直接變更模式入門 - AMS 進階使用者指南
直接變更模式 IAM 角色和政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

直接變更模式入門

首先檢查先決條件,然後在符合資格的 AMS Advanced 帳戶中提交變更請求 (RFC)。

  1. 確認您要與 DCM 搭配使用的帳戶符合需求:

    • 帳戶為 AMS Advanced Plus 或 Premium。

    • 帳戶未啟用 Service Catalog。我們目前不支援同時將帳戶加入 DCM 和服務目錄。如果您已加入 Service Catalog,但對 DCM 感興趣,請與您的雲端服務交付管理員 (CSDM) 討論您的需求。如果您決定從 Service Catalog 切換到 DCM、離機 Service Catalog,若要這樣做,請在下面的變更請求中加入 ask。如需 AMS 中 Service Catalog 的詳細資訊,請參閱 AMS 和服務目錄

  2. 使用 管理 | 受管帳戶 | 直接變更模式 | 啟用變更類型 (ct-3rd4781c2nnhp) 提交變更請求 (RFC)。如需逐步解說範例,請參閱直接變更模式 | 啟用

    處理 CT 之後,預先定義的 IAM 角色AWSManagedServicesCloudFormationAdminRoleAWSManagedServicesUpdateRole 會在指定的帳戶中佈建。

  3. 使用內部聯合程序,將適當的角色指派給需要 DCM 存取的使用者。

注意

您可以指定任意數量的 SAMLIdentityProviders、 AWS Services 和 IAM 實體 (角色、使用者等) 來擔任角色。您必須提供至少一個:SAMLIdentityProviderARNsIAMEntityARNsAWSServicePrincipals。如需詳細資訊,請洽詢您公司的 IAM 部門或 AMS 雲端架構師 (CA)。

直接變更模式 IAM 角色和政策

在帳戶中啟用直接變更模式時,會部署這些新的 IAM 實體:

AWSManagedServicesCloudFormationAdminRole:此角色會授予 CloudFormation 主控台的存取權、建立和更新 CloudFormation 堆疊、檢視偏離報告,以及建立和執行 CloudFormation ChangeSets。存取此角色是透過 SAML 供應商管理。

部署並連接到角色AWSManagedServicesCloudFormationAdminRole的受管政策如下:

  • AMS 進階多帳戶登陸區域 (MALZ) 應用程式帳戶

    • AWSManagedServices_CloudFormationAdminPolicy1

    • AWSManagedServices_CloudFormationAdminPolicy2

      • 此政策代表授予 的許可AWSManagedServicesCloudFormationAdminRole。您和合作夥伴使用此政策來授予帳戶中現有角色的存取權,並允許該角色啟動和更新帳戶中的 CloudFormation 堆疊。這可能需要額外的 AMS 服務控制政策 (SCP) 更新,以允許其他 IAM 實體啟動 CloudFormation 堆疊。

  • AMS 進階單一帳戶登陸區域 (SALZ) 帳戶

    • AWSManagedServices_CloudFormationAdminPolicy1

    • AWSManagedServices_CloudFormationAdminPolicy2

    • cdk-legacy-mode-s3-access 【內嵌政策】

    • AWS ReadOnlyAccess 政策

AWSManagedServicesUpdateRole:此角色會授予下游 AWS 服務 APIs的限制存取權。該角色部署的受管政策提供變動和非變動 API 操作,但通常限制變動操作 (例如Create/Delete/PUT) 對某些服務,例如 IAM、KMS、GuardDuty、VPC、AMS 基礎設施資源和組態等。此角色的存取是透過 SAML 供應商管理。

部署並連接到角色AWSManagedServicesUpdateRole的受管政策包括:

  • AMS 進階多帳戶登陸區域應用程式帳戶

    • AWSManagedServicesUpdateBasePolicy 

    • AWSManagedServicesUpdateDenyPolicy 

    • AWSManagedServicesUpdateDenyProvisioningPolicy 

    • AWSManagedServicesUpdateEC2AndRDSPolicy 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfraPolicy

  • AMS 進階單一帳戶登陸區域帳戶

    • AWSManagedServicesUpdateBasePolicy 

    • AWSManagedServicesUpdateDenyProvisioningPolicy 

    • AWSManagedServicesUpdateEC2AndRDSPolicy 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfraPolicy1 

    • AWSManagedServicesUpdateDenyActionsOnAMSInfraPolicy2

除此之外,受管政策AWSManagedServicesUpdateRole角色還ViewOnlyAccess連接了 AWS 受管政策。