IAM 許可變更詳細資訊 - AMS Accelerate 使用者指南

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

IAM 許可變更詳細資訊

每個受管執行個體都必須具有 AWS Identity and Access Management 角色,其中包含下列受管政策:

  • arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

  • arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy

  • arn:aws:iam::aws:policy/AMSInstanceProfileBasePolicy

前兩個是 AWS受管政策。AMS 受管政策為:

AMSInstanceProfileBasePolicy

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:UpdateSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:*:*:secret:/ams/byoa/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "kms:Encrypt"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

如果您的執行個體已連接 IAM 角色,但缺少任何這些政策,則 AMS 會將缺少的政策新增至您的 IAM 角色。如果您的執行個體沒有 IAM 角色,則 AMS 會連接 AMSOSConfigurationCustomerInstanceProfile IAM 角色。AMSOSConfigurationCustomerInstanceProfile IAM 角色具有 AMS Accelerate 所需的所有政策。

注意

如果達到預設執行個體描述檔限制 10,則 AMS 會將限制增加到 20,以便連接所需的執行個體描述檔。