本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 AMS Accelerate 中使用服务相关角色
AMS 加速使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色 (SLR) 是一种独特的 IAM 角色类型,直接关联到 AMS Accelerate。服务相关角色由 AMS Accelerate 预定义,包括该服务代表您调用其他 AWS 服务所需的所有权限。
服务相关角色可以更轻松地设置 AMS Accelerate,因为您无需手动添加必要的权限。AMS Accelerate 定义了其服务相关角色的权限,除非另有定义,否则只有 AMS Accelerate 可以担任其角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其他 IAM 实体。
有关支持服务相关角色的其他服务的信息,请参阅与 IAM 配合使用的AWS 服务,并在服务相关角色列中查找标有 “是” 的服务。选择是和链接,查看该服务的服务相关角色文档。
AMS Accelerate 的部署工具包服务相关角色
AMS Accelerate 使用名为AWSServiceRoleForAWSManagedServicesDeploymentToolkit的服务关联角色 (SLR),该角色将 AMS Accelerate 基础设施部署到客户账户。
注意
该政策最近已更新;有关详细信息,请参阅加快服务相关角色的更新。
AMS 加速部署工具包 SLR
AWSServiceRoleForAWSManagedServicesDeploymentToolkit 服务相关角色信任以下服务来代入该角色:
deploymenttoolkit.managedservices.amazonaws.com
名为的策略AWSManagedServicesDeploymentToolkitPolicy允许 AMS Accelerate 对以下资源执行操作:
arn:aws*:s3:::ams-cdktoolkit*arn:aws*:cloudformation:*:*:stack/ams-cdk-toolkit*arn:aws:ecr:*:*:repository/ams-cdktoolkit*
此 SLR 授予 Amazon S3 创建和管理部署存储桶的权限,AMS 用于将资源(例如 CloudFormation 模板或 Lambda 资产捆绑包)上传到用于组件部署的账户。此 SLR 授予部署定义部署存储 CloudFormation 桶的堆栈的 CloudFormation 权限。有关详细信息或下载政策,请参阅AWSManagedServices_DeploymentToolkitPolicy。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限。
为 AMS Accelerate 创建部署工具包 SLR
您无需手动创建服务相关角色。当您在 AWS Management Console、或 AWS API 中加入 AMS 时 AWS CLI,AMS Accelerate 会为您创建与服务相关的角色。
重要
如果您在 2022 年 6 月 9 日之前使用 AMS Accelerate 服务,该服务相关角色开始支持服务相关角色,然后 AMS Accelerate 在您的账户中创建了该角色,则该 AWSServiceRoleForAWSManagedServicesDeploymentToolkit 服务相关角色可能会出现在您的账户中。要了解更多信息,请参阅我的 IAM 账户中出现新角色。
如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您加入 AMS 时,AMS Accelerate 会再次为您创建与服务相关的角色。
编辑 AMS Accelerate 的部署工具包 SLR
AMS Accelerate 不允许您编辑 AWSServiceRoleForAWSManagedServicesDeploymentToolkit 服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色。
删除 AMS Accelerate 的部署工具包 SLR
您无需手动删除该 AWSServiceRoleForAWSManagedServicesDeploymentToolkit 角色。当您在 AWS Management Console、或 AWS API 中退出 AMS 时 AWS CLI,AMS Accelerate 会清理资源并为您删除服务相关角色。
您也可以使用 IAM 控制台、 AWS CLI 或 AWS API 手动删除服务相关角色。为此,必须先手动清除服务相关角色的资源,然后才能手动删除。
注意
如果您尝试删除资源时 AMS Accelerate 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
删除 AWSServiceRoleForAWSManagedServicesDeploymentToolkit 服务相关角色使用的 AMS Accelerate 资源
在 AMS 中从您的账户加入的所有区域中删除ams-cdk-toolkit堆栈(您可能需要先手动清空 S3 存储桶)。
使用 IAM 手动删除服务相关角色
使用 IAM 控制台 AWS CLI、或 AWS API 删除 AWSServiceRoleForAWSManagedServicesDeploymentToolkit服务相关角色。有关更多信息,请参阅 IAM 用户指南中的删除服务相关角色。
Detective 控制 AMS Accerate 的服务相关角色
AMS Accelerate 使用名为的服务相关角色 (SLR) AWSServiceRoleForManagedServices_DetectiveControlsConfig— AWS Managed Services 使用此服务相关角色来部署配置记录器、配置规则和 S3 存储桶侦测控件。
附加到AWSServiceRoleForManagedServices_DetectiveControlsConfig服务相关角色的是以下托管策略:AWSManagedServices_DetectiveControlsConfig_ ServiceRolePolicy。有关此策略的更新,请参阅加快 AWS 托管策略的更新。
侦探权限控制 AMS Accelerate 的单反相机
AWSServiceRoleForManagedServices_DetectiveControlsConfig 服务相关角色信任以下服务来代入该角色:
detectivecontrols.managedservices.amazonaws.com
该角色附带的是AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy AWS 托管策略(请参阅该服务使用AWS 托管策略: AWSManagedServices_DetectiveControlsConfig_ ServiceRolePolicy该角色在您的账户中创建配置 AMS Detective Controls,这需要部署 s3 存储桶、配置规则和聚合器等资源。 您必须配置权限以允许 IAM 实体(例如用户、群组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《Identity and A ccess Managem AWS ent 用户指南》中的服务相关角色权限。
创建侦探控制 AMS Accelerate 的单反相机
您无需手动创建服务相关角色。当您在 AWS Management Console、或 AWS API 中加入 AMS 时 AWS CLI,AMS Accelerate 会为您创建与服务相关的角色。
重要
如果您在 2022 年 6 月 9 日之前使用 AMS Accelerate 服务,则该服务相关角色可能会出现在您的账户中,该服务相关角色开始支持服务相关角色,然后 AMS Accelerate 在您的账户中创建了该 AWSServiceRoleForManagedServices_DetectiveControlsConfig 角色。要了解更多信息,请参阅我的 IAM 账户中出现新角色。
如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您加入 AMS 时,AMS Accelerate 会再次为您创建与服务相关的角色。
编辑侦探可以控制 AMS Accelerate 的单反相机
AMS Accelerate 不允许您编辑 AWSServiceRoleForManagedServices_DetectiveControlsConfig 服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色。
删除侦探会控制 AMS Accelerate 的单反效果
您无需手动删除该 AWSServiceRoleForManagedServices_DetectiveControlsConfig 角色。当您在 AWS Management Console、或 AWS API 中退出 AMS 时 AWS CLI,AMS Accelerate 会清理资源并为您删除服务相关角色。
您也可以使用 IAM 控制台、 AWS CLI 或 AWS API 手动删除服务相关角色。为此,必须先手动清除服务相关角色的资源,然后才能手动删除。
注意
如果您尝试删除资源时 AMS Accelerate 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
删除 AWSServiceRoleForManagedServices_DetectiveControlsConfig 服务相关角色使用的 AMS Accelerate 资源
在 AMS 中ams-detective-controls-config-recorder,从您的账户加入的所有区域中删除ams-detective-controls-config-rules-cdk和ams-detective-controls-infrastructure-cdk堆栈(您可能需要先手动清空 S3 存储桶)。
使用 IAM 手动删除服务相关角色
使用 IAM 控制台 AWS CLI、或 AWS API 删除 AWSServiceRoleForManagedServices_DetectiveControlsConfig服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务相关角色。
Amazon EventBridge 规则 AMS Accelerate 的服务相关角色
AMS Accelerate 使用名为的服务相关角色 (SLR)。AWSServiceRoleForManagedServices_Events该角色信任 AWS Managed Services 服务委托人(events.managedservices.amazonaws.com)代您担任该角色。该服务使用该角色来创建 Amazon EventBridge 托管规则。此规则是您的 AWS 账户中所需的基础设施,用于将警报状态变更信息从您的账户传送到 AWS Managed Services。
AMS Acc EventBridge elerate 的 SLR 权限
AWSServiceRoleForManagedServices_Events 服务相关角色信任以下服务来代入该角色:
events.managedservices.amazonaws.com
附属于此角色的是AWSManagedServices_EventsServiceRolePolicy AWS 托管策略(请参阅AWS 托管策略: AWSManagedServices_EventsServiceRolePolicy)。该服务使用该角色将警报状态更改信息从您的账户传送到 AMS。您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《AWS Identity and Access Management 用户指南》中的服务相关角色权限。
你可以下载这个压缩文件 AWSManagedServices_EventsServiceRolePolicy 中的 JSON:EventsServiceRolePolicy.zip。
为 AMS Acc EventBridge elerate 创建单反相机
您无需手动创建服务相关角色。当您在 AWS Management Console、或 AWS API 中加入 AMS 时 AWS CLI,AMS Accelerate 会为您创建与服务相关的角色。
重要
如果您在 2023 年 2 月 7 日之前使用 AMS Accelerate 服务,则该服务相关角色可以显示在您的账户中,该 AWSServiceRoleForManagedServices_Events 服务相关角色将出现在您的账户中。要了解更多信息,请参阅我的 IAM 账户中出现新角色。
如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您加入 AMS 时,AMS Accelerate 会再次为您创建与服务相关的角色。
为 AMS Acc EventBridge elerate 编辑单反相机
AMS Accelerate 不允许您编辑 AWSServiceRoleForManagedServices_Events 服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色。
删除 AMS Acc EventBridge elerate 的单反相机
您无需手动删除该 AWSServiceRoleForManagedServices_Events 角色。当您在 AWS Management Console、或 AWS API 中退出 AMS 时 AWS CLI,AMS Accelerate 会清理资源并为您删除服务相关角色。
您也可以使用 IAM 控制台、 AWS CLI 或 AWS API 手动删除服务相关角色。为此,必须先手动清除服务相关角色的资源,然后才能手动删除。
注意
如果您尝试删除资源时 AMS Accelerate 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
删除 AWSServiceRoleForManagedServices_Events 服务相关角色使用的 AMS Accelerate 资源
使用 IAM 手动删除服务相关角色
使用 IAM 控制台 AWS CLI、或 AWS API 删除 AWSServiceRoleForManagedServices_Events 服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务相关角色。
联系人 AMS Accelerate 的服务相关角色
AMS Accelerate 使用名为的服务相关角色 (SLR) AWSServiceRoleForManagedServices_Contacts— 该角色允许服务读取受影响资源的现有标签并检索相应联系人的已配置电子邮件,从而便于在事件发生时自动发出通知。
这是唯一使用此服务相关角色的服务。
附加到AWSServiceRoleForManagedServices_Contacts服务相关角色的是以下托管策略:AWSManagedServices_ContactsServiceRolePolicy. 有关此策略的更新,请参阅加快 AWS 托管策略的更新。
AMS Accelerate 的联系人权限 SLR
AWSServiceRoleForManagedServices_Contacts 服务相关角色信任以下服务来代入该角色:
contacts-service.managedservices.amazonaws.com
此角色附带的是 AWSManagedServices_ContactsServiceRolePolicy AWS 托管策略(参见AWS 托管策略: AWSManagedServices_ContactsServiceRolePolicy)。该服务使用该角色来读取任何 AWS 资源上的标签,并找到标签中包含的电子邮件,即事件发生时的相应联系人。此角色允许 AMS 读取受影响资源上的标签并检索电子邮件,从而便于在事件发生时自动发出通知。有关更多信息,请参阅《Identity and A ccess Managem AWS ent 用户指南》中的服务相关角色权限。
重要
请勿在标签中存储个人身份信息(PII)或其他机密或敏感信息。AMS 使用标签为您提供管理服务。标签不适合用于私有或敏感数据。
名为的角色权限策略 AWSManagedServices_ContactsServiceRolePolicy 允许 AMS Accelerate 对指定资源完成以下操作:
操作:允许联系人服务读取专门设置为包含 AMS 在任何 AWS 资源上发送事件通知的电子邮件的标签。
你可以下载这个压缩文件 AWSManagedServices_ContactsServiceRolePolicy 中的 JSON:ContactsServicePolicy.zip。
为 AMS Accelerate 创建联系人单反相机
您无需手动创建服务相关角色。当您在 AWS Management Console、或 AWS API 中加入 AMS 时 AWS CLI,AMS Accelerate 会为您创建与服务相关的角色。
重要
如果您在 2023 年 2 月 16 日之前使用 AMS Accelerate 服务,则该服务相关角色可以出现在您的账户中,该服务相关角色开始支持服务相关角色,然后 AMS Accelerate 在您的账户中创建了该 AWSServiceRoleForManagedServices_Contacts 角色。要了解更多信息,请参阅我的 IAM 账户中出现新角色。
如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您加入 AMS 时,AMS Accelerate 会再次为您创建与服务相关的角色。
为 AMS Accelerate 编辑联系人单反相机
AMS Accelerate 不允许您编辑 AWSServiceRoleForManagedServices_Contacts 服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色。
删除 AMS Accelerate 的联系人单反相机
您无需手动删除该 AWSServiceRoleForManagedServices_Contacts 角色。当您在 AWS Management Console、或 AWS API 中退出 AMS 时 AWS CLI,AMS Accelerate 会清理资源并为您删除服务相关角色。
您也可以使用 IAM 控制台、 AWS CLI 或 AWS API 手动删除服务相关角色。为此,必须先手动清除服务相关角色的资源,然后才能手动删除。
注意
如果您尝试删除资源时 AMS Accelerate 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
删除 AWSServiceRoleForManagedServices_Contacts 服务相关角色使用的 AMS Accelerate 资源
使用 IAM 手动删除服务相关角色
使用 IAM 控制台 AWS CLI、或 AWS API 删除 AWSServiceRoleForManagedServices_Contacts 服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务相关角色。
AMS 支持的区域加速服务相关角色
AMS Accelerate 支持在提供服务的所有地区使用服务相关角色。有关更多信息,请参阅 AWS 区域和端点。
加快服务相关角色的更新
查看有关自该服务开始跟踪服务相关角色变更以来这些更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 “加速” AMS Accelerate 用户指南的文档历史记录 页面上的 RSS 提要。
| 更改 | 描述 | 日期 |
|---|---|---|
更新的政策-部署工具包 |
|
2024 年 4 月 4 日 |
更新的政策-部署工具包 |
|
2023年5月9日 |
更新后的政策 — Det ective Con t |
|
2023 年 4 月 10 日 |
更新后的政策 — Det ective Con t |
更新了策略并添加了权限边界策略。 |
2023 年 3 月 21 日 |
新的服务相关角色-联系人 SLR |
Accelerate 为通讯录服务添加了一个新的服务相关角色。 该角色允许服务读取受影响资源的现有标签并检索相应联系人的已配置电子邮件,从而便于在事件发生时自动发出通知。 |
2023 年 2 月 16 日 |
新的服务相关角色 — EventBridge |
Accelerate 为 Amazon EventBridge 规则添加了一个新的服务相关角色。 该角色信任 AWS Managed Services 服务委托人(events.managedservices.amazonaws.com)代您担任该角色。该服务使用该角色来创建 Amazon EventBridge 托管规则。此规则是您的 AWS 账户中所需的基础设施,用于将警报状态变更信息从您的账户传送到 AWS Managed Services。 |
2023 年 2 月 7 日 |
更新了服务相关角色-部署工具包 |
AWSServiceRoleForAWSManagedServicesDeploymentToolkit 使用新的 S3 权限加快更新速度。 添加了以下新权限:
|
2023 年 1 月 30 日 |
加速开始跟踪更改 |
Accelerate 开始跟踪其服务相关角色的变化。 |
2022 年 11 月 30 日 |
新的服务相关角色 — Detective Contro ls |
Accelerate 添加了一个新的服务相关角色来部署加速侦探控制。 AWS Managed Services 使用此服务相关角色来部署配置记录器、配置规则和 S3 存储桶侦测控件。 |
2022 年 10 月 13 日 |
新的服务相关角色-部署工具包 |
Accelerate 添加了一个新的服务相关角色来部署加速基础架构。 此角色将 AMS Accelerate 基础设施部署到客户账户。 |
2022 年 6 月 9 日 |
