本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Identity and access management
<a name="sec-iam"></a>

AWS Identity and Access Management (IAM) 是一项 Web 服务，可帮助您安全地控制对 AWS 资源的访问。可以使用 IAM 来控制谁通过了身份验证（准许登录）并获得授权（具有相应权限）来使用资源。在 AMS 入职期间，您负责在每个托管账户中创建跨账户 IAM 管理员角色。

## 多账户登录区 (MALZ) IAM 保护措施
<a name="access-how-works"></a>

AMS 多账户登陆区 (MALZ) 要求将 Active Directory (AD) 信任作为AMS访问管理的主要设计目标，以允许每个组织（包括AMS和客户）管理自己的身份的生命周期。这样就无需在彼此的目录中拥有凭证。配置了单向信任，以便其中的托管 Active Directory AWS 账户 信任客户拥有或托管 AD 来对用户进行身份验证。由于信任只是一种方式，因此并不意味着客户活动目录信任托管 AD。

在此配置中，管理用户身份的客户目录称为用户林，而 Amazon EC2 实例所连接的托管 AD 称为资源林。这是 Microsoft 常用的用于 Windows 身份验证的设计模式；有关更多信息，[请参阅森林](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/forest-design-models)设计模型。

这种模式允许两个组织自动执行各自的生命周期，并允许 AMS 和您在员工离开组织时快速撤消访问权限。如果没有这种模式，如果两个组织都使用公共目录（或 users/groups 在彼此的目录中创建），那么两个组织都必须投入额外的工作流程和用户同步，以考虑员工的起步和离职情况。这会带来风险，因为该过程存在延迟并且容易出错。

### MALZ 访问权限的先决条件
<a name="access-how-works-prereqs"></a>

MALZ 身份提供商集成，用于访问 AWS/AMS 控制台、CLI、SDK。

![\[身份提供商与 AWS IAM、和 AMS 之间的关系变更管理。 AWS 管理控制台\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/malz-access-prereqs-1.png)


对您的 AMS 账户中的 Amazon EC2 实例进行单向信任。

![\[信任方向是单向的：从您的 Amazon EC2 实例到您组织的 Active Directory 域。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/malz-access-prereqs-2.png)


## 亚马逊 Inspector 安全
<a name="inspector-sec"></a>

Amazon Inspector 服务监控 AMS 管理的堆栈的安全。Amazon Inspector 是一项自动安全评估服务，可帮助识别部署在其上的基础设施在安全与合规方面的差距 AWS。Amazon Inspector 安全评估使您能够通过检查您的 Amazon EC2 实例中是否存在意想不到的网络可访问性和漏洞，自动评估堆栈的漏洞、漏洞以及与最佳实践的偏差。执行评估后，Amazon Inspector 将生成按严重性级别优先排序的安全调查发现详细列表。Amazon Inspector 评估以预定义规则包的形式提供，这些规则包与常见的安全最佳实践和定义相对应。这些规则由 AWS 安全研究人员定期更新。有关 Amazon Inspector 的更多信息，请访问[亚马逊 Inspector](https://aws.amazon.com/inspector)。

**AMS 亚马逊 Inspector FAQs**
+ 我的 AMS 账户是否默认安装了 Amazon Inspector？

  不是。 Amazon Inspector 不是默认 AMI 版本或工作负载摄取的一部分。
+ 如何访问和安装 Amazon Inspector？

  向 Inspector 提交 RFC（管理 \$1 其他 \$1 其他 \$1 创建）以申请账户访问和安装，AMS 运营团队将修改 Customer\$1 ReadOnly \$1Role 以提供 Amazon Inspector 控制台访问权限（没有 SSM 访问权限）。
+ 我想要评估的所有亚马逊 EC2 实例上都必须安装 Amazon Inspector 代理吗？

  不需要，使用网络可访问性规则包的 Amazon Inspector 评估可以在没有代理的情况下运行任何 Amazon EC2 实例。主机评估规则包需要代理。有关代理安装的更多信息，请参阅[安装 Amazon Inspector 代理](https://docs.aws.amazon.com/inspector/latest/userguide/inspector_installing-uninstalling-agents.html)。
+ 这项服务需要额外费用吗？

  可以。Amazon Inspector 的定价可以在[亚马逊 Inspector 定价](https://aws.amazon.com/inspector/pricing/)网站上找到。
+ Amazon Inspector 的发现是什么？

  调查结果是指在 Amazon Inspector 对所选评估目标进行评估期间发现的潜在安全问题。调查结果显示在 Amazon Inspector 控制台或 API 中，其中包含对安全问题的详细描述和解决这些问题的建议。
+ Amazon Inspector 评估报告是否可用？

  可以。评估报告是一种文档，用于详细介绍评估运行的测试内容和评估结果。评估结果采用标准报告格式，可用于在团队内部分享实施修正措施的结果，丰富合规性审计数据，或存储以供将来参考。成功完成评估后，可以为评估运行生成 Amazon Inspector 评估报告。
+ 我能否使用标签来识别我要针对哪些堆栈运行 Amazon Inspector 报告？

  可以。
+ AMS 运营团队能否获得 Amazon Inspector 的评估结果？

  可以。任何有权访问 AWS 中的 Amazon Inspector 控制台的人都可以查看调查结果和评估报告。
+ AMS 运营团队会根据亚马逊 Inspector 报告的调查结果提出建议或采取行动吗？

  不是。 如果您想根据 Amazon Inspector 报告的结果进行更改，则必须通过 RFC（管理 \$1 其他 \$1 其他 \$1 其他 \$1 更新）申请更改。
+ 当我运行 Amazon Inspector 报告时，AMS 会收到通知吗？

  当您申请 Amazon Inspector 访问权限时，运行 RFC 的 AMS 操作员会将请求通知您的 CSDM。

有关更多信息，请参阅 [Amazon Inspector FAQs](https://aws.amazon.com/inspector/faqs/)。

## AMS 多账号 landing zone EPS 非默认设置
<a name="malz-eps-settings"></a>

此部分已被删除，因为它包含与 AMS 安全相关的敏感信息。此信息可通过 AMS 控制台**文档**获得。要访问 AWS Artifact，您可以联系您的 CSDM [获取说明或前往 AWS Artifact 入门](https://aws.amazon.com/artifact/getting-started)。

## AMS 护栏
<a name="detective-rules"></a>

护栏是一项高级规则，可为您的整个 AMS 环境提供持续治理。

此部分已被删除，因为它包含与 AMS 安全相关的敏感信息。此信息可通过 AMS 控制台**文档**获得。要访问 AWS Artifact，您可以联系您的 CSDM [获取说明或前往 AWS Artifact 入门](https://aws.amazon.com/artifact/getting-started)。

## MALZ 服务控制策略
<a name="malz-scp"></a>

此部分已被删除，因为它包含与 AMS 安全相关的敏感信息。此信息可通过 AMS 控制台**文档**获得。要访问 AWS Artifact，您可以联系您的 CSDM [获取说明或前往 AWS Artifact 入门](https://aws.amazon.com/artifact/getting-started)。