Verwaltung von AWS OpsWorks Stacks-Benutzerberechtigungen - AWS OpsWorks

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwaltung von AWS OpsWorks Stacks-Benutzerberechtigungen

Wichtig

Der AWS OpsWorks Stacks Dienst hat am 26. Mai 2024 das Ende seiner Lebensdauer erreicht und wurde sowohl für neue als auch für bestehende Kunden deaktiviert. Wir empfehlen Kunden dringend, ihre Workloads so bald wie möglich auf andere Lösungen zu migrieren. Wenn Sie Fragen zur Migration haben, wenden Sie sich an das AWS Support Team auf AWS re:POST oder über den AWS Premium-Support.

Es hat sich bewährt, AWS OpsWorks Stacks-Benutzer auf einen bestimmten Satz von Aktionen oder Stack-Ressourcen zu beschränken. Sie können die Benutzerberechtigungen von AWS OpsWorks Stacks auf zwei Arten kontrollieren: indem Sie die Seite AWS OpsWorks Stacks-Berechtigungen verwenden und indem Sie eine entsprechende IAM-Richtlinie anwenden.

Auf der Seite „ OpsWorks Berechtigungen“ — oder den entsprechenden CLI- oder API-Aktionen — können Sie Benutzerberechtigungen in einer Mehrbenutzerumgebung pro Stack steuern, indem Sie jedem Benutzer eine von mehreren Berechtigungsstufen zuweisen. Jede Stufe gewährt dabei standardisierte Berechtigungen für eine Reihe von Aktionen für eine bestimmte Stack-Ressource. Auf der Seite Permissions (Berechtigungen) können Sie Folgendes festlegen:

  • Wer auf einen Stack zugreifen kann

  • Welche Aktionen ein Benutzer auf einem Stack ausführen kann

    Sie können bestimmten Benutzern beispielsweise nur Lesezugriff auf den Stack geben, während andere Anwendungen bereitstellen, Instances hinzufügen usw. können.

  • Wer welchen Stack verwalten kann

    Sie können die Verwaltung einzelner Stacks an einen oder mehrere Benutzer übertragen

  • Wer hat SSH-Zugriff und Sudo-Rechte (Linux) oder RDP-Zugriff und Administratorrechte (Windows) auf Benutzerebene für die Amazon EC2 EC2-Instances jedes Stacks.

    Sie können diese Berechtigungen jederzeit pro Benutzer gewähren oder entziehen

Wichtig

Wenn Sie einem Benutzer keinen SSH/RDP-Zugriff gewähren, kann dieser sich möglicherweise dennoch bei Instances anmelden. Wenn Sie ein Amazon EC2 EC2-Schlüsselpaar für eine Instance angeben, kann sich jeder Benutzer mit dem entsprechenden privaten Schlüssel anmelden oder den Schlüssel verwenden, um das Windows-Administratorkennwort abzurufen. Weitere Informationen finden Sie unter Verwalten des SSH-Zugriffs.

Sie können die IAM-Konsole, CLI oder API verwenden, um Ihren Benutzern Richtlinien hinzuzufügen, die explizite Berechtigungen für die verschiedenen AWS OpsWorks Stacks-Ressourcen und -Aktionen gewähren.

  • Die Verwendung einer IAM-Richtlinie zur Angabe von Berechtigungen ist flexibler als die Verwendung der Berechtigungsstufen.

  • Sie können IAM-Identitäten (Benutzer, Benutzergruppen und Rollen) einrichten, die IAM-Identitäten wie Benutzern und Benutzergruppen Berechtigungen gewähren, oder Rollen definieren, die Verbundbenutzern zugeordnet werden können.

  • Eine IAM-Richtlinie ist die einzige Möglichkeit, Berechtigungen für bestimmte wichtige Stacks-Aktionen zu gewähren. AWS OpsWorks

    Beispielsweise müssen Sie IAM verwenden, um Berechtigungen für opsworks:CreateStack und zu erteilenopsworks:CloneStack, die jeweils zum Erstellen und Klonen von Stacks verwendet werden.

Es ist zwar nicht explizit möglich, Verbundbenutzer in die Konsole zu importieren, aber ein Verbundbenutzer kann implizit ein Benutzerprofil erstellen, indem er oben rechts in der AWS OpsWorks Stacks-Konsole Meine Einstellungen und dann ebenfalls oben rechts Benutzer auswählt. Auf der Seite Benutzer können Verbundbenutzer, deren Konten mithilfe der API oder CLI oder implizit über die Konsole erstellt wurden, ihre Konten ähnlich wie Benutzer ohne Verbundbenutzer verwalten.

Beide Methoden schließen sich nicht gegenseitig aus und lassen sich in einigen Fällen sogar sinnvoll kombinieren. AWS OpsWorks  Stacks wertet dann beide Berechtigungen aus. Angenommen, Sie möchten Benutzern die Berechtigung zum Hinzufügen oder Löschen von Instances, nicht jedoch von Layers gewähren. Keine der Stacks-Berechtigungsstufen gewährt diesen bestimmten Satz von Berechtigungen AWS OpsWorks . Sie können jedoch die Seite „Berechtigungen“ verwenden, um Benutzern die Berechtigungsstufe Verwalten zu gewähren, mit der sie die meisten Stack-Operationen ausführen können, und dann eine IAM-Richtlinie anwenden, die Berechtigungen zum Hinzufügen oder Entfernen von Layern verweigert. Weitere Informationen finden Sie unter Steuern des Zugriffs auf AWS Ressourcen mithilfe von Richtlinien.

Nachfolgend finden Sie ein Modell zur Verwaltung von Benutzerberechtigungen. Es wird in jedem Fall davon ausgegangen, dass der Leser (Sie), ein administrativer Benutzer ist.

  1. Verwenden Sie die IAM-Konsole, um AWSOpsWorks_FullAccess Richtlinien auf einen oder mehrere Administratorbenutzer anzuwenden.

  2. Erstellen Sie für jeden Benutzer ohne Administratorrechte einen Benutzer mit einer Richtlinie, die keine AWS OpsWorks Stacks-Berechtigungen gewährt.

    Wenn ein Benutzer nur Zugriff auf AWS OpsWorks Stacks benötigt, müssen Sie möglicherweise überhaupt keine Richtlinie anwenden. Stattdessen können Sie ihre Berechtigungen auf der Seite AWS OpsWorks Stacks-Berechtigungen verwalten.

  3. Verwenden Sie die Seite AWS OpsWorks Stacks-Benutzer, um Benutzer ohne Administratorrechte in Stacks zu importieren. AWS OpsWorks

  4. Weisen Sie auf der Seite Permissions (Berechtigungen) des jeweiligen Stacks den einzelnen Benutzern Berechtigungsebenen zu.

  5. Passen Sie bei Bedarf die Berechtigungsstufen der Benutzer an, indem Sie eine entsprechend konfigurierte IAM-Richtlinie anwenden.

Weitere Empfehlungen zur Verwaltung von Benutzern finden Sie unterBewährte Methoden: Verwalten von Berechtigungen.

Weitere Informationen zu bewährten Methoden für IAM finden Sie unter Bewährte Sicherheitsmethoden in IAM im IAM-Benutzerhandbuch.