AWS Identity and Access Management 在 AMS Accelerate 中 - AMS Accelerate 使用者指南
在 AMS Accelerate 中使用身分進行驗證使用政策管理存取權

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Identity and Access Management 在 AMS Accelerate 中

AWS Identity and Access Management 是一種 Web 服務,可協助您安全地控制對 AWS 資源的存取。您可以使用 IAM 來控制 (已登入) 的身分驗證和授權使用資源的 (許可)。在 AMS Accelerate 加入期間,您有責任在每個受管帳戶中建立跨帳戶 IAM 管理員角色。

在 AMS Accelerate 中,您負責管理對 AWS 帳戶 及其基礎資源的存取,例如存取管理解決方案、存取政策和相關程序。這表示您管理使用者生命週期、目錄服務和聯合身分驗證系統中的許可,以存取 AWS 主控台或 AWS APIs。為了協助您管理存取解決方案,AMS Accelerate 部署偵測常見 IAM 錯誤組態的 AWS Config 規則,並提供修補通知。如需詳細資訊,請參閱 AWS Config 受管服務

在 AMS Accelerate 中使用身分進行驗證

AMS 使用 IAM 角色,這是一種 IAM 身分。IAM 角色類似於使用者,因為它是具有許可政策的身分,可決定身分可以和不可以執行的操作 AWS。不過,角色沒有與其相關聯的登入資料,而不是與一個人唯一關聯,而是由任何需要它的人擔任。IAM 使用者可擔任一個角色,為了特定任務來臨時採用不同許可。

存取角色由內部群組成員資格控制,由 Operations Management 管理並定期審查。AMS 使用以下 IAM 角色。

注意

AMS 存取角色可讓 AMS 運算子存取您的 資源,以提供 AMS 功能 (請參閱 服務描述)。變更這些角色可能會抑制我們提供這些功能的能力。如果您需要變更 AMS 存取角色,請洽詢您的雲端架構師。

Role name (角色名稱)

描述
由 (實體) 使用:僅限 AMS Access Service

ams-access-management

您在加入期間手動部署。僅由 AMS 存取擔任,以部署或更新存取角色。為存取角色的任何未來更新加入後, 會保留在您的帳戶中。

由 (實體) 使用:AMS 操作

ams-access-admin-operations

此角色具有在帳戶中操作的管理許可,但沒有許可讀取、寫入或刪除常用於資料存放區的 AWS 服務中的客戶內容,例如 Amazon Simple Storage Service、Amazon Relational Database Service、Amazon DynamoDB、Amazon Redshift 和 Amazon ElastiCache。只有極少數特定 AMS 個人可以擔任此角色。

ams-access-operations

此 AMS 操作角色具有在您的帳戶中執行管理任務的許可。此角色對經常用作資料存放區的 AWS 服務中的客戶內容沒有讀取、寫入或刪除許可,例如 Amazon Simple Storage Service、Amazon Relational Database Service、Amazon DynamoDB、Amazon Redshift 和 Amazon ElastiCache。此角色也會排除執行 AWS Identity and Access Management 寫入操作的許可。

ams-access-read-only

此 AMS 唯讀角色僅限於 AMS 帳戶中的唯讀許可。此角色不會授予通常用作資料存放區 AWS 之服務中客戶內容的讀取許可,例如 Amazon S3、Amazon RDS、DynamoDB、Amazon Redshift 和 ElastiCache。

供 (實體) 使用:AMS 操作和 AMS 服務

ams_ssm_automation_role

由 擔任 AWS Systems Manager ,以在您的帳戶中執行 SSM Automation 文件。

ams_ssm_automation_role

由 (實體) 使用:AMS 安全

ams-access-security-analyst

此 AMS 安全角色在您的 AMS 帳戶中具有執行專用安全提醒監控和安全事件處理的許可。只有極少數特定 AMS 安全人員可以擔任此角色。此角色不會授予通常用作資料存放區 AWS 之服務中客戶內容的讀取許可,例如 Amazon S3;、Amazon RDS;、Amazon DynamoDB、Amazon Redshift 和 ElastiCache。

ams-access-security-analyst-read-only

此 AMS 安全角色僅限於您 AMS 帳戶中的唯讀許可,以執行專用安全提醒監控和安全事件處理。此角色不會授予通常用作資料存放區 AWS 之服務中客戶內容的讀取許可,例如 Amazon S3;、Amazon RDS;、Amazon DynamoDB、Amazon Redshift 和 ElastiCache。

由 (實體) 使用:AWS Services

ams-access-admin

此 AMS 管理員角色具有在 帳戶中操作的完整許可,不受限制。只有 AMS 內部服務 (具有縮小範圍的工作階段政策) 可以擔任管理員角色。

ams-opscenter-eventbridge-role

由 Amazon EventBridge 擔任,將 create AWS Systems Manager OpsItems 作為 AMS 特定 AWS Config 規則 修補工作流程的一部分。

AMSOSConfigurationCustomerInstanceRole

當 AMS OS-Configuration 服務發現缺少必要的 IAM 政策時,此 IAM 角色會套用至您的 Amazon EC2 執行個體。它可讓您的 Amazon EC2 執行個體與 AWS Systems Manager Amazon CloudWatch 和 Amazon EventBridge 服務互動。它還連接了 AMS 自訂受管政策,以啟用對 Windows 執行個體的 RDP 存取。

mc-patch-glue-service-role

由 AWS Glue ETL 工作流程擔任,以執行資料轉換,並為 AMS 修補程式報告產生器做好準備。

由 (實體) 使用:AMS 服務

ams-alarm-manager-AWSManagedServicesAlarmManagerDe-<8 位數雜湊>

由 AMS 帳戶中的 AMS 警示管理員基礎設施擔任,以執行 AWS Config 規則 新 AWS AppConfig 部署的評估。

ams-alarm-manager-AWSManagedServicesAlarmManagerRe-<8 位數雜湊>

由 AMS 帳戶中的 AMS 警示管理員修復基礎設施擔任,以允許建立或刪除警示以進行修復。

ams-alarm-manager-AWSManagedServicesAlarmManagerSS-<8 位數雜湊>

由 擔任 AWS Systems Manager ,以在 AMS 帳戶中叫用 AMS 警示管理員修復服務。

ams-alarm-manager-AWSManagedServicesAlarmManagerTr-<8 位數雜湊>

由 AWS 帳戶中的 AMS 警示管理員基礎設施擔任,以執行定期 AMS AWS Config 規則 評估。

ams-alarm-manager-AWSManagedServicesAlarmManagerVa-<8 位數雜湊>

由 AMS 帳戶中的 AMS 警示管理員基礎設施擔任,以確保 AWS 帳戶中存在必要的警示。

ams-backup-iam-role

此角色用於 AWS Backup 在您的 帳戶中執行。

ams-monitoring-AWSManagedServicesLogGroupLimitLamb-<8 位數雜湊>

由 AMS 帳戶中的 AMS 記錄和監控基礎設施擔任,以評估 Amazon CloudWatch Logs 群組限制,並與服務配額進行比較。

ams-monitoring-AWSManagedServicesRDSMonitoringRDSE-<8 位數雜湊>

由 AMS 帳戶中的 AMS 記錄和監控基礎設施擔任,將 Amazon RDS 事件轉送至 Amazon CloudWatch Events。

ams-monitoring-AWSManagedServicesRedshiftMonitorin-<8 位數雜湊>

由 AMS 帳戶中的 AMS 記錄和監控基礎設施擔任,將 Amazon Redshift 事件 (CreateCluster 和 DeleteCuster) 轉送至 Amazon CloudWatch Events。

ams-monitoring-infrastruc-AWSManagedServicesMonito-<8 位數雜湊>

由 AMS 帳戶中的 AMS 記錄和監控基礎設施擔任,以將訊息發佈至 Amazon Simple Notification Service,以驗證帳戶是否報告所有必要資料。

ams-opscenter-role

由您 AMS 帳戶中的 AMS Notification Management system 擔任,以管理與您帳戶中提醒相關的 AWS Systems Manager OpsItems。

ams-opsitem-autoexecution-role

由 AMS Notification Management system 擔任,使用 SSM 文件處理自動修復,以監控與帳戶中資源相關的提醒。

ams-patch-infrastructure-amspatchconfigruleroleC1-<8 位數雜湊>

由 擔任 AWS Config ,以評估 AMS 修補程式資源並偵測其 AWS CloudFormation 堆疊中的偏離。

ams-patch-infrastructure-amspatchcwruleopsitemams-<8 位數雜湊>

由 Amazon EventBridge 擔任以 create AWS Systems Manager OpsItems 修補失敗。

ams-patch-infrastructure-amspatchservicebusamspat-<8 位數雜湊>

由 Amazon EventBridge 擔任,以將事件傳送至 AWS Systems Manager 維護 Windows 狀態變更通知的 AMS 修補程式協調器事件匯流排。

ams-patch-reporting-infra-amspatchreportingconfigr-<8 位數雜湊>

由 擔任 AWS Config ,以評估 AMS 修補程式報告資源並偵測其 AWS CloudFormation 堆疊中的偏離。

ams-resource-tagger-AWSManagedServicesResourceTagg-<8 位數雜湊>

由 AMS 帳戶中的 AMS Resource Tagger 基礎設施擔任,以在新 AWS AppConfig 部署時執行 AWS Config 規則 評估。

ams-resource-tagger-AWSManagedServicesResourceTagg-<8 位數雜湊>

由 AMS 帳戶中的 AMS Resource Tagger 基礎設施擔任,以驗證受管資源是否存在所需的 AWS 標籤。

ams-resource-tagger-AWSManagedServicesResourceTagg-<8 位數雜湊>

由 擔任 AWS Systems Manager ,以在 AMS 帳戶中調用 AMS Resource Tagger 修復工作流程。

ams-resource-tagger-AWSManagedServicesResourceTagg-<8 位數雜湊>

由 AMS 帳戶中的 AMS Resource Tagger 修復基礎設施擔任,以建立或刪除受管資源的 AWS 標籤。

ams-resource-tagger-AWSManagedServicesResourceTagg-<8 位數雜湊>

由您 AWS 帳戶中的 AMS Resource Tagger 基礎設施擔任,以執行定期 AMS Config 規則評估。

ams_os_configuration_event_rule_role-<AWS 區域>

由 Amazon EventBridge 擔任,將事件從您的帳戶轉送至正確區域中的 AMS OS-Configuration 服務 EventBus。

mc-patch-reporting-service

由 AMS 修補程式資料彙總器和報告產生器所擔任。

注意

這是 ams-access-management 角色的範本。這是雲端架構師 (CAs) 在加入時在您的帳戶中手動部署的堆疊: management-role.yaml

這是不同存取角色和存取層級的範本:ams-access-read-only、ams-access-operations、ams-access-admin-operations、ams-access-admin:accelerated-roles.yaml

若要進一步了解 AWS Cloud Development Kit (AWS CDK) (AWS CDK) 識別符,包括雜湊,請參閱 UniqueIDs

AMS Accelerate 功能服務會擔任帳戶程式設計存取的 ams-access-admin 角色,但工作階段政策會針對個別功能服務縮小範圍 (例如修補程式、備份、監控等)。

AMS Accelerate 遵循業界最佳實務,以符合和維護合規資格。AMS Accelerate 存取您的帳戶會記錄在 CloudTrail 中,也可透過變更追蹤供您檢閱。如需有關可用來取得此資訊之查詢的資訊,請參閱 追蹤 AMS Accelerate 帳戶中的變更

使用政策管理存取權

各種 AMS Accelerate 支援團隊,例如 Operations Engineers、Cloud Architects 和 Cloud Service Delivery Manager (CSDMs),有時需要存取您的帳戶,才能回應服務請求和事件。其存取權由內部 AMS 存取服務管理,該服務會強制執行控制,例如業務理由、服務請求、操作項目和支援案例。預設存取為唯讀,所有存取都會受到追蹤和記錄;另請參閱 追蹤 AMS Accelerate 帳戶中的變更

驗證 IAM 資源

AMS Accelerate 存取系統會定期擔任您帳戶中的角色 (至少每 24 小時一次),並驗證我們所有的 IAM 資源是否如預期。

為了保護您的帳戶,AMS Accelerate 有一個「canary」,可監控和警示 IAM 角色的存在和狀態,以及上述的附加政策。Canary 會定期擔任 ams-access-read-only 角色,並對您的帳戶啟動 CloudFormation 和 IAM API 呼叫。Canary 會評估 AMS Accelerate 存取角色的狀態,以確保這些角色一律未修改且up-to-date狀態。此活動會在帳戶中建立 CloudTrail 日誌。

Canary 的 AWS Security Token Service (AWS STS) 工作階段名稱為 AMS-Access-Roles-Auditor-{uuid4()},如 CloudTrail 所示,並發生下列 API 呼叫:

  • Cloud Formation API 呼叫: describe_stacks()

  • IAM API 呼叫:

    • get_role()

    • list_attached_role_policies()

    • list_role_policies()

    • get_policy()

    • get_policy_version()

    • get_role_policy()