本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AMS 自动化 IAM 配置权限边界检查
AMS 权限边界检查可帮助您遵守 AMS 提供的默认权限边界政策。此策略列出了 AMS 自动 IAM 配置拒绝的操作。包含这些受限操作的配置策略需要额外的明确风险承受能力。在此处下载政策:boundary-policy.zip。
使用客户定义的权限边界策略检查来自定义 AMS 权限边界策略默认值之外的拒绝操作。当您使用以下更改类型加入 AMS 自动 IAM 配置时:管理 | 托管账户 | 具有读写权限的 AMS 自动 IAM 配置 | 启用(需要审阅)(ct-1706xvvk6j9hf),您可以包括指定其他受限操作的自定义拒绝操作列表。
您可以使用更改类型更新拒绝操作列表:管理 | 托管账户 | 具有读写权限的自动 IAM 配置 | 更新自定义拒绝列表 (ct-2r9xvd3sdsic0)。您必须使用专用 IAM 角色AWSManagedServicesIAMProvisionAdminRole才能运行此更改类型。
注意
您必须为每次更新提供一份完整的拒绝操作列表。以前的列表被新列表所取代。
拒绝操作列表必须仅包含要拒绝的操作。不支持 “允许” 操作。
拒绝操作列表以名为的 IAM 托管策略的形式存在于账户中
AWSManagedServicesIAMProvisionCustomerBoundaryPolicy。该策略不得附加到任何角色上。与 IAM 权限边界相比,用于表示 AMS 自动 IAM 配置中被拒绝的操作的术语具有不同的上下文含义。IAM 权限边界设置了策略在运行时可以向 IAM 实体授予的最大权限。有关 IAM 权限边界的更多信息,请参阅AWS Identity and Access Management 用户指南中的策略类型。AMS 自动 IAM 配置中的权限边界会阻止您配置包含特定权限集(例如被拒绝的操作列表)的 IAM 策略。
