本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AMS 访问您的账户的原因和时间
<a name="access-justification"></a>

AWS Managed Services (AMS) 管理您的 AWS 基础设施，有时，出于特定原因，AMS 操作员和管理员会访问您的账户。这些访问事件记录在您的 AWS CloudTrail (CloudTrail) 日志中。

以下主题解释了 AMS 访问您的账户的原因、时间和方式。

## AMS 客户账户访问触发器
<a name="access-mgmt-triggers"></a>

AMS 客户账户访问活动由触发器驱动。今天的触发器是在我们的问题管理系统中为响应 Amazon CloudWatch (CloudWatch) 警报和事件以及您提交的事件报告或服务请求而创建的 AWS 票证。每次访问可能会执行多个服务呼叫和主机级别的活动。

下表列出了访问理由、触发器和触发器的启动者。


**访问触发器**  
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/access-justification.html)

## AMS 客户账户访问权限 IAM 角色
<a name="access-mgmt-iam-roles"></a>

触发后，AMS 使用 AWS Identity and Access Management (IAM) 角色访问客户账户。与您账户中的所有活动一样，角色及其使用情况均已登录 CloudTrail。

**重要**  
请勿修改或删除这些角色。


**用于 AMS 访问客户账户的 IAM 角色**  
<a name="iam-access-roles-table"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/access-justification.html)

## 请求实例访问权限
<a name="req-instance-access"></a>

要访问资源，必须先提交变更申请 (RFC) 才能访问该资源。您可以请求两种访问权限：管理员（读/写权限）和只读（标准用户访问权限）。默认情况下，访问持续八小时。此信息为必填项：
+ 您要访问的一个或多个实例的堆栈 IDs ID 或堆栈集。
+ 您的 AMS 信任域的完全限定域名。
+ 想要访问的用户的 Active Directory 用户名。
+ 您要访问堆栈所在的 VPC 的 ID。

获得访问权限后，您可以根据需要更新请求。

有关如何请求访问权限的示例，请参阅[堆栈管理员访问权限 \$1 授予](https://docs.aws.amazon.com/managedservices/latest/ctref/management-access-stack-admin-access-grant.html)或[堆栈只读访问权限 \$1 授予](https://docs.aws.amazon.com/managedservices/latest/ctref/management-access-stack-read-only-access-grant.html)。