Identity and Access Management (IAM) | 建立實體或政策 (讀寫許可) - AMS 進階變更類型參考
變更類型詳細資訊其他資訊執行輸入參數範例:必要參數範例:所有參數

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Identity and Access Management (IAM) | 建立實體或政策 (讀寫許可)

建立具有讀寫許可的 Identity and Access Management (IAM) 角色或政策。您必須先使用變更類型 ct-1706xvk6j9hf 啟用此功能,才能提交此請求。具有讀寫許可的自動化 IAM 佈建會執行超過 200 個驗證,以協助確保成功的結果。

完整分類:部署 | 進階堆疊元件 | Identity and Access Management (IAM) | 建立實體或政策 (讀寫許可)

變更類型詳細資訊

變更類型 ID

ct-1n9gfnog5x7fl

目前版本

1.0

預期的執行持續時間

60 分鐘

AWS 核准

必要

客戶核准

如果提交者則不需要

執行模式

自動化

其他資訊

建立 IAM 實體或政策

IAM role or policy creation interface with ID, execution mode, and description details.

運作方式:

  1. 導覽至建立 RFC 頁面:在 AMS 主控台的左側導覽窗格中,按一下 RFCs以開啟 RFCs清單頁面,然後按一下建立 RFC

  2. 在預設瀏覽變更類型檢視中選擇熱門的變更類型 (CT),或在依類別選擇檢視中選擇 CT。

    • 依變更類型瀏覽:您可以在快速建立區域中按一下熱門的 CT,以立即開啟執行 RFC 頁面。請注意,您無法透過快速建立選擇較舊的 CT 版本。

      若要排序 CTs,請使用卡片資料表檢視中的所有變更類型區域。在任一檢視中,選取 CT,然後按一下建立 RFC 以開啟執行 RFC 頁面。如果適用,建立較舊版本選項會顯示在建立 RFC 按鈕旁。

    • 依類別選擇:選取類別、子類別、項目和操作,如果適用,CT 詳細資訊方塊會開啟,其中包含使用較舊版本建立的選項。按一下建立 RFC 以開啟執行 RFC 頁面。

  3. 執行 RFC 頁面上,開啟 CT 名稱區域以查看 CT 詳細資訊方塊。需要主旨 (如果您在瀏覽變更類型檢視中選擇 CT,則會為您填入)。開啟其他組態區域以新增 RFC 的相關資訊。

    執行組態區域中,使用可用的下拉式清單或輸入必要參數的值。若要設定選用的執行參數,請開啟其他組態區域。

  4. 完成後,請按一下執行。如果沒有錯誤,RFC 成功建立的頁面會顯示已提交的 RFC 詳細資訊,以及初始的執行輸出

  5. 開啟執行參數區域以查看您提交的組態。重新整理頁面以更新 RFC 執行狀態。或者,取消 RFC 或使用頁面頂端的選項建立 RFC 的副本。

運作方式:

  1. 使用內嵌建立 (您發出包含所有 RFC 和執行參數的create-rfc命令) 或範本建立 (您建立兩個 JSON 檔案,一個用於 RFC 參數,另一個用於執行參數),並使用兩個檔案作為輸入發出create-rfc命令。此處說明這兩種方法。

  2. 使用傳回的 RFC ID 提交 RFC: aws amscm submit-rfc --rfc-id ID命令。

    監控 RFC: aws amscm get-rfc --rfc-id ID命令。

若要檢查變更類型版本,請使用下列命令:

aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
注意

您可以將任何CreateRfc參數與任何 RFC 搭配使用,無論它們是否為變更類型結構描述的一部分。例如,若要在 RFC 狀態變更時取得通知,請將此行新增至請求的 --notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}" RFC 參數部分 (而非執行參數)。如需所有 CreateRfc 參數的清單,請參閱 AMS 變更管理 API 參考

內嵌建立

使用內嵌提供的執行參數發出建立 RFC 命令 (在內嵌提供執行參數時逸出引號),然後提交傳回的 RFC ID。例如,您可以將內容取代為如下內容:

aws amscm create-rfc --change-type-id "ct-1n9gfnog5x7fl" --change-type-version "1.0" --title "Create role or policy" --execution-parameters '{"DocumentName":"AWSManagedServices-HandleAutomatedIAMProvisioningCreate-Admin","Region":"us-east-1","Parameters":{"ValidateOnly":"No"},"RoleDetails":{"Roles":[{"RoleName":"RoleTest01","Description":"This is a test role","AssumeRolePolicyDocument":"{"Version": "2012-10-17",		 	 	 "Statement":[{"Effect":"Allow","Principal":{"AWS":"arn:aws:iam::123456789012:root"},"Action":"sts:AssumeRole"}]}","ManagedPolicyArns":["arn:aws:iam::123456789012:policy/policy01","arn:aws:iam::123456789012:policy/policy02"],"Path":"/","MaxSessionDuration":"7200","PermissionsBoundary":"arn:aws:iam::123456789012:policy/permission_boundary01","InstanceProfile":"No"}]},"ManagedPolicyDetails":{"Policies":[{"ManagedPolicyName":"TestPolicy01","Description":"This is customer policy","Path":"/test/","PolicyDocument":"{"Version":"2012-10-17","Statement":[{"Sid":"AllQueueActions","Effect":"Allow","Action":"sqs:ListQueues","Resource":"*","Condition":{"ForAllValues:StringEquals":{"aws:tagKeys":["temporary"]}}}]}"}]}}'

範本建立

  1. 將此變更類型的執行參數 JSON 結構描述輸出至檔案;範例名稱為 CreateIamResourceParams.json:

    aws amscm get-change-type-version --change-type-id "ct-1n9gfnog5x7fl" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateIamResourceParams.json

  2. 修改並儲存 CreateIamResourceParams 檔案;範例會建立內嵌貼上政策文件的 IAM 角色。

    {
  "DocumentName": "AWSManagedServices-HandleAutomatedIAMProvisioningCreate-Admin",
  "Region": "us-east-1",
  "Parameters": {
    "ValidateOnly": "No"
  },
  "RoleDetails": {
    "Roles": [
      {
        "RoleName": "RoleTest01",
        "Description": "This is a test role",
        "AssumeRolePolicyDocument": {
          "Version": "2012-10-17",		 	 	 
          "Statement": [
            {
              "Effect": "Allow",
              "Principal": {
                "AWS": "arn:aws:iam::123456789012:root"
              },
              "Action": "sts:AssumeRole"
            }
          ]
        },
        "ManagedPolicyArns": [
          "arn:aws:iam::123456789012:policy/policy01",
          "arn:aws:iam::123456789012:policy/policy02"
        ],
        "Path": "/",
        "MaxSessionDuration": "7200",
        "PermissionsBoundary": "arn:aws:iam::123456789012:policy/permission_boundary01",
        "InstanceProfile": "No"
      }
    ]
  },
  "ManagedPolicyDetails": {
    "Policies": [
      {
        "ManagedPolicyName": "TestPolicy01",
        "Description": "This is customer policy",
        "Path": "/test/",
        "PolicyDocument": {
          "Version": "2012-10-17",		 	 	 
          "Statement": [
            {
              "Sid": "AllQueueActions",
              "Effect": "Allow",
              "Action": "sqs:ListQueues",
              "Resource": "*",
              "Condition": {
                "ForAllValues:StringEquals": {
                  "aws:tagKeys": [
                    "temporary"
                  ]
                }
              }
            }
          ]
        }
      }
    ]
  }
}

  3. 將 RFC 範本 JSON 檔案輸出至名為 CreateIamResourceRfc.json:

    aws amscm create-rfc --generate-cli-skeleton > CreateIamResourceRfc.json

  4. 修改並儲存 CreateIamResourceRfc.json 檔案。例如,您可以將內容取代為如下內容:

    {
  "ChangeTypeVersion": "1.0",
  "ChangeTypeId": "ct-1n9gfnog5x7fl",
  "Title": "Create entity or policy (read-write permissions)"
}

  5. 建立 RFC,指定 CreateIamResourceRfc 檔案和 CreateIamResourceParams 檔案:

    aws amscm create-rfc --cli-input-json file://CreateIamResourceRfc.json  --execution-parameters file://CreateIamResourceParams.json

    您會在回應中收到新 RFC 的 ID,並使用它來提交和監控 RFC。在您提交之前,RFC 會保持在編輯狀態,不會啟動。

執行輸入參數

如需執行輸入參數的詳細資訊,請參閱 變更類型的結構描述 ct-1n9gfnog5x7fl

範例:必要參數

{
  "DocumentName": "AWSManagedServices-HandleAutomatedIAMProvisioningCreate-Admin",
  "Region": "us-east-1",
  "Parameters": {
    "ValidateOnly": "No"
  },
  "RoleDetails": {
    "Roles": [
      {
        "RoleName": "RoleTest01",
        "AssumeRolePolicyDocument": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"arn:aws:iam::123456789012:root\"},\"Action\":\"sts:AssumeRole\"}]}"
      }
    ]
  },
  "ManagedPolicyDetails": {
    "Policies": [
      {
        "ManagedPolicyName": "TestPolicy01",
        "Description": "This is customer policy",
        "Path": "/test/",
        "PolicyDocument": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"AllQueueActions\",\"Effect\":\"Allow\",\"Action\":\"sqs:ListQueues\",\"Resource\":\"*\",\"Condition\":{\"ForAllValues:StringEquals\":{\"aws:tagKeys\":[\"temporary\"]}}}]}"
      }
    ]
  }
}

範例:所有參數

{
  "DocumentName": "AWSManagedServices-HandleAutomatedIAMProvisioningCreate-Admin",
  "Region": "us-east-1",
  "Parameters": {
    "ValidateOnly": "No"
  },
  "RoleDetails": {
    "Roles": [
      {
        "RoleName": "RoleTest01",
        "Description": "This is a test role",
        "AssumeRolePolicyDocument": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"arn:aws:iam::123456789012:root\"},\"Action\":\"sts:AssumeRole\"}]}",
        "ManagedPolicyArns": [
          "arn:aws:iam::123456789012:policy/policy01",
          "arn:aws:iam::123456789012:policy/policy02"
        ],
        "Path": "/",
        "MaxSessionDuration": "7200",
        "PermissionsBoundary": "arn:aws:iam::123456789012:policy/permission_boundary01",
        "InstanceProfile": "No"
      }
    ]
  },
  "ManagedPolicyDetails": {
    "Policies": [
      {
        "ManagedPolicyName": "TestPolicy01",
        "Description": "This is customer policy",
        "Path": "/test/",
        "PolicyDocument": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"AllQueueActions\",\"Effect\":\"Allow\",\"Action\":\"sqs:ListQueues\",\"Resource\":\"*\",\"Condition\":{\"ForAllValues:StringEquals\":{\"aws:tagKeys\":[\"temporary\"]}}}]}"
      }
    ]
  }
}