本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AMS 中的自動化 IAM 佈建如何運作
自動化 IAM 佈建依賴 IAM 的自動執行期檢查來驗證 IAM 資源的變更。這些自動檢查會在執行建立、更新或刪除變更類型時執行,防止過度允許或模式不安全的 IAM 資源部署到您的帳戶。這可讓您將 IAM 檢閱中的嚴格程度與團隊的專業知識進行比對。我們建議初次使用雲端服務且需要手動檢查所有 IAM 資源變更的團隊使用現有檢閱所需的變更類型:部署 | 進階堆疊元件 | Identity and Access Management (IAM) | 建立實體或政策 (需要檢閱),(ct-3dpd8mdd9jn1r)。具備 AWS 專業知識並控制其環境的團隊可以使用自動化 IAM 佈建來加速部署。您可以使用此功能透過自動執行時間檢查執行驗證,或在驗證成功後執行 IAM 資源的驗證和佈建。
重要
AWS Managed Services 已主動實作驗證執行期檢查清單,以防止建立具有特定許可和條件的 IAM 資源或政策。如需這些權限和條件的說明,請參閱在 AMS Advanced 中部署 IAM 資源。自動化變更類型 ct-1n9gfnog5x7fl、ct-1e0xmuy1diafq 和 ct-17cj84y7632o6,可讓熟練管理 IAM 資源的使用者佈建 IAM 角色和政策,允許超出唯讀權限的動作。
此外,您可以使用透過自動變更類型 ct-1n9gfnog5x7fl、ct-1e0xmuy1diafq 和 ct-17cj84y7632o6 建立的角色來建立新的資源。不過,資源無法遵循 AMS 命名標準,也不是標準 AMS 堆疊的一部分。AMS 會盡最大努力提供這些特定資源的操作和安全性支援。
雖然手動和自動化程序都旨在維護我們的安全標準,但請務必注意兩者之間的檢查存在差異。自動化佈建可讓您更靈活地建立和更新角色和政策;因此,它們並不相同。建議您的組織仔細檢閱 AMS 使用者指南中列出的驗證執行期檢查,以確保它們符合您組織的期望和要求。
驗證流程
驗證和佈建流程
注意
此功能適用於具有 AWS 和 IAM 資源經驗的團隊,我們不建議新加入的團隊使用此功能 AWS。自動化驗證程序旨在捕捉大多數錯誤,並有助於團隊在了解其所需的許可時快速檢閱 IAM 的變更。若要安全有效地使用新的變更類型,我們建議您充分了解 AWS IAM,以及變更類型提供的執行期檢查,以判斷它們是否適合您的團隊。
