM do CloudFormation modelo e usar o modelo atualizado como entrada para o tipo de alteração automatizada da atualização da pilha:

  • ID do tipo de alteração: ct-361tlo1k7339x

  • Classificação: Gerenciamento | Pilha personalizada | Pilha a partir do CloudFormation modelo | Atualização

Para obter instruções, consulte Atualizar pilha AWS CloudFormation de ingestão.