本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # AMS 访问您的账户的原因和时间 AWS Managed Services (AMS) 管理您的 AWS 基础设施,有时,出于特定原因,AMS 操作员和管理员会访问您的账户。这些访问事件记录在您的 AWS CloudTrail (CloudTrail) 日志中。 以下主题解释了 AMS 访问您的账户的原因、时间和方式。 ## AMS 客户账户访问触发器 AMS 客户账户访问活动由触发器驱动。今天的触发器是在我们的问题管理系统中为响应 Amazon CloudWatch (CloudWatch) 警报和事件以及您提交的事件报告或服务请求而创建的 AWS 票证。每次访问可能会执行多个服务呼叫和主机级别的活动。 下表列出了访问理由、触发器和触发器的启动者。 **访问触发器**
访问发起者触发器
修补AMS补丁问题
基础设施部署AMS部署问题
内部问题调查AMS问题问题(已确定为系统性问题)
警报调查和补救AMSAWS Systems Manager 运营工作项目 (SSM OpsItems)
手动执行 RFCYou变更申请 (RFC) 问题。(非自动化 RFCs 可能需要 AMS 访问您的资源)
事故调查和补救You入站支持案例(您提交的事件或服务请求)
入库服务请求配送You
## AMS 客户账户访问权限 IAM 角色 触发后,AMS 使用 AWS Identity and Access Management (IAM) 角色访问客户账户。与您账户中的所有活动一样,角色及其使用情况均已登录 CloudTrail。 **重要** 请勿修改或删除这些角色。 **用于 AMS 访问客户账户的 IAM 角色**
角色名称账户类型(SALZ、MALZ 管理、MALZ 应用程序等)说明
ams-service-adminSALZ、MALZAMS 服务自动化访问和自动基础设施部署,例如 Patch、Backup、自动修复。
ams-application-infra-read-只有SALZ、MALZ 应用程序、MALZ Tools-Application操作员只读权限
ams-application-infra-operations操作员访问 incidents/service 请求
ams-application-infra-adminAD 管理员访问权限
ams-primary-read-onlyMALZ 管理层操作员只读权限
ams-primary-operations操作员访问 incidents/service 请求
ams-primary-adminAD 管理员访问权限
ams-logging-read-onlyMALZ 日志记录操作员只读权限
ams-logging-operations操作员访问 incidents/service 请求
ams-logging-adminAD 管理员访问权限
ams-networking-read-onlyMALZ 网络操作员只读权限
ams-networking-operations操作员访问 incidents/service 请求
ams-networking-adminAD 管理员访问权限
ams-shared-services-read-只有MALZ 共享服务操作员只读权限
ams-shared-services-operations操作员访问 incidents/service 请求
ams-shared-services-adminAD 管理员访问权限
ams-security-read-onlyMALZ 安全操作员只读权限
ams-security-operations操作员访问 incidents/service 请求
ams-security-adminAD 管理员访问权限
ams-access-security-analystSALZ、MALZ 应用程序、MALZ Tools-Application、MALZ CoreAMS 安全访问权限
ams-access-security-analyst-只读AMS 安全,只读权限
Sentinel AdminUser \_ \_Role\_ mbHe PXHaz RQadu0 PVc CDcSALZ[BreakGlassRole] 用于 BreakGlass 存入客户账户
Sentinel PowerUser \_ \_Role\_ S0 wZuPu ROOl0 IazDb RI9SALZ、MALZPoweruser 可以访问客户账户以执行 RFC
Sentinel\_ \_Role\_Pd4L6Rw9 lkd5 ReadOnlyUser RD0ln JOoReadOnly 访问客户账户以执行 RFC
ams\_admin\_role管理员访问客户账户以执行 RFC
AWSManagedServices\_Provisioning\_CustomerStacksRole用于通过 Ingest 代表客户启动和更新 CFN 堆栈 CloudFormation
客户\_ssm\_自动化\_角色CT 执行将角色传递给 SSM Automation 以执行运行手册
ams\_ssm\_automation\_roleSALZ、MALZ 应用程序、MALZ CoreAMS 服务将角色传递给 SSM Automation 以执行运行手册
ams\_ssm\_iam\_deployment\_roleMALZ 应用程序IAM 目录使用的角色
ams\_ssm\_shared\_svcs\_mediary\_roleMALZ 共享服务应用程序 ams\_ssm\_automation\_role 在共享服务账户中执行特定 SSM 文档时使用的角色
AmsOpsCenterRoleSALZ、MALZ用于在客户账户 OpsItems 中创建和更新
AMSOpsItemAutoExecutionRole用于获取 SSM 文档、描述资源标签 OpsItems、更新和启动自动化
customer-mc-ec2 实例配置文件默认客户 EC2 实例配置文件(角色)
## 请求实例访问权限 要访问资源,必须先提交变更申请 (RFC) 才能访问该资源。您可以请求两种访问权限:管理员(读/写权限)和只读(标准用户访问权限)。默认情况下,访问持续八小时。此信息为必填项: + 您要访问的一个或多个实例的堆栈 IDs ID 或堆栈集。 + 您的 AMS 信任域的完全限定域名。 + 想要访问的用户的 Active Directory 用户名。 + 您要访问堆栈所在的 VPC 的 ID。 获得访问权限后,您可以根据需要更新请求。 有关如何请求访问权限的示例,请参阅[堆栈管理员访问权限 \| 授予](https://docs.aws.amazon.com/managedservices/latest/ctref/management-access-stack-admin-access-grant.html)或[堆栈只读访问权限 \| 授予](https://docs.aws.amazon.com/managedservices/latest/ctref/management-access-stack-read-only-access-grant.html)。