Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gestion des accès dans AMS Accelerate
La gestion des accès est la façon dont vos ressources sont protégées en n'autorisant que les accès autorisés et authentifiés. Avec AMS Accelerate, vous êtes responsable de la gestion de l'accès à vos ressources Comptes AWS et à leurs ressources sous-jacentes, telles que les solutions de gestion des accès, les politiques d'accès et les processus associés. Afin de vous aider à gérer votre solution d'accès, AMS Accelerate déploie des AWS Config règles qui détectent les erreurs de configuration courantes de l'IAM, puis fournissent des notifications de correction. Une erreur de configuration courante de l'IAM est que l'utilisateur root possède des clés d'accès. La règle de `iam-root-access-key-check` configuration vérifie si la clé d'accès de l'utilisateur root est disponible et est conforme ou si la clé d'accès n'existe pas. Pour obtenir la liste des règles de configuration déployées par AMS, consultez la [bibliothèque de AWS Config règles AMS](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sec-compliance.html#acc-sec-compliance-rules).
**Topics**
+ [Accédez à la console Accelerate](acc-access-permissions.md)
+ [Autorisations d'utilisation des fonctionnalités AMS](acc-access-customer.md)
+ [Pourquoi et quand AMS accède à votre compte](access-justification.md)
+ [Comment AMS accède à votre compte](acc-access-operator.md)
+ [Comment et quand utiliser le compte utilisateur root dans AMS](how-when-to-use-root.md)
# Accédez à la console Accelerate
Lorsque vous intégrez Accelerate, vous avez automatiquement accès à la console Accelerate. Vous pouvez accéder à la console en recherchant **Managed Services** dans votre console de gestion AWS. La console Accelerate vous donne une vue résumée des fonctionnalités dont vous disposez avec Accelerate. Cette vue inclut les composants individuels présentés sur le tableau de bord et les pages de configuration.
# Autorisations d'utilisation des fonctionnalités AMS
Pour permettre à vos utilisateurs de lire et de configurer les fonctionnalités d'AMS Accelerate, comme l'accès à la console AMS ou la configuration de sauvegardes, vous devez accorder des autorisations explicites à leurs rôles IAM pour effectuer ces actions. Le CloudFormation modèle suivant contient les politiques requises pour lire et configurer les services associés à AMS afin que vous puissiez les attribuer à vos rôles IAM. Ils sont conçus pour s'aligner étroitement sur les responsabilités professionnelles courantes dans le secteur informatique, où des autorisations d'administrateur ou de lecture seule sont requises ; toutefois, si vous devez accorder des autorisations différentes aux utilisateurs, vous pouvez modifier la politique pour inclure ou exclure des autorisations spécifiques. Vous pouvez également créer votre propre politique personnalisée.
Le modèle fournit deux politiques. La `AMSAccelerateAdminAccess` politique est destinée à être utilisée pour configurer et faire fonctionner les composants AMS Accelerate. Cette politique est généralement adoptée par un administrateur informatique et accorde des autorisations pour configurer les fonctionnalités AMS telles que les correctifs et les sauvegardes. `AMSAccelerateReadOnly`accorde les autorisations minimales requises pour consulter les ressources liées à AMS Accelerate.
```
AWSTemplateFormatVersion: 2010-09-09
Description: AMSAccelerateCustomerAccessPolicies
Resources:
AMSAccelerateAdminAccess:
Type: 'AWS::IAM::ManagedPolicy'
Properties:
ManagedPolicyName: AMSAccelerateAdminAccess
Path: /
PolicyDocument:
Fn::Sub:
- |
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AmsSelfServiceReport",
"Effect": "Allow",
"Action": "amsssrv:*",
"Resource": "*"
},
{
"Sid": "AmsBackupPolicy",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::${AWS::AccountId}:role/ams-backup-iam-role"
},
{
"Sid": "AmsChangeRecordKMSPolicy",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:${AWS::Region}:${AWS::AccountId}:key/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"kms:ResourceAliases": "alias/AMSCloudTrailLogManagement"
}
}
},
{
"Sid": "AmsChangeRecordAthenaReadPolicy",
"Effect": "Allow",
"Action": [
"athena:BatchGetNamedQuery",
"athena:Get*",
"athena:List*",
"athena:StartQueryExecution",
"athena:UpdateWorkGroup",
"glue:GetDatabase*",
"glue:GetTable*",
"s3:GetAccountPublicAccessBlock",
"s3:ListAccessPoints",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "AmsChangeRecordS3ReadPolicy",
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": [
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}",
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}/*",
"arn:aws:s3:::ams-a${AWS::AccountId}-cloudtrail-${AWS::Region}",
"arn:aws:s3:::ams-a${AWS::AccountId}-cloudtrail-${AWS::Region}/*"
]
},
{
"Sid": "AmsChangeRecordS3WritePolicy",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectLegalHold",
"s3:PutObjectRetention"
],
"Resource": [
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}/*"
]
},
{
"Sid": "MaciePolicy",
"Effect": "Allow",
"Action": [
"macie2:GetFindingStatistics"
],
"Resource": "*"
},
{
"Sid": "GuardDutyPolicy",
"Effect": "Allow",
"Action": [
"guardduty:GetFindingsStatistics",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Sid": "SupportPolicy",
"Effect": "Allow",
"Action": "support:*",
"Resource": "*"
},
{
"Sid": "ConfigPolicy",
"Effect": "Allow",
"Action": [
"config:Get*",
"config:Describe*",
"config:Deliver*",
"config:List*",
"config:StartConfigRulesEvaluation"
],
"Resource": "*"
},
{
"Sid": "AppConfigReadPolicy",
"Effect": "Allow",
"Action": [
"appconfig:List*",
"appconfig:Get*"
],
"Resource": "*"
},
{
"Sid": "AppConfigPolicy",
"Effect": "Allow",
"Action": [
"appconfig:StartDeployment",
"appconfig:StopDeployment",
"appconfig:CreateHostedConfigurationVersion",
"appconfig:ValidateConfiguration"
],
"Resource": [
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSAlarmManagerConfigurationApplicationId}",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSAlarmManagerConfigurationApplicationId}/configurationprofile/${AMSAlarmManagerConfigurationCustomerManagedAlarmsProfileID}",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSAlarmManagerConfigurationApplicationId}/environment/*",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSResourceTaggerConfigurationApplicationId}",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSResourceTaggerConfigurationApplicationId}/configurationprofile/${AMSResourceTaggerConfigurationCustomerManagedTagsProfileID}",
"arn:aws:appconfig:*:${AWS::AccountId}:application/${AMSResourceTaggerConfigurationApplicationId}/environment/*",
"arn:aws:appconfig:*:${AWS::AccountId}:deploymentstrategy/*"
]
},
{
"Sid": "CloudFormationStacksPolicy",
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStacks"
],
"Resource": "*"
},
{
"Sid": "EC2Policy",
"Action": [
"ec2:DescribeInstances"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "SSMPolicy",
"Effect": "Allow",
"Action": [
"ssm:AddTagsToResource",
"ssm:CancelCommand",
"ssm:CancelMaintenanceWindowExecution",
"ssm:CreateAssociation",
"ssm:CreateAssociationBatch",
"ssm:CreateMaintenanceWindow",
"ssm:CreateOpsItem",
"ssm:CreatePatchBaseline",
"ssm:DeleteAssociation",
"ssm:DeleteMaintenanceWindow",
"ssm:DeletePatchBaseline",
"ssm:DeregisterPatchBaselineForPatchGroup",
"ssm:DeregisterTargetFromMaintenanceWindow",
"ssm:DeregisterTaskFromMaintenanceWindow",
"ssm:Describe*",
"ssm:Get*",
"ssm:List*",
"ssm:PutConfigurePackageResult",
"ssm:RegisterDefaultPatchBaseline",
"ssm:RegisterPatchBaselineForPatchGroup",
"ssm:RegisterTargetWithMaintenanceWindow",
"ssm:RegisterTaskWithMaintenanceWindow",
"ssm:RemoveTagsFromResource",
"ssm:SendCommand",
"ssm:StartAssociationsOnce",
"ssm:StartAutomationExecution",
"ssm:StartSession",
"ssm:StopAutomationExecution",
"ssm:TerminateSession",
"ssm:UpdateAssociation",
"ssm:UpdateAssociationStatus",
"ssm:UpdateMaintenanceWindow",
"ssm:UpdateMaintenanceWindowTarget",
"ssm:UpdateMaintenanceWindowTask",
"ssm:UpdateOpsItem",
"ssm:UpdatePatchBaseline"
],
"Resource": "*"
},
{
"Sid": "AmsPatchRestrictAMSResources",
"Effect": "Deny",
"Action": [
"ssm:DeletePatchBaseline",
"ssm:UpdatePatchBaseline"
],
"Resource": [
"arn:aws:ssm:${AWS::Region}:${AWS::AccountId}:patchbaseline/*"
],
"Condition": {
"StringLike": {
"aws:ResourceTag/ams:resourceOwner": "*"
}
}
},
{
"Sid": "AmsPatchRestrictAmsTags",
"Effect": "Deny",
"Action": [
"ssm:AddTagsToResource",
"ssm:RemoveTagsFromResource"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringLike": {
"aws:TagKeys": [
"AMS*",
"Ams*",
"ams*"
]
}
}
},
{
"Sid": "TagReadPolicy",
"Effect": "Allow",
"Action": [
"tag:GetResources",
"tag:GetTagKeys"
],
"Resource": "*"
},
{
"Sid": "CloudtrailReadPolicy",
"Effect": "Allow",
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
},
{
"Sid": "EventBridgePolicy",
"Effect": "Allow",
"Action": [
"events:Describe*",
"events:List*",
"events:TestEventPattern"
],
"Resource": "*"
},
{
"Sid": "IAMReadOnlyPolicy",
"Action": [
"iam:ListRoles",
"iam:GetRole"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AmsResourceSchedulerPassRolePolicy",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::${AWS::AccountId}:role/ams_resource_scheduler_ssm_automation_role",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ssm.amazonaws.com"
}
}
}
]
}
- AMSAlarmManagerConfigurationApplicationId: !ImportValue "AMS-Alarm-Manager-Configuration-ApplicationId"
AMSAlarmManagerConfigurationCustomerManagedAlarmsProfileID: !ImportValue "AMS-Alarm-Manager-Configuration-CustomerManagedAlarms-ProfileID"
AMSResourceTaggerConfigurationApplicationId: !ImportValue "AMS-ResourceTagger-Configuration-ApplicationId"
AMSResourceTaggerConfigurationCustomerManagedTagsProfileID: !ImportValue "AMS-ResourceTagger-Configuration-CustomerManagedTags-ProfileID"
AMSAccelerateReadOnly:
Type: 'AWS::IAM::ManagedPolicy'
Properties:
ManagedPolicyName: AMSAccelerateReadOnly
Path: /
PolicyDocument: !Sub |
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AmsSelfServiceReport",
"Effect": "Allow",
"Action": "amsssrv:*",
"Resource": "*"
},
{
"Sid": "AmsBackupPolicy",
"Effect": "Allow",
"Action": [
"backup:Describe*",
"backup:Get*",
"backup:List*"
],
"Resource": "*"
},
{
"Action": [
"rds:DescribeDBSnapshots",
"rds:ListTagsForResource",
"rds:DescribeDBInstances",
"rds:describeDBSnapshots",
"rds:describeDBEngineVersions",
"rds:describeOptionGroups",
"rds:describeOrderableDBInstanceOptions",
"rds:describeDBSubnetGroups",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBInstanceAutomatedBackups"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"dynamodb:ListBackups",
"dynamodb:ListTables"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"elasticfilesystem:DescribeFilesystems"
],
"Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
"Effect": "Allow"
},
{
"Action": [
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes",
"ec2:describeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:DescribeAccountAttributes",
"ec2:DescribeSecurityGroups",
"ec2:DescribeImages",
"ec2:DescribeSubnets",
"ec2:DescribePlacementGroups",
"ec2:DescribeInstances",
"ec2:DescribeInstanceTypes"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"tag:GetTagKeys",
"tag:GetTagValues",
"tag:GetResources"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"storagegateway:DescribeCachediSCSIVolumes",
"storagegateway:DescribeStorediSCSIVolumes"
],
"Resource": "arn:aws:storagegateway:*:*:gateway/*/volume/*"
},
{
"Effect": "Allow",
"Action": [
"storagegateway:ListGateways"
],
"Resource": "arn:aws:storagegateway:*:*:*"
},
{
"Effect": "Allow",
"Action": [
"storagegateway:DescribeGatewayInformation",
"storagegateway:ListVolumes",
"storagegateway:ListLocalDisks"
],
"Resource": "arn:aws:storagegateway:*:*:gateway/*"
},
{
"Action": [
"iam:ListRoles",
"iam:GetRole"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "organizations:DescribeOrganization",
"Resource": "*"
},
{
"Action": "fsx:DescribeBackups",
"Effect": "Allow",
"Resource": "arn:aws:fsx:*:*:backup/*"
},
{
"Action": "fsx:DescribeFileSystems",
"Effect": "Allow",
"Resource": "arn:aws:fsx:*:*:file-system/*"
},
{
"Action": "ds:DescribeDirectories",
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AmsChangeRecordKMSPolicy",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:${AWS::Region}:${AWS::AccountId}:key/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"kms:ResourceAliases": "alias/AMSCloudTrailLogManagement"
}
}
},
{
"Sid": "AmsChangeRecordAthenaReadPolicy",
"Effect": "Allow",
"Action": [
"athena:BatchGetNamedQuery",
"athena:Get*",
"athena:List*",
"athena:StartQueryExecution",
"athena:UpdateWorkGroup",
"glue:GetDatabase*",
"glue:GetTable*",
"s3:GetAccountPublicAccessBlock",
"s3:ListAccessPoints",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "AmsChangeRecordS3ReadPolicy",
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": [
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}",
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}/*",
"arn:aws:s3:::ams-a${AWS::AccountId}-cloudtrail-${AWS::Region}",
"arn:aws:s3:::ams-a${AWS::AccountId}-cloudtrail-${AWS::Region}/*"
]
},
{
"Sid": "AmsChangeRecordS3WritePolicy",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectLegalHold",
"s3:PutObjectRetention"
],
"Resource": [
"arn:aws:s3:::ams-a${AWS::AccountId}-athena-results-${AWS::Region}/*"
]
},
{
"Sid": "MaciePolicy",
"Effect": "Allow",
"Action": [
"macie2:GetFindingStatistics"
],
"Resource": "*"
},
{
"Sid": "GuardDutyReadPolicy",
"Effect": "Allow",
"Action": [
"guardduty:GetFindingsStatistics",
"guardduty:ListDetectors"
],
"Resource": "*"
},
{
"Sid": "SupportReadPolicy",
"Effect": "Allow",
"Action": "support:Describe*",
"Resource": "*"
},
{
"Sid": "ConfigReadPolicy",
"Effect": "Allow",
"Action": [
"config:Get*",
"config:Describe*",
"config:List*"
],
"Resource": "*"
},
{
"Sid": "AppConfigReadPolicy",
"Effect": "Allow",
"Action": [
"appconfig:List*",
"appconfig:Get*"
],
"Resource": "*"
},
{
"Sid": "CloudFormationReadPolicy",
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStacks"
],
"Resource": "*"
},
{
"Sid": "EC2ReadPolicy",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances"
],
"Resource": "*"
},
{
"Sid": "SSMReadPolicy",
"Effect": "Allow",
"Action": [
"ssm:Describe*",
"ssm:Get*",
"ssm:List*"
],
"Resource": "*"
},
{
"Sid": "TagReadPolicy",
"Effect": "Allow",
"Action": [
"tag:GetResources",
"tag:GetTagKeys"
],
"Resource": "*"
},
{
"Sid": "CloudtrailReadPolicy",
"Effect": "Allow",
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
},
{
"Sid": "EventBridgePolicy",
"Effect": "Allow",
"Action": [
"events:Describe*",
"events:List*",
"events:TestEventPattern"
],
"Resource": "*"
}
]
}
```
# Pourquoi et quand AMS accède à votre compte
Les opérateurs AMS Accelerate (Accelerate) peuvent accéder à la console de votre compte et aux instances, dans certaines circonstances, pour gérer vos ressources. Ces événements d'accès sont documentés dans vos journaux AWS CloudTrail (CloudTrail). Pour plus de détails sur la façon de vérifier l'activité de votre compte par l'équipe AMS Accelerate Operations et sur l'automatisation d'AMS Accelerate, consultez[Suivi des modifications apportées à vos comptes AMS Accelerate](acc-change-record.md).
Pourquoi, quand et comment AMS accède à votre compte sont expliqués dans les rubriques suivantes.
## Déclencheurs d'accès au compte client AMS
L'activité d'accès au compte client AMS est déterminée par des déclencheurs. Les déclencheurs actuels sont les AWS tickets créés dans notre système de gestion des problèmes en réponse aux alarmes et aux événements d'Amazon CloudWatch (CloudWatch), ainsi que les rapports d'incidents ou les demandes de service que vous soumettez. Plusieurs appels de service et activités au niveau de l'hôte peuvent être effectués pour chaque accès.
La justification de l'accès, les déclencheurs et l'initiateur du déclencheur sont répertoriés dans le tableau suivant.
**déclencheurs d'accès**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/access-justification.html)
## Accès au compte client AMS \$1 Rôles IAM
Les opérateurs AMS ont besoin des rôles suivants pour gérer votre compte.
**Note**
Les rôles d'accès AMS permettent aux opérateurs AMS d'accéder à vos ressources pour fournir des fonctionnalités AMS (voir[Service description (Description du service)](acc-sd.md)). La modification de ces rôles peut entraver notre capacité à fournir ces capacités. Si vous devez modifier les rôles d'accès AMS, consultez votre architecte cloud.
**Rôles IAM pour l'accès AMS aux comptes clients**
| Nom du rôle | Description |
| --- | --- |
| ams-access-admin | Ce rôle dispose d'un accès administratif complet à votre compte sans restrictions. Les services AMS utilisent ce rôle avec des politiques de session restrictives qui limitent l'accès au déploiement de l'infrastructure AMS et à l'exploitation de votre compte. |
| ams-access-admin-operations | Ce rôle accorde aux opérateurs AMS des autorisations administratives pour gérer votre compte. Ce rôle n'accorde pas d'autorisation de lecture, d'écriture ou de suppression du contenu client dans les AWS services couramment utilisés comme magasins de données, tels qu'Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift et Amazon. ElastiCache Seuls les opérateurs AMS qualifiés ayant une solide connaissance et une solide expérience de la gestion des accès peuvent assumer ce rôle. Ces opérateurs servent de point d'escalade pour les problèmes de gestion des accès et accèdent à vos comptes pour résoudre les problèmes d'accès des opérateurs AMS. |
| ams-access-management | Déployé manuellement lors de l'intégration. Le système AMS Access nécessite ce rôle pour la gestion `ams-access-roles` et le `ams-access-managed-policies` cumul. |
| ams-access-operations | Ce rôle est autorisé à effectuer des tâches administratives dans vos comptes. Ce rôle ne dispose pas d'autorisations de lecture, d'écriture ou de suppression du contenu client dans les AWS services couramment utilisés comme magasins de données, tels qu'Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift et Amazon. ElastiCache Les autorisations permettant d'effectuer des opérations d' Gestion des identités et des accès AWS écriture sont également exclues de ce rôle. Le personnel des opérations d'AMS Accelerate et les architectes du cloud (CAs) peuvent assumer ce rôle. |
| ams-access-read-only | Ce rôle dispose d'un accès en lecture seule à votre compte. Le personnel des opérations d'AMS Accelerate et les architectes du cloud (CAs) peuvent assumer ce rôle. Les autorisations de lecture du contenu client dans les AWS services couramment utilisés comme magasins de données, tels qu'Amazon S3, Amazon RDS, DynamoDB, Amazon Redshift, etc. ne se voient pas attribuer ElastiCache ce rôle. |
| ams-access-security-analyst | Ce rôle de sécurité AMS est autorisé dans votre compte AMS à effectuer une surveillance dédiée des alertes de sécurité et à la gestion des incidents de sécurité. Seules quelques personnes sélectionnées d'AMS Security peuvent assumer ce rôle. |
| ams-access-security-analyst-lecture seule | Ce rôle de sécurité AMS est limité aux autorisations en lecture seule de votre compte AMS pour effectuer une surveillance dédiée des alertes de sécurité et une gestion des incidents de sécurité. |
**Note**
Il s'agit du modèle du ams-access-management rôle. Il s'agit de la pile que les architectes du cloud (CAs) déploient manuellement dans votre compte au moment de l'intégration : [management-role.yaml](https://ams-account-access-templates.s3.amazonaws.com/management-role.yaml).
Il s'agit du modèle pour les différents rôles d'accès pour les différents niveaux d'accès : ams-access-read-only,, ams-access-operations ams-access-admin-operations, ams-access-admin : [accelerate-roles.yaml](https://ams-account-access-templates.s3.amazonaws.com/accelerate-roles.yaml).
# Comment AMS accède à votre compte
Les opérateurs AMS Accelerate peuvent accéder à la console et aux instances de votre compte, dans certaines circonstances.
![\[Méthode d'accès à la console AMS Accelerate.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/images/acc-op-console-access-method2.png)
Les opérateurs AMS utilisent le service d'accès interne AMS Accelerate pour accéder à vos comptes de manière sécurisée et auditée. Pour accéder à vos instances, les opérateurs AMS utilisent le même service d'accès AMS interne que le courtier et, une fois l'accès accordé, les opérateurs AMS Accelerate utilisent le gestionnaire de sessions SSM pour accéder à l'aide des informations d'identification de session. L'accès RDP pour les instances Windows est fourni en établissant une redirection de port vers l'instance et en créant un utilisateur local à l'aide de SSM. Les informations d'identification de l'utilisateur local sont utilisées pour l'accès RDP et sont supprimées à la fin de la session.
# Comment et quand utiliser le compte utilisateur root dans AMS
L'[utilisateur root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) est le superutilisateur de votre AWS compte. AMS surveille l'utilisation du root. Nous vous recommandons d'utiliser root uniquement pour les quelques tâches qui le nécessitent, par exemple : modifier les paramètres de votre compte, activer l'accès Gestion des identités et des accès AWS (IAM) à la facturation et à la gestion des coûts, modifier votre mot de passe root et activer l'authentification multifactorielle (MFA). Consultez la section [Tâches nécessitant des informations d'identification de l'utilisateur root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *guide de Gestion des identités et des accès AWS l'utilisateur*.
**Rootez avec AMS Accelerate** :
AMS ne vous interdit pas d'utiliser votre compte utilisateur root. Cependant, AMS Operations and Security considère son utilisation comme un problème à étudier et nous contacterons votre équipe de sécurité à chaque utilisation.
Nous vous recommandons de contacter votre CSDM et votre CA vingt-quatre heures à l'avance pour les informer du travail d'accès root que vous avez l'intention d'effectuer.
**Opérations AMS et réponse de sécurité à l'utilisation par le root** :
AMS reçoit une alarme lorsque le compte utilisateur root est utilisé. Si l'utilisation des informations d'identification root n'est pas planifiée, ils contactent l'équipe de sécurité AMS et l'équipe chargée de votre compte pour vérifier s'il s'agit d'une activité attendue. Si aucune activité n'est prévue, AMS travaille avec votre équipe de sécurité pour étudier le problème.