Introdução ao modo Direct Change - Guia do usuário avançado do AMS
Funções e políticas do IAM do modo Direct Change

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Introdução ao modo Direct Change

Comece verificando os pré-requisitos e, em seguida, enviando uma solicitação de alteração (RFC) em sua conta qualificada do AMS Advanced.

  1. Confirme se a conta que você deseja usar com o DCM atende aos requisitos:

    • A conta é AMS Advanced Plus ou Premium.

    • A conta não tem o Service Catalog ativado. Atualmente, não oferecemos suporte à integração de contas no DCM e no Service Catalog ao mesmo tempo. Se você já está integrado ao Service Catalog, mas está interessado no DCM, discuta suas necessidades com seu gerente de prestação de serviços em nuvem (CSDM). Se você decidir mudar do Service Catalog para o DCM, fora do Service Catalog, para fazer isso, inclua a solicitação na solicitação de alteração abaixo. Para obter detalhes sobre o Service Catalog no AMS, consulte AMS e Service Catalog.

  2. Envie uma solicitação de alteração (RFC) usando o Gerenciamento | Conta gerenciada | Modo de alteração direta | Ativar tipo de alteração (ct-3rd4781c2nnhp). Para ver um exemplo de apresentação, consulte Modo de mudança direta | Ativar.

    Depois que a CT é processada, o IAM predefinido funciona AWSManagedServicesCloudFormationAdminRole e AWSManagedServicesUpdateRole é provisionado na conta especificada.

  3. Atribua a função apropriada aos usuários que precisam de acesso ao DCM usando seu processo interno de federação.

nota

Você pode especificar qualquer número de SAMLIdentity provedores, AWS serviços e entidades do IAM (funções, usuários etc.) para assumir as funções. Você deve fornecer pelo menos um:SAMLIdentityProviderARNs,IAMEntityARNs, ouAWSServicePrincipals. Para obter mais informações, consulte o departamento de IAM da sua empresa ou o arquiteto de nuvem (CA) do AMS.

Funções e políticas do IAM do modo Direct Change

Quando o modo Direct Change é ativado em uma conta, essas novas entidades do IAM são implantadas:

AWSManagedServicesCloudFormationAdminRole: essa função concede acesso ao CloudFormation console, cria e atualiza CloudFormation pilhas, visualiza relatórios de deriva e cria e executa. CloudFormation ChangeSets O acesso a essa função é gerenciado por meio do seu provedor de SAML.

As políticas gerenciadas que são implantadas e anexadas à função AWSManagedServicesCloudFormationAdminRole são:

  • Conta do aplicativo AMS Advanced multi-account landing zone (MALZ)

    • AWSManagedServices_CloudFormationAdminPolicy1

    • AWSManagedServices_CloudFormationAdminPolicy2

      • Essa política representa as permissões concedidas aoAWSManagedServicesCloudFormationAdminRole. Você e seus parceiros usam essa política para conceder acesso a uma função existente na conta e permitir que essa função lance e atualize CloudFormation pilhas na conta. Isso pode exigir atualizações adicionais da política de controle de serviço (SCP) do AMS para permitir que outras entidades do IAM iniciem CloudFormation pilhas.

  • Conta AMS Advanced single-account landing zone (SALZ)

    • AWSManagedServices_CloudFormationAdminPolicy1

    • AWSManagedServices_CloudFormationAdminPolicy2

    • cdk-legacy-mode-s3 acessos [política em linha]

    • AWS ReadOnlyAccess política

AWSManagedServicesUpdateRole: essa função concede acesso restrito ao AWS serviço APIs downstream. A função é implantada com políticas gerenciadas que fornecem operações de API mutantes e não mutantes, mas, em geral, restringe as operações mutantes (comoCreate/Delete/PUT) em relação a determinados serviços, como IAM, KMS, GuardDuty VPC, recursos e configuração de infraestrutura do AMS e assim por diante. O acesso a essa função é gerenciado por meio do seu provedor de SAML.

As políticas gerenciadas que são implantadas e anexadas à função AWSManagedServicesUpdateRole são:

  • Conta de aplicativo AMS Advanced com várias contas landing zone

    • AWSManagedServicesUpdateBasePolicy 

    • AWSManagedServicesUpdateDenyPolicy 

    • AWSManagedServicesUpdateDenyProvisioningPolicy 

    • AWSManagedServicesUpdateEC2E RDSPolicy 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfraPolítica

  • Conta de landing zone de conta única AMS Advanced

    • AWSManagedServicesUpdateBasePolicy 

    • AWSManagedServicesUpdateDenyProvisioningPolicy 

    • AWSManagedServicesUpdateEC2E RDSPolicy 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfraPolítica 1 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfraPolítica 2

Além disso, a AWSManagedServicesUpdateRole função de política gerenciada também tem a política AWS ViewOnlyAccess gerenciada anexada a ela.