Identity and Access Management (IAM) | 建立實體或政策 (需要檢閱) - AMS 進階變更類型參考
變更類型詳細資訊其他資訊執行輸入參數範例:必要參數範例:所有參數

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Identity and Access Management (IAM) | 建立實體或政策 (需要檢閱)

建立 Identity and Access Management (IAM) 使用者、角色或政策。

完整分類:部署 | 進階堆疊元件 | Identity and Access Management (IAM) | 建立實體或政策 (需要檢閱)

變更類型詳細資訊

變更類型 ID

ct-3dpd8mdd9jn1r

目前版本

1.0

預期的執行持續時間

240 分鐘

AWS 核准

必要

客戶核准

如果提交者則不需要

執行模式

手動

其他資訊

建立 IAM 實體或政策 (需要檢閱)

Create IAM Resource panel showing change type, description, ID, version, and execution mode.

運作方式:

  1. 導覽至建立 RFC 頁面:在 AMS 主控台的左側導覽窗格中,按一下 RFCs以開啟 RFCs清單頁面,然後按一下建立 RFC

  2. 在預設瀏覽變更類型檢視中選擇熱門的變更類型 (CT),或在依類別選擇檢視中選擇 CT。

    • 依變更類型瀏覽:您可以在快速建立區域中按一下熱門的 CT,以立即開啟執行 RFC 頁面。請注意,您無法透過快速建立選擇較舊的 CT 版本。

      若要排序 CTs,請使用卡片資料表檢視中的所有變更類型區域。在任一檢視中,選取 CT,然後按一下建立 RFC 以開啟執行 RFC 頁面。如果適用,建立較舊版本選項會顯示在建立 RFC 按鈕旁。

    • 依類別選擇:選取類別、子類別、項目和操作,如果適用,CT 詳細資訊方塊會開啟,其中包含使用較舊版本建立的選項。按一下建立 RFC 以開啟執行 RFC 頁面。

  3. 執行 RFC 頁面上,開啟 CT 名稱區域以查看 CT 詳細資訊方塊。需要主旨 (如果您在瀏覽變更類型檢視中選擇 CT,則會為您填入)。開啟其他組態區域以新增 RFC 的相關資訊。

    執行組態區域中,使用可用的下拉式清單或輸入必要參數的值。若要設定選用的執行參數,請開啟其他組態區域。

  4. 完成後,請按一下執行。如果沒有錯誤,RFC 成功建立的頁面會顯示已提交的 RFC 詳細資訊,以及初始的執行輸出

  5. 開啟執行參數區域以查看您提交的組態。重新整理頁面以更新 RFC 執行狀態。或者,取消 RFC 或使用頁面頂端的選項建立 RFC 的副本。

運作方式:

  1. 使用內嵌建立 (您發出包含所有 RFC 和執行參數的create-rfc命令) 或範本建立 (您建立兩個 JSON 檔案,一個用於 RFC 參數,另一個用於執行參數),並使用兩個檔案作為輸入發出create-rfc命令。此處說明這兩種方法。

  2. 使用傳回的 RFC ID 提交 RFC: aws amscm submit-rfc --rfc-id ID命令。

    監控 RFC: aws amscm get-rfc --rfc-id ID命令。

若要檢查變更類型版本,請使用下列命令:

aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
注意

您可以將任何CreateRfc參數與任何 RFC 搭配使用,無論它們是否為變更類型結構描述的一部分。例如,若要在 RFC 狀態變更時取得通知,請將此行新增至請求的 --notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}" RFC 參數部分 (而非執行參數)。如需所有 CreateRfc 參數的清單,請參閱 AMS 變更管理 API 參考

注意

在政策文件中貼上時,請注意 RFC 只接受最多 20,480 個字元的政策貼上。如果您的檔案超過 20,480 個字元,請建立服務請求以上傳政策,然後在您為 IAM 開啟的 RFC 中參考該服務請求。

內嵌建立

使用內嵌提供的執行參數發出建立 RFC 命令 (在內嵌提供執行參數時逸出引號),然後提交傳回的 RFC ID。例如,您可以將內容取代為如下內容:

aws amscm create-rfc --change-type-id "ct-3dpd8mdd9jn1r" --change-type-version "1.0" --title "TestIamCreate" --execution-parameters "{\"UseCase\":\"IAM_RESOURCE_DETAILS\",\"IAM Role\":[{\"RoleName\":\"ROLE_NAME\",\"TrustPolicy\":\"TRUST_POLICY\",\"RolePermissions\":\"ROLE_PERMISSIONS\"}],\"Operation\":\"Create\"}"

範本建立

  1. 將此變更類型的執行參數 JSON 結構描述輸出至檔案;範例將其命名為 CreateIamResourceParams.json:

    aws amscm get-change-type-version --change-type-id "ct-3dpd8mdd9jn1r" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateIamResourceParams.json

  2. 修改並儲存 CreateIamResourceParams 檔案;範例會建立內嵌貼上政策文件的 IAM 角色。

    {
  "UseCase": "IAM_RESOURCE_DETAILS",
  "IAM Role": [
    {
      "RoleName": "codebuild_ec2_test_role",
      "TrustPolicy": {
        "Version": "2008-10-17",
        "Statement": [
          {
            "Effect": "Allow",
            "Principal": {
              "Service": "codebuild.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
          }
        ]
      },
      "RolePermissions": {
        "Version": "2012-10-17",
        "Statement": [
          {
            "Effect": "Allow",
            "Action": [
              "ec2:DescribeInstanceStatus"
            ],
            "Resource": "*"
          }
        ]
      }
    }
  ],
  "Operation": "Create"
}

  3. 將 RFC 範本 JSON 檔案輸出至名為 CreateIamResourceRfc.json:

    aws amscm create-rfc --generate-cli-skeleton > CreateIamResourceRfc.json

  4. 修改並儲存 CreateIamResourceRfc.json 檔案。例如,您可以將內容取代為如下內容:

    {
"ChangeTypeVersion": "1.0",
"ChangeTypeId": "ct-3dpd8mdd9jn1r",
"Title": "Create IAM Role"
}

  5. 建立 RFC,指定 CreateIamResourceRfc 檔案和 CreateIamResourceParams 檔案:

    aws amscm create-rfc --cli-input-json file://CreateIamResourceRfc.json  --execution-parameters file://CreateIamResourceParams.json

    您會在回應中收到新 RFC 的 ID,並且可以使用它來提交和監控 RFC。在您提交之前,RFC 會保持在編輯狀態,不會啟動。

  • 在您的帳戶中佈建 IAM 角色之後,您必須在聯合解決方案中加入該角色。

  • 在政策文件中貼上時,請注意 RFC 只接受最多 20,480 個字元的政策貼上。如果您的政策有超過 20,480 個字元,請建立服務請求以上傳政策,然後在您為 IAM 開啟的 RFC 中參考該服務請求。

  • 這是「需要檢閱」變更類型 (AMS 運算子必須檢閱並執行 CT),這表示 RFC 可能需要更長的時間才能執行,而且您可能需要透過 RFC 詳細資訊頁面對應選項與 AMS 通訊。此外,如果您排程「需要檢閱」變更類型 RFC,請務必至少允許 24 小時,如果在排程開始時間之前未進行核准,則 RFC 會自動被拒絕。

  • 如需 的相關資訊 AWS Identity and Access Management,請參閱 AWS Identity and Access Management (IAM),如需政策資訊,請參閱 受管政策和內嵌政策。如需 AMS 許可的詳細資訊,請參閱部署 IAM 資源

執行輸入參數

如需執行輸入參數的詳細資訊,請參閱 變更類型的結構描述 ct-3dpd8mdd9jn1r

範例:必要參數

{
  "UseCase": "Use case...",
  "Operation": "Create"
}

範例:所有參數

{
  "UseCase": "Use case...",
  "IAM User": [
    {
      "UserName": "user-a",
      "AccessType": "Console access",
      "AddPermissionsAsInlinePolicy": "No",
      "UserPermissionPolicyName": "policy",
      "UserPermissions": "Power User permissions",
      "Tags": [
        {
          "Key": "foo",
          "Value": "bar"
        },
        {
          "Key": "testkey",
          "Value": "testvalue"
        }
      ]
    }
  ],
  "IAM Role": [
    {
      "RoleName": "role-b",
      "AddPermissionsAsInlinePolicy": "No",
      "InstanceProfile": "No",
      "TrustPolicy": "Trust policy example",
      "RolePermissionPolicyName": "TestPolicy1",
      "RolePermissions": "Role permissions example",
      "ManagedPolicyArns": [
        "arn:aws:iam::123456789012:policy/policy01",
        "arn:aws:iam::123456789012:policy/policy02"
      ],
      "Path": "/",
      "Tags": [
        {
          "Key": "foo",
          "Value": "bar"
        },
        {
          "Key": "testkey",
          "Value": "testvalue"
        }
      ]
    }
  ],
  "IAM Policy": [
    {
      "PolicyName": "policy1",
      "PolicyDocument": "Policy document example 1",
      "Path": "/",
      "RelatedResources": [
        "resourceA",
        "resourceB"
      ],
      "CreatePolicyAsInlinePolicy": "No"
    },
    {
      "PolicyName": "policy2",
      "PolicyDocument": "Policy document example 2",
      "Path": "/",
      "RelatedResources": [
        "resourceC",
        "resourceD"
      ],
      "CreatePolicyAsInlinePolicy": "Yes"
    }
  ],
  "Operation": "Create",
  "Priority": "Medium"
}