Bewährte Methoden: Verwalten von Berechtigungen - AWS OpsWorks

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden: Verwalten von Berechtigungen

Wichtig

Der AWS OpsWorks Stacks Dienst hat am 26. Mai 2024 das Ende seiner Lebensdauer erreicht und wurde sowohl für neue als auch für bestehende Kunden deaktiviert. Wir empfehlen Kunden dringend, ihre Workloads so bald wie möglich auf andere Lösungen zu migrieren. Wenn Sie Fragen zur Migration haben, wenden Sie sich an das AWS Support Team auf AWS re:POST oder über den AWS Premium-Support.

Sie müssen über AWS-Anmeldeinformationen verfügen, um auf die Ressourcen Ihres Kontos zugreifen zu können. Es folgen einige allgemeine Richtlinien, anhand denen Ihren Mitarbeitern Zugriff erteilt wird.

  • Zuallererst empfehlen wir, dass Sie nicht die Root-Anmeldeinformationen Ihres Kontos zum Zugreifen auf AWS-Ressourcen verwenden.

    Erstellen Sie stattdessen IAM-Identitäten für Ihre Mitarbeiter und fügen Sie Berechtigungen hinzu, die den entsprechenden Zugriff ermöglichen. Jeder Mitarbeiter kann dann seine Anmeldeinformationen verwenden, um auf Ressourcen zuzugreifen.

  • Mitarbeitern sollten die Berechtigungen für den Zugriff nur auf die Ressourcen erteilt werden, die sie zur Erledigung ihrer Aufgaben benötigen.

    Beispielsweise benötigen Anwendungsentwickler Zugriff nur auf die Stacks, auf denen ihre Anwendungen ausgeführt werden.

  • Mitarbeitern sollten die Berechtigungen nur für die Aktionen erteilt werden, die sie zur Erledigung ihrer Aufgaben benötigen.

    Ein Anwendungsentwickler benötigt möglicherweise uneingeschränkte Berechtigungen für einen Entwicklungs-Stack sowie Berechtigungen zum Bereitstellen seiner Anwendungen für den entsprechenden Produktions-Stack. Er benötigt wahrscheinlich keine Berechtigungen zum Starten oder Stoppen der Instances auf dem Produktions-Stack oder zum Erstellen oder Löschen von Layern usw.

Weitere allgemeine Informationen zum Verwalten von Berechtigungen finden Sie unter AWS-Sicherheitsanmeldeinformationen.

Sie können AWS OpsWorks Stacks oder IAM verwenden, um Benutzerberechtigungen zu verwalten. Beachten Sie, dass die zwei Optionen sich nicht gegenseitig ausschließen. Manchmal bietet es sich an, beide Optionen zu verwenden.

AWS OpsWorks Verwaltung von Stacks-Berechtigungen

Jeder Stack hat eine Seite Permissions (Berechtigungen), auf der Sie den Benutzern die Berechtigung für den Zugriff auf den Stack erteilen und festlegen können, welche Aktionen sie durchführen können. Sie geben die Berechtigungen eines Benutzers an, indem Sie eine der folgenden Berechtigungsebenen festlegen. Jede Ebene steht für eine IAM-Richtlinie, die Berechtigungen für eine Reihe von Standardaktionen gewährt.

  • Deny (Verweigern) verweigert die Berechtigung zum Interagieren mit dem Stack.

  • Show (Anzeigen) gewährt die Berechtigung zum Anzeigen der Stack-Konfiguration, jedoch nicht zum Ändern des Stack-Status.

  • Deploy (Bereitstellen) enthält die Show (Anzeigen)-Berechtigungen und gewährt dem Benutzer auch die Berechtigungen zum Bereitstellen von Anwendungen.

  • Manage (Verwalten) enthält die Deploy (Bereitstellen)-Berechtigungen und ermöglicht es dem Benutzer auch, eine Vielzahl von Stack-Verwaltungsaktionen durchzuführen, wie z. B. Erstellen und Löschen von Instances und Ebenen.

Anmerkung

Die Stufe „Berechtigungen verwalten“ gewährt keine Berechtigungen für eine kleine Anzahl von AWS OpsWorks Stacks-Aktionen auf hoher Ebene, einschließlich des Erstellens oder Klonens von Stacks. Sie müssen eine IAM-Richtlinie verwenden, um diese Berechtigungen zu gewähren.

Zusätzlich zur Festlegung der Berechtigungsebenen können Sie auf der Seite Permissions (Berechtigungen) eines Stacks auch angeben, ob Benutzer SSH/RDP- oder sudo/admin-Berechtigungen für die Stack-Instances haben. Weitere Informationen zum Verwalten von AWS OpsWorks Stacks-Berechtigungen finden Sie unter Verleihen von Berechtigungen pro Stack. Weitere Informationen zum Verwalten von SSH-Zugriff finden Sie unter Verwalten des SSH-Zugriffs.

Verwaltung von IAM-Berechtigungen

Bei der IAM-Berechtigungsverwaltung verwenden Sie die IAM-Konsole, API oder CLI, um einem Benutzer eine Richtlinie im JSON-Format zuzuweisen, die seine Berechtigungen explizit spezifiziert. Weitere Informationen zur IAM-Berechtigungsverwaltung finden Sie unter Was ist IAM? .

Empfehlung: Beginnen Sie mit der Verwaltung AWS OpsWorks von Stacks Permissions. Wenn Sie die Berechtigungen eines Benutzers optimieren oder einem Benutzer Berechtigungen erteilen müssen, die nicht in den Manage (Verwalten)-Berechtigungsebenen enthalten sind, können Sie die beiden Methoden kombinieren. AWS OpsWorks Stacks bewertet dann beide Richtlinien, um die Berechtigungen des Benutzers zu ermitteln.

Wichtig

Wenn ein Benutzer mehrere Richtlinien mit widersprüchlichen Berechtigungen hat, gewinnt die Ablehnung immer. Nehmen wir zum Beispiel an, dass Sie einem Benutzer eine IAM-Richtlinie zuordnen, die den Zugriff auf einen bestimmten Stack ermöglicht, dem Benutzer aber auch die Berechtigungsseite des Stacks verwenden, um dem Benutzer die Berechtigungsstufe Verweigern zuzuweisen. Die Berechtigungsebene Deny (Verweigern) hat Vorrang, sodass der Benutzer nicht auf den Stack zugreifen kann. Weitere Informationen finden Sie unter Bewertungslogik für IAM-Richtlinien.

Angenommen, ein Benutzer soll beispielsweise die meisten Vorgänge auf einem Stack durchführen können, außer Hinzufügen oder Löschen von Layern.

  • Legen Sie die Berechtigungsebene Manage (Verwalten) fest, die es dem Benutzer ermöglicht, die meisten Stack-Verwaltungsaktionen durchzuführen, z. B. Erstellen und Löschen von Ebenen.

  • Fügen Sie dem Benutzer die folgende vom Kunden verwaltete Richtlinie zu, wodurch ihm die Berechtigungen zur Verwendung der DeleteLayerAktionen CreateLayerund für diesen Stack verweigert werden. Sie identifizieren den Stack anhand des Amazon-Ressourcennamens (ARN), der auf der Seite Settings (Einstellungen) des Stacks angegeben ist.

    
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "opsworks:CreateLayer",
        "opsworks:DeleteLayer"
      ],
      "Resource": "arn:aws:opsworks:*:*:stack/2f18b4cb-4de5-4429-a149-ff7da9f0d8ee/"
    }
  ]
}

Weitere Informationen hierzu und auch zu Beispielrichtlinien finden Sie unter Verwaltung von AWS OpsWorks Stacks-Berechtigungen durch Anhängen einer IAM-Richtlinie.

Anmerkung

Eine andere Möglichkeit, die IAM-Richtlinie zu verwenden, besteht darin, eine Bedingung festzulegen, die den Stack-Zugriff auf Mitarbeiter mit einer bestimmten IP-Adresse oder einem bestimmten Adressbereich beschränkt. Um beispielsweise zu gewährleisten, dass Mitarbeiter nur innerhalb der Firewall Ihres Unternehmens auf Stacks zugreifen, legen Sie eine Bedingung fest, die den Zugriff auf den IP-Adressbereich Ihres Unternehmens einschränkt. Weitere Informationen finden Sie unter Bedingungen.