Base de conhecimento  /  Gerenciador de aplicativos em nuvem  /  Otimização da nuvem (Cloud Optimization)
Base de conhecimento  /  Gerenciador de aplicativos em nuvem  /  Otimização da nuvem (Cloud Optimization)

Integração com a nuvem do parceiro: Integração com a nuvem do parceiro: permissões e acesso da Lumen para contas AWS integradas

Atualizado por Benjamin Swoboda em dez 4, 2018
Código do artigo: kb/47

Visão geral

Conforme discutido no Guia de Serviço, a Lumen fornecerá funções de faturamento e suporte para as contas da Amazon Web Services (AWS) que estão integradas com o Cloud Application Manager. O Guia de Serviço fornece uma visão geral de alto nível dessas permissões, descrevendo os grupos que requerem permissões e o tipo de permissões que eles devem ter.

Público

Usuários de conta que têm ou estão considerando a otimização de contas AWS da Lumen. Isto é para todas as novas contas AWS criadas por meio do Cloud Application Manager ("greenfield") e qualquer conta existente sendo transferida aos cuidados da Lumen ("brownfield").

Pré-requisitos

OBSERVAÇÃO: para facilitar o processo de fortalecimento, o cliente deve habilitar a "CTLDeveloperRole". Assim que for habilitado, o processo de fortalecimento vai configurar as funções restantes abaixo.

Para uma nova conta AWS:

Para uma conta AWS existente:

  • O cliente já deve ter uma conta da AWS que tenha sido especificamente mencionada no processo de transferência de conta da AWS. (Apenas as contas aprovadas são autorizadas para esse processo).
  • O cliente deve ter analisado o processo de transferência de uma conta existente da Amazon Web Services.

Informações importantes

Acesso em nível de raiz

A Lumen não fornece acesso em nível de raiz para qualquer conta. O acesso à raiz deve ser evitado exceto em caso extremamente necessário para ambas, as contas de pagador principal de propriedade da Lumen e qualquer conta vinculada de propriedade do cliente.

Clientes com contas existentes são solicitados a fornecer as credenciais de conta raiz para a Lumen de acordo com o Guia de Serviço. Isso inclui e-mail raiz, senha raiz e chave de configuração secreta da MFA. Isso inclui o e-mail raiz, a senha raiz e a chave de configuração secreta da MFA. Você poderá continuar a usar as suas credenciais IAM.

Para pagadores principais e novas contas criadas por meio do Cloud Application Manager, o acesso à MFA é definido após a conclusão da configuração da conta. A chave é mantida em um cofre criptografado dentro de um domínio separado do domínio principal da Lumen.

Acesso federado

Todas as funções descritas abaixo, exceto o administrador de clientes, mantêm uma relação de confiança com as contas da CentryLink. Isto permite acesso às contas de clientes para determinados usuários e ferramentas automatizadas da Lumen, que herdam as permissões e restrições descritas com as funções abaixo.

Acesso ao IAM

As categorias a seguir explicam como a Lumen fornece ou restringe automaticamente o acesso do usuário.

Todas as políticas resumidas neste documento são resultado de consulta intensiva com especialistas MSP da AWS, e foram concebidas para conformidade com os requisitos e as sugestões de boas práticas de parceiros. Todas as políticas foram revistas e aprovadas pelos auditores de fornecedores e terceiros.

Fortalecimentos, refortalecimentos, substituições e exceções.

As seguintes funções e políticas de fortalecimento do IAM são aplicadas no momento da integração da conta com o Cloud Application Manager. Além disso, ocasionalmente a Lumen reaplicará essas políticas. Todo o processo é aplicado a qualquer conta integrada na qual o CAM ainda tem direitos administrativos. Qualquer desvio do padrão será sobrescrito, exceto no caso onde existirem substituições ou personalizações.

As substituições podem ser realizadas pelos usuários do cliente com permissões apropriadas ou por Lumen suporte Equipe. Substituições podem ser feitas por usuários de clientes com as permissões adequadas ou pela equipe de suporte da Lumen. Onde CAMOverridePolicy e CAMOpsOverridePolicy são usadas, os usuários podem modificar as permissões de CAM, usuários administradores e equipe de suporte da Lumen por meio do console IAM da AWS. Essas políticas não serão sobrescritas quando o fortalecimento de conta for reaplicado. Lembre-se de que essas políticas podem ser aplicadas a várias funções.

Solicitações de alteração podem resultar em exceções para fortalecimento. Leia as seções "Solicitação de alteração" abaixo. Se você enviar uma e ela for aceita, o CAM não poderá sobrescrever essas alterações como resultado de tentativas futuras de fortalecimento.

Grupo/Usuário administrador de clientes

  • Nome do grupo IAM: NoEmpresaEmpresaGrupo
  • Nome IAM do usuário admin: NoEmpresaEmpresaAdmin
  • Nomes de políticas anexadas: Política de Customerde CTL, Acesso ao Administrador
  • Grupos/ferramentas/usuários direcionados: o primeiro administrador que criou uma nova conta AWS via Cloud Application Manager e quaisquer outros usuários colocados nesse grupo.
  • Finalidade: Ser capaz de oferecer ao primeiro administrador o maior número de permissões possível para que ele possa começar a configurar uma conta nova.
  • Solicitações de alteração: as políticas serão aplicadas como padrão a esse grupo para quaisquer contas criadas pela Lumen. Se desejar adicionar outras restrições ao grupo e aos usuários que ele contém, o cliente retém todas as permissões para fazer isso.
  • Resumo da política
  • Limita a capacidade de vincular ou desvincular de uma organização.
  • Limita a exclusão de políticas IAM e funções definidas pela Lumen e outras funções diversas (como exclusão de MFA/SAML).
  • Os aspectos de faturamento/uso/orçamento do portal são restritos para evitar confusão devido ao faturamento consolidado da Lumen. (Contas integradas têm acesso a esses dados por meio de ferramentas analíticas do Cloud Application Manager).
  • Acesso total do administrador a todos os outros aspectos da conta que não foram limitados por outras políticas.

Função de cliente

  • Nome da função: CTLCustomerRole
  • Nomes de políticas anexadas: CTLCustomerPolicy
  • Grupos/ferramentas/usuários direcionados: Qualquer usuário do cliente. Esta política aplica-se a todos os grupos IAM do cliente.
  • Finalidade: Ser adicionado a grupos IAM existentes de clientes ou dado aos novos grupos de clientes. Esta política permite ao usuário manipular todos os serviços na AWS, mas limita determinadas visualizações e ações que confundiriam ou causariam conflito em uma conta integrada.
  • Solicitações de alteração: esta política será aplicada como padrão, mas a Lumen pode trabalhar com você para garantir que a política não impacte a funcionalidade existente. Se houver alguma preocupação ou exceções desejadas relativamente a essas políticas, envie um ticket e um dos membros da nossa equipe de produtos discutirá o assunto com você.
  • Resumo da política
    • Limita a capacidade de vincular ou desvincular de uma organização.
    • Limita a exclusão de políticas IAM e funções definidas pela Lumen e outras funções diversas (como exclusão de MFA/SAML).
    • Os aspectos de faturamento/uso/orçamento do portal são restritos para evitar confusão devido ao faturamento consolidado da Lumen. (Contas integradas têm acesso a esses dados por meio de ferramentas analíticas do Cloud Application Manager).

Função de operações da Lumen

  • Nome da função: CTLOperationsRole
  • Nomes de políticas anexadas: ReadOnlyAccess, CTLOperationsPolicy, CAMOpsOverridePolicy
  • Grupos/ferramentas/usuários direcionados: Lumen suporte Equipe e ferramentas
  • Finalidade: Permitir direitos de operações com menos privilégios, com flexibilidade.
  • Solicitações de alteração: o cliente e a área de operações podem modificar a CAMOpsOverridePolicy para alterar permissões e restrições de operações
  • Resumo da política
    • ReadOnlyAccess: Permite ReadOnlyAccess
    • CTLOperationsPolicy: permite criar e atualizar a maioria dos conceitos de IAM, mas impede fazer alterações em outras dependências IAM de CAM.
    • CAMOpsOverridePolicy: Fortalecimentos, refortalecimentos, substituições e exceções.

Função de desenvolvedor da Lumen

  • Nome da função: CTLDeveloperRole
  • Nomes de políticas anexadas: CTLDeveloperPolicy
  • Grupos/ferramentas/usuários-alvo:ferramenta de otimização do Cloud Application Manager. Um número limitado de desenvolvedores da Lumen tem acesso à ferramenta.
  • Finalidade: A ferramenta de otimização deverá conseguir configurar as contas de clientes, alterar as permissões IAM e solucionar problemas rapidamente.
  • Solicitações de alteração: como a Lumen precisa manter acesso administrativo, no momento não é possível fazer nenhuma alteração. Consulte o Guia de Serviço para obter mais informações.
  • Resumo da política:
    • Acesso total

Função Lambda da Lumen

  • Nome da função: CTLAccountControlsLambdaRole
  • Nomes de políticas anexadas: ControlControlesCTLAccountesuCtC
  • Grupos/ferramentas/usuários direcionados: Usuários IAM recém-criados que não estão em grupos IAM
  • Finalidade: nosso fortalecimento aplica medidas contínuas de autocorreção para garantir que suas contas estejam protegidas. Os usuários de IAM que não forem colocados em um grupo terão todas as suas permissões removidas, portanto recomenda-se mover todos os usuários de IAM para um grupo IAM. Quando estiverem colocados em um grupo, as permissões poderão ser aplicadas novamente. Grupos IAM recém-criados terão automaticamente a CTLCustomerPolicy aplicada. Essas medidas são tomadas para garantir uma experiência perfeita entre o Cloud Application Manager e sua conta AWS. Isso também permite que a Lumen garanta que sua conta continue a atender às melhores diretrizes de segurança.
  • Solicitações de alteração: esta política será aplicada como padrão, mas como o objetivo da política é ajudar, e não atrapalhar, entre em contato com a Lumen com um ticket de suporte se você achar que a política conflita com a funcionalidade existente.
  • Resumo da política:
    • Controle total de IAM e configuração

Função analítica da Lumen

  • Nome da função: CTLCloudOptimizationRole
  • Nome da política: ObjetivOcLCTC
  • Grupos/ferramentas/usuários direcionados: Análise e otimização da nuvem
  • Finalidade: Habilitar ferramentas Analytics e permitir transparência aos usuários clientes em relação à utilização e às melhores práticas.
  • Solicitações de alteração: não é opcional, portanto nenhuma solicitação de alteração pode ser feita.
  • Resumo da política
    • Obter, listar e descrever recursos para AWS Certificate Manager, Cloud Formation, CloudFront, Cloud HSM, CloudSearch, CloutTrail, CloudWatch, Config, Data Pipeline, Direct Connect, Dynamo DB, EC2, ECS, Elasticache, Elastic Beanstalk, EFS, ELB, Elastic Map Reduce, Elastisearch, Glacier, IAM, Kinesis, key Management Service, Lambda, RDS, Redshift, Route 53, S3, Simple Email Service, Simple DB, Support, Simple Workflow Service, Simple Notification Service, Simple Queue Service, Storage Gateway e Workspaces.

Função do Cloud Application Manager

  • Nome da função: CTLCAMRole (Observe a diferença de nomenclatura desta que é automaticamente aplicada e da que é descrita quando os usuários criam manualmente para a política CAM padrão.)
  • Nomes de políticas anexadas: CTLCAMPolicy, ReadOnlyAccess, CAMOverridePolítica
  • Grupos/ferramentas/usuários direcionados: Monitoramento do Cloud Application Manager
  • Finalidade: Permitir os recursos do gerenciamento de ciclo de vida de aplicativos) do Cloud Application Manager e habilitar a opção Monitoramento.
  • Solicitações de alteração: embora esta política seja aplicada como padrão, o objetivo da política CAM padrão é ser personalizável. Se você deseja alterar os recursos ALM do Cloud Application Manager, poderá criar políticas personalizadas sob a "CAMOverridePolicy". Veja abaixo.
  • Resumo da política
    • CTLCAMPolicy: toda a capacidade de manipular recursos, conforme descrito aqui
    • CTLCAMPolicy: permite a gestão de todas as funções EC2
    • CTLCAMPolicy: controle total de tarefas de autoescala/Cloud Formation/RDS/S3
    • CTLCAMPolicy: permite criação, exclusão, listagem e modificação de política/usuário IAM.
    • CTLCAMPolicy: permite a funcionalidade básica do Cloud Application Manager e delegação para assistência de Managed Services Anywhere (Serviços Gerenciados em Qualquer Lugar).
    • ReadOnlyAccess: permite ReadOnlyAccess para habilitar o recurso de Monitoramento no Cloud Application Manager
    • CAMOverridePolítica: Fortalecimentos, refortalecimentos, substituições e exceções.

Função administrativa de integração na nuvem

  • Nome da função: CTLCINTAdminRole
  • Nomes de políticas anexadas: CTLCustNoSupportPolicy, CTLCAMPolicy, CAMOverridePolicy, CTLCustomerPolicy, ReadOnlyAccess
  • Grupos/ferramentas/usuários direcionados: Usuários de administrador de provedores otimizados CAM.
  • Finalidade: Permitir a esses usuários a máxima liberdade possível.
  • Solicitações de alteração: se você deseja alterar os recursos ALM do Cloud Application Manager, poderá criar permissões sob a "CAMOverridePolicy".
  • Resumo da política
    • CTLCustNoSupportPolicy: negar permissões de suporte (entre em contato com a Lumen com solicitações de suporte)
    • CAMOverridePolítica: Fortalecimentos, refortalecimentos, substituições e exceções.
    • ReadOnlyAccess: permite ReadOnlyAccess para habilitar o recurso de Monitoramento no Cloud Application Manager
    • CTLCAMPolicy: consulte "Função de Cloud Application Manager" acima

Função somente leitura de usuário de CAM

  • Nome da função: CTLCAMUserReadRole
  • Nomes de políticas anexadas: AcessarAcesso
  • Grupos/ferramentas/usuários direcionados: Grupos/ferramentas/usuários-alvo: usuário de CAM para os quais os provedores são compartilhados, mas o acesso administrativo não é fornecido. Isso não é específico para provedores otimizados. Quando os provedores são otimizados, a função somente leitura de integração na nuvem é usada.
  • Finalidade: Permitir que esses usuários vejam, mas não alterar os recursos no Console AWS ao clicarem no botão "console AWS" do provedor.
  • Solicitações de alteração: para evitar a criação de uma violação de segurança, a Lumen não alterará esta função.
  • Resumo da política
    • Acesso somente leitura.

Função somente leitura de integração na nuvem

  • Nome da função: CTLCINTReadRole
  • Nomes de políticas anexadas: ReadOnlyAccess, CTLCustomerPolicy, CTLCustNoSupportPolicy
  • Grupos/ferramentas/usuários direcionados: Grupos/ferramentas/usuários-alvo: usuários de CAM para os quais os provedores são compartilhados, mas o acesso administrativo não é fornecido.
  • Finalidade: Permitir que esses usuários vejam, mas não alterar os recursos no Console AWS ao clicarem no botão "console AWS" do provedor.
  • Solicitações de alteração: para evitar a criação de uma violação de segurança, a Lumen não alterará esta função.
  • Resumo da política
    • Acesso somente leitura.
    • Consulte "Função de desenvolvedor da Lumen" acima.
    • CTLCustNoSupportPolicy: negar permissões de suporte (entre em contato com a Lumen com solicitações de suporte)

Política de gerenciamento de serviços da Lumen

  • Nome da função: CTLServiceManagementRole
  • Nome da política: Política CTLServicEmanagment
  • Grupos/ferramentas/usuários direcionados: Gerenciamento de serviços da Lumen
  • Objetivo: esta não é uma parte imediata de nenhum cenário de otimização, mas é habilitada pela otimização de contas do Cloud Application Manager. O acesso a uma conta do cliente por meio desta função só é fornecido a um representante da Lumen quando o cliente compra o Gerenciamento de serviços da Lumen.
  • Solicitações de alteração: esta política não está ativada como padrão atualmente, apenas criada. Se você precisa de alteração de permissões, envie um ticket descrevendo a alteração desejada.
  • Resumo da política:
    • Capacidade de adição, alteração e exclusão para todos os serviços. Nenhuma capacidade para editar detalhes de contas ou orçamento.*
Powered by Translations.com GlobalLink OneLink SoftwarePowered By OneLink