本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AMS 中的自动 IAM 配置的工作原理
自动化 IAM 配置依赖于 IAM 的自动运行时检查来验证 IAM 资源的更改。这些自动检查是在运行 “创建”、“更新” 或 “删除” 更改类型时执行的,可防止过度宽松或模式不安全的 IAM 资源部署到您的账户中。这使您可以将 IAM 审核的严格程度与团队的专业知识相匹配。我们建议刚接触云服务且需要手动检查所有 IAM 资源变更的团队使用现有的 “需要审阅” 的更改类型:部署 | 高级堆栈组件 | 身份和访问管理 (IAM) | 创建实体或策略(需要审阅),(ct-3dpd8mdd9jn1r)。具有 AWS 专业知识并能控制其环境的团队可以使用自动 IAM 配置来加快部署速度。您可以使用此功能通过自动运行时检查来执行验证,或者在成功验证后对 IAM 资源进行验证和配置。
重要
AWS Managed Services 已主动实施了一系列验证运行时检查,以防止创建具有特定权限和条件的 IAM 资源或策略。有关这些权限和条件的描述,请参阅在 AMS 高级版中部署 IAM 资源。自动变更类型 ct-1n9gfnog5x7fl、ct-1e0xmuy1diafq 和 ct-17cj84y7 632o6 允许精通管理 IAM 资源的用户配置允许超出只读权限的操作的 IA M 角色和策略。
此外,你可以使用通过自动变更类型 ct-1n9gfnog5x7fl、ct-1e0xmuy1diafq 和 ct-17cj84y7632o6 创建的角色来创建新资源。但是,这些资源不能遵循 AMS 命名标准,也不是标准 AMS 堆栈的一部分。AMS 尽最大努力为这些特定资源提供运营和安全支持。
虽然手动和自动流程都旨在维护我们的安全标准,但值得注意的是,两者之间的检查存在差异。自动配置允许更灵活地创建和更新角色和策略;因此,它们是不一样的。建议您的组织仔细查看《AMS 用户指南》中列出的验证运行时检查,以确保它们符合贵组织的期望和要求。
验证流程
验证和配置流程
注意
此功能适用于对 IAM 资源有经验 AWS 的团队,我们不建议刚开始使用该功能的团队使用 AWS。自动验证流程旨在捕捉大多数错误,有助于团队在了解所需的权限后快速查看 IAM 的更改。为了安全有效地使用新的变更类型,我们建议您充分了解 AWS IAM 以及变更类型提供的运行时检查,以确定它们是否适合您的团队。
