本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
直接更改模式入门
首先检查先决条件,然后在符合条件的 AMS Advanced 账户中提交变更申请 (RFC)。
确认您要在 DCM 中使用的账户是否符合要求:
该账户是 AMS 高级增强版或高级版。
该账户未启用 Service Catalog。我们目前不支持同时登录 DCM 和 Service Catalog 的账号。如果您已加入 Service Catalog 但对 DCM 感兴趣,请与您的云服务交付经理 (CSDM) 讨论您的需求。如果您决定从 Service Catalog 切换到 DCM,请在下面的变更请求中加入询问。有关 AMS 中的服务目录的详细信息,请参阅 AMS 和服务目录。
使用管理 | 托管账户 | 直接更改模式 | 启用更改类型 (ct-3rd4781c2nnhp) 提交变更申请 (RFC)。有关演练示例,请参阅直接更改模式 | 启用。
处理 CT 后,将在指定账户中配置预定义
AWSManagedServicesUpdateRole
的 IAM 角色AWSManagedServicesCloudFormationAdminRole
和。使用您的内部联合流程为需要 DCM 访问权限的用户分配相应的角色。
注意
您可以指定任意数量的 SAMLIdentity提供商、 AWS 服务和 IAM 实体(角色、用户等)来担任这些角色。您必须至少提供一个:SAMLIdentityProviderARNs
IAMEntityARNs
、或AWSServicePrincipals
。有关更多信息,请咨询贵公司的 IAM 部门或 AMS 云架构师 (CA)。
直接更改模式 IAM 角色和策略
在账户中启用直接更改模式后,将部署以下新的 IAM 实体:
AWSManagedServicesCloudFormationAdminRole
:此角色授予访问 CloudFormation 控制台、创建和更新 CloudFormation 堆栈、查看偏差报告以及创建和执行 CloudFormation ChangeSets的权限。此角色的访问权限由您的 SAML 提供商管理。
部署并附加到角色的托管策略AWSManagedServicesCloudFormationAdminRole
有:
AMS 高级多账号 landing zone (MALZ) 应用程序账户
AWSManagedServices_CloudFormationAdminPolicy1
AWSManagedServices_CloudFormationAdminPolicy2
此策略代表授予的权限
AWSManagedServicesCloudFormationAdminRole
。您和合作伙伴使用此政策授予对账户中现有角色的访问权限,并允许该角色启动和更新账户中的 CloudFormation 堆栈。这可能需要额外的 AMS 服务控制策略 (SCP) 更新,以允许其他 IAM 实体启动 CloudFormation 堆栈。
AMS 高级单账号 landing zone (SALZ) 账户
AWSManagedServices_CloudFormationAdminPolicy1
AWSManagedServices_CloudFormationAdminPolicy2
cdk-legacy-mode-s3 次访问 [内联政策]
AWS ReadOnlyAccess 政策
AWSManagedServicesUpdateRole
:此角色授予对下游 AWS 服务的受限访问权限 APIs。该角色采用托管策略部署,这些策略提供变更和非变更的 API 操作,但通常限制针对某些服务(例如 IAM、KMS、GuardDuty VPC、AMS 基础设施资源和配置等Create/Delete/PUT)的变更操作(例如)。 此角色的访问权限由您的 SAML 提供商管理。
部署并附加到角色的托管策略AWSManagedServicesUpdateRole
有:
AMS 高级多账号 landing zone 应用程序账号
AWSManagedServicesUpdateBasePolicy
AWSManagedServicesUpdateDenyPolicy
AWSManagedServicesUpdateDenyProvisioningPolicy
AWSManagedServicesUpdateEC2而且 RDSPolicy
AWSManagedServicesUpdateDenyActionsOnAMSInfra政策
-
AMS 高级单账号 landing zone 账号
AWSManagedServicesUpdateBasePolicy
AWSManagedServicesUpdateDenyProvisioningPolicy
AWSManagedServicesUpdateEC2而且 RDSPolicy
AWSManagedServicesUpdateDenyActionsOnAMSInfra政策 1
AWSManagedServicesUpdateDenyActionsOnAMSInfra政策 2
除此之外,托管策略AWSManagedServicesUpdateRole
角色还ViewOnlyAccess
附加了 AWS 托管策略。