在 AMS 中使用 AMS 自动化 IAM 配置 - AMS 高级用户指南

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 AMS 中使用 AMS 自动化 IAM 配置

您可以使用 RFCs 以下 AMS 自动 IAM 配置更改类型进行创建。

注意
  • 仅支持对角色和策略进行置备。

    更新角色时,Update CT 将现有的托管策略列表 Amazon 资源名称 (ARNs) 和 “代入角色” 策略文档替换为提供的托管策略列表 ARNs 和 “代入角色” 策略文档。在部分更新中;例如,在现有托管策略列表中添加或删除 ARN ARNs,不允许在 “代入角色” 策略文档中添加或删除单个策略声明。同样,在更新策略时,Update CT 会取代现有的策略文档,并且不允许在现有政策文档中添加或删除单个政策声明。

  • 选择 “仅验证” 选项后,将在不预配置任何 IAM 实体或策略的情况下执行运行时检查。不管有什么发现,RFC 的状态都是 “成功”。“成功” 状态表示已成功对所提供的 IAM 实体或策略进行验证。

您只能 CTs 使用专用 IAM 角色调用前三个角色:AWSManagedServicesIAMProvisionAdminRole. 此角色仅适用于使用管理 | 托管账户 | AMS 自动 IAM 配置读写权限 | 启用(需要审核)(ct-1706xvvk6j9hf) 加入该功能的账户。

重要

创建、更新和删除更改类型在您的账户中始终可见,但默认情况下它们并未开启。如果您在未先启用 AMS 自动 IAM 配置功能的情况下尝试使用其中一种更改类型提交 RFC,则会显示 “未授权” 错误。

限制:

  • 创建 CT 可能允许您创建具有创建 AWS 资源权限的 IAM 角色或策略。但是,由这些角色和策略创建的 AWS 资源不由 AMS 管理。最佳做法是遵守组织控制以限制此类角色或策略的创建。

  • Update CT 无法修改通过 CFN Ingest、直接更改模式、开发者模式创建的 IAM 角色和策略,在某些情况下,也无法修改通过现有 AMS Advanced 手动或自动模式创建的 IAM 角色和策略。 CTs

  • 删除 CT 无法删除不是使用 AMS 自动 IAM 配置创建 CT 创建的现有角色或策略。

  • 直接更改模式角色不支持具有读写权限的 AMS 自动 IAM 配置功能。这意味着您无法使用这些角色配置或更新具有读写权限的 IAM 角色和策略。

  • 具有读写权限的 AMS 自动 IAM 配置创建、更新和删除更改类型与 ServiceNow 连接器不兼容。