本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AMS 存取您帳戶的原因和時間
AWS Managed Services (AMS) 會管理您的 AWS 基礎設施,有時基於特定原因,AMS 運算子和管理員會存取您的帳戶。這些存取事件會記錄在 AWS CloudTrail (CloudTrail) 日誌中。
下列主題說明 AMS 為何、何時以及如何存取您的帳戶。
AMS 客戶帳戶存取觸發條件
AMS 客戶帳戶存取活動由觸發程序驅動。今天的觸發條件是在問題管理系統中建立的 AWS 票證,以回應 Amazon CloudWatch (CloudWatch) 警示和事件,以及您提交的事件報告或服務請求。每個存取可能會執行多個服務呼叫和主機層級活動。
下表列出存取理由、觸發條件和觸發條件的啟動者。
| 存取 | 啟動者 | 觸發條件 |
|---|---|---|
修補 |
AMS |
修補程式問題 |
基礎設施部署 |
AMS |
部署問題 |
內部問題調查 |
AMS |
問題 (已識別為系統性的問題) |
警示調查和修復 |
AMS |
AWS Systems Manager 操作工作項目 (SSM OpsItems) |
手動 RFC 執行 |
您 |
變更請求 (RFC) 問題。(非自動化 RFCs 可能需要 AMS 存取您的資源) |
事件調查和修復 |
您 |
傳入支援案例 (您提交的事件或服務請求) |
傳入服務請求履行 |
您 |
AMS 客戶帳戶存取 IAM 角色
觸發時,AMS 會使用 AWS Identity and Access Management (IAM) 角色存取客戶帳戶。就像您帳戶中的所有活動一樣,角色及其用量都會記錄在 CloudTrail 中。
重要
請勿修改或刪除這些角色。
| 角色名稱 | 帳戶類型 (SALZ、MALZ 管理、MALZ 應用程式等) | 描述 |
|---|---|---|
ams-service-admin |
SALZ、MALZ |
AMS Service 自動化存取和自動化基礎設施部署,例如修補程式、備份、自動化修復。 |
ams-application-infra-read-only |
SALZ、MALZ 應用程式、MALZ 工具應用程式 |
運算子唯讀存取 |
ams-application-infra-operations |
事件/服務請求的運算子存取權 | |
ams-application-infra-admin |
AD 管理員存取權 | |
ams-primary-read-only |
MALZ 管理 |
運算子唯讀存取 |
ams-primary-operations |
事件/服務請求的運算子存取權 | |
ams-primary-admin |
AD 管理員存取權 | |
ams-logging-read-only |
MALZ 記錄 |
運算子唯讀存取 |
ams-logging-operations |
事件/服務請求的運算子存取權 | |
ams-logging-admin |
AD 管理員存取權 | |
ams-networking-read-only |
MALZ 網路 |
運算子唯讀存取 |
ams-networking-operations |
事件/服務請求的運算子存取權 | |
ams-networking-admin |
AD 管理員存取權 | |
ams-shared-services-read-only |
MALZ 共用服務 |
運算子唯讀存取 |
ams-shared-services-operations |
事件/服務請求的運算子存取權 | |
ams-shared-services-admin |
AD 管理員存取權 | |
ams-security-read-only |
MALZ 安全性 |
運算子唯讀存取 |
ams-security-operations |
事件/服務請求的運算子存取權 | |
ams-security-admin |
AD 管理員存取權 | |
ams-access-security-analyst |
SALZ、MALZ 應用程式、MALZ Tools-Application、MALZ Core |
AMS 安全存取 |
ams-access-security-analyst-read-only |
AMS 安全,唯讀存取 | |
Sentinel_AdminUser_Role_PXHazRQadu0PVcCDcMbHE |
SALZ |
【BreakGlassRole】 用於將 breakGlass客戶帳戶 |
Sentinel_PowerUser_Role_wZuPuS0ROOl0IazDbRI9 |
SALZ、MALZ |
Poweruser 存取客戶帳戶以進行 RFC 執行 |
Sentinel_ReadOnlyUser_Role_Pd4L6Rw9RD0lnLkD5JOo |
ReadOnly 存取客戶帳戶以進行 RFC 執行 | |
ams_admin_role |
客戶帳戶 RFC 執行的管理員存取權 | |
AWSManagedServices_Provisioning_CustomerStacksRole |
用於透過 CloudFormation Ingest 代表客戶啟動和更新 CFN 堆疊 | |
customer_ssm_automation_role |
CT 執行傳遞給 SSM Automation 以執行 Runbook 的角色 | |
ams_ssm_automation_role |
SALZ、MALZ 應用程式、MALZ Core |
AMS 服務傳遞給 SSM Automation 以執行 Runbook 的角色 |
ams_ssm_iam_deployment_role |
MALZ 應用程式 |
IAM 目錄使用的角色 |
ams_ssm_shared_svcs_intermediary_role |
MALZ 共用服務 |
應用程式 ams_ssm_automation_role 用來在共用服務帳戶中執行特定 SSM 文件的角色 |
AmsOpsCenterRole |
SALZ、MALZ |
用來在客戶帳戶中建立和更新 OpsItems |
AMSOpsItemAutoExecutionRole |
用來取得 SSM 文件、描述資源標籤、更新 OpsItems,以及啟動自動化 | |
customer-mc-ec2-instance-profile |
預設客戶 EC2 執行個體描述檔 (角色) |
請求執行個體存取
若要存取資源,您必須先提交該存取的變更請求 (RFC)。您可以請求兩種類型的存取:admin (讀取/寫入許可) 和唯讀 (標準使用者存取)。根據預設,存取會持續八小時。此為必要資訊:
您要存取之執行個體或執行個體的堆疊 ID 或一組堆疊 IDs。
AMS 信任網域的完整網域名稱。
想要存取的人員的 Active Directory 使用者名稱。
您要存取之堆疊所在的 VPC ID。
獲得存取權後,您可以視需要更新請求。
如需如何請求存取的範例,請參閱堆疊管理員存取 | 授予或堆疊唯讀存取 | 授予。
