登录 AMS 在 AMS 中自动配置 IAM

要使用新的更改类型，请先使用以下更改类型提交 RFC 来启用 AMS 自动 IAM 配置：管理 | 托管账户 | 具有读写权限的 AMS 自动 IAM 配置 | 启用（需要审阅）(ct-1706xvvk6j9hf)。 AWS 要求您的组织通过客户安全风险管理 (CSRM) 流程，以确保这些变更类型的使用符合您的组织政策。作为所需审查的一部分， AWS 运营团队会与您合作，以风险接受的形式获得您的安全团队联系人的明确批准。要了解更多信息，请参阅 RFC 客户风险管理 (CSRM) 流程。

在开启具有读写权限的 AMS 自动 IAM 配置功能的 RFC 成功后，AMS 将在用于提交启用 RFC 的账户中启用 AMS 自动 IAM 配置变更类型。要确认账户是否已开启 AMS 自动 IAM 配置，请在 IAM 控制台中查看该AWSManagedServicesIAMProvisionAdminRole角色。

在入职过程中，AMS 会在账户的同一 AWS 区域配置 IAM 访问分析器，以利用其访问预览功能。IAM Access Analyzer 可帮助识别您的组织和账户中与外部实体共享的资源，根据策略语法和最佳实践验证 IAM 策略，并根据 AWS CloudTrail 日志中的访问活动生成 IAM 策略。要了解更多信息，请参阅使用 AWS Identity and Access Management Access Analyzer。

一旦加载，就会部署到AWSManagedServicesIAMProvisionAdminRole已启用的账户。如果您选择通过 SAML 联合使用此角色，则必须将该角色加入您的联合解决方案。

作为入职的一部分，您可以使用请求更新 AWSManaged服务的IAMProvisionAdminRole信任政策，以授予其他 IAM 角色 ARN 代入此角色。 AWS Security Token Service