As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Por que e quando o AMS acessa sua conta
O AWS Managed Services (AMS) gerencia sua infraestrutura da AWS e, às vezes, por motivos específicos, operadores e administradores do AMS acessam sua conta. Esses eventos de acesso estão documentados em seus registros AWS CloudTrail (CloudTrail).
Por que, quando e como o AMS acessa sua conta são explicados nos tópicos a seguir.
Acionadores de acesso à conta do cliente do AMS
A atividade de acesso à conta do cliente do AMS é impulsionada por gatilhos. Os gatilhos atuais são os AWS tickets criados em nosso sistema de gerenciamento de problemas em resposta aos alarmes e eventos da Amazon CloudWatch (CloudWatch) e aos relatórios de incidentes ou solicitações de serviço que você envia. Várias chamadas de serviço e atividades em nível de host podem ser realizadas para cada acesso.
A justificativa do acesso, os acionadores e o iniciador do gatilho estão listados na tabela a seguir.
| Acesso | Iniciador | Trigger |
|---|---|---|
Aplicação de patches |
AMS |
Problema de patch |
Implantações de infraestrutura |
AMS |
Problema de implantação |
Investigação interna de problemas |
AMS |
Problema (um problema que foi identificado como sistêmico) |
Investigação e remediação de alertas |
AMS |
Itens de trabalho operacionais (SSM OpsItems) do AWS Systems Manager |
Execução manual de RFC |
Você |
Problema de solicitação de mudança (RFC). (O não automatizado RFCs pode exigir acesso do AMS aos seus recursos) |
Investigação e remediação de incidentes |
Você |
Caso de suporte de entrada (um incidente ou solicitação de serviço que você envia) |
Atendimento da solicitação de serviço de entrada |
Você |
Funções do IAM para acesso à conta do cliente do AMS
Quando acionado, o AMS acessa contas de clientes usando funções AWS Identity and Access Management (IAM). Como todas as atividades em sua conta, as funções e seu uso estão logados CloudTrail.
Importante
Não modifique nem exclua essas funções.
| Função | Tipo de conta (SALZ, MALZ Management, MALZ Application, etc.) | Descrição |
|---|---|---|
ams-service-admin |
SAL, MALZ |
Acesso automatizado ao serviço AMS e implantações automatizadas de infraestrutura, por exemplo, patch, backup, remediação automatizada. |
ams-application-infra-read-somente |
SALZ, aplicativo MALZ, aplicativo de ferramentas MALZ |
Acesso somente para leitura do operador |
ams-application-infra-operations |
Acesso do operador para incidents/service solicitações | |
ams-application-infra-admin |
Acesso de administrador do AD | |
ams-primary-read-only |
Gestão do MALZ |
Acesso somente para leitura do operador |
ams-primary-operations |
Acesso do operador para incidents/service solicitações | |
ams-primary-admin |
Acesso de administrador do AD | |
ams-logging-read-only |
Registro em MALZ |
Acesso somente para leitura do operador |
ams-logging-operations |
Acesso do operador para incidents/service solicitações | |
ams-logging-admin |
Acesso de administrador do AD | |
ams-networking-read-only |
Rede MALZ |
Acesso somente para leitura do operador |
ams-networking-operations |
Acesso do operador para incidents/service solicitações | |
ams-networking-admin |
Acesso de administrador do AD | |
ams-shared-services-read-somente |
Serviços compartilhados MALZ |
Acesso somente para leitura do operador |
ams-shared-services-operations |
Acesso do operador para incidents/service solicitações | |
ams-shared-services-admin |
Acesso de administrador do AD | |
ams-security-read-only |
Segurança MALZ |
Acesso somente para leitura do operador |
ams-security-operations |
Acesso do operador para incidents/service solicitações | |
ams-security-admin |
Acesso de administrador do AD | |
ams-access-security-analyst |
SALZ, aplicativo MALZ, aplicativo de ferramentas MALZ, MALZ Core |
Acesso de segurança do AMS |
ams-access-security-analyst-somente leitura |
Segurança do AMS, acesso somente para leitura | |
Sentinel_ _Role_ 0 MBhe AdminUser PXHaz RQadu PVc CDc |
SAL |
[BreakGlassRole] Usado para quebrar o vidro nas contas dos clientes |
Sentinel_ _Role_ S0 0 PowerUser wZuPu ROOl IazDb RI9 |
SAL, MALZ |
Acesso de usuários avançados às contas de clientes para execução de RFC |
Sentinel_ ReadOnlyUser _role_PD4L6RW9RD0LNLKD5 JOo |
ReadOnly acesso às contas de clientes para execução de RFC | |
função ams_admin_ |
Acesso de administrador às contas de clientes para execução de RFC | |
AWSManagedServices_Provisioning_CustomerStacksRole |
Usado para lançar e atualizar pilhas de CFN em nome dos clientes por meio do Ingest CloudFormation | |
função_ssm_automation_customer_ssm_ |
Função passada pelas execuções de CT para a SSM Automation para execução do runbook | |
função ams_ssm_automation_role |
SALZ, aplicativo MALZ, MALZ Core |
Função passada pelos serviços AMS para a SSM Automation para execução do runbook |
ams_ssm_iam_deployment_role |
Aplicação MALZ |
Função usada pelo catálogo do IAM |
ams_ssm_shared_svcs_intermediary_role |
Serviços compartilhados MALZ |
Função usada pelo aplicativo ams_ssm_automation_role para executar documentos SSM específicos na conta do Shared Services |
AmsOpsCenterRole |
SAL, MALZ |
Usado para criar e atualizar OpsItems contas de clientes |
AMSOpsItemAutoExecutionRole |
Usado para obter documentos SSM, descrever tags de recursos OpsItems, atualizar e iniciar a automação | |
customer-mc-ecPerfil de 2 instâncias |
Perfil padrão da EC2 instância do cliente (função) |
Solicitando acesso à instância
Para acessar um recurso, você deve primeiro enviar uma solicitação de alteração (RFC) para esse acesso. Há dois tipos de acesso que você pode solicitar: administrador (permissões de leitura/gravação) e somente leitura (acesso de usuário padrão). O acesso dura oito horas, por padrão. Essas informações são obrigatórias:
ID da pilha, ou conjunto de pilha IDs, da instância ou instâncias que você deseja acessar.
O nome de domínio totalmente qualificado do seu domínio confiável da AMS.
O nome de usuário do Active Directory da pessoa que deseja acessar.
O ID da VPC onde estão as pilhas às quais você deseja acessar.
Depois de receber o acesso, você pode atualizar a solicitação conforme necessário.
Para ver exemplos de como solicitar acesso, consulte Stack Admin Access | Grant ou Stack Read-only Access | Grant.
