Restrinja as permissões com declarações de política de função do IAM - Guia do usuário avançado do AMS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Restrinja as permissões com declarações de política de função do IAM

O AMS usa uma função do IAM para definir permissões de usuário por meio do seu serviço de federação.

Zona de destino de conta única AMS: consulte SALZ: Funções de usuário padrão do IAM.

Zona de destino de várias contas AMS: consulte MALZ: Funções de usuário padrão do IAM.

Uma função do IAM é uma entidade do IAM que define um conjunto de permissões para fazer solicitações AWS de serviço. As funções do IAM não estão associadas a um usuário ou grupo específico. Em vez disso, entidades confiáveis assumem funções, como usuários, aplicativos ou AWS serviços do IAM, como a Amazon EC2. Para obter mais informações, consulte Perfis do IAM.

Você pode definir o escopo da política desejada para um usuário que assume a função de usuário do AMS IAM usando a operação da API AWS Security Token Service (STS) AssumeRoletransmitindo uma política IAM mais restritiva no campo de Policy solicitação.

Exemplos de declarações de política que você pode usar para restringir o acesso ao CT são fornecidos a seguir.

Usando seus grupos configurados do Active Directory (AD) e a operação da API do AWS Security Token Service (STS) AssumeRole, você pode definir permissões para determinados usuários ou grupos, incluindo restringir o acesso a determinados tipos de alteração (CTs). Você pode usar as declarações de política mostradas abaixo para restringir o acesso ao CT de várias maneiras.

Declaração de tipo de alteração do AMS no perfil padrão da instância do IAM que permite acesso a todas as chamadas de API do AMS (amscm e amsskms) e a todos os tipos de alteração:

{
    "Sid": "AWSManagedServicesFullAccess",
    "Effect": "Allow",
    "Action": [
        "amscm:*",
        "amsskms:*"
    ],
    "Resource": [
        "*"
    ]
}

  1. Declaração para permitir o acesso e todas as ações para apenas dois itens especificados CTs, em que “Ação” são as operações da API AMS (amscmouamsskms) e “Recurso” representa o tipo de alteração existente IDs e o número da versão:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "amscm:*",
            "Resource": [
                "arn:aws:amscm:*:*:changetype/ct-ID1:1.0",
                "arn:aws:amscm:*:*:changetype/ct-ID2:1.0"
            ]
        }
    ]
}

  2. Declaração para permitir o acesso para CreateRfc UpdateRfc, e SubmitRfc em apenas duas especificadas CTs:

  3. Declaração para permitir o acesso a CreateRfc UpdateRfc, e SubmitRfc sobre todos os disponíveis CTs:

  4. Declaração para negar o acesso a todas as ações na TC restrita e permitir outras CTs: