本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Identity and Access Management (IAM) \| 建立實體或政策 (讀寫許可) 建立具有讀寫許可的 Identity and Access Management (IAM) 角色或政策。您必須先使用變更類型 ct-1706xvk6j9hf 啟用此功能,才能提交此請求。具有讀寫許可的自動化 IAM 佈建會執行超過 200 個驗證,以協助確保成功的結果。 **完整分類:**部署 \| 進階堆疊元件 \| Identity and Access Management (IAM) \| 建立實體或政策 (讀寫許可) ## 變更類型詳細資訊 **** | | | | --- |--- | | 變更類型 ID | ct-1n9gfnog5x7fl | | 目前版本 | 1.0 | | 預期的執行持續時間 | 60 分鐘 | | AWS 核准 | 必要 | | 客戶核准 | 如果提交者則不需要 | | 執行模式 | 自動化 | ## 其他資訊 ### 建立 IAM 實體或政策 #### 使用主控台建立 IAM 實體或政策 ![IAM 具有 ID、執行模式和描述詳細資訊的 角色或政策建立界面。](http://docs.aws.amazon.com/zh_tw/managedservices/latest/ctref/images/guiIamEntityCreateCT.png) 運作方式: 1. 導覽至**建立 RFC** 頁面:在 AMS 主控台的左側導覽窗格中,按一下 **RFCs**以開啟 RFCs清單頁面,然後按一下**建立 RFC**。 1. 在預設**瀏覽變更類型檢視中選擇熱門的變更類型** (CT),或在**依類別選擇**檢視中選擇 CT。 + **依變更類型瀏覽**:您可以在**快速建立**區域中按一下熱門的 CT,以立即開啟**執行 RFC** 頁面。請注意,您無法透過快速建立選擇較舊的 CT 版本。 若要排序 CTs,請使用**卡片**或**資料表**檢視中的所有**變更類型**區域。在任一檢視中,選取 CT,然後按一下**建立 RFC** 以開啟**執行 RFC** 頁面。如果適用,**建立較舊版本**選項會顯示在**建立 RFC** 按鈕旁。 + **依類別選擇**:選取類別、子類別、項目和操作,如果適用,CT 詳細資訊方塊會開啟,其中包含**使用較舊版本建立**的選項。按一下**建立 RFC** 以開啟**執行 RFC** 頁面。 1. 在**執行 RFC** 頁面上,開啟 CT 名稱區域以查看 CT 詳細資訊方塊。需要**主旨** (如果您在**瀏覽變更類型**檢視中選擇 CT,則會為您填寫)。開啟**其他組態**區域以新增 RFC 的相關資訊。 在**執行組態**區域中,使用可用的下拉式清單或輸入必要參數的值。若要設定選用的執行參數,請開啟**其他組態**區域。 1. 完成後,請按一下**執行**。如果沒有錯誤,**RFC 成功建立**的頁面會顯示已提交的 RFC 詳細資訊,以及初始的**執行輸出**。 1. 開啟**執行參數**區域以查看您提交的組態。重新整理頁面以更新 RFC 執行狀態。或者,取消 RFC 或使用頁面頂端的選項建立 RFC 的副本。 #### 使用 CLI 建立 IAM 實體或政策 運作方式: 1. 使用內嵌建立 (您發出包含所有 RFC 和執行參數的`create-rfc`命令) 或範本建立 (您建立兩個 JSON 檔案,一個用於 RFC 參數,另一個用於執行參數),並使用兩個檔案作為輸入發出`create-rfc`命令。此處說明這兩種方法。 1. 使用傳回的 RFC ID 提交 RFC: `aws amscm submit-rfc --rfc-id {{ID}}`命令。 監控 RFC: `aws amscm get-rfc --rfc-id {{ID}}`命令。 若要檢查變更類型版本,請使用下列命令: ``` aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value={{CT_ID}} ``` **注意** 您可以將任何`CreateRfc`參數與任何 RFC 搭配使用,無論它們是否為變更類型結構描述的一部分。例如,若要在 RFC 狀態變更時取得通知,請將此行新增至請求的 `--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"` RFC 參數部分 (而非執行參數)。如需所有 CreateRfc 參數的清單,請參閱 [AMS 變更管理 API 參考](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html)。 *內嵌建立*: 使用內嵌提供的執行參數發出建立 RFC 命令 (在內嵌提供執行參數時逸出引號),然後提交傳回的 RFC ID。例如,您可以將內容取代為類似以下內容: ``` aws amscm create-rfc --change-type-id "ct-1n9gfnog5x7fl" --change-type-version "1.0" --title "{{Create role or policy}}" --execution-parameters '{"DocumentName":"AWSManagedServices-HandleAutomatedIAMProvisioningCreate-Admin","Region":"{{us-east-1}}","Parameters":{"ValidateOnly":"{{No}}"},"RoleDetails":{"Roles":[{"RoleName":"{{RoleTest01}}","Description":"{{This is a test role}}","AssumeRolePolicyDocument":"{"Version": "2012-10-17", "Statement":{{[{"Effect":"Allow","Principal":{"AWS":"arn:aws:iam::123456789012:root"},"Action":"sts:AssumeRole"}]}","ManagedPolicyArns":["arn:aws:iam::123456789012:policy/policy01","arn:aws:iam::123456789012:policy/policy02"],"Path":"/","MaxSessionDuration":"7200","PermissionsBoundary":"arn:aws:iam::123456789012:policy/permission_boundary01","InstanceProfile":"No"}]},"ManagedPolicyDetails":{"Policies":[{"ManagedPolicyName":"TestPolicy01","Description":"This is customer policy","Path":"/test/","PolicyDocument":"{"{{Version}}":"2012-10-17","Statement":[{"Sid":"AllQueueActions","Effect":"Allow","Action":"sqs:ListQueues","Resource":"*","Condition":{"ForAllValues:StringEquals":{"aws:tagKeys":["temporary"]}}}]}"}]}}}}' ``` *範本建立*: 1. 將此變更類型的執行參數 JSON 結構描述輸出至檔案;範例名稱為 CreateIamResourceParams.json: ``` aws amscm get-change-type-version --change-type-id "ct-1n9gfnog5x7fl" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateIamResourceParams.json ``` 1. 修改並儲存 CreateIamResourceParams 檔案;範例會建立內嵌貼上政策文件的 IAM 角色。 ``` { "DocumentName": "AWSManagedServices-HandleAutomatedIAMProvisioningCreate-Admin", "Region": "{{us-east-1}}", "Parameters": { "ValidateOnly": "{{No}}" }, "RoleDetails": { "Roles": [ { "RoleName": "{{RoleTest01}}", "Description": "{{This is a test role}}", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Effect": "{{Allow}}", "Principal": { "AWS": "{{arn:aws:iam::123456789012:root}}" }, "Action": "{{sts:AssumeRole}}" } ] }, "ManagedPolicyArns": [ "{{arn:aws:iam::123456789012:policy/policy01}}", "{{arn:aws:iam::123456789012:policy/policy02}}" ], "Path": "/", "MaxSessionDuration": "{{7200}}", "PermissionsBoundary": "{{arn:aws:iam::123456789012:policy/permission_boundary01}}", "InstanceProfile": "{{No}}" } ] }, "ManagedPolicyDetails": { "Policies": [ { "ManagedPolicyName": "{{TestPolicy01}}", "Description": "{{This is customer policy}}", "Path": "{{/test/}}", "PolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "{{AllQueueActions}}", "Effect": "{{Allow}}", "Action": "{{sqs:ListQueues}}", "Resource": "{{*}}", "Condition": { "{{ForAllValues:StringEquals}}": { "{{aws:tagKeys}}": [ "{{temporary}}" ] } } } ] } } ] } } ``` 1. 將 RFC 範本 JSON 檔案輸出至名為 CreateIamResourceRfc.json: ``` aws amscm create-rfc --generate-cli-skeleton > CreateIamResourceRfc.json ``` 1. 修改並儲存 CreateIamResourceRfc.json 檔案。例如,您可以將內容取代為類似以下內容: ``` { "ChangeTypeVersion": "1.0", "ChangeTypeId": "ct-1n9gfnog5x7fl", "Title": "{{Create entity or policy (read-write permissions)}}" } ``` 1. 建立 RFC,指定 CreateIamResourceRfc 檔案和 CreateIamResourceParams 檔案: ``` aws amscm create-rfc --cli-input-json file://CreateIamResourceRfc.json --execution-parameters file://CreateIamResourceParams.json ``` 您會在回應中收到新 RFC 的 ID,並且可以使用它來提交和監控 RFC。在您提交之前,RFC 會保持在編輯狀態,不會啟動。 #### 提示 + 在帳戶中佈建 IAM 角色之後,根據角色和連接至角色的政策文件,您可能需要在聯合解決方案中加入該角色。 + 如需 的相關資訊 AWS Identity and Access Management,請參閱 [AWS Identity and Access Management (IAM)](https://aws.amazon.com/iam/),如需政策資訊,請參閱 [受管政策和內嵌政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)。如需 AMS 許可的詳細資訊,請參閱[部署 IAM 資源](https://docs.aws.amazon.com/managedservices/latest/userguide/deploy-iam-resources.html)。 ## 執行輸入參數 如需執行輸入參數的詳細資訊,請參閱 [變更類型的結構描述 ct-1n9gfnog5x7fl](schemas.md#ct-1n9gfnog5x7fl-schema-section)。 ## 範例:必要參數 ``` { "DocumentName": "AWSManagedServices-HandleAutomatedIAMProvisioningCreate-Admin", "Region": "us-east-1", "Parameters": { "ValidateOnly": "No" }, "RoleDetails": { "Roles": [ { "RoleName": "RoleTest01", "AssumeRolePolicyDocument": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"arn:aws:iam::123456789012:root\"},\"Action\":\"sts:AssumeRole\"}]}" } ] }, "ManagedPolicyDetails": { "Policies": [ { "ManagedPolicyName": "TestPolicy01", "Description": "This is customer policy", "Path": "/test/", "PolicyDocument": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"AllQueueActions\",\"Effect\":\"Allow\",\"Action\":\"sqs:ListQueues\",\"Resource\":\"*\",\"Condition\":{\"ForAllValues:StringEquals\":{\"aws:tagKeys\":[\"temporary\"]}}}]}" } ] } } ``` ## 範例:所有參數 ``` { "DocumentName": "AWSManagedServices-HandleAutomatedIAMProvisioningCreate-Admin", "Region": "us-east-1", "Parameters": { "ValidateOnly": "No" }, "RoleDetails": { "Roles": [ { "RoleName": "RoleTest01", "Description": "This is a test role", "AssumeRolePolicyDocument": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"arn:aws:iam::123456789012:root\"},\"Action\":\"sts:AssumeRole\"}]}", "ManagedPolicyArns": [ "arn:aws:iam::123456789012:policy/policy01", "arn:aws:iam::123456789012:policy/policy02" ], "Path": "/", "MaxSessionDuration": "7200", "PermissionsBoundary": "arn:aws:iam::123456789012:policy/permission_boundary01", "InstanceProfile": "No" } ] }, "ManagedPolicyDetails": { "Policies": [ { "ManagedPolicyName": "TestPolicy01", "Description": "This is customer policy", "Path": "/test/", "PolicyDocument": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"AllQueueActions\",\"Effect\":\"Allow\",\"Action\":\"sqs:ListQueues\",\"Resource\":\"*\",\"Condition\":{\"ForAllValues:StringEquals\":{\"aws:tagKeys\":[\"temporary\"]}}}]}" } ] } } ```