本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 AMS 中使用 AMS 自动化 IAM 配置
您可以使用 RFCs 以下 AMS 自动 IAM 配置更改类型进行创建。
注意
-
仅支持对角色和策略进行置备。
更新角色时,Update CT 将现有的托管策略列表 Amazon 资源名称 (ARNs) 和 “代入角色” 策略文档替换为提供的托管策略列表 ARNs 和 “代入角色” 策略文档。在部分更新中;例如,在现有托管策略列表中添加或删除 ARN ARNs,不允许在 “代入角色” 策略文档中添加或删除单个策略声明。同样,在更新策略时,Update CT 会取代现有的策略文档,并且不允许在现有政策文档中添加或删除单个政策声明。
-
选择 “仅验证” 选项后,将在不预配置任何 IAM 实体或策略的情况下执行运行时检查。不管有什么发现,RFC 的状态都是 “成功”。“成功” 状态表示已成功对所提供的 IAM 实体或策略进行验证。
部署 | 高级堆栈组件 | 身份和访问管理 (IAM) Management | 创建实体或策略(读写权限)(ct-1n9gfnog5x7fl):自动验证和配置新的 IAM 实体或策略。
管理 | 高级堆栈组件 | 身份和访问管理 (IAM) Management | 更新实体或策略(读写权限)(ct-1e0xmuy1diafq):现有 IAM 实体或策略会自动更新和验证。
管理 | 高级堆栈组件 | 身份和访问管理 (IAM) Management | 删除实体或策略(读写权限)(ct-17cj84y7632o6):使用自动创建实体或策略更改类型配置的现有 IAM 实体或策略已删除。
您只能 CTs 使用专用 IAM 角色调用前三个角色:AWSManagedServicesIAMProvisionAdminRole. 此角色仅适用于使用管理 | 托管账户 | AMS 自动 IAM 配置读写权限 | 启用(需要审核)(ct-1706xvvk6j9hf) 加入该功能的账户。
重要
创建、更新和删除更改类型在您的账户中始终可见,但默认情况下它们并未开启。如果您在未先启用 AMS 自动 IAM 配置功能的情况下尝试使用其中一种更改类型提交 RFC,则会显示 “未授权” 错误。
限制:
创建 CT 可能允许您创建具有创建 AWS 资源权限的 IAM 角色或策略。但是,由这些角色和策略创建的 AWS 资源不由 AMS 管理。最佳做法是遵守组织控制以限制此类角色或策略的创建。
Update CT 无法修改通过 CFN Ingest、直接更改模式、开发者模式创建的 IAM 角色和策略,在某些情况下,也无法修改通过现有 AMS Advanced 手动或自动模式创建的 IAM 角色和策略。 CTs
删除 CT 无法删除不是使用 AMS 自动 IAM 配置创建 CT 创建的现有角色或策略。
直接更改模式角色不支持具有读写权限的 AMS 自动 IAM 配置功能。这意味着您无法使用这些角色配置或更新具有读写权限的 IAM 角色和策略。
具有读写权限的 AMS 自动 IAM 配置创建、更新和删除更改类型与 ServiceNow 连接器不兼容。
