直接更改模式入门 - AMS 高级用户指南
直接更改模式 IAM 角色和策略

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

直接更改模式入门

首先检查先决条件,然后在符合条件的 AMS Advanced 账户中提交变更申请 (RFC)。

  1. 确认您要在 DCM 中使用的账户是否符合要求:

    • 该账户是 AMS 高级增强版或高级版。

    • 该账户未启用 Service Catalog。我们目前不支持同时登录 DCM 和 Service Catalog 的账号。如果您已加入 Service Catalog 但对 DCM 感兴趣,请与您的云服务交付经理 (CSDM) 讨论您的需求。如果您决定从 Service Catalog 切换到 DCM,请在下面的变更请求中加入询问。有关 AMS 中的服务目录的详细信息,请参阅 AMS 和服务目录

  2. 使用管理 | 托管账户 | 直接更改模式 | 启用更改类型 (ct-3rd4781c2nnhp) 提交变更申请 (RFC)。有关演练示例,请参阅直接更改模式 | 启用

    处理 CT 后,将在指定账户中配置预定义AWSManagedServicesUpdateRole的 IAM 角色AWSManagedServicesCloudFormationAdminRole和。

  3. 使用您的内部联合流程为需要 DCM 访问权限的用户分配相应的角色。

注意

您可以指定任意数量的 SAMLIdentity提供商、 AWS 服务和 IAM 实体(角色、用户等)来担任这些角色。您必须至少提供一个:SAMLIdentityProviderARNsIAMEntityARNs、或AWSServicePrincipals。有关更多信息,请咨询贵公司的 IAM 部门或 AMS 云架构师 (CA)。

直接更改模式 IAM 角色和策略

在账户中启用直接更改模式后,将部署以下新的 IAM 实体:

AWSManagedServicesCloudFormationAdminRole:此角色授予访问 CloudFormation 控制台、创建和更新 CloudFormation 堆栈、查看偏差报告以及创建和执行 CloudFormation ChangeSets的权限。此角色的访问权限由您的 SAML 提供商管理。

部署并附加到角色的托管策略AWSManagedServicesCloudFormationAdminRole有:

  • AMS 高级多账号 landing zone (MALZ) 应用程序账户

    • AWSManagedServices_CloudFormationAdminPolicy1

    • AWSManagedServices_CloudFormationAdminPolicy2

      • 此策略代表授予的权限AWSManagedServicesCloudFormationAdminRole。您和合作伙伴使用此政策授予对账户中现有角色的访问权限,并允许该角色启动和更新账户中的 CloudFormation 堆栈。这可能需要额外的 AMS 服务控制策略 (SCP) 更新,以允许其他 IAM 实体启动 CloudFormation 堆栈。

  • AMS 高级单账号 landing zone (SALZ) 账户

    • AWSManagedServices_CloudFormationAdminPolicy1

    • AWSManagedServices_CloudFormationAdminPolicy2

    • cdk-legacy-mode-s3 次访问 [内联政策]

    • AWS ReadOnlyAccess 政策

AWSManagedServicesUpdateRole:此角色授予对下游 AWS 服务的受限访问权限 APIs。该角色采用托管策略部署,这些策略提供变更和非变更的 API 操作,但通常限制针对某些服务(例如 IAM、KMS、GuardDuty VPC、AMS 基础设施资源和配置等Create/Delete/PUT)的变更操作(例如)。 此角色的访问权限由您的 SAML 提供商管理。

部署并附加到角色的托管策略AWSManagedServicesUpdateRole有:

  • AMS 高级多账号 landing zone 应用程序账号

    • AWSManagedServicesUpdateBasePolicy 

    • AWSManagedServicesUpdateDenyPolicy 

    • AWSManagedServicesUpdateDenyProvisioningPolicy 

    • AWSManagedServicesUpdateEC2而且 RDSPolicy 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfra政策

  • AMS 高级单账号 landing zone 账号

    • AWSManagedServicesUpdateBasePolicy 

    • AWSManagedServicesUpdateDenyProvisioningPolicy 

    • AWSManagedServicesUpdateEC2而且 RDSPolicy 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfra政策 1 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfra政策 2

除此之外,托管策略AWSManagedServicesUpdateRole角色还ViewOnlyAccess附加了 AWS 托管策略。