AMS 自動化 IAM 佈建許可界限檢查 - AMS 進階使用者指南

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AMS 自動化 IAM 佈建許可界限檢查

AMS 許可界限檢查可協助您遵守 AMS 提供的預設許可界限政策。此政策是 AMS Automated IAM Provisioning 拒絕的動作清單。佈建包含這些限制動作的政策需要額外明確的風險接受。在此處下載政策:finity-policy.zip

使用客戶定義的許可界限政策檢查,自訂 AMS 許可界限政策預設值以外的拒絕動作。當您使用下列變更類型加入 AMS 自動 IAM 佈建時:管理 | 受管帳戶 | AMS 具有讀寫許可的自動 IAM 佈建 | 啟用 (需要檢閱) (ct-1706xvk6j9hf),您可以包含自訂拒絕動作清單,以指定其他限制動作。

您可以使用變更類型更新拒絕動作清單:管理 | 受管帳戶 | 具有讀寫許可的自動化 IAM 佈建 | 更新自訂拒絕清單 (ct-2r9xvd3sdsic0)。您必須使用專用 IAM 角色AWSManagedServicesIAMProvisionAdminRole來執行此變更類型。

注意

  • 您必須為每個更新提供拒絕動作的完整清單。新清單會取代上一個清單。

  • 拒絕動作清單只能包含要拒絕的動作。不支援允許動作。

  • 拒絕動作清單位於帳戶內,做為名為 的 IAM 受管政策AWSManagedServicesIAMProvisionCustomerBoundaryPolicy。政策不得連接到任何角色。

  • 用於表示 AMS Automated IAM Provisioning 中拒絕動作的許可界限一詞與 IAM 許可界限具有不同的內容意義。IAM 許可界限會設定政策在執行時間可授予 IAM 實體的最大許可。如需 IAM 許可界限的詳細資訊,請參閱AWS Identity and Access Management 《 使用者指南》中的政策類型。AMS Automated IAM Provisioning 中的許可界限可防止您佈建包含特定許可集的 IAM 政策,例如拒絕動作清單。