本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AMS 存取您帳戶的原因和時間
<a name="access-justification"></a>

在某些情況下，AMS Accelerate (Accelerate) 運算子可以存取您的帳戶主控台和執行個體，以管理您的 資源。這些存取事件會記錄在 AWS CloudTrail (CloudTrail) 日誌中。如需如何檢閱 AMS Accelerate Operations 團隊和 AMS Accelerate 自動化帳戶中活動的詳細資訊，請參閱 [追蹤 AMS Accelerate 帳戶中的變更](acc-change-record.md)。

下列主題說明 AMS 為何、何時及如何存取您的帳戶。

## AMS 客戶帳戶存取觸發條件
<a name="access-mgmt-triggers"></a>

AMS 客戶帳戶存取活動是由觸發條件驅動。今天的觸發條件是在問題管理系統中建立的 AWS 票證，以回應 Amazon CloudWatch (CloudWatch) 警示和事件，以及您提交的事件報告或服務請求。每個存取可能會執行多個服務呼叫和主機層級活動。

下表列出存取理由、觸發條件和觸發條件的啟動者。


**存取觸發條件**  

<table>
<thead>
  <tr><th>存取</th><th>啟動者</th><th>觸發條件</th></tr>
</thead>
<tbody>
  <tr><td>修補</td><td>AMS</td><td>修補程式問題</td></tr>
  <tr><td>內部問題調查</td><td>AMS</td><td>問題 （已識別為系統性的問題）</td></tr>
  <tr><td>警示調查和修復</td><td>AMS</td><td>AWS Systems Manager 操作工作項目 (SSM OpsItems)</td></tr>
  <tr><td>事件調查和修復</td><td>您</td><td rowspan="2">傳入支援案例 （您提交的事件或服務請求）</td></tr>
  <tr><td>傳入服務請求履行</td><td>您</td></tr>
</tbody>
</table>


## AMS 客戶帳戶存取 IAM 角色
<a name="access-mgmt-iam-roles"></a>

AMS 運算子需要下列角色才能為您的帳戶提供服務。

**注意**  
AMS 存取角色可讓 AMS 運算子存取您的 資源，以提供 AMS 功能 （請參閱 [服務說明](acc-sd.md))。變更這些角色可能會抑制我們提供這些功能的能力。如果您需要變更 AMS 存取角色，請洽詢您的雲端架構師。


**AMS 存取客戶帳戶的 IAM 角色**  

| 角色名稱 | Description | 
| --- | --- | 
| ams-access-admin | 此角色對您的帳戶具有完整的管理存取權，不受限制。AMS 服務使用此角色搭配限制性工作階段政策，以限制部署 AMS 基礎設施和操作帳戶的存取權。 | 
| ams-access-admin-operations | 此角色會授予 AMS 運算子管理許可來操作您的帳戶。此角色不會授予 Amazon Simple Storage Service、Amazon Relational Database Service、Amazon DynamoDB、Amazon Redshift 和 Amazon ElastiCache 等常見資料存放區 AWS 服務中客戶內容的讀取、寫入或刪除許可。只有對存取管理有深入理解和背景的合格 AMS 操作員才能擔任此角色。這些運算子可做為存取管理問題的升級點，並存取您的帳戶來疑難排解 AMS 運算子存取問題。 | 
| ams-access-management | 在加入期間手動部署。AMS Access 系統需要此角色來管理和`ams-access-roles``ams-access-managed-policies`堆疊。 | 
| ams-access-operations | 此角色具有在您的帳戶中執行管理任務的許可。此角色對經常用作資料存放區的 AWS 服務中的客戶內容沒有讀取、寫入或刪除許可，例如 Amazon Simple Storage Service、Amazon Relational Database Service、Amazon DynamoDB、Amazon Redshift 和 Amazon ElastiCache。此角色也會排除執行 AWS Identity and Access Management 寫入操作的許可。AMS Accelerate 操作人員和雲端架構師 (CAs) 可以擔任此角色。 | 
| ams-access-read-only | 此角色具有您帳戶的唯讀存取權。AMS Accelerate 操作人員和雲端架構師 (CAs) 可以擔任此角色。不會授予 Amazon S3、Amazon RDS、DynamoDB、Amazon Redshift 和 ElastiCache 等常用資料存放區 AWS 服務中客戶內容的讀取許可。 | 
| ams-access-security-analyst | 此 AMS 安全角色在您的 AMS 帳戶中具有執行專用安全提醒監控和安全事件處理的許可。只有少數特定 AMS 安全人員可以擔任此角色。 | 
| ams-access-security-analyst-read-only | 此 AMS 安全角色僅限於您 AMS 帳戶中的唯讀許可，以執行專用安全提醒監控和安全事件處理。 | 

**注意**  
這是 ams-access-management 角色的範本。這是雲端架構師 (CAs) 在加入時在您的帳戶中手動部署的堆疊： [management-role.yaml](https://ams-account-access-templates.s3.amazonaws.com/management-role.yaml)。  
這是不同存取層級之不同存取角色的範本：ams-access-read-only、ams-access-operations、ams-access-admin-operations、ams-access-admin：[accelerated-roles.json](https://ams-account-access-templates.s3.amazonaws.com/ams-access-roles.template.json)。