As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usando o provisionamento automatizado de IAM do AMS no AMS
Você pode criar RFCs com os seguintes tipos de alteração do AMS Automated IAM Provisioning.
nota
-
Somente o provisionamento de funções e políticas é suportado.
Ao atualizar as funções, o Update CT substitui a lista existente de nomes de recursos da Amazon de políticas gerenciadas e o documento de política “assumir função” pela lista fornecida de política gerenciada ARNs e documento de política de “assumir função”. ARNs Em uma atualização parcial; por exemplo, adicionar ou remover um ARN na lista existente de políticas gerenciadas ARNs, não é permitido adicionar ou remover declarações de política individuais ao documento de política “assumir função”. Da mesma forma, ao atualizar as políticas, o Update CT substitui o documento de política existente e não permite adicionar ou remover declarações de políticas individuais no documento de política existente.
-
Quando a opção “somente validar” é selecionada, as verificações em tempo de execução são realizadas sem provisionar nenhuma entidade ou política do IAM. Independentemente de qualquer descoberta, o status da RFC é “sucesso”. O status “sucesso” indica uma validação bem-sucedida em relação à entidade ou política do IAM fornecida.
Implantação | Advanced Stack Components | Identity and Access Management (IAM) | Criar entidade ou política (permissões de leitura e gravação) (ct-1n9gfnog5x7fl): uma nova entidade ou política do IAM é validada e provisionada automaticamente.
Gerenciamento | Advanced Stack Components | Identity and Access Management (IAM) | Atualizar entidade ou política (permissões de leitura e gravação) (ct-1e0xmuy1diafq): uma entidade ou política existente do IAM é atualizada e validada automaticamente.
Gerenciamento | Advanced Stack Components | Identity and Access Management (IAM) | Excluir entidade ou política (permissões de leitura e gravação) (ct-17cj84y7632o6): uma entidade ou política do IAM existente que é provisionada usando a entidade de criação automática ou o tipo de alteração de política é excluída.
Você só pode chamar os três anteriores CTs usando uma função IAM dedicada:AWSManagedServicesIAMProvisionAdminRole. Essa função está disponível somente nas contas que foram integradas ao recurso usando Gerenciamento | Conta gerenciada | Permissões de leitura e gravação do AMS Automated IAM Provisioning | Ativar (revisão necessária) (ct-1706xvvk6j9hf).
Importante
Os tipos de alteração Criar, Atualizar e Excluir estão sempre visíveis em sua conta, mas não estão ativados por padrão. Se você tentar enviar uma RFC usando um desses tipos de alteração sem primeiro ativar o recurso de provisionamento automatizado do IAM do AMS, um erro “não autorizado” será exibido.
Limitações:
O Create CT pode permitir que você crie uma função ou política do IAM com permissão para criar AWS recursos. No entanto, AWS os recursos criados por essas funções e políticas não são gerenciados pelo AMS. É uma prática recomendada seguir seu controle organizacional para limitar a criação de tais funções ou políticas.
O Update CT não pode modificar as funções e políticas do IAM criadas com o CFN Ingest, o Direct Change Mode, o Developer Mode ou, em alguns casos, por meio do manual ou automático do AMS Advanced existente. CTs
O Delete CT não pode excluir funções ou políticas existentes que não foram criadas com o AMS Automated IAM Provisioning Create CT.
O recurso AMS Automated IAM Provisioning com permissões de leitura e gravação não é compatível com as funções do Modo de Alteração Direta. Isso significa que você não pode provisionar ou atualizar funções e políticas do IAM com permissões de leitura e gravação usando essas funções.
O provisionamento automatizado de IAM do AMS com permissões de leitura e gravação Os tipos de alteração Criar, atualizar e excluir não são compatíveis com o conector. ServiceNow
