本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AMS 访问您的账户的原因和时间
AWS Managed Services (AMS) 管理您的 AWS 基础设施,有时,出于特定原因,AMS 操作员和管理员会访问您的账户。这些访问事件记录在您的 AWS CloudTrail (CloudTrail) 日志中。
以下主题解释了 AMS 访问您的账户的原因、时间和方式。
AMS 客户账户访问触发器
AMS 客户账户访问活动由触发器驱动。今天的触发器是在我们的问题管理系统中为响应 Amazon CloudWatch (CloudWatch) 警报和事件以及您提交的事件报告或服务请求而创建的 AWS 票证。每次访问可能会执行多个服务呼叫和主机级别的活动。
下表列出了访问理由、触发器和触发器的启动者。
| 访问 | 发起者 | 触发器 |
|---|---|---|
修补 |
AMS |
补丁问题 |
基础设施部署 |
AMS |
部署问题 |
内部问题调查 |
AMS |
问题问题(已确定为系统性问题) |
警报调查和补救 |
AMS |
AWS Systems Manager 运营工作项目 (SSM OpsItems) |
手动执行 RFC |
您 |
变更申请 (RFC) 问题。(非自动化 RFCs 可能需要 AMS 访问您的资源) |
事故调查和补救 |
您 |
入站支持案例(您提交的事件或服务请求) |
入库服务请求配送 |
您 |
AMS 客户账户访问权限 IAM 角色
触发后,AMS 使用 AWS Identity and Access Management (IAM) 角色访问客户账户。与您账户中的所有活动一样,角色及其使用情况均已登录 CloudTrail。
重要
请勿修改或删除这些角色。
| 角色名称 | 账户类型(SALZ、MALZ 管理、MALZ 应用程序等) | 说明 |
|---|---|---|
ams-service-admin |
SALZ、MALZ |
AMS 服务自动化访问和自动基础设施部署,例如 Patch、Backup、自动修复。 |
ams-application-infra-read-只有 |
SALZ、MALZ 应用程序、MALZ Tools-Application |
操作员只读权限 |
ams-application-infra-operations |
操作员访问 incidents/service 请求 | |
ams-application-infra-admin |
AD 管理员访问权限 | |
ams-primary-read-only |
MALZ 管理层 |
操作员只读权限 |
ams-primary-operations |
操作员访问 incidents/service 请求 | |
ams-primary-admin |
AD 管理员访问权限 | |
ams-logging-read-only |
MALZ 日志记录 |
操作员只读权限 |
ams-logging-operations |
操作员访问 incidents/service 请求 | |
ams-logging-admin |
AD 管理员访问权限 | |
ams-networking-read-only |
MALZ 网络 |
操作员只读权限 |
ams-networking-operations |
操作员访问 incidents/service 请求 | |
ams-networking-admin |
AD 管理员访问权限 | |
ams-shared-services-read-只有 |
MALZ 共享服务 |
操作员只读权限 |
ams-shared-services-operations |
操作员访问 incidents/service 请求 | |
ams-shared-services-admin |
AD 管理员访问权限 | |
ams-security-read-only |
MALZ 安全 |
操作员只读权限 |
ams-security-operations |
操作员访问 incidents/service 请求 | |
ams-security-admin |
AD 管理员访问权限 | |
ams-access-security-analyst |
SALZ、MALZ 应用程序、MALZ Tools-Application、MALZ Core |
AMS 安全访问权限 |
ams-access-security-analyst-只读 |
AMS 安全,只读权限 | |
Sentinel_ _Role_ 0 m AdminUser BHe PXHaz RQadu PVc CDc |
SALZ |
[BreakGlassRole] 用于 BreakGlass 进入客户账户 |
Sentinel_ _Role_ PowerUser S0 0 wZuPu ROOl IazDb RI9 |
SALZ、MALZ |
Poweruser 可以访问客户账户以执行 RFC |
Sentinel_ _role_pd4l6l6rw9rd0lnlkd5 ReadOnlyUser JOo |
ReadOnly 访问客户账户以执行 RFC | |
ams_admin_role |
管理员访问客户账户以执行 RFC | |
AWSManagedServices_Provisioning_CustomerStacksRole |
用于通过 Ingest 代表客户启动和更新 CFN 堆栈 CloudFormation | |
客户_ssm_自动化_角色 |
CT 执行将角色传递给 SSM Automation 以执行运行手册 | |
ams_ssm_automation_role |
SALZ、MALZ 应用程序、MALZ Core |
AMS 服务将角色传递给 SSM Automation 以执行运行手册 |
ams_ssm_iam_deployment_role |
MALZ 应用程序 |
IAM 目录使用的角色 |
ams_ssm_shared_svcs_mediary_role |
MALZ 共享服务 |
应用程序 ams_ssm_automation_role 在共享服务账户中执行特定 SSM 文档时使用的角色 |
AmsOpsCenterRole |
SALZ、MALZ |
用于在客户账户 OpsItems 中创建和更新 |
AMSOpsItemAutoExecutionRole |
用于获取 SSM 文档、描述资源标签 OpsItems、更新和启动自动化 | |
customer-mc-ec2 实例配置文件 |
默认客户 EC2 实例配置文件(角色) |
请求实例访问权限
要访问资源,必须先提交变更申请 (RFC) 才能访问该资源。您可以请求两种访问权限:管理员(读/写权限)和只读(标准用户访问权限)。默认情况下,访问持续八小时。此信息为必填项:
您要访问的一个或多个实例的堆栈 IDs ID 或堆栈集。
您的 AMS 信任域的完全限定域名。
想要访问的用户的 Active Directory 用户名。
您要访问堆栈所在的 VPC 的 ID。
获得访问权限后,您可以根据需要更新请求。
有关如何请求访问权限的示例,请参阅堆栈管理员访问权限 | 授予或堆栈只读访问权限 | 授予。
