使用 AMS Accelerate 的服務連結角色 - AMS Accelerate 使用者指南
部署工具組 SLRDetective 控制 SLRAmazon EventBridge 規則 SLR聯絡人受管政策SLRs支援的區域SLRs的更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AMS Accelerate 的服務連結角色

AMS Accelerate 使用 AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色 (SLR) 是直接連結至 AMS Accelerate 的唯一 IAM 角色類型。服務連結角色由 AMS Accelerate 預先定義,並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。

服務連結角色可讓您更輕鬆地設定 AMS Accelerate,因為您不必手動新增必要的許可。AMS Accelerate 定義其服務連結角色的許可,除非另有定義,否則只有 AMS Accelerate 可以擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。

如需有關支援服務連結角色的其他 服務的資訊,請參閱AWS 使用 IAM 的服務,並在服務連結角色欄中尋找具有的服務。選擇具有連結的,以檢視該服務的服務連結角色文件。

AMS Accelerate 的部署工具組服務連結角色

AMS Accelerate 使用名為 AWSServiceRoleForAWSManagedServicesDeploymentToolkit 的服務連結角色 (SLR) – 此角色會將 AMS Accelerate 基礎設施部署到客戶帳戶。

注意

此政策最近已更新;如需詳細資訊,請參閱 加速服務連結角色的更新

AMS Accelerate 部署工具組 SLR

AWSServiceRoleForAWSManagedServicesDeploymentToolkit 服務連結角色信任下列服務擔任該角色:

  • deploymenttoolkit.managedservices.amazonaws.com

名為 AWSManagedServicesDeploymentToolkitPolicy 的政策允許 AMS Accelerate 對下列資源執行動作:

  • arn:aws*:s3:::ams-cdktoolkit*

  • arn:aws*:cloudformation:*:*:stack/ams-cdk-toolkit*

  • arn:aws:ecr:*:*:repository/ams-cdktoolkit*

此 SLR 授予 Amazon S3 許可,以建立和管理 AMS 使用的部署儲存貯體,將 CloudFormation 範本或 Lambda 資產套件等資源上傳至元件部署的帳戶中。此 SLR 授予 CloudFormation 許可,以部署定義部署儲存貯體的 CloudFormation 堆疊。如需詳細資訊或下載政策,請參閱 AWSManagedServices_DeploymentToolkitPolicy

您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的服務連結角色許可

建立適用於 AMS Accelerate 的部署工具組 SLR

您不需要手動建立一個服務連結角色。當您在 AWS Management Console AWS CLI、 或 AWS API 中加入 AMS 時,AMS Accelerate 會為您建立服務連結角色。

重要

如果您在 2022 年 6 月 9 日之前使用 AMS Accelerate 服務,而該服務連結角色開始支援服務連結角色,則 AMS Accelerate 會在您的帳戶中建立 AWSServiceRoleForAWSManagedServicesDeploymentToolkit 角色。若要進一步了解,請參閱我的 IAM 帳戶中出現的新角色

若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您加入 AMS 時,AMS Accelerate 會再次為您建立服務連結角色。

編輯 AMS Accelerate 的部署工具組 SLR

AMS Accelerate 不允許您編輯 AWSServiceRoleForAWSManagedServicesDeploymentToolkit 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱「IAM 使用者指南」編輯服務連結角色

刪除 AMS Accelerate 的部署工具組 SLR

您不需要手動刪除 AWSServiceRoleForAWSManagedServicesDeploymentToolkit 角色。當您從 AWS Management Console AWS CLI、 或 AWS API 的 AMS 離職時,AMS Accelerate 會為您清除資源並刪除服務連結角色。

您也可以使用 IAM 主控台、 AWS CLI 或 AWS API 手動刪除服務連結角色。若要執行此操作,您必須先手動清除服務連結角色的資源,然後才能手動刪除它。

注意

如果您嘗試刪除資源時,AMS Accelerate 服務正在使用該角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。

刪除 AWSServiceRoleForAWSManagedServicesDeploymentToolkit 服務連結角色所使用的 AMS Accelerate 資源

在 AMS 中刪除您帳戶加入的所有區域中的ams-cdk-toolkit堆疊 (您可能需要先手動清空 S3 儲存貯體)。

使用 IAM 手動刪除服務連結角色

使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForAWSManagedServicesDeploymentToolkit 服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的刪除服務連結角色

AMS Accelerate 的 Detective 控制服務連結角色

AMS Accelerate 使用名為 AWSServiceRoleForManagedServices_DetectiveControlsConfig 的服務連結角色 (SLR) – AWS Managed Services 使用此服務連結角色來部署 config-recorder、config 規則和 S3 儲存貯體偵測控制項。

連接至 AWSServiceRoleForManagedServices_DetectiveControlsConfig 服務連結角色的受管政策如下:AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy。如需更新此政策,請參閱「加速 AWS 受管政策的更新」。

AMS Accelerate 的偵測控制 SLR 許可

AWSServiceRoleForManagedServices_DetectiveControlsConfig 服務連結角色信任下列服務擔任該角色:

  • detectivecontrols.managedservices.amazonaws.com

連接到此角色是 AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy AWS 受管政策 AWS 受管政策:AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy (請參閱 服務使用 角色在您的帳戶中建立設定 AMS Detective 控制項,這需要部署 資源,例如 s3 儲存貯體、組態規則和 彙總工具。 您必須設定許可,以允許 IAM 實體 (例如使用者、群組或角色) 建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱《 AWS Identity and Access Management 使用者指南》中的服務連結角色許可

建立 AMS Accelerate 的偵測控制 SLR

您不需要手動建立一個服務連結角色。當您在 AWS Management Console AWS CLI、 或 AWS API 中加入 AMS 時,AMS Accelerate 會為您建立服務連結角色。

重要

如果您在 2022 年 6 月 9 日之前使用 AMS Accelerate 服務,則此服務連結角色會出現在您的帳戶中,當它開始支援服務連結角色時,AMS Accelerate 會在您的帳戶中建立 AWSServiceRoleForManagedServices_DetectiveControlsConfig 角色。若要進一步了解,請參閱我的 IAM 帳戶中出現的新角色

若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您加入 AMS 時,AMS Accelerate 會再次為您建立服務連結角色。

編輯 AMS Accelerate 的偵測控制項 SLR

AMS Accelerate 不允許您編輯 AWSServiceRoleForManagedServices_DetectiveControlsConfig 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《IAM 使用者指南》中的編輯服務連結角色

刪除 AMS Accelerate 的偵測性控制項 SLR

您不需要手動刪除 AWSServiceRoleForManagedServices_DetectiveControlsConfig 角色。當您從 AWS Management Console AWS CLI、 或 AWS API 的 AMS 離職時,AMS Accelerate 會為您清除資源並刪除服務連結角色。

您也可以使用 IAM 主控台、 AWS CLI 或 AWS API 手動刪除服務連結角色。若要執行此操作,您必須先手動清除服務連結角色的資源,然後才能手動刪除它。

注意

如果您嘗試刪除資源時,AMS Accelerate 服務正在使用該角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。

刪除 AWSServiceRoleForManagedServices_DetectiveControlsConfig 服務連結角色所使用的 AMS Accelerate 資源

在 AMS 中刪除您帳戶加入的所有區域中的 ams-detective-controls-config-recorderams-detective-controls-config-rules-cdkams-detective-controls-infrastructure-cdk堆疊 (您可能必須先手動清空 S3 儲存貯體)。

使用 IAM 手動刪除服務連結角色

使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForManagedServices_DetectiveControlsConfig 服務連結角色。如需詳細資訊,請參閱「IAM 使用者指南」中的刪除服務連結角色

AMS Accelerate 的 Amazon EventBridge 規則服務連結角色

AMS Accelerate 使用名為 AWSServiceRoleForManagedServices_Events 的服務連結角色 (SLR)。此角色信任其中一個 AWS Managed Services 服務主體 (events.managedservices.amazonaws.com://) 為您擔任該角色。服務會使用 角色來建立 Amazon EventBridge 受管規則。此規則是您 AWS 帳戶中將警示狀態變更資訊從您的帳戶交付至 AWS Managed Services 所需的基礎設施。

適用於 AMS Accelerate 的 EventBridge SLR 許可

AWSServiceRoleForManagedServices_Events 服務連結角色信任下列服務擔任該角色:

  • events.managedservices.amazonaws.com

連接到此角色是 AWSManagedServices_EventsServiceRolePolicy AWS 受管政策 (請參閱 AWS 受管政策:AWSManagedServices_EventsServiceRolePolicy)。服務會使用 角色,將警示狀態變更資訊從您的帳戶傳遞至 AMS。您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱AWS Identity and Access Management 《 使用者指南》中的服務連結角色許可

您可以在此 ZIP: EventsServiceRolePolicy.zip 中下載 JSON AWSManagedServices_EventsServiceRolePolicy。 EventsServiceRolePolicy.zip

為 AMS Accelerate 建立 EventBridge SLR

您不需要手動建立一個服務連結角色。當您在 AWS Management Console AWS CLI、 或 AWS API 中加入 AMS 時,AMS Accelerate 會為您建立服務連結角色。

重要

如果您在 2023 年 2 月 7 日之前使用 AMS Accelerate 服務,則此服務連結角色會出現在您的帳戶中,當它開始支援服務連結角色時,AMS Accelerate 會在您的帳戶中建立 AWSServiceRoleForManagedServices_Events 角色。若要進一步了解,請參閱我的 IAM 帳戶中出現的新角色

若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您加入 AMS 時,AMS Accelerate 會再次為您建立服務連結角色。

編輯 AMS Accelerate 的 EventBridge SLR

AMS Accelerate 不允許您編輯 AWSServiceRoleForManagedServices_Events 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱「IAM 使用者指南」編輯服務連結角色

刪除 AMS Accelerate 的 EventBridge SLR

您不需要手動刪除 AWSServiceRoleForManagedServices_Events 角色。當您從 AWS Management Console AWS CLI、 或 AWS API 的 AMS 離職時,AMS Accelerate 會為您清除資源並刪除服務連結角色。

您也可以使用 IAM 主控台、 AWS CLI 或 AWS API 手動刪除服務連結角色。若要執行此操作,您必須先手動清除服務連結角色的資源,然後才能手動刪除它。

注意

如果您嘗試刪除資源時,AMS Accelerate 服務正在使用該角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。

刪除 AWSServiceRoleForManagedServices_Events 服務連結角色所使用的 AMS Accelerate 資源

使用 IAM 手動刪除服務連結角色

使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForManagedServices_Events 服務連結角色。如需詳細資訊,請參閱「IAM 使用者指南」中的刪除服務連結角色

聯絡 AMS Accelerate 的服務連結角色

AMS Accelerate 使用名為 AWSServiceRoleForManagedServices_Contacts 的服務連結角色 (SLR) – 此角色可讓服務讀取受影響資源的現有標籤,並擷取適當聯絡人的設定電子郵件,以便在事件發生時加速自動通知。

這是唯一使用此服務連結角色的服務。

連接至 AWSServiceRoleForManagedServices_Contacts 服務連結角色的受管政策如下:AWSManagedServices_ContactsServiceRolePolicy。如需更新此政策,請參閱「加速 AWS 受管政策的更新」。

AMS Accelerate 的聯絡 SLR 許可

AWSServiceRoleForManagedServices_Contacts 服務連結角色信任下列服務擔任該角色:

  • contacts-service.managedservices.amazonaws.com

連接到此角色是 AWSManagedServices_ContactsServiceRolePolicy AWS 受管政策 (請參閱 AWS 受管政策:AWSManagedServices_ContactsServiceRolePolicy)。服務使用 角色讀取任何 AWS 資源上的標籤,並尋找標籤中包含的電子郵件,適用於事件發生時的適當聯絡點。此角色可讓 AMS 在受影響的資源上讀取該標籤並擷取電子郵件,以便在事件發生時促進自動通知。如需詳細資訊,請參閱《 AWS Identity and Access Management 使用者指南》中的服務連結角色許可

重要

請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。AMS 使用標籤來為您提供管理服務。標籤不適用於私人或敏感資料。

名為 AWSManagedServices_ContactsServiceRolePolicy 的角色許可政策可讓 AMS Accelerate 對指定的資源完成下列動作:

  • 動作:允許 Contacts Service 讀取專門設定的標籤,以包含 AMS 在任何 AWS 資源上傳送事件通知的電子郵件。

您可以在此 ZIP:ContactsServicePolicy.zip 中下載 JSON AWSManagedServices_ContactsServiceRolePolicy。 ContactsServicePolicy.zip

為 AMS Accelerate 建立聯絡人 SLR

您不需要手動建立一個服務連結角色。當您在 AWS Management Console、 AWS CLI或 AWS API 中加入 AMS 時,AMS Accelerate 會為您建立服務連結角色。

重要

如果您在 2023 年 2 月 16 日之前使用 AMS Accelerate 服務,此服務連結角色會出現在您的帳戶中,當它開始支援服務連結角色時,AMS Accelerate 會在您的帳戶中建立 AWSServiceRoleForManagedServices_Contacts 角色。若要進一步了解,請參閱我的 IAM 帳戶中出現的新角色

若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您加入 AMS 時,AMS Accelerate 會再次為您建立服務連結角色。

編輯 AMS Accelerate 的聯絡人 SLR

AMS Accelerate 不允許您編輯 AWSServiceRoleForManagedServices_Contacts 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱「IAM 使用者指南」編輯服務連結角色

刪除 AMS Accelerate 的聯絡人 SLR

您不需要手動刪除 AWSServiceRoleForManagedServices_Contacts 角色。當您從 AWS Management Console AWS CLI、 或 AWS API 的 AMS 離職時,AMS Accelerate 會為您清除資源並刪除服務連結角色。

您也可以使用 IAM 主控台、 AWS CLI 或 AWS API 手動刪除服務連結角色。若要執行此操作,您必須先手動清除服務連結角色的資源,然後才能手動刪除它。

注意

如果您嘗試刪除資源時,AMS Accelerate 服務正在使用該角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。

刪除 AWSServiceRoleForManagedServices_Contacts 服務連結角色所使用的 AMS Accelerate 資源

使用 IAM 手動刪除服務連結角色

使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForManagedServices_Contacts 服務連結角色。如需詳細資訊,請參閱「IAM 使用者指南」中的刪除服務連結角色

AMS Accelerate 服務連結角色支援的區域

AMS Accelerate 支援在提供服務的所有區域中使用服務連結角色。如需詳細資訊,請參閱 AWS 區域與端點

加速服務連結角色的更新

檢視自此服務開始追蹤這些變更以來,加速服務連結角色更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱加速頁面上的 RSS 摘要AMS Accelerate 使用者指南的文件歷史記錄

變更 描述 日期

更新的政策 – 部署工具組

  • 已為資源 新增這些新許可arn:aws:ecr:*:*:repository/ams-cdktoolkit*

    ecr:BatchGetRepositoryScanningConfiguration
ecr:PutImageScanningConfiguration
 2024 年 4 月 4 日

更新的政策 – 部署工具組

  • 已為資源 新增這些新許可arn:aws:cloudformation:*:*:stack/ams-cdk-toolkit*

    cloudformation:DeleteChangeSet
cloudformation:DescribeStackEvents
cloudformation:GetTemplate
cloudformation:TagResource
cloudformation:UntagResource

  • 已為資源 新增這些新許可arn:aws:ecr:*:*:repository/ams-cdktoolkit*

    ecr:CreateRepository
ecr:DeleteLifecyclePolicy
ecr:DeleteRepository
ecr:DeleteRepositoryPolicy
ecr:DescribeRepositories
ecr:GetLifecyclePolicy
ecr:ListTagsForResource
ecr:PutImageTagMutability
ecr:PutLifecyclePolicy
ecr:SetRepositoryPolicy
ecr:TagResource
ecr:UntagResource

  • 此外,一些使用萬用字元的現有動作範圍縮小為個別動作:

    - s3:DeleteObject*
+ s3:DeleteObject
+ s3:DeleteObjectTagging
+ s3:DeleteObjectVersion
+ s3:DeleteObjectVersionTagging

- s3:GetObject*
+ s3:GetObject
+ s3:GetObjectAcl
+ s3:GetObjectAttributes
+ s3:GetObjectLegalHold
+ s3:GetObjectRetention
+ s3:GetObjectTagging
+ s3:GetObjectVersion
+ s3:GetObjectVersionAcl
+ s3:GetObjectVersionAttributes
+ s3:GetObjectVersionForReplication
+ s3:GetObjectVersionTagging
+ s3:GetObjectVersionTorrent

- cloudformation:UpdateTermination*
+ cloudformation:UpdateTerminationProtection
 2023 年 5 月 9 日

更新的政策 – Detective 控制項

  • 與安全與存取團隊確認後CloudFormation 動作已進一步縮小範圍

  • Lambda 動作已從政策中移除,因為不會影響加入/離開加入

 2023 年 4 月 10 日

更新的政策 – Detective 控制項

已更新政策並新增許可界限政策。

 2023 年 3 月 21 日

新的服務連結角色 – 聯絡 SLR

加速新增 Contacts 服務的新服務連結角色。

此角色可讓服務讀取受影響資源的現有標籤,並擷取適當聯絡人的已設定電子郵件,以便在事件發生時促進自動通知。

 2023 年 2 月 16 日

新的服務連結角色 – EventBridge

加速為 Amazon EventBridge 規則新增了新的服務連結角色。

此角色信任其中一個 AWS Managed Services 服務主體 (events.managedservices.amazonaws.com://) 為您擔任該角色。服務會使用 角色來建立 Amazon EventBridge 受管規則。此規則是您 AWS 帳戶中將警示狀態變更資訊從您的帳戶交付至 AWS Managed Services 所需的基礎設施。

 2023 年 2 月 7 日

更新服務連結角色 – 部署工具組

使用新的 S3 許可加速更新的 AWSServiceRoleForAWSManagedServicesDeploymentToolkit。

已新增這些新許可:

"s3:GetLifecycleConfiguration",
"s3:GetBucketLogging",
"s3:ListBucket",
"s3:GetBucketVersioning",
"s3:PutLifecycleConfiguration",
"s3:GetBucketLocation",
"s3:GetObject*"
 2023 年 1 月 30 日

加速開始追蹤變更

加速開始追蹤其服務連結角色的變更。

 2022 年 11 月 30 日

新的服務連結角色 – Detective 控制項

Accelerate 新增了新的服務連結角色來部署 Accelerate 偵測控制項。

AWS Managed Services 使用此服務連結角色來部署組態記錄器、組態規則和 S3 儲存貯體偵測控制項。

 2022 年 10 月 13 日

新的服務連結角色 – 部署工具組

Accelerate 新增了部署 Accelerate 基礎設施的新服務連結角色。

此角色會將 AMS Accelerate 基礎設施部署到客戶帳戶。

 2022 年 6 月 9 日