本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Identity and Access Management 在 AMS Accelerate 中
<a name="acc-sec-iam"></a>

AWS Identity and Access Management 是一種 Web 服務，可協助您安全地控制對 AWS 資源的存取。您可以使用 IAM 來控制 (已登入) 的身分驗證和授權使用資源的 (許可)。在 AMS Accelerate 加入期間，您有責任在每個受管帳戶中建立跨帳戶 IAM 管理員角色。

在 AMS Accelerate 中，您負責管理對 AWS 帳戶 及其基礎資源的存取，例如存取管理解決方案、存取政策和相關程序。這表示您管理使用者生命週期、目錄服務和聯合身分驗證系統中的許可，以存取 AWS 主控台或 AWS APIs。為了協助您管理存取解決方案，AMS Accelerate 部署偵測常見 IAM 錯誤組態的 AWS Config 規則，並提供修補通知。如需詳細資訊，請參閱 [AWS Config 受管服務](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html)。

## 在 AMS Accelerate 中使用身分進行驗證
<a name="acc-sec-iam-auth"></a>

AMS 使用 IAM 角色，這是一種 IAM 身分。IAM 角色類似於使用者，因為它是具有許可政策的身分，可決定身分可以和不可以執行的操作 AWS。不過，角色沒有與其相關聯的登入資料，而不是與一個人唯一關聯，而是由任何需要它的人擔任。IAM 使用者可擔任一個角色，為了特定任務來臨時採用不同許可。

存取角色由內部群組成員資格控制，由 Operations Management 管理並定期審查。AMS 使用以下 IAM 角色。

**注意**  
AMS 存取角色可讓 AMS 運算子存取您的 資源，以提供 AMS 功能 （請參閱 [服務描述](acc-sd.md))。變更這些角色可能會抑制我們提供這些功能的能力。如果您需要變更 AMS 存取角色，請洽詢您的雲端架構師。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/acc-sec-iam.html)

**注意**  
這是 ams-access-management 角色的範本。這是雲端架構師 (CAs) 在加入時在您的帳戶中手動部署的堆疊： [management-role.yaml](https://ams-account-access-templates.s3.amazonaws.com/management-role.yaml)。  
這是不同存取角色和存取層級的範本：ams-access-read-only、ams-access-operations、ams-access-admin-operations、ams-access-admin：[accelerated-roles.yaml](https://ams-account-access-templates.s3.amazonaws.com/accelerate-roles.yaml)。

若要進一步了解 AWS Cloud Development Kit (AWS CDK) (AWS CDK) 識別符，包括雜湊，請參閱 [UniqueIDs](https://docs.aws.amazon.com/cdk/latest/guide/identifiers.html#identifiers_unique_ids)

AMS Accelerate 功能服務會擔任帳戶程式設計存取的 **ams-access-admin** 角色，但工作階段政策會針對個別功能服務縮小範圍 （例如修補程式、備份、監控等）。

AMS Accelerate 遵循業界最佳實務，以符合和維護合規資格。AMS Accelerate 存取您的帳戶會記錄在 CloudTrail 中，也可透過變更追蹤供您檢閱。如需有關可用來取得此資訊之查詢的資訊，請參閱 [追蹤 AMS Accelerate 帳戶中的變更](acc-change-record.md)。

## 使用政策管理存取權
<a name="acc-sec-iam-policy"></a>

各種 AMS Accelerate 支援團隊，例如 Operations Engineers、Cloud Architects 和 Cloud Service Delivery Manager (CSDMs)，有時需要存取您的帳戶，才能回應服務請求和事件。其存取權由內部 AMS 存取服務管理，該服務會強制執行控制，例如業務理由、服務請求、操作項目和支援案例。預設存取為唯讀，所有存取都會受到追蹤和記錄；另請參閱 [追蹤 AMS Accelerate 帳戶中的變更](acc-change-record.md)。

### 驗證 IAM 資源
<a name="acc-sec-iam-policy-valid"></a>

AMS Accelerate 存取系統會定期擔任您帳戶中的角色 （至少每 24 小時一次），並驗證我們所有的 IAM 資源是否如預期。

為了保護您的帳戶，AMS Accelerate 有一個「canary」，可監控和警示 IAM 角色的存在和狀態，以及上述的附加政策。Canary 會定期擔任 **ams-access-read-only** 角色，並對您的帳戶啟動 CloudFormation 和 IAM API 呼叫。Canary 會評估 AMS Accelerate 存取角色的狀態，以確保這些角色一律未修改且up-to-date狀態。此活動會在帳戶中建立 CloudTrail 日誌。

Canary 的 AWS Security Token Service (AWS STS) 工作階段名稱為 **AMS-Access-Roles-Auditor-\$1uuid4()\$1**，如 CloudTrail 所示，並發生下列 API 呼叫：
+ Cloud Formation API 呼叫： `describe_stacks()`
+ IAM API 呼叫：
  + `get_role()`
  + `list_attached_role_policies()`
  + `list_role_policies()`
  + `get_policy()`
  + `get_policy_version()`
  + `get_role_policy()`