As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Função de usuário do IAM no AMS
Uma função do IAM é semelhante à de um usuário do IAM, pois é uma AWS identidade com políticas de permissão que determinam o que a identidade pode ou não fazer AWS. No entanto, em vez de ser exclusivamente associada a uma pessoa, o propósito do perfil é ser assumido por qualquer pessoa que precisar dele.
Atualmente, há uma função de usuário padrão do AMSCustomer_ReadOnly_Role
, para contas padrão do AMS e uma função adicional, customer_managed_ad_user_role
para contas do AMS com o Active Directory gerenciado.
As políticas de função definem permissões CloudWatch e ações de log do Amazon S3, acesso ao console AMS, restrições de somente leitura para a maioria Serviços da AWS, acesso restrito ao console S3 da conta e acesso por tipo de alteração do AMS.
Além disso, Customer_ReadOnly_Role
tem permissões mutativas de instâncias reservadas que permitem reservar instâncias. Ele tem alguns valores de economia de custos, então, se você sabe que precisará de um certo número de EC2 instâncias da Amazon por um longo período de tempo, pode ligar para elas APIs. Para saber mais, consulte Instâncias EC2 reservadas da Amazon
nota
O objetivo de nível de serviço (SLO) do AMS para criar políticas personalizadas do IAM para usuários do IAM é de quatro dias úteis, a menos que uma política existente seja reutilizada. Se você quiser modificar a função de usuário do IAM existente ou adicionar uma nova, envie uma RFC IAM: Update Entity ou IAM: Create Entity, respectivamente.
Se você não estiver familiarizado com as funções do Amazon IAM, consulte Funções do IAM para obter informações importantes.
Zona de aterrissagem com várias contas (MALZ): Para ver as políticas de função de usuário padrão e não personalizadas da zona de pouso multiconta do AMS, consulte a seguir. MALZ: funções de usuário padrão do IAM
MALZ: funções de usuário padrão do IAM
Declarações de política JSON para as funções padrão de usuário multicontas do AMS na landing zone.
nota
As funções do usuário são personalizáveis e podem diferir de acordo com a conta. São fornecidas instruções sobre como encontrar sua função.
Esses são exemplos das funções de usuário padrão do MALZ. Para garantir que você tenha as políticas definidas de que precisa, execute o comando da AWS get-role
ou faça login no console AWS Management -> IAM
Funções principais da conta OU
Uma conta principal é uma conta de infraestrutura gerenciada pela MALZ. As contas principais da landing zone com várias contas do AMS incluem uma conta de gerenciamento e uma conta de rede.
Role (Função) | Política ou políticas |
---|---|
AWSManagedServicesReadOnlyRole |
ReadOnlyAccess(Política pública gerenciada pela AWS). |
AWSManagedServicesCaseRole |
|
AWSSupportAcesso (política pública gerenciada pela AWS). | |
AWSManagedServicesChangeManagementRole (Versão da conta principal) |
|
Role (Função) | Política ou políticas |
---|---|
AWSManagedServicesBillingRole |
AMSBillingPolítica (AMSBillingPolítica). |
AWSManagedServicesReadOnlyRole |
ReadOnlyAccess(Política pública gerenciada pela AWS). |
AWSManagedServicesCaseRole |
|
AWSSupportAcesso (política pública gerenciada pela AWS). | |
AWSManagedServicesChangeManagementRole (Versão da conta de gerenciamento) |
|
AMSMasterAccountSpecificChangeManagementInfrastructurePolicy |
Role (Função) | Política ou políticas |
---|---|
AWSManagedServicesReadOnlyRole |
ReadOnlyAccess(Política pública gerenciada pela AWS). |
AWSManagedServicesCaseRole |
|
AWSSupportAcesso (política pública gerenciada pela AWS). | |
AWSManagedServicesChangeManagementRole (Versão da conta de rede) |
|
AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy |
Funções da conta do aplicativo
As funções da conta do aplicativo são aplicadas às contas específicas do seu aplicativo.
Role (Função) | Política ou políticas |
---|---|
AWSManagedServicesReadOnlyRole |
ReadOnlyAccess(Política pública gerenciada pela AWS). |
AWSManagedServicesCaseRole |
|
AWSSupportAcesso (política pública gerenciada pela AWS). Essa política fornece acesso a todas as operações e recursos de suporte. Para obter informações, consulte Getting Started with AWS Support. | |
AWSManagedServicesSecurityOpsRole |
|
AWSSupportExemplo de acesso Essa política fornece acesso a todas as operações e recursos de suporte. | |
| |
| |
AWSManagedServicesChangeManagementRole (Versão da conta do aplicativo) |
|
AWSSupportAcesso (política pública gerenciada pela AWS). Essa política fornece acesso a todas as operações e recursos de suporte. Para obter informações, consulte Getting Started with AWS Support. | |
AWSManagedServicesAdminRole |
|
Exemplos de políticas
Exemplos são fornecidos para a maioria das políticas usadas. Para ver a ReadOnlyAccess política (que tem páginas longas, pois fornece acesso somente para leitura a todos os AWS serviços), você pode usar este link, se você tiver uma conta ativa da AWS:. ReadOnlyAccess
AMSBillingPolítica
AMSBillingPolicy
A nova função de cobrança pode ser usada pelo departamento de contabilidade para visualizar e alterar as informações de cobrança ou as configurações da conta na conta de gerenciamento. Para acessar informações como contatos alternativos, visualizar o uso dos recursos da conta, acompanhar seu faturamento ou até mesmo modificar suas formas de pagamento, você usa essa função. Essa nova função inclui todas as permissões listadas na página de ações do AWS Billing IAM.
AMSChangeManagementReadOnlyPolicy
AMSChangeManagementReadOnlyPolicy
Permissões para ver todos os tipos de alteração do AMS e o histórico dos tipos de alteração solicitados.
AMSMasterAccountSpecificChangeManagementInfrastructurePolicy
AMSMasterAccountSpecificChangeManagementInfrastructurePolicy
Permissões para solicitar o tipo de alteração Deployment | Managed landing zone | Management account | Create application account (com VPC).
AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy
AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy
Permissões para solicitar o tipo de alteração de Deployment | Managed landing zone | Networking account | Criar tabela de rotas de aplicativos.
AMSChangeManagementInfrastructurePolicy
AMSChangeManagementInfrastructurePolicy
(para Gestão | Outros | Outros CTs)
Permissões para solicitar os tipos de alteração Gerenciamento | Outros | Outros | Criar e Gerenciamento | Outros | Outros | Atualizar.
AMSSecretsManagerSharedPolicy
AMSSecretsManagerSharedPolicy
Permissões para visualizar o segredo passwords/hashes compartilhado pelo AMS por meio de AWS Secrets Manager (por exemplo, senhas de infraestrutura para auditoria).
Permissões para criar um segredo password/hashes para compartilhar com o AMS. (por exemplo, chaves de licença para produtos que precisam ser implantados).
AMSChangeManagementPolicy
AMSChangeManagementPolicy
Permissões para solicitar e visualizar todos os tipos de alteração do AMS e o histórico dos tipos de alteração solicitados.
AMSReservedInstancesPolicy
AMSReservedInstancesPolicy
Permissões para gerenciar instâncias EC2 reservadas da Amazon; para obter informações sobre preços, consulte Instâncias EC2 reservadas da Amazon
AMSS3Política
AMSS3Policy
Permissões para criar e excluir arquivos de buckets Amazon S3 existentes.
nota
Essas permissões não concedem a capacidade de criar buckets do S3; isso deve ser feito com o tipo Deployment | Advanced stack components | S3 storage | Create change type.
AWSSupportAcesso
AWSSupportAccess
Acesso total Suporte a. Para obter informações, consulte Introdução ao Suporte. Para obter informações sobre o Premium Support, consulte Suporte
AWSMarketplaceManageSubscriptions
AWSMarketplaceManageSubscriptions
(Política pública AWS gerenciada)
Permissões para assinar, cancelar e visualizar AWS Marketplace assinaturas.
AWSCertificateManagerFullAccess
AWSCertificateManagerFullAccess
Acesso total AWS Certificate Manager a. Para obter mais informações, consulte AWS Certificate Manager
AWSCertificateManagerFullAccess
informações, (Política pública gerenciada pela AWS).
AWSWAFFullAcesso
AWSWAFFullAccess
Acesso total AWS WAF a. Para obter mais informações, consulte AWS WAF - Web Application Firewall
AWSWAFFullAccess
informação, (política pública AWS gerenciada). Essa política concede acesso total aos AWS WAF recursos.
ReadOnlyAccess
ReadOnlyAccess
Acesso somente de leitura a todos os AWS serviços e recursos no AWS console. Quando AWS inicia um novo serviço, o AMS atualiza a ReadOnlyAccess política para adicionar permissões somente de leitura para o novo serviço. As permissões atualizadas são aplicadas a todas as entidades principais às quais política estiver anexada.
Isso não concede a capacidade de fazer login em EC2 hosts ou hosts de banco de dados.
Se você tiver uma política ativa Conta da AWS, poderá usar esse link ReadOnlyAccess
Zona de aterrissagem de conta única (SALZ): para ver as políticas de função de usuário padrão e não personalizadas da zona de destino de conta única do AMS, consulte a seguir. SALZ: Função de usuário padrão do IAM
SALZ: Função de usuário padrão do IAM
Declarações de política JSON para a função de usuário padrão da landing zone de conta única do AMS.
nota
A função de usuário padrão do SALZ é personalizável e pode variar de acordo com a conta. São fornecidas instruções sobre como encontrar sua função.
Veja a seguir um exemplo da função de usuário padrão do SALZ. Para garantir que você tenha as políticas definidas para você, execute o get-role
comando. Ou, entre no AWS Identity and Access Management console em https://console.aws.amazon.com/iam/
A função de cliente somente para leitura é uma combinação de várias políticas. Segue abaixo um detalhamento da função (JSON).
Política de auditoria do Managed Services:
ReadOnly Política de IAM do Managed Services
Política de usuário do Managed Services
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCustomerToListTheLogBucketLogs", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::mc-a*-logs-*" ], "Condition": { "StringLike": { "s3:prefix": [ "aws/*", "app/*", "encrypted", "encrypted/", "encrypted/app/*" ] } } }, { "Sid": "BasicAccessRequiredByS3Console", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*" ] }, { "Sid": "AllowCustomerToGetLogs", "Effect": "Allow", "Action": [ "s3:GetObject*" ], "Resource": [ "arn:aws:s3:::mc-a*-logs-*/aws/*", "arn:aws:s3:::mc-a*-logs-*/encrypted/app/*" ] }, { "Sid": "AllowAccessToOtherObjects", "Effect": "Allow", "Action": [ "s3:DeleteObject*", "s3:Get*", "s3:List*", "s3:PutObject*" ], "Resource": [ "*" ] }, { "Sid": "AllowCustomerToListTheLogBucketRoot", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::mc-a*-logs-*" ], "Condition": { "StringEquals": { "s3:prefix": [ "", "/" ] } } }, { "Sid": "AllowCustomerCWLConsole", "Effect": "Allow", "Action": [ "logs:DescribeLogStreams", "logs:DescribeLogGroups" ], "Resource": [ "arn:aws:logs:*:*:log-group:*" ] }, { "Sid": "AllowCustomerCWLAccessLogs", "Effect": "Allow", "Action": [ "logs:FilterLogEvents", "logs:GetLogEvents" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/*", "arn:aws:logs:*:*:log-group:/infra/*", "arn:aws:logs:*:*:log-group:/app/*", "arn:aws:logs:*:*:log-group:RDSOSMetrics:*:*" ] }, { "Sid": "AWSManagedServicesFullAccess", "Effect": "Allow", "Action": [ "amscm:*", "amsskms:*" ], "Resource": [ "*" ] }, { "Sid": "ModifyAWSBillingPortal", "Effect": "Allow", "Action": [ "aws-portal:Modify*" ], "Resource": [ "*" ] }, { "Sid": "DenyDeleteCWL", "Effect": "Deny", "Action": [ "logs:DeleteLogGroup", "logs:DeleteLogStream" ], "Resource": [ "arn:aws:logs:*:*:log-group:*" ] }, { "Sid": "DenyMCCWL", "Effect": "Deny", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:FilterLogEvents", "logs:GetLogEvents", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:*:*:log-group:/mc/*" ] }, { "Sid": "DenyS3MCNamespace", "Effect": "Deny", "Action": [ "s3:*" ], "Resource": [ "arn:aws:s3:::mc-a*-logs-*/encrypted/mc/*", "arn:aws:s3:::mc-a*-logs-*/mc/*", "arn:aws:s3:::mc-a*-logs-*-audit/*", "arn:aws:s3:::mc-a*-internal-*/*", "arn:aws:s3:::mc-a*-internal-*" ] }, { "Sid": "ExplicitDenyS3CfnBucket", "Effect": "Deny", "Action": [ "s3:*" ], "Resource": [ "arn:aws:s3:::cf-templates-*" ] }, { "Sid": "DenyListBucketS3LogsMC", "Action": [ "s3:ListBucket" ], "Effect": "Deny", "Resource": [ "arn:aws:s3:::mc-a*-logs-*" ], "Condition": { "StringLike": { "s3:prefix": [ "auditlog/*", "encrypted/mc/*", "mc/*" ] } } }, { "Sid": "DenyS3LogsDelete", "Effect": "Deny", "Action": [ "s3:Delete*", "s3:Put*" ], "Resource": [ "arn:aws:s3:::mc-a*-logs-*/*" ] }, { "Sid": "DenyAccessToKmsKeysStartingWithMC", "Effect": "Deny", "Action": [ "kms:*" ], "Resource": [ "arn:aws:kms::*:key/mc-*", "arn:aws:kms::*:alias/mc-*" ] }, { "Sid": "DenyListingOfStacksStartingWithMC", "Effect": "Deny", "Action": [ "cloudformation:*" ], "Resource": [ "arn:aws:cloudformation:*:*:stack/mc-*" ] }, { "Sid": "AllowCreateCWMetricsAndManageDashboards", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": [ "*" ] }, { "Sid": "AllowCreateandDeleteCWDashboards", "Effect": "Allow", "Action": [ "cloudwatch:DeleteDashboards", "cloudwatch:PutDashboard" ], "Resource": [ "*" ] } ] }
Política compartilhada do Customer Secrets Manager
Política de assinatura do Customer Marketplace