IAM 权限变更详情 - AMS 加速用户指南

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM 权限变更详情

每个托管实例必须有一个包含以下托管策略的 AWS Identity and Access Management 角色:

  • arn: aws: iam:: aws: Policy/Amazon SSMManaged InstanceCore

  • arn: aws: iam:: aws: policy/ CloudWatchAgentServerPolicy

  • arn: aws: iam:: aws: policy/ AMSInstance ProfileBasePolicy

前两个是 AWS托管策略。AMS 管理的策略是:

AMSInstanceProfileBasePolicy

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:UpdateSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:*:*:secret:/ams/byoa/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "kms:Encrypt"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

如果您的实例已经附加了 IAM 角色,但缺少这些策略中的任何一个,那么 AMS 会将缺少的策略添加到您的 IAM 角色中。如果您的实例没有 IAM 角色,则 AMS 会附加该 AMSOSConfigurationCustomerInstanceProfileIAM 角色。AMSOSConfigurationCustomerInstanceProfileIAM 角色具有 AMS Accelerate 所需的所有策略。

注意

如果达到 10 的默认实例配置文件限制,则 AMS 会将限制增加到 20,以便可以附加所需的实例配置文件。