As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Por que e quando o AMS acessa sua conta
<a name="access-justification"></a>

O AWS Managed Services (AMS) gerencia sua infraestrutura da AWS e, às vezes, por motivos específicos, operadores e administradores do AMS acessam sua conta. Esses eventos de acesso estão documentados em seus registros AWS CloudTrail (CloudTrail).

Por que, quando e como o AMS acessa sua conta são explicados nos tópicos a seguir.

## Acionadores de acesso à conta do cliente do AMS
<a name="access-mgmt-triggers"></a>

A atividade de acesso à conta do cliente do AMS é impulsionada por gatilhos. Os gatilhos atuais são os AWS tickets criados em nosso sistema de gerenciamento de problemas em resposta aos alarmes e eventos da Amazon CloudWatch (CloudWatch) e aos relatórios de incidentes ou solicitações de serviço que você envia. Várias chamadas de serviço e atividades em nível de host podem ser realizadas para cada acesso. 

A justificativa do acesso, os acionadores e o iniciador do gatilho estão listados na tabela a seguir.


**Acionadores de acesso**  

<table>
<thead>
  <tr><th>Acesso</th><th>Iniciador</th><th>Trigger</th></tr>
</thead>
<tbody>
  <tr><td>Aplicação de patches</td><td>AMS</td><td>Problema de patch</td></tr>
  <tr><td>Implantações de infraestrutura</td><td>AMS</td><td>Problema de implantação</td></tr>
  <tr><td>Investigação interna de problemas</td><td>AMS</td><td>Problema (um problema que foi identificado como sistêmico)</td></tr>
  <tr><td>Investigação e remediação de alertas</td><td>AMS</td><td>Itens de trabalho operacionais (SSM OpsItems) do AWS Systems Manager</td></tr>
  <tr><td>Execução manual de RFC</td><td>You</td><td>Problema de solicitação de mudança (RFC). (O não automatizado RFCs pode exigir acesso do AMS aos seus recursos)</td></tr>
  <tr><td>Investigação e remediação de incidentes</td><td>You</td><td rowspan="2">Caso de suporte de entrada (um incidente ou solicitação de serviço que você envia)</td></tr>
  <tr><td>Atendimento da solicitação de serviço de entrada</td><td>You</td></tr>
</tbody>
</table>


## Funções do IAM para acesso à conta do cliente do AMS
<a name="access-mgmt-iam-roles"></a>

Quando acionado, o AMS acessa contas de clientes usando funções AWS Identity and Access Management (IAM). Como todas as atividades em sua conta, as funções e seu uso estão logados CloudTrail.

**Importante**  
Não modifique nem exclua essas funções.


**Funções do IAM para acesso do AMS às contas de clientes**  
<a name="iam-access-roles-table"></a>
<table>
<thead>
  <tr><th>Função</th><th>Tipo de conta (SALZ, MALZ Management, MALZ Application, etc.)</th><th>Description</th></tr>
</thead>
<tbody>
  <tr><td>ams-service-admin</td><td>SAL, MALZ</td><td>Acesso automatizado ao serviço AMS e implantações automatizadas de infraestrutura, por exemplo, patch, backup, remediação automatizada.</td></tr>
  <tr><td>ams-application-infra-read-somente</td><td rowspan="3">SALZ, aplicativo MALZ, aplicativo de ferramentas MALZ</td><td>Acesso somente para leitura do operador</td></tr>
  <tr><td>ams-application-infra-operations</td><td>Acesso do operador para incidents/service solicitações</td></tr>
  <tr><td>ams-application-infra-admin</td><td>Acesso de administrador do AD</td></tr>
  <tr><td>ams-primary-read-only</td><td rowspan="3">Gestão do MALZ</td><td>Acesso somente para leitura do operador</td></tr>
  <tr><td>ams-primary-operations</td><td>Acesso do operador para incidents/service solicitações</td></tr>
  <tr><td>ams-primary-admin</td><td>Acesso de administrador do AD</td></tr>
  <tr><td>ams-logging-read-only</td><td rowspan="3">Registro em MALZ</td><td>Acesso somente para leitura do operador</td></tr>
  <tr><td>ams-logging-operations</td><td>Acesso do operador para incidents/service solicitações</td></tr>
  <tr><td>ams-logging-admin</td><td>Acesso de administrador do AD</td></tr>
  <tr><td>ams-networking-read-only</td><td rowspan="3">Rede MALZ</td><td>Acesso somente para leitura do operador</td></tr>
  <tr><td>ams-networking-operations</td><td>Acesso do operador para incidents/service solicitações</td></tr>
  <tr><td>ams-networking-admin</td><td>Acesso de administrador do AD</td></tr>
  <tr><td>ams-shared-services-read-somente</td><td rowspan="3">Serviços compartilhados MALZ</td><td>Acesso somente para leitura do operador</td></tr>
  <tr><td>ams-shared-services-operations</td><td>Acesso do operador para incidents/service solicitações</td></tr>
  <tr><td>ams-shared-services-admin</td><td>Acesso de administrador do AD</td></tr>
  <tr><td>ams-security-read-only</td><td rowspan="3">Segurança MALZ</td><td>Acesso somente para leitura do operador</td></tr>
  <tr><td>ams-security-operations</td><td>Acesso do operador para incidents/service solicitações</td></tr>
  <tr><td>ams-security-admin</td><td>Acesso de administrador do AD</td></tr>
  <tr><td>ams-access-security-analyst</td><td rowspan="2">SALZ, aplicativo MALZ, aplicativo de ferramentas MALZ, MALZ Core</td><td>Acesso de segurança do AMS</td></tr>
  <tr><td>ams-access-security-analyst-somente leitura</td><td>Segurança do AMS, acesso somente para leitura</td></tr>
  <tr><td>AdminUserSentinel\_ \_Role\_ MBhe PXHaz RQadu0 PVc CDc</td><td>SAL</td><td>[BreakGlassRole] Usado para quebrar o vidro nas contas dos clientes</td></tr>
  <tr><td>PowerUserSentinel\_ \_Role\_ S0 wZuPu ROOl0 IazDb RI9</td><td rowspan="5">SAL, MALZ</td><td>Acesso de usuários avançados às contas de clientes para execução de RFC</td></tr>
  <tr><td>Sentinel \_ \_Função\_Pd4L6Rw9 ReadOnlyUser LKd5 RD0ln JOo</td><td>ReadOnly acesso às contas de clientes para execução de RFC</td></tr>
  <tr><td>função ams\_admin\_</td><td>Acesso de administrador às contas de clientes para execução de RFC</td></tr>
  <tr><td>AWSManagedServices\_Provisioning\_CustomerStacksRole</td><td>Usado para lançar e atualizar pilhas de CFN em nome dos clientes por meio do Ingest CloudFormation </td></tr>
  <tr><td>função\_ssm\_automation\_customer\_ssm\_</td><td>Função passada pelas execuções de CT para a SSM Automation para execução do runbook</td></tr>
  <tr><td>função ams\_ssm\_automation\_role</td><td>SALZ, aplicativo MALZ, MALZ Core</td><td>Função passada pelos serviços AMS para a SSM Automation para execução do runbook</td></tr>
  <tr><td>ams\_ssm\_iam\_deployment\_role</td><td>Aplicação MALZ</td><td>Função usada pelo catálogo do IAM</td></tr>
  <tr><td>ams\_ssm\_shared\_svcs\_intermediary\_role</td><td>Serviços compartilhados MALZ</td><td>Função usada pelo aplicativo ams\_ssm\_automation\_role para executar documentos SSM específicos na conta do Shared Services</td></tr>
  <tr><td>AmsOpsCenterRole</td><td rowspan="3">SAL, MALZ</td><td>Usado para criar e atualizar OpsItems contas de clientes</td></tr>
  <tr><td>AMSOpsItemAutoExecutionRole</td><td>Usado para obter documentos SSM, descrever tags de recursos OpsItems, atualizar e iniciar a automação</td></tr>
  <tr><td>customer-mc-ecPerfil de 2 instâncias</td><td>Perfil de instância EC2 padrão do cliente (função)</td></tr>
</tbody>
</table>


## Solicitando acesso à instância
<a name="req-instance-access"></a>

Para acessar um recurso, você deve primeiro enviar uma solicitação de alteração (RFC) para esse acesso. Há dois tipos de acesso que você pode solicitar: administrador (permissões de leitura/gravação) e somente leitura (acesso de usuário padrão). O acesso dura oito horas, por padrão. Essas informações são obrigatórias:
+ ID da pilha, ou conjunto de pilha IDs, da instância ou instâncias que você deseja acessar.
+ O nome de domínio totalmente qualificado do seu domínio confiável da AMS.
+ O nome de usuário do Active Directory da pessoa que deseja acessar.
+ O ID da VPC onde estão as pilhas às quais você deseja acessar.

Depois de receber o acesso, você pode atualizar a solicitação conforme necessário.

Para ver exemplos de como solicitar acesso, consulte [Stack Admin Access \| Grant ou Stack](https://docs.aws.amazon.com/managedservices/latest/ctref/management-access-stack-admin-access-grant.html) [Read-only](https://docs.aws.amazon.com/managedservices/latest/ctref/management-access-stack-read-only-access-grant.html) Access \| Grant.