Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Por qué y cuándo AMS accede a tu cuenta
<a name="access-justification"></a>

AWS Managed Services (AMS) administra la infraestructura de AWS y, en ocasiones, por motivos específicos, los operadores y administradores de AMS acceden a su cuenta. Estos eventos de acceso se documentan en sus registros AWS CloudTrail (CloudTrail).

En los siguientes temas se explica por qué, cuándo y cómo AMS accede a su cuenta.

## Activadores de acceso a la cuenta de cliente de AMS
<a name="access-mgmt-triggers"></a>

La actividad de acceso a la cuenta de los clientes de AMS depende de factores desencadenantes. Los factores desencadenantes actuales son los AWS tickets creados en nuestro sistema de gestión de problemas en respuesta a las alarmas y eventos de Amazon CloudWatch (CloudWatch), y los informes de incidentes o las solicitudes de servicio que envíes. Se pueden realizar varias llamadas de servicio y actividades a nivel de anfitrión para cada acceso. 

La justificación del acceso, los activadores y el iniciador del disparador se muestran en la siguiente tabla.


**Activadores de acceso**  

<table>
<thead>
  <tr><th>Acceso</th><th>Initiator</th><th>Desencadenador</th></tr>
</thead>
<tbody>
  <tr><td>Aplicación de parches</td><td>AMS</td><td>Problema con el parche</td></tr>
  <tr><td>Implementaciones de infraestructura</td><td>AMS</td><td>Problema de despliegue</td></tr>
  <tr><td>Investigación de problemas internos</td><td>AMS</td><td>Problema problemático (un problema que se ha identificado como sistémico)</td></tr>
  <tr><td>Investigación y solución de alertas</td><td>AMS</td><td>Elementos de trabajo operativos (SSM OpsItems) de AWS Systems Manager</td></tr>
  <tr><td>Ejecución manual de RFC</td><td>You</td><td>Problema con la solicitud de cambio (RFC). (Los sistemas no automatizados RFCs pueden requerir el acceso de AMS a sus recursos)</td></tr>
  <tr><td>Investigación y solución de incidentes</td><td>You</td><td rowspan="2">Caso de soporte entrante (una solicitud de servicio o incidente que envíes)</td></tr>
  <tr><td>Cumplimiento de una solicitud de servicio entrante</td><td>You</td></tr>
</tbody>
</table>


## Funciones de IAM para el acceso a la cuenta de los clientes de AMS
<a name="access-mgmt-iam-roles"></a>

Cuando se activa, AMS accede a las cuentas de los clientes mediante funciones AWS Identity and Access Management (IAM). Como ocurre con toda la actividad de su cuenta, se registran los roles y su uso. CloudTrail

**importante**  
No modifique ni elimine estas funciones.


**Funciones de IAM para el acceso de AMS a las cuentas de los clientes**  
<a name="iam-access-roles-table"></a>
<table>
<thead>
  <tr><th>Nombre de función</th><th>Tipo de cuenta (SALZ, MALZ Management, MALZ Application, etc.)</th><th>Description (Descripción)</th></tr>
</thead>
<tbody>
  <tr><td>ams-service-admin</td><td>SALZ, MALZ</td><td>AMS Service automatiza el acceso y los despliegues de infraestructura automatizados, por ejemplo, Patch, Backup o Automated Remediation.</td></tr>
  <tr><td>ams-application-infra-read-solo</td><td rowspan="3">SALZ, aplicación MALZ, aplicación MALZ Tools-aplicación</td><td>Acceso de solo lectura por parte del operador</td></tr>
  <tr><td>ams-application-infra-operations</td><td>Acceso del operador para incidents/service las solicitudes</td></tr>
  <tr><td>ams-application-infra-admin</td><td>Acceso de administrador de AD</td></tr>
  <tr><td>ams-primary-read-only</td><td rowspan="3">Administración de MALZ</td><td>Acceso de solo lectura por parte del operador</td></tr>
  <tr><td>ams-primary-operations</td><td>Acceso del operador para incidents/service las solicitudes</td></tr>
  <tr><td>ams-primary-admin</td><td>Acceso de administrador de AD</td></tr>
  <tr><td>ams-logging-read-only</td><td rowspan="3">Registro de MALZ</td><td>Acceso de solo lectura por parte del operador</td></tr>
  <tr><td>ams-logging-operations</td><td>Acceso del operador para incidents/service las solicitudes</td></tr>
  <tr><td>ams-logging-admin</td><td>Acceso de administrador de AD</td></tr>
  <tr><td>ams-networking-read-only</td><td rowspan="3">MALZ Networking</td><td>Acceso de solo lectura por parte del operador</td></tr>
  <tr><td>ams-networking-operations</td><td>Acceso del operador para incidents/service las solicitudes</td></tr>
  <tr><td>ams-networking-admin</td><td>Acceso de administrador de AD</td></tr>
  <tr><td>ams-shared-services-read-solo</td><td rowspan="3">Servicios compartidos MALZ</td><td>Acceso de solo lectura por parte del operador</td></tr>
  <tr><td>ams-shared-services-operations</td><td>Acceso del operador para incidents/service las solicitudes</td></tr>
  <tr><td>ams-shared-services-admin</td><td>Acceso de administrador de AD</td></tr>
  <tr><td>ams-security-read-only</td><td rowspan="3">Seguridad MALZ</td><td>Acceso de solo lectura por parte del operador</td></tr>
  <tr><td>ams-security-operations</td><td>Acceso del operador para incidents/service las solicitudes</td></tr>
  <tr><td>ams-security-admin</td><td>Acceso de administrador de AD</td></tr>
  <tr><td>ams-access-security-analyst</td><td rowspan="2">SALZ, aplicación MALZ, aplicación MALZ Tools-Aplicación, MALZ Core</td><td>Acceso a AMS Security</td></tr>
  <tr><td>ams-access-security-analyst-de solo lectura</td><td>AMS Security, acceso de solo lectura</td></tr>
  <tr><td>AdminUserSentinel\_ \_Role\_ MBhE PXHaz RQadu0 PVc CDc</td><td>SALSA</td><td>[BreakGlassRole] Se utiliza para introducir Glass en las cuentas de los clientes</td></tr>
  <tr><td>Sentinel\_ \_Role\_ S0 PowerUser wZuPu ROOl0 IazDb RI9</td><td rowspan="5">SAL, MALTA</td><td>Acceso de usuarios avanzados a las cuentas de los clientes para la ejecución de RFC</td></tr>
  <tr><td>Sentinel\_ \_Role\_Pd4L6Rw9 LKd5 ReadOnlyUser RD0ln JOo</td><td>ReadOnly acceso a las cuentas de los clientes para la ejecución de la RFC</td></tr>
  <tr><td>ams\_admin\_role</td><td>Acceso de administrador a las cuentas de los clientes para ejecutar el RFC</td></tr>
  <tr><td>AWSManagedServices\_Provisioning\_CustomerStacksRole</td><td>Se utiliza para lanzar y actualizar las pilas de CFN en nombre de los clientes a través de Ingest CloudFormation </td></tr>
  <tr><td>customer\_ssm\_automation\_role</td><td>Las ejecuciones de CT transfieren el rol a SSM Automation para la ejecución del runbook</td></tr>
  <tr><td>ams\_ssm\_automation\_role</td><td>SALZ, aplicación MALZ, código MALZ</td><td>Los servicios de AMS transfirieron la función a SSM Automation para la ejecución del manual</td></tr>
  <tr><td>ams\_ssm\_iam\_deployment\_role</td><td>Aplicación MALZ</td><td>Función utilizada por el catálogo de IAM</td></tr>
  <tr><td>ams\_ssm\_shared\_svcs\_intermediary\_role</td><td>Servicios compartidos MALZ</td><td>Función utilizada por la aplicación ams\_ssm\_automation\_role para ejecutar documentos SSM específicos en la cuenta de Shared Services</td></tr>
  <tr><td>AmsOpsCenterRole</td><td rowspan="3">SAL, MALA</td><td>Se utiliza para crear y actualizar cuentas OpsItems de clientes</td></tr>
  <tr><td>AMSOpsItemAutoExecutionRole</td><td>Se utiliza para obtener documentos SSM, describir etiquetas de recursos OpsItems, actualizar e iniciar la automatización</td></tr>
  <tr><td>customer-mc-ecPerfil de 2 instancias</td><td>Perfil de instancia EC2 del cliente predeterminado (rol)</td></tr>
</tbody>
</table>


## ¿Solicitar el acceso a la instancia
<a name="req-instance-access"></a>

Para acceder a un recurso, primero debe enviar una solicitud de cambio (RFC) para ese acceso. Hay dos tipos de acceso que puede solicitar: de administrador (permisos de lectura/escritura) y de solo lectura (acceso de usuario estándar). De forma predeterminada, el acceso dura ocho horas. Esta información es obligatoria:
+ ID de pila, o conjunto de pilas IDs, de la instancia o instancias a las que quieres acceder.
+ El nombre de dominio completo de su dominio de confianza en AMS.
+ El nombre de usuario de Active Directory de la persona que quiere acceder.
+ El ID de la VPC en la que se encuentran las pilas a las que desea acceder.

Una vez que se te haya concedido el acceso, puedes actualizar la solicitud según sea necesario.

Para ver ejemplos de cómo solicitar acceso, consulta [Stack Admin Access \| Grant](https://docs.aws.amazon.com/managedservices/latest/ctref/management-access-stack-admin-access-grant.html) o [Stack Read-only Access \|](https://docs.aws.amazon.com/managedservices/latest/ctref/management-access-stack-read-only-access-grant.html) Grant.