本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 AMS 中使用 AMS 自動化 IAM 佈建
您可以使用下列 AMS 自動化 IAM 佈建變更類型建立 RFCs。
注意
-
僅支援對角色和政策進行佈建。
更新角色時,更新 CT 會使用提供的受管政策 ARNs 和「擔任角色」政策文件,取代現有的受管政策 Amazon 資源名稱 (ARNs) 和「擔任角色」政策文件清單。在部分更新中,例如,不允許在現有受管政策 ARN 清單中新增或移除 ARNs,也不允許新增或移除個別政策陳述式至「擔任角色」政策文件。同樣地,更新政策時,更新 CT 會取代現有的政策文件,不允許在現有的政策文件中新增或移除個別政策陳述式。
-
選取「僅驗證」選項時,執行時間檢查時不會佈建任何 IAM 實體或政策。無論問題清單為何,RFC 狀態都是「成功」。「成功」狀態表示成功驗證提供的 IAM 實體或政策。
部署 | 進階堆疊元件 | Identity and Access Management (IAM) | 建立實體或政策 (讀寫許可)(ct-1n9gfnog5x7fl):會自動驗證和佈建新的 IAM 實體或政策。
管理 | 進階堆疊元件 | Identity and Access Management (IAM) | 更新實體或政策 (讀寫許可)(ct-1e0xmuy1diafq):現有 IAM 實體或政策會自動更新和驗證。
管理 | 進階堆疊元件 | Identity and Access Management (IAM) | 刪除實體或政策 (讀寫許可)(ct-17cj84y7632o6):刪除使用自動建立實體或政策變更類型佈建的現有 IAM 實體或政策。
您只能使用專用 IAM 角色呼叫上述三個 CTs:AWSManagedServicesIAMProvisionAdminRole。此角色僅適用於已使用 管理 | 受管帳戶 | AMS 自動化 IAM 佈建讀寫許可 | 啟用 (需要檢閱) (ct-1706xvk6j9hf) 加入此功能的帳戶。
重要
建立、更新和刪除變更類型一律會顯示在您的帳戶中,但預設不會開啟。如果您嘗試使用這些變更類型之一提交 RFC,但未先啟用 AMS 自動化 IAM 佈建功能,則會顯示「未授權」錯誤。
限制:
建立 CT 可能允許您建立具有建立 AWS 資源許可的 IAM 角色或政策。不過,這些角色和政策建立 AWS 的資源並非由 AMS 管理。最佳實務是遵循您的組織控制,以限制此類角色或政策的建立。
更新 CT 無法修改使用 CFN 擷取、直接變更模式、開發人員模式建立的 IAM 角色和政策,在某些情況下,也無法透過現有的 AMS 進階手動或自動 CTs 修改。
刪除 CT 無法刪除未使用 AMS Automated IAM Provisioning Create CT 建立的現有角色或政策。
直接變更模式角色不支援具有讀寫許可的 AMS 自動化 IAM 佈建功能。這表示您無法使用這些角色佈建或更新具有讀寫許可的 IAM 角色和政策。
具有讀寫許可的 AMS 自動化 IAM 佈建建立、更新和刪除變更類型與 ServiceNow 連接器不相容。
