As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Verificação automatizada do limite de permissão do AMS Automated IAM Provisioning
As verificações de limites de permissão do AMS ajudam você a aderir à política de limite de permissão padrão fornecida pelo AMS. Essa política é uma lista de ações negadas pelo AMS Automated IAM Provisioning. As políticas de provisionamento que contêm essas ações restritas exigem aceitação explícita adicional do risco. Faça o download da política aqui: boundary-policy.zip.
Use verificações de política de limite de permissão definidas pelo cliente para personalizar ações de negação além dos padrões da política de limite de permissão do AMS. Ao integrar o aprovisionamento automatizado de IAM do AMS usando o seguinte tipo de alteração: Gerenciamento | Conta gerenciada | Provisionamento automatizado do IAM do AMS com permissões de leitura e gravação | Ativar (revisão necessária) (ct-1706xvvk6j9hf), você pode incluir uma lista de ações de negação personalizadas que especificam ações restritas adicionais.
Você pode atualizar a lista de ações de negação usando o tipo de alteração: Gerenciamento | Conta gerenciada | Provisionamento automatizado de IAM com permissões de leitura e gravação | Atualizar lista de negação personalizada (ct-2r9xvd3sdsic0). Você deve usar a função dedicada do IAM AWSManagedServicesIAMProvisionAdminRole para executar esse tipo de alteração.
nota
Você deve fornecer uma lista abrangente de ações de negação para cada atualização. A lista anterior é substituída pela nova lista.
A lista de ações de negação deve conter somente ações a serem negadas. Não há suporte para ações de permissão.
A lista de ações de negação reside na conta como uma política gerenciada do IAM chamada
AWSManagedServicesIAMProvisionCustomerBoundaryPolicy. A política não deve ser vinculada a nenhuma função.O termo limite de permissão usado para denotar ações negadas no AMS Automated IAM Provisioning tem um significado contextual diferente em comparação com o limite de permissão do IAM. O limite de permissão do IAM define a permissão máxima que uma política pode conceder em tempo de execução a uma entidade do IAM. Para obter mais informações sobre o limite de permissão do IAM, consulte Tipos de política no Guia do AWS Identity and Access Management usuário. O limite de permissão no AMS Automated IAM Provisioning impede que você provisione uma política do IAM que contenha um determinado conjunto de permissões, por exemplo, uma lista de ações negadas.
