Integração ao aprovisionamento automatizado de IAM do AMS no AMS - Guia do usuário avançado do AMS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Integração ao aprovisionamento automatizado de IAM do AMS no AMS

Para usar os novos tipos de alteração, primeiro ative o aprovisionamento automatizado do IAM pelo AMS enviando uma RFC usando o seguinte tipo de alteração: Gerenciamento | Conta gerenciada | Provisionamento automatizado do IAM com permissões de leitura e gravação | Ativar (revisão obrigatória) (ct-1706xvvk6j9hf). AWS exige que sua organização passe por um processo de gerenciamento de riscos de segurança do cliente (CSRM) para garantir que o uso desses tipos de mudança esteja alinhado com suas políticas organizacionais. A equipe de AWS operações trabalha com você para obter aprovação explícita do contato da equipe de segurança na forma de aceitação de riscos como parte da revisão necessária. Para saber mais, consulte o processo de gerenciamento de risco do cliente (CSRM) da RFC.

Depois que a RFC para ativar o recurso de provisionamento automatizado de IAM do AMS com permissões de leitura e gravação for bem-sucedida, o AMS habilita os tipos de alteração do provisionamento automatizado do IAM do AMS na conta usada para enviar a RFC habilitada. Para confirmar se uma conta tem o AMS Automated IAM Provisioning ativado, verifique a função no console do IAM. AWSManagedServicesIAMProvisionAdminRole

Como parte da integração, o AMS provisiona o IAM Access Analyzer na mesma região da AWS da conta para aproveitar seu recurso de visualização prévia de acesso. O IAM Access Analyzer ajuda a identificar recursos em sua organização e contas que são compartilhados com uma entidade externa, valida as políticas do IAM em relação à gramática e às melhores práticas e gera políticas do IAM com base na atividade de acesso em seus registros. AWS CloudTrail Para saber mais, consulte Usando AWS Identity and Access Management Access Analyzer.

Uma vez integrado, o AWSManagedServicesIAMProvisionAdminRole é implantado nas contas habilitadas. Se você optar por usar essa função por meio da federação SAML, deverá integrar a função à sua solução de federação.

Como parte da integração, você pode solicitar a atualização IAMProvision AdminRole da política de confiança AWSManaged dos Serviços para conceder outro ARN de função do IAM para assumir essa função usando. AWS Security Token Service