Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# AWS Identity and Access Management di AMS Accelerate
<a name="acc-sec-iam"></a>

AWS Identity and Access Management adalah layanan web yang membantu Anda mengontrol akses ke AWS sumber daya dengan aman. Anda menggunakan IAM untuk mengontrol siapa yang diautentikasi (masuk) dan diotorisasi (memiliki izin) untuk menggunakan sumber daya. Selama orientasi AMS Accelerate, Anda bertanggung jawab untuk membuat peran administrator IAM lintas akun dalam setiap akun terkelola Anda.

Di AMS Accelerate, Anda bertanggung jawab untuk mengelola akses ke sumber daya Anda Akun AWS dan sumber daya dasarnya, seperti solusi manajemen akses, kebijakan akses, dan proses terkait. Ini berarti Anda mengelola siklus hidup pengguna, izin dalam layanan direktori, dan sistem otentikasi federasi, untuk mengakses konsol atau. AWS AWS APIs Untuk membantu Anda mengelola solusi akses, AMS Accelerate menerapkan AWS Config aturan yang mendeteksi kesalahan konfigurasi IAM yang umum, dan mengirimkan pemberitahuan remediasi. Untuk informasi selengkapnya, lihat [AWS Config Managed Rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html).

## Mengautentikasi dengan identitas di AMS Accelerate
<a name="acc-sec-iam-auth"></a>

AMS menggunakan peran IAM, yang merupakan jenis identitas IAM. Peran IAM mirip dengan pengguna, karena itu adalah identitas dengan kebijakan izin yang menentukan apa yang dapat dan tidak dapat dilakukan identitas. AWS Namun, peran tidak memiliki kredensi yang terkait dengannya dan, alih-alih dikaitkan secara unik dengan satu orang, dapat diasumsikan oleh siapa saja yang membutuhkannya. Seorang pengguna IAM dapat mengambil peran untuk sementara mengambil izin yang berbeda untuk tugas tertentu.

Peran akses dikendalikan oleh keanggotaan kelompok internal, yang dikelola dan ditinjau secara berkala oleh Manajemen Operasi. AMS menggunakan peran IAM berikut.

**catatan**  
Peran akses AMS memungkinkan operator AMS mengakses sumber daya Anda untuk menyediakan kemampuan AMS (lihat[Deskripsi layanan](acc-sd.md)). Mengubah peran ini dapat menghambat kemampuan kita untuk menyediakan kemampuan ini. Jika Anda perlu mengubah peran akses AMS, konsultasikan dengan Cloud Architect Anda.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/accelerate-guide/acc-sec-iam.html)

**catatan**  
Ini adalah template untuk ams-access-management peran tersebut. [Ini adalah tumpukan yang diterapkan oleh arsitek cloud (CAs) secara manual di akun Anda saat onboarding: management-role.yaml.](https://ams-account-access-templates.s3.amazonaws.com/management-role.yaml)  
Ini adalah template untuk berbagai peran akses dan tingkat akses: ams-access-read-only,, ams-access-operations ams-access-admin-operations, ams-access-admin: [accelerate-roles.yaml](https://ams-account-access-templates.s3.amazonaws.com/accelerate-roles.yaml).

[Untuk mempelajari lebih lanjut tentang AWS Cloud Development Kit (AWS CDK) (AWS CDK) pengidentifikasi, termasuk hash, lihat Unik. IDs](https://docs.aws.amazon.com/cdk/latest/guide/identifiers.html#identifiers_unique_ids)

Layanan fitur AMS Accelerate **ams-access-admin**berperan untuk akses terprogram ke akun, tetapi dengan kebijakan sesi yang dicakup untuk masing-masing layanan fitur (misalnya, tambalan, cadangan, pemantauan, dan sebagainya).

AMS Accelerate mengikuti praktik terbaik industri untuk memenuhi dan mempertahankan kelayakan kepatuhan. AMS Mempercepat akses ke akun Anda dicatat CloudTrail dan juga tersedia untuk ditinjau melalui pelacakan perubahan. Untuk informasi tentang kueri yang dapat Anda gunakan untuk mendapatkan informasi ini, lihat[Melacak perubahan di akun AMS Accelerate](acc-change-record.md).

## Mengelola akses menggunakan kebijakan
<a name="acc-sec-iam-policy"></a>

Berbagai tim dukungan AMS Accelerate seperti Operations Engineers, Cloud Architects, dan Cloud Service Delivery Manager (CSDMs), terkadang memerlukan akses ke akun Anda untuk menanggapi permintaan dan insiden layanan. Akses mereka diatur oleh layanan akses AMS internal yang memberlakukan kontrol, seperti pembenaran bisnis, permintaan layanan, item operasi, dan kasus dukungan. Akses default hanya baca, dan semua akses dilacak dan direkam; lihat juga. [Melacak perubahan di akun AMS Accelerate](acc-change-record.md)

### Validasi sumber daya IAM
<a name="acc-sec-iam-policy-valid"></a>

Sistem akses Akselerasi AMS secara berkala mengambil peran dalam akun Anda (setidaknya setiap 24 jam) dan memvalidasi bahwa semua sumber daya IAM kami sesuai dengan yang diharapkan.

Untuk melindungi akun Anda, AMS Accelerate memiliki “kenari” yang memantau dan mengkhawatirkan keberadaan dan status peran IAM, serta kebijakan terlampirnya, yang disebutkan di atas. Secara berkala, kenari mengambil **ams-access-read-only**peran dan memulai CloudFormation dan panggilan API IAM terhadap akun Anda. Kenari mengevaluasi status peran akses Akselerasi AMS untuk memastikan peran tersebut selalu tidak dimodifikasi dan. up-to-date Aktivitas ini membuat CloudTrail log di akun.

Nama sesi AWS Security Token Service (AWS STS) kenari adalah **AMS-access-roles-auditor- \$1uuid4 (**)\$1 seperti yang terlihat di dan panggilan API berikut terjadi: CloudTrail 
+ Panggilan API Pembentukan Awan: `describe_stacks()`
+ Panggilan API IAM:
  + `get_role()`
  + `list_attached_role_policies()`
  + `list_role_policies()`
  + `get_policy()`
  + `get_policy_version()`
  + `get_role_policy()`