在 AMS 中加入 AMS 自動化 IAM 佈建

若要使用新的變更類型，請先使用下列變更類型提交 RFC 來啟用 AMS 自動化 IAM 佈建：管理 | 受管帳戶 | 具有讀寫許可的 AMS 自動化 IAM 佈建 | 啟用 （需要檢閱） (ct-1706xvk6j9hf)。 AWS 需要您的組織通過客戶安全風險管理 (CSRM) 程序，以確保這些變更類型的使用符合您的組織政策。 AWS 作為必要審核的一部分，營運團隊會與您合作，以風險接受的形式取得安全團隊聯絡人的明確核准。若要進一步了解，請參閱 RFC 客戶風險管理 (CSRM) 程序。

在啟用具有讀寫許可的 AMS 自動化 IAM 佈建功能的 RFC 成功之後，AMS 會在用來提交啟用 RFC 的帳戶中啟用 AMS 自動化 IAM 佈建變更類型。若要確認帳戶已開啟 AMS 自動化 IAM 佈建，請檢查 IAM 主控台是否有AWSManagedServicesIAMProvisionAdminRole角色。

在加入過程中，AMS 會在帳戶的相同 AWS 區域中佈建 IAM Access Analyzer，以利用其存取預覽功能。IAM Access Analyzer 可協助識別組織和帳戶中與外部實體共用的資源、根據政策文法和最佳實務驗證 IAM 政策，並根據 AWS CloudTrail 日誌中的存取活動產生 IAM 政策。若要進一步了解，請參閱使用 AWS Identity and Access Management Access Analyzer 。

加入後， AWSManagedServicesIAMProvisionAdminRole會部署到已啟用的帳戶。如果您選擇透過 SAML 聯合使用此角色，則必須將該角色加入聯合解決方案。

在加入過程中，您可以請求更新 AWSManagedServicesIAMProvisionAdminRole 的信任政策，以授予另一個 IAM 角色 ARN 來擔任此角色 AWS Security Token Service。