本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Identity and Access Management 在 AMS 中加速
<a name="acc-sec-iam"></a>

AWS Identity and Access Management 是一项 Web 服务，可帮助您安全地控制对 AWS 资源的访问。可以使用 IAM 来控制谁通过了身份验证（准许登录）并获得授权（具有相应权限）来使用资源。在 AMS Accelerate 入职期间，您负责在每个托管账户中创建跨账户 IAM 管理员角色。

在 AMS Accelerate 中，您负责管理对您 AWS 账户 及其底层资源的访问权限，例如访问管理解决方案、访问策略和相关流程。这意味着您可以管理用户生命周期、目录服务权限和联合身份验证系统，以访问 AWS 控制台或 AWS APIs。为了帮助您管理访问解决方案，AMS Accelerate 部署了检测常见的 IAM 错误配置的 AWS Config 规则，并提供补救通知。有关更多信息，请参阅 [AWS Config Managed Rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html)。

## 在 AMS 加速中使用身份进行身份验证
<a name="acc-sec-iam-auth"></a>

AMS 使用 IAM 角色，这是一种 IAM 身份。IAM 角色与用户类似，因为它是一个具有权限策略的身份，该策略决定了该身份可以做什么和不能做什么 AWS。但是，一个角色没有与之关联的凭证，与其与一个人有唯一的关联，而是可以由任何需要它的人担任。IAM 用户可担任角色来暂时获得针对特定任务的不同权限。

访问角色由内部组成员资格控制，内部组成员资格由运营管理部门管理和定期审查。AMS 使用以下 IAM 角色。

**注意**  
AMS 访问角色允许 AMS 操作员访问您的资源以提供 AMS 功能（请参阅[服务描述](acc-sd.md)）。改变这些角色可能会抑制我们提供这些能力的能力。如果您需要更改 AMS 访问角色，请咨询您的云架构师。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/acc-sec-iam.html)

**注意**  
这是 ams-access-management角色的模板。这是云架构师 (CAs) 在入职时在你的账户中手动部署的堆栈：man [ag](https://ams-account-access-templates.s3.amazonaws.com/management-role.yaml) ement-role.yaml。  
这是不同访问角色和访问级别的模板： ams-access-read-only、、 ams-access-operations、:accelerate-roles ams-access-admin-operations. ams-access-admin y [aml。](https://ams-account-access-templates.s3.amazonaws.com/accelerate-roles.yaml)

要了解有关 AWS Cloud Development Kit (AWS CDK) (AWS CDK) 标识符（包括哈希）的更多信息，请参阅 Uni [q IDs](https://docs.aws.amazon.com/cdk/latest/guide/identifiers.html#identifiers_unique_ids) ue。

AMS Accelerate 功能服务负责以编程方式访问账户，但会话策略的范围仅限于相应的功能服务（例如，补丁、备份、监控等）。**ams-access-admin**

AMS Accelerate 遵循行业最佳实践，以满足并保持合规资格。AMS Accelerate 对您账户的访问已记录在 CloudTrail 案，您也可以通过变更跟踪进行审查。有关可用于获取此信息的查询的信息，请参阅[跟踪您的 AMS Accelerate 账户中的更改](acc-change-record.md)。

## 使用策略管理访问
<a name="acc-sec-iam-policy"></a>

各个 AMS Accelerate 支持团队，例如运营工程师、云架构师和云服务交付经理 (CSDMs)，有时需要访问您的账户才能响应服务请求和事件。他们的访问受内部AMS访问服务的约束，该服务强制实施控制措施，例如业务理由、服务请求、运营项目和支持案例。默认访问权限为只读，并且会跟踪和记录所有访问权限；另请参阅[跟踪您的 AMS Accelerate 账户中的更改](acc-change-record.md)。

### 验证 IAM 资源
<a name="acc-sec-iam-policy-valid"></a>

AMS Accelerate 访问系统会定期在您的账户中扮演角色（至少每 24 小时一次），并验证我们的所有 IAM 资源是否符合预期。

为了保护您的账户，AMS Accelerate 有一个 “金丝雀”，用于监控上述 IAM 角色的存在和状态及其附加策略，并发出警报。金丝雀会定期担任该**ams-access-read-only**角色并对您的账户发起 CloudFormation 和 IAM API 调用。金丝雀会评估 AMS Accelerate 访问角色的状态，以确保它们始终未被修改，并且. up-to-date 此活动会在账户中创建 CloudTrail 日志。

如中所示，金丝雀的 AWS Security Token Service (AWS STS) 会话名称为 **ams-access-roles-auditor-\$1 uuid4 ()\$1**，并且会进行以下 API 调用： CloudTrail 
+ 云形成 API 调用：`describe_stacks()`
+ IAM API 调用：
  + `get_role()`
  + `list_attached_role_policies()`
  + `list_role_policies()`
  + `get_policy()`
  + `get_policy_version()`
  + `get_role_policy()`