本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Identity and Access Management (IAM) \$1 建立實體或政策 (受管自動化)
建立 Identity and Access Management (IAM) 使用者、角色或政策。
**完整分類:**部署 \$1 進階堆疊元件 \$1 Identity and Access Management (IAM) \$1 建立實體或政策 (受管自動化)
## 變更類型詳細資訊
****
| | |
| --- |--- |
| 變更類型 ID | ct-3dpd8mdd9jn1r |
| 目前版本 | 1.0 |
| 預期的執行持續時間 | 240 分鐘 |
| AWS 核准 | 必要 |
| 客戶核准 | 如果提交者則不需要 |
| 執行模式 | 手動 |
## 其他資訊
### 建立 IAM 實體或政策 (受管自動化)
#### 使用主控台建立 IAM 資源 (受管自動化)
![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/ctref/images/guiIamResourceCreateRrCT.png)
運作方式:
1. 導覽至**建立 RFC** 頁面:在 AMS 主控台的左側導覽窗格中,按一下 **RFCs**以開啟 RFCs清單頁面,然後按一下**建立 RFC**。
1. 在預設的**瀏覽變更類型檢視中選擇熱門的變更類型** (CT),或在**依類別**選擇檢視中選擇 CT。
+ **依變更類型瀏覽**:您可以在**快速建立**區域中按一下熱門的 CT,以立即開啟**執行 RFC** 頁面。請注意,您無法透過快速建立選擇較舊的 CT 版本。
若要排序 CTs,請使用**卡片**或**資料表**檢視中的所有**變更類型**區域。在任一檢視中,選取 CT,然後按一下**建立 RFC** 以開啟**執行 RFC** 頁面。如果適用,**建立舊版**選項會顯示在**建立 RFC** 按鈕旁。
+ **依類別選擇**:選取類別、子類別、項目和操作,如果適用,CT 詳細資訊方塊會開啟,其中包含**使用較舊版本建立**的選項。按一下**建立 RFC** 以開啟**執行 RFC** 頁面。
1. 在**執行 RFC** 頁面上,開啟 CT 名稱區域以查看 CT 詳細資訊方塊。需要**主旨** (如果您在**瀏覽變更類型**檢視中選擇 CT,則會為您填寫)。開啟**其他組態**區域以新增 RFC 的相關資訊。
在**執行組態**區域中,使用可用的下拉式清單或輸入必要參數的值。若要設定選用的執行參數,請開啟**其他組態**區域。
1. 完成後,請按一下**執行**。如果沒有錯誤,**RFC 成功建立**的頁面會顯示已提交的 RFC 詳細資訊,以及初始的**執行輸出**。
1. 開啟**執行參數**區域以查看您提交的組態。重新整理頁面以更新 RFC 執行狀態。或者,取消 RFC 或使用頁面頂端的選項建立 RFC 的副本。
#### 使用 CLI 建立 IAM 資源 (受管自動化)
運作方式:
1. 使用內嵌建立 (您發出包含所有 RFC 和執行參數的`create-rfc`命令) 或範本建立 (您建立兩個 JSON 檔案,一個用於 RFC 參數,另一個用於執行參數),並使用兩個檔案作為輸入發出`create-rfc`命令。此處說明這兩種方法。
1. 使用傳回的 RFC ID 提交 RFC: `aws amscm submit-rfc --rfc-id ID`命令。
監控 RFC: `aws amscm get-rfc --rfc-id ID`命令。
若要檢查變更類型版本,請使用下列命令:
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
```
**注意**
您可以將任何`CreateRfc`參數與任何 RFC 搭配使用,無論它們是否為變更類型結構描述的一部分。例如,若要在 RFC 狀態變更時取得通知,請將此行新增至請求的 `--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"` RFC 參數部分 (而非執行參數)。如需所有 CreateRfc 參數的清單,請參閱 [AMS 變更管理 API 參考](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html)。
**注意**
在政策文件中貼上時,請注意 RFC 只接受最多 20,480 個字元的政策貼上。如果您的檔案超過 20,480 個字元,請建立服務請求以上傳政策,然後在您為 IAM 開啟的 RFC 中參考該服務請求。
*內嵌建立*:
使用內嵌提供的執行參數發出建立 RFC 命令 (在內嵌提供執行參數時逸出引號),然後提交傳回的 RFC ID。例如,您可以將內容取代為如下內容:
```
aws amscm create-rfc --change-type-id "ct-3dpd8mdd9jn1r" --change-type-version "1.0" --title "TestIamCreate" --execution-parameters "{\"UseCase\":\"IAM_RESOURCE_DETAILS\",\"IAM Role\":[{\"RoleName\":\"ROLE_NAME\",\"TrustPolicy\":\"TRUST_POLICY\",\"RolePermissions\":\"ROLE_PERMISSIONS\"}],\"Operation\":\"Create\"}"
```
*範本建立*:
1. 將此變更類型的執行參數 JSON 結構描述輸出至檔案;範例將其命名為 CreateIamResourceParams.json:
```
aws amscm get-change-type-version --change-type-id "ct-3dpd8mdd9jn1r" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateIamResourceParams.json
```
1. 修改並儲存 CreateIamResourceParams 檔案;範例會建立內嵌貼上政策文件的 IAM 角色。
```
{
"UseCase": "IAM_RESOURCE_DETAILS",
"IAM Role": [
{
"RoleName": "codebuild_ec2_test_role",
"TrustPolicy": {
"Version": "2008-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "codebuild.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
},
"RolePermissions": {
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstanceStatus"
],
"Resource": "*"
}
]
}
}
],
"Operation": "Create"
}
```
1. 將 RFC 範本 JSON 檔案輸出至名為 CreateIamResourceRfc.json:
```
aws amscm create-rfc --generate-cli-skeleton > CreateIamResourceRfc.json
```
1. 修改並儲存 CreateIamResourceRfc.json 檔案。例如,您可以將內容取代為如下內容:
```
{
"ChangeTypeVersion": "1.0",
"ChangeTypeId": "ct-3dpd8mdd9jn1r",
"Title": "Create IAM Role"
}
```
1. 建立 RFC,指定 CreateIamResourceRfc 檔案和 CreateIamResourceParams 檔案:
```
aws amscm create-rfc --cli-input-json file://CreateIamResourceRfc.json --execution-parameters file://CreateIamResourceParams.json
```
您會在回應中收到新 RFC 的 ID,並使用它來提交和監控 RFC。在您提交之前,RFC 會保持在編輯狀態,不會啟動。
#### 提示
+ 在您的帳戶中佈建 IAM 角色之後,您必須在聯合解決方案中加入該角色。
+ 在政策文件中貼上時,請注意 RFC 只接受最多 20,480 個字元的政策貼上。如果您的政策有超過 20,480 個字元,請建立服務請求以上傳政策,然後在您為 IAM 開啟的 RFC 中參考該服務請求。
+ 這是手動變更類型 (AMS 運算子必須檢閱並執行 CT),這表示 RFC 可能需要更長的時間才能執行,而且您可能必須透過 RFC 詳細資訊頁面對應選項與 AMS 通訊。此外,如果您排定手動變更類型 RFC,請務必至少允許 24 小時,如果在排定的開始時間之前未進行核准,則 RFC 會自動被拒絕。
+ 如需 的相關資訊 AWS Identity and Access Management,請參閱 [AWS Identity and Access Management (IAM)](https://aws.amazon.com/iam/),如需政策資訊,請參閱 [受管政策和內嵌政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)。如需 AMS 許可的詳細資訊,請參閱[部署 IAM 資源](https://docs.aws.amazon.com/managedservices/latest/userguide/deploy-iam-resources.html)。
## 執行輸入參數
如需執行輸入參數的詳細資訊,請參閱 [變更類型的結構描述 ct-3dpd8mdd9jn1r](schemas.md#ct-3dpd8mdd9jn1r-schema-section)。
## 範例:必要參數
```
{
"UseCase": "Use case...",
"Operation": "Create"
}
```
## 範例:所有參數
```
{
"UseCase": "Use case...",
"IAM User": [
{
"UserName": "user-a",
"AccessType": "Console access",
"AddPermissionsAsInlinePolicy": "No",
"UserPermissionPolicyName": "policy",
"UserPermissions": "Power User permissions",
"Tags": [
{
"Key": "foo",
"Value": "bar"
},
{
"Key": "testkey",
"Value": "testvalue"
}
]
}
],
"IAM Role": [
{
"RoleName": "role-b",
"AddPermissionsAsInlinePolicy": "No",
"InstanceProfile": "No",
"TrustPolicy": "Trust policy example",
"RolePermissionPolicyName": "TestPolicy1",
"RolePermissions": "Role permissions example",
"ManagedPolicyArns": [
"arn:aws:iam::123456789012:policy/policy01",
"arn:aws:iam::123456789012:policy/policy02"
],
"Path": "/",
"Tags": [
{
"Key": "foo",
"Value": "bar"
},
{
"Key": "testkey",
"Value": "testvalue"
}
]
}
],
"IAM Policy": [
{
"PolicyName": "policy1",
"PolicyDocument": "Policy document example 1",
"Path": "/",
"RelatedResources": [
"resourceA",
"resourceB"
],
"CreatePolicyAsInlinePolicy": "No"
},
{
"PolicyName": "policy2",
"PolicyDocument": "Policy document example 2",
"Path": "/",
"RelatedResources": [
"resourceC",
"resourceD"
],
"CreatePolicyAsInlinePolicy": "Yes"
}
],
"Operation": "Create",
"Priority": "Medium"
}
```