Função de usuário do IAM no AMS - Guia do usuário avançado do AMS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Função de usuário do IAM no AMS

Uma função do IAM é semelhante à de um usuário do IAM, pois é uma AWS identidade com políticas de permissão que determinam o que a identidade pode ou não fazer AWS. No entanto, em vez de ser exclusivamente associada a uma pessoa, o propósito do perfil é ser assumido por qualquer pessoa que precisar dele.

Atualmente, há uma função de usuário padrão do AMSCustomer_ReadOnly_Role, para contas padrão do AMS e uma função adicional, customer_managed_ad_user_role para contas do AMS com o Active Directory gerenciado.

As políticas de função definem permissões CloudWatch e ações de log do Amazon S3, acesso ao console AMS, restrições de somente leitura para a maioria Serviços da AWS, acesso restrito ao console S3 da conta e acesso por tipo de alteração do AMS.

Além disso, Customer_ReadOnly_Role tem permissões mutativas de instâncias reservadas que permitem reservar instâncias. Ele tem alguns valores de economia de custos, então, se você sabe que precisará de um certo número de EC2 instâncias da Amazon por um longo período de tempo, pode ligar para elas APIs. Para saber mais, consulte Instâncias EC2 reservadas da Amazon.

nota

O objetivo de nível de serviço (SLO) do AMS para criar políticas personalizadas do IAM para usuários do IAM é de quatro dias úteis, a menos que uma política existente seja reutilizada. Se você quiser modificar a função de usuário do IAM existente ou adicionar uma nova, envie uma RFC IAM: Update Entity ou IAM: Create Entity, respectivamente.

Se você não estiver familiarizado com as funções do Amazon IAM, consulte Funções do IAM para obter informações importantes.

Zona de aterrissagem com várias contas (MALZ): Para ver as políticas de função de usuário padrão e não personalizadas da zona de pouso multiconta do AMS, consulte a seguir. MALZ: funções de usuário padrão do IAM

MALZ: funções de usuário padrão do IAM

Declarações de política JSON para as funções padrão de usuário multicontas do AMS na landing zone.

nota

As funções do usuário são personalizáveis e podem diferir de acordo com a conta. São fornecidas instruções sobre como encontrar sua função.

Esses são exemplos das funções de usuário padrão do MALZ. Para garantir que você tenha as políticas definidas de que precisa, execute o comando da AWS get-roleou faça login no console AWS Management -> IAM e escolha Roles no painel de navegação.

Funções principais da conta OU

Uma conta principal é uma conta de infraestrutura gerenciada pela MALZ. As contas principais da landing zone com várias contas do AMS incluem uma conta de gerenciamento e uma conta de rede.

Conta principal da OU: funções e políticas comuns
Role (Função) Política ou políticas

AWSManagedServicesReadOnlyRole

ReadOnlyAccess(Política pública gerenciada pela AWS).

AWSManagedServicesCaseRole

ReadOnlyAccess

AWSSupportAcesso (política pública gerenciada pela AWS).

AWSManagedServicesChangeManagementRole (Versão da conta principal)

ReadOnlyAccess

AWSSupportAcesso

AMSChangeManagementReadOnlyPolicy

AMSChangeManagementInfrastructurePolicy

Conta principal da OU: funções e políticas da conta de gerenciamento
Role (Função) Política ou políticas

AWSManagedServicesBillingRole

AMSBillingPolítica (AMSBillingPolítica).

AWSManagedServicesReadOnlyRole

ReadOnlyAccess(Política pública gerenciada pela AWS).

AWSManagedServicesCaseRole

ReadOnlyAccess

AWSSupportAcesso (política pública gerenciada pela AWS).

AWSManagedServicesChangeManagementRole (Versão da conta de gerenciamento)

ReadOnlyAccess

AWSSupportAcesso

AMSChangeManagementReadOnlyPolicy

AMSChangeManagementInfrastructurePolicy

AMSMasterAccountSpecificChangeManagementInfrastructurePolicy

Conta principal da OU: funções e políticas da conta de rede
Role (Função) Política ou políticas

AWSManagedServicesReadOnlyRole

ReadOnlyAccess(Política pública gerenciada pela AWS).

AWSManagedServicesCaseRole

ReadOnlyAccess

AWSSupportAcesso (política pública gerenciada pela AWS).

AWSManagedServicesChangeManagementRole (Versão da conta de rede)

ReadOnlyAccess

AWSSupportAcesso

AMSChangeManagementReadOnlyPolicy

AMSChangeManagementInfrastructurePolicy

AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy

Funções da conta do aplicativo

As funções da conta do aplicativo são aplicadas às contas específicas do seu aplicativo.

Conta de aplicativo: funções e políticas
Role (Função) Política ou políticas

AWSManagedServicesReadOnlyRole

ReadOnlyAccess(Política pública gerenciada pela AWS).

AWSManagedServicesCaseRole

ReadOnlyAccess

AWSSupportAcesso (política pública gerenciada pela AWS).

Essa política fornece acesso a todas as operações e recursos de suporte. Para obter informações, consulte Getting Started with AWS Support.

AWSManagedServicesSecurityOpsRole

ReadOnlyAccess

AWSSupportExemplo de acesso

Essa política fornece acesso a todas as operações e recursos de suporte.

AWSCertificateManagerFullAccessinformações, (política pública gerenciada pela AWS)

AWSWAFFullAccessinformações, (política pública gerenciada pela AWS). Essa política concede acesso total aos recursos do AWS WAF.

AMSSecretsManagerSharedPolicy

AWSManagedServicesChangeManagementRole (Versão da conta do aplicativo)

ReadOnlyAccess

AWSSupportAcesso (política pública gerenciada pela AWS).

Essa política fornece acesso a todas as operações e recursos de suporte. Para obter informações, consulte Getting Started with AWS Support.

AMSSecretsManagerSharedPolicy

AMSChangeManagementPolicy

AMSReservedInstancesPolicy

AMSS3Política

AWSManagedServicesAdminRole

ReadOnlyAccess

AWSSupportAcesso

AMSChangeManagementInfrastructurePolicy

AWSMarketplaceManageSubscriptions

AMSSecretsManagerSharedPolicy

AMSChangeManagementPolicy

AWSCertificateManagerFullAccess

AWSWAFFullAcesso

AMSS3Política

AMSReservedInstancesPolicy

Exemplos de políticas

Exemplos são fornecidos para a maioria das políticas usadas. Para ver a ReadOnlyAccess política (que tem páginas longas, pois fornece acesso somente para leitura a todos os AWS serviços), você pode usar este link, se você tiver uma conta ativa da AWS:. ReadOnlyAccess Além disso, uma versão condensada está incluída aqui.

AMSBillingPolítica

AMSBillingPolicy

A nova função de cobrança pode ser usada pelo departamento de contabilidade para visualizar e alterar as informações de cobrança ou as configurações da conta na conta de gerenciamento. Para acessar informações como contatos alternativos, visualizar o uso dos recursos da conta, acompanhar seu faturamento ou até mesmo modificar suas formas de pagamento, você usa essa função. Essa nova função inclui todas as permissões listadas na página de ações do AWS Billing IAM.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Action": [ "aws-portal:ViewBilling", "aws-portal:ModifyBilling" ], "Resource": "*", "Effect": "Allow", "Sid": "AllowAccessToBilling" }, { "Action": [ "aws-portal:ViewAccount", "aws-portal:ModifyAccount" ], "Resource": "*", "Effect": "Allow", "Sid": "AllowAccessToAccountSettings" }, { "Action": [ "budgets:ViewBudget", "budgets:ModifyBudget" ], "Resource": "*", "Effect": "Allow", "Sid": "AllowAccessToAccountBudget" }, { "Action": [ "aws-portal:ViewPaymentMethods", "aws-portal:ModifyPaymentMethods" ], "Resource": "*", "Effect": "Allow", "Sid": "AllowAccessToPaymentMethods" }, { "Action": [ "aws-portal:ViewUsage" ], "Resource": "*", "Effect": "Allow", "Sid": "AllowAccessToUsage" }, { "Action": [ "cur:DescribeReportDefinitions", "cur:PutReportDefinition", "cur:DeleteReportDefinition", "cur:ModifyReportDefinition" ], "Resource": "*", "Effect": "Allow", "Sid": "AllowAccessToCostAndUsageReport" }, { "Action": [ "pricing:DescribeServices", "pricing:GetAttributeValues", "pricing:GetProducts" ], "Resource": "*", "Effect": "Allow", "Sid": "AllowAccessToPricing" }, { "Action": [ "ce:*", "compute-optimizer:*" ], "Resource": "*", "Effect": "Allow", "Sid": "AllowAccessToCostExplorerComputeOptimizer" }, { "Action": [ "purchase-orders:ViewPurchaseOrders", "purchase-orders:ModifyPurchaseOrders" ], "Resource": "*", "Effect": "Allow", "Sid": "AllowAccessToPurchaseOrders" }, { "Action": [ "redshift:AcceptReservedNodeExchange", "redshift:PurchaseReservedNodeOffering" ], "Resource": "*", "Effect": "Allow", "Sid": "AllowAccessToRedshiftAction" }, { "Action": "savingsplans:*", "Resource": "*", "Effect": "Allow", "Sid": "AWSSavingsPlansFullAccess" } ] }

AMSChangeManagementReadOnlyPolicy

AMSChangeManagementReadOnlyPolicy

Permissões para ver todos os tipos de alteração do AMS e o histórico dos tipos de alteração solicitados.

AMSMasterAccountSpecificChangeManagementInfrastructurePolicy

AMSMasterAccountSpecificChangeManagementInfrastructurePolicy

Permissões para solicitar o tipo de alteração Deployment | Managed landing zone | Management account | Create application account (com VPC).

AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy

AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy

Permissões para solicitar o tipo de alteração de Deployment | Managed landing zone | Networking account | Criar tabela de rotas de aplicativos.

AMSChangeManagementInfrastructurePolicy

AMSChangeManagementInfrastructurePolicy(para Gestão | Outros | Outros CTs)

Permissões para solicitar os tipos de alteração Gerenciamento | Outros | Outros | Criar e Gerenciamento | Outros | Outros | Atualizar.

AMSSecretsManagerSharedPolicy

AMSSecretsManagerSharedPolicy

Permissões para visualizar o segredo passwords/hashes compartilhado pelo AMS por meio de AWS Secrets Manager (por exemplo, senhas de infraestrutura para auditoria).

Permissões para criar um segredo password/hashes para compartilhar com o AMS. (por exemplo, chaves de licença para produtos que precisam ser implantados).

JSON
{ "Version":"2012-10-17", "Statement": [{ "Sid": "AllowAccessToSharedNameSpaces", "Effect": "Allow", "Action": "secretsmanager:*", "Resource": [ "arn:aws:secretsmanager:*:*:secret:ams-shared/*", "arn:aws:secretsmanager:*:*:secret:customer-shared/*" ] }, { "Sid": "DenyGetSecretOnCustomerNamespace", "Effect": "Deny", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*" }, { "Sid": "AllowReadAccessToAMSNameSpace", "Effect": "Deny", "NotAction": [ "secretsmanager:Describe*", "secretsmanager:Get*", "secretsmanager:List*" ], "Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*" } ] }

AMSChangeManagementPolicy

AMSChangeManagementPolicy

Permissões para solicitar e visualizar todos os tipos de alteração do AMS e o histórico dos tipos de alteração solicitados.

AMSReservedInstancesPolicy

AMSReservedInstancesPolicy

Permissões para gerenciar instâncias EC2 reservadas da Amazon; para obter informações sobre preços, consulte Instâncias EC2 reservadas da Amazon.

JSON
{ "Version":"2012-10-17", "Statement": [{ "Sid": "AllowReservedInstancesManagement", "Effect": "Allow", "Action": [ "ec2:ModifyReservedInstances", "ec2:PurchaseReservedInstancesOffering" ], "Resource": [ "*" ] }] }

AMSS3Política

AMSS3Policy

Permissões para criar e excluir arquivos de buckets Amazon S3 existentes.

nota

Essas permissões não concedem a capacidade de criar buckets do S3; isso deve ser feito com o tipo Deployment | Advanced stack components | S3 storage | Create change type.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:PutObject" ], "Resource": "*" } ] }

AWSSupportAcesso

AWSSupportAccess

Acesso total Suporte a. Para obter informações, consulte Introdução ao Suporte. Para obter informações sobre o Premium Support, consulte Suporte.

JSON
{ "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "support:*" ], "Resource": "*" }] }

AWSMarketplaceManageSubscriptions

AWSMarketplaceManageSubscriptions(Política pública AWS gerenciada)

Permissões para assinar, cancelar e visualizar AWS Marketplace assinaturas.

JSON
{ "Version":"2012-10-17", "Statement": [{ "Action": [ "aws-marketplace:ViewSubscriptions", "aws-marketplace:Subscribe", "aws-marketplace:Unsubscribe" ], "Effect": "Allow", "Resource": "*" }] }

AWSCertificateManagerFullAccess

AWSCertificateManagerFullAccess

Acesso total AWS Certificate Manager a. Para obter mais informações, consulte AWS Certificate Manager.

AWSCertificateManagerFullAccessinformações, (Política pública gerenciada pela AWS).

JSON
{ "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "acm:*" ], "Resource": "*" }] }

AWSWAFFullAcesso

AWSWAFFullAccess

Acesso total AWS WAF a. Para obter mais informações, consulte AWS WAF - Web Application Firewall.

AWSWAFFullAccessinformação, (política pública AWS gerenciada). Essa política concede acesso total aos AWS WAF recursos.

JSON
{ "Version":"2012-10-17", "Statement": [{ "Action": [ "waf:*", "waf-regional:*", "elasticloadbalancing:SetWebACL" ], "Effect": "Allow", "Resource": "*" }] }

ReadOnlyAccess

ReadOnlyAccess

Acesso somente de leitura a todos os AWS serviços e recursos no AWS console. Quando AWS inicia um novo serviço, o AMS atualiza a ReadOnlyAccess política para adicionar permissões somente de leitura para o novo serviço. As permissões atualizadas são aplicadas a todas as entidades principais às quais política estiver anexada.

Isso não concede a capacidade de fazer login em EC2 hosts ou hosts de banco de dados.

Se você tiver uma política ativa Conta da AWS, poderá usar esse link ReadOnlyAccesspara ver toda a ReadOnlyAccess política. Toda a ReadOnlyAccess política é muito longa, pois fornece acesso somente de leitura a todos. Serviços da AWS A seguir está um trecho parcial da ReadOnlyAccess política.

Zona de aterrissagem de conta única (SALZ): para ver as políticas de função de usuário padrão e não personalizadas da zona de destino de conta única do AMS, consulte a seguir. SALZ: Função de usuário padrão do IAM

SALZ: Função de usuário padrão do IAM

Declarações de política JSON para a função de usuário padrão da landing zone de conta única do AMS.

nota

A função de usuário padrão do SALZ é personalizável e pode variar de acordo com a conta. São fornecidas instruções sobre como encontrar sua função.

Veja a seguir um exemplo da função de usuário padrão do SALZ. Para garantir que você tenha as políticas definidas para você, execute o get-rolecomando. Ou, entre no AWS Identity and Access Management console em https://console.aws.amazon.com/iam/e escolha Funções.

A função de cliente somente para leitura é uma combinação de várias políticas. Segue abaixo um detalhamento da função (JSON).

Política de auditoria do Managed Services:

ReadOnly Política de IAM do Managed Services

Política de usuário do Managed Services

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCustomerToListTheLogBucketLogs", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::mc-a*-logs-*" ], "Condition": { "StringLike": { "s3:prefix": [ "aws/*", "app/*", "encrypted", "encrypted/", "encrypted/app/*" ] } } }, { "Sid": "BasicAccessRequiredByS3Console", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*" ] }, { "Sid": "AllowCustomerToGetLogs", "Effect": "Allow", "Action": [ "s3:GetObject*" ], "Resource": [ "arn:aws:s3:::mc-a*-logs-*/aws/*", "arn:aws:s3:::mc-a*-logs-*/encrypted/app/*" ] }, { "Sid": "AllowAccessToOtherObjects", "Effect": "Allow", "Action": [ "s3:DeleteObject*", "s3:Get*", "s3:List*", "s3:PutObject*" ], "Resource": [ "*" ] }, { "Sid": "AllowCustomerToListTheLogBucketRoot", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::mc-a*-logs-*" ], "Condition": { "StringEquals": { "s3:prefix": [ "", "/" ] } } }, { "Sid": "AllowCustomerCWLConsole", "Effect": "Allow", "Action": [ "logs:DescribeLogStreams", "logs:DescribeLogGroups" ], "Resource": [ "arn:aws:logs:*:*:log-group:*" ] }, { "Sid": "AllowCustomerCWLAccessLogs", "Effect": "Allow", "Action": [ "logs:FilterLogEvents", "logs:GetLogEvents" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/*", "arn:aws:logs:*:*:log-group:/infra/*", "arn:aws:logs:*:*:log-group:/app/*", "arn:aws:logs:*:*:log-group:RDSOSMetrics:*:*" ] }, { "Sid": "AWSManagedServicesFullAccess", "Effect": "Allow", "Action": [ "amscm:*", "amsskms:*" ], "Resource": [ "*" ] }, { "Sid": "ModifyAWSBillingPortal", "Effect": "Allow", "Action": [ "aws-portal:Modify*" ], "Resource": [ "*" ] }, { "Sid": "DenyDeleteCWL", "Effect": "Deny", "Action": [ "logs:DeleteLogGroup", "logs:DeleteLogStream" ], "Resource": [ "arn:aws:logs:*:*:log-group:*" ] }, { "Sid": "DenyMCCWL", "Effect": "Deny", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:FilterLogEvents", "logs:GetLogEvents", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:*:*:log-group:/mc/*" ] }, { "Sid": "DenyS3MCNamespace", "Effect": "Deny", "Action": [ "s3:*" ], "Resource": [ "arn:aws:s3:::mc-a*-logs-*/encrypted/mc/*", "arn:aws:s3:::mc-a*-logs-*/mc/*", "arn:aws:s3:::mc-a*-logs-*-audit/*", "arn:aws:s3:::mc-a*-internal-*/*", "arn:aws:s3:::mc-a*-internal-*" ] }, { "Sid": "ExplicitDenyS3CfnBucket", "Effect": "Deny", "Action": [ "s3:*" ], "Resource": [ "arn:aws:s3:::cf-templates-*" ] }, { "Sid": "DenyListBucketS3LogsMC", "Action": [ "s3:ListBucket" ], "Effect": "Deny", "Resource": [ "arn:aws:s3:::mc-a*-logs-*" ], "Condition": { "StringLike": { "s3:prefix": [ "auditlog/*", "encrypted/mc/*", "mc/*" ] } } }, { "Sid": "DenyS3LogsDelete", "Effect": "Deny", "Action": [ "s3:Delete*", "s3:Put*" ], "Resource": [ "arn:aws:s3:::mc-a*-logs-*/*" ] }, { "Sid": "DenyAccessToKmsKeysStartingWithMC", "Effect": "Deny", "Action": [ "kms:*" ], "Resource": [ "arn:aws:kms::*:key/mc-*", "arn:aws:kms::*:alias/mc-*" ] }, { "Sid": "DenyListingOfStacksStartingWithMC", "Effect": "Deny", "Action": [ "cloudformation:*" ], "Resource": [ "arn:aws:cloudformation:*:*:stack/mc-*" ] }, { "Sid": "AllowCreateCWMetricsAndManageDashboards", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": [ "*" ] }, { "Sid": "AllowCreateandDeleteCWDashboards", "Effect": "Allow", "Action": [ "cloudwatch:DeleteDashboards", "cloudwatch:PutDashboard" ], "Resource": [ "*" ] } ] }

Política compartilhada do Customer Secrets Manager

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "AllowSecretsManagerListSecrets", "Effect": "Allow", "Action": "secretsmanager:listSecrets", "Resource": "*" }, { "Sid": "AllowCustomerAdminAccessToSharedNameSpaces", "Effect": "Allow", "Action": "secretsmanager:*", "Resource": [ "arn:aws:secretsmanager:*:*:secret:ams-shared/*", "arn:aws:secretsmanager:*:*:secret:customer-shared/*" ] }, { "Sid": "DenyCustomerGetSecretCustomerNamespace", "Effect": "Deny", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*" }, { "Sid": "AllowCustomerReadOnlyAccessToAMSNameSpace", "Effect": "Deny", "NotAction": [ "secretsmanager:Describe*", "secretsmanager:Get*", "secretsmanager:List*" ], "Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*" } ] }

Política de assinatura do Customer Marketplace

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "AllowMarketPlaceSubscriptions", "Effect": "Allow", "Action": [ "aws-marketplace:ViewSubscriptions", "aws-marketplace:Subscribe" ], "Resource": [ "*" ] } ] }