身份和访问管理 (IAM) Access Management | 创建实体或策略(需要审阅) - AMS 高级更改类型参考
更改类型详情附加信息执行输入参数示例:必填参数示例:所有参数

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

身份和访问管理 (IAM) Access Management | 创建实体或策略(需要审阅)

创建身份和访问管理 (IAM) Access Management 用户、角色或策略。

完整分类:部署 | 高级堆栈组件 | 身份和访问管理 (IAM) | 创建实体或策略(需要审查)

更改类型详情

更改类型 ID

ct-3dpd8mdd9jn1R

当前版本

1.0

预期执行时长

240 分钟

AWS 批准

必需

客户批准

如果是提交者,则不需要填写

执行模式

手动

附加信息

创建 IAM 实体或策略(需要审查)

Create IAM Resource panel showing change type, description, ID, version, and execution mode.

它是如何运作的:

  1. 导航到 “创建 RFC” 页面:在 AMS 控制台的左侧导航窗格中,单击RFCs打开 RFCs 列表页面,然后单击 “创建 R FC”。

  2. 在默认的 “浏览更改类型” 视图中选择常用更改类型 (CT),或者在 “按类别选择” 视图中选择 CT。

    • 按更改类型浏览:您可以单击 “快速创建” 区域中的常用 CT,立即打开 “运行 RFC” 页面。请注意,您不能使用快速创建来选择较旧的 CT 版本。

      要进行排序 CTs,请使用卡片视图或表格视图中的所有更改类型区域。在任一视图中,选择一个 CT,然后单击 “创建 RFC” 打开 “运行 RFC” 页面。如果适用,“创建 RFC” 按钮旁边会出现 “使用旧版本创建” 选项。

    • 按类别选择:选择类别、子类别、项目和操作,CT 详细信息框将打开,并显示 “使用旧版本创建” 选项(如果适用)。单击 “创建 RFC” 打开 “运行 RFC” 页面。

  3. 在 “运行 RFC” 页面上,打开 CT 名称区域以查看 CT 详细信息框。必须填写主题(如果您在 “浏览更改类型” 视图中选择 CT,则会为您填写此主题)。打开 “其他配置” 区域以添加有关 RFC 的信息。

    执行配置区域中,使用可用的下拉列表或输入所需参数的值。要配置可选的执行参数,请打开其他配置区域。

  4. 完成后,单击 “运行”。如果没有错误,则会显示成功创建的 RFC 页面,其中包含已提交的 RFC 详细信息和初始运行输出。

  5. 打开运行参数区域以查看您提交的配置。刷新页面以更新 RFC 的执行状态。(可选)取消 RFC 或使用页面顶部的选项创建一个 RFC 的副本。

它是如何运作的:

  1. 使用 Inline Create(您发出包含所有 RFC 和执行参数的create-rfc命令)或模板创建(创建两个 JSON 文件,一个用于 RFC 参数,一个用于执行参数),然后以这两个文件作为输入发出create-rfc命令。这里描述了这两种方法。

  2. 提交带有返回的 RFC ID 的 RFC: aws amscm submit-rfc --rfc-id ID 命令。

    监控 RFC: aws amscm get-rfc --rfc-id ID 命令。

要检查更改类型版本,请使用以下命令:

aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
注意

您可以将任何CreateRfc参数与任何 RFC 一起使用,无论它们是否属于变更类型的架构的一部分。例如,要在 RFC 状态更改时收到通知,请将此行添加到请求的 RFC 参数部分(不是执行参数)。--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"有关所有 CreateRfc 参数的列表,请参阅《AMS 变更管理 API 参考》。

注意

粘贴政策文档时,请注意,RFC 仅接受不超过 20,480 个字符的策略粘贴。如果您的文件超过 20,480 个字符,请创建服务请求以上传策略,然后在您为 IAM 打开的 RFC 中引用该服务请求。

内联创建

使用内联提供的执行参数(内联提供执行参数时使用转义引号)发出 create RFC 命令,然后提交返回的 RFC ID。例如,你可以用这样的东西替换内容:

aws amscm create-rfc --change-type-id "ct-3dpd8mdd9jn1r" --change-type-version "1.0" --title "TestIamCreate" --execution-parameters "{\"UseCase\":\"IAM_RESOURCE_DETAILS\",\"IAM Role\":[{\"RoleName\":\"ROLE_NAME\",\"TrustPolicy\":\"TRUST_POLICY\",\"RolePermissions\":\"ROLE_PERMISSIONS\"}],\"Operation\":\"Create\"}"

模板创建

  1. 将此更改类型的执行参数 JSON 架构输出到文件中;示例将其命名为 CreateIamResourceParams .json:

    aws amscm get-change-type-version --change-type-id "ct-3dpd8mdd9jn1r" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateIamResourceParams.json

  2. 修改并保存 CreateIamResourceParams 文件;示例创建一个 IAM 角色,其中策略文档以内联方式粘贴。

    {
  "UseCase": "IAM_RESOURCE_DETAILS",
  "IAM Role": [
    {
      "RoleName": "codebuild_ec2_test_role",
      "TrustPolicy": {
        "Version": "2008-10-17",
        "Statement": [
          {
            "Effect": "Allow",
            "Principal": {
              "Service": "codebuild.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
          }
        ]
      },
      "RolePermissions": {
        "Version": "2012-10-17",
        "Statement": [
          {
            "Effect": "Allow",
            "Action": [
              "ec2:DescribeInstanceStatus"
            ],
            "Resource": "*"
          }
        ]
      }
    }
  ],
  "Operation": "Create"
}

  3. 将 RFC 模板 JSON 文件输出到名为 CreateIamResourceRfc .json 的文件中:

    aws amscm create-rfc --generate-cli-skeleton > CreateIamResourceRfc.json

  4. 修改并保存 CreateIamResourceRfc .json 文件。例如,你可以用这样的东西替换内容:

    {
"ChangeTypeVersion": "1.0",
"ChangeTypeId": "ct-3dpd8mdd9jn1r",
"Title": "Create IAM Role"
}

  5. 创建 RFC,指定 CreateIamResourceRfc 文件和 CreateIamResourceParams 文件:

    aws amscm create-rfc --cli-input-json file://CreateIamResourceRfc.json  --execution-parameters file://CreateIamResourceParams.json

    您在响应中收到新 RFC 的 ID,并可以使用它来提交和监控 RFC。在您提交之前,RFC 仍处于编辑状态且无法启动。

  • 在您的账户中配置 IAM 角色后,您必须在联合身份验证解决方案中加入该角色。

  • 粘贴政策文档时,请注意,RFC 仅接受不超过 20,480 个字符的策略粘贴。如果您的政策超过 20,480 个字符,请创建服务请求以上传策略,然后在您为 IAM 打开的 RFC 中引用该服务请求。

  • 这是 “需要审核” 的变更类型(AMS 操作员必须审核并运行 CT),这意味着 RFC 可能需要更长的时间才能运行,您可能需要通过 RFC 详细信息页面的对应选项与 AMS 沟通。此外,如果您安排 “需要审核” 的更改类型 RFC,请务必留出至少 24 小时的时间,如果在预定的开始时间之前没有获得批准,RFC 将被自动拒绝。

  • 有关信息 AWS Identity and Access Management,请参阅 AWS Identity and Access Management (IAM);有关策略的信息,请参阅托管策略和内联策略。有关 AMS 权限的信息,请参阅部署 IAM 资源

执行输入参数

有关执行输入参数的详细信息,请参见变更架构类型 ct-3dpd8mdd9jn1r

示例:必填参数

{
  "UseCase": "Use case...",
  "Operation": "Create"
}

示例:所有参数

{
  "UseCase": "Use case...",
  "IAM User": [
    {
      "UserName": "user-a",
      "AccessType": "Console access",
      "AddPermissionsAsInlinePolicy": "No",
      "UserPermissionPolicyName": "policy",
      "UserPermissions": "Power User permissions",
      "Tags": [
        {
          "Key": "foo",
          "Value": "bar"
        },
        {
          "Key": "testkey",
          "Value": "testvalue"
        }
      ]
    }
  ],
  "IAM Role": [
    {
      "RoleName": "role-b",
      "AddPermissionsAsInlinePolicy": "No",
      "InstanceProfile": "No",
      "TrustPolicy": "Trust policy example",
      "RolePermissionPolicyName": "TestPolicy1",
      "RolePermissions": "Role permissions example",
      "ManagedPolicyArns": [
        "arn:aws:iam::123456789012:policy/policy01",
        "arn:aws:iam::123456789012:policy/policy02"
      ],
      "Path": "/",
      "Tags": [
        {
          "Key": "foo",
          "Value": "bar"
        },
        {
          "Key": "testkey",
          "Value": "testvalue"
        }
      ]
    }
  ],
  "IAM Policy": [
    {
      "PolicyName": "policy1",
      "PolicyDocument": "Policy document example 1",
      "Path": "/",
      "RelatedResources": [
        "resourceA",
        "resourceB"
      ],
      "CreatePolicyAsInlinePolicy": "No"
    },
    {
      "PolicyName": "policy2",
      "PolicyDocument": "Policy document example 2",
      "Path": "/",
      "RelatedResources": [
        "resourceC",
        "resourceD"
      ],
      "CreatePolicyAsInlinePolicy": "Yes"
    }
  ],
  "Operation": "Create",
  "Priority": "Medium"
}