AWS verwaltete Richtlinien für AWS OpsWorks Konfigurationsmanagement - AWS OpsWorks
AWSOpsWorksCMServiceRoleAWSOpsWorksCMInstanceProfileRoleRichtlinienaktualisierungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS verwaltete Richtlinien für AWS OpsWorks Konfigurationsmanagement

Es ist einfacher zu verwenden, um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen AWS verwaltete Richtlinien, als selbst Richtlinien zu schreiben. Es erfordert Zeit und Fachwissen, um vom IAMKunden verwaltete Richtlinien zu erstellen, die Ihrem Team nur die Berechtigungen gewähren, die es benötigt. Um schnell loszulegen, können Sie unsere verwenden AWS verwaltete Richtlinien. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS Konto. Weitere Informationen zur AWS verwaltete Richtlinien, siehe AWS verwaltete Richtlinien im IAMBenutzerhandbuch.

AWS Wartung und Aktualisierung der Dienste AWS verwaltete Richtlinien. Sie können die Berechtigungen nicht ändern in AWS verwaltete Richtlinien. Dienste fügen gelegentlich zusätzliche Berechtigungen zu einem hinzu AWS verwaltete Richtlinie zur Unterstützung neuer Funktionen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Es ist am wahrscheinlichsten, dass Dienste ein aktualisieren AWS verwaltete Richtlinie, wenn eine neue Funktion eingeführt wird oder wenn neue Operationen verfügbar werden. Dienste entfernen keine Berechtigungen aus einem AWS verwaltete Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.

Darüber hinaus AWS unterstützt verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Zum Beispiel die ReadOnlyAccess AWS Die verwaltete Richtlinie bietet nur Lesezugriff auf alle AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion einführt, AWS fügt Nur-Lese-Berechtigungen für neue Operationen und Ressourcen hinzu. Eine Liste und eine Beschreibung der Richtlinien für Berufsfunktionen finden Sie unter AWS verwaltete Richtlinien für Jobfunktionen im IAMBenutzerhandbuch.

AWSverwaltete Richtlinie: AWSOpsWorksCMServiceRole

Sie können sie AWSOpsWorksCMServiceRole an Ihre IAM Entitäten anhängen. OpsWorks CM verknüpft diese Richtlinie auch mit einer Servicerolle, die es OpsWorks CM ermöglicht, Aktionen in Ihrem Namen durchzuführen.

Diese Richtlinie gewährt administrative Berechtigungen, die es OpsWorks CM-Administratoren ermöglichen, OpsWorks CM-Server und Backups zu erstellen, zu verwalten und zu löschen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • opsworks-cm— Ermöglicht Prinzipalen das Löschen vorhandener Server und das Starten von Wartungsläufen.

  • acm— Ermöglicht Prinzipalen das Löschen oder Importieren von Zertifikaten von AWS Certificate Manager mit denen Benutzer eine Verbindung zu einem OpsWorks CM-Server herstellen können.

  • cloudformation— Ermöglicht OpsWorks CM das Erstellen und Verwalten AWS CloudFormation stapelt sich, wenn Prinzipale OpsWorks CM-Server erstellen, aktualisieren oder löschen.

  • ec2— Ermöglicht OpsWorks CM das Starten, Bereitstellen, Aktualisieren und Beenden von Amazon Elastic Compute Cloud-Instances, wenn Principals OpsWorks CM-Server erstellen, aktualisieren oder löschen.

  • iam— Ermöglicht OpsWorks CM die Erstellung von Servicerollen, die für die Erstellung und Verwaltung von OpsWorks CM-Servern erforderlich sind.

  • tag— Ermöglicht Prinzipalen das Anwenden und Entfernen von Tags auf OpsWorks CM-Ressourcen, einschließlich Servern und Backups.

  • s3— Ermöglicht OpsWorks CM, Amazon S3 S3-Buckets zum Speichern von Server-Backups zu erstellen, Objekte in S3-Buckets auf Hauptanforderung zu verwalten (z. B. ein Backup zu löschen) und Buckets zu löschen.

  • secretsmanager— Ermöglicht OpsWorks CM das Erstellen und Verwalten von Secrets Manager Manager-Geheimnissen sowie das Anwenden oder Entfernen von Tags aus Geheimnissen.

  • ssm— Ermöglicht OpsWorks CM, Systems Manager Run Command auf den Instanzen zu verwenden, bei denen es sich um OpsWorks CM-Server handelt.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket*"
            ],
            "Action": [
                "s3:CreateBucket",
                "s3:DeleteObject",
                "s3:DeleteBucket",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutBucketPolicy",
                "s3:PutObject",
                "s3:GetBucketTagging",
                "s3:PutBucketTagging"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Action": [
                "tag:UntagResources",
                "tag:TagResources"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Action": [
                "ssm:DescribeInstanceInformation",
                "ssm:GetCommandInvocation",
                "ssm:ListCommandInvocations",
                "ssm:ListCommands"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*"
                }
            },
            "Action": [
                "ssm:SendCommand"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:ssm:*::document/*",
                "arn:aws:s3:::amzn-s3-demo-bucket*"
            ],
            "Action": [
                "ssm:SendCommand"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Action": [
                "ec2:AllocateAddress",
                "ec2:AssociateAddress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateImage",
                "ec2:CreateSecurityGroup",
                "ec2:CreateSnapshot",
                "ec2:CreateTags",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteSnapshot",
                "ec2:DeregisterImage",
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAddresses",
                "ec2:DescribeImages",
                "ec2:DescribeInstanceStatus",
                "ec2:DescribeInstances",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSnapshots",
                "ec2:DescribeSubnets",
                "ec2:DisassociateAddress",
                "ec2:ReleaseAddress",
                "ec2:RunInstances",
                "ec2:StopInstances"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*"
                }
            },
            "Action": [
                "ec2:TerminateInstances",
                "ec2:RebootInstances"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:opsworks-cm:*:*:server/*"
            ],
            "Action": [
                "opsworks-cm:DeleteServer",
                "opsworks-cm:StartMaintenance"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:cloudformation:*:*:stack/aws-opsworks-cm-*"
            ],
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStackEvents",
                "cloudformation:DescribeStackResources",
                "cloudformation:DescribeStacks",
                "cloudformation:UpdateStack"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::*:role/aws-opsworks-cm-*",
                "arn:aws:iam::*:role/service-role/aws-opsworks-cm-*"
            ],
            "Action": [
                "iam:PassRole"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": [
                "acm:DeleteCertificate",
                "acm:ImportCertificate"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*",
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:GetSecretValue",
                "secretsmanager:UpdateSecret",
                "secretsmanager:DeleteSecret",
                "secretsmanager:TagResource",
                "secretsmanager:UntagResource"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteTags",
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ec2:*:*:elastic-ip/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        }
    ]
}

AWSverwaltete Richtlinie: AWSOpsWorksCMInstanceProfileRole

Sie können sie AWSOpsWorksCMInstanceProfileRole an Ihre IAM Entitäten anhängen. OpsWorks CM verknüpft diese Richtlinie auch mit einer Servicerolle, die es OpsWorks CM ermöglicht, Aktionen in Ihrem Namen durchzuführen.

Diese Richtlinie gewährt administrative Berechtigungen, die es den EC2 Amazon-Instances, die als OpsWorks CM-Server verwendet werden, ermöglichen, Informationen abzurufen von AWS CloudFormation and AWS Secrets Manager und speichern Sie Server-Backups in Amazon S3 S3-Buckets.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • acm— Ermöglicht OpsWorks EC2 CM-Serverinstanzen das Abrufen von Zertifikaten von AWS Certificate Manager mit denen Benutzer eine Verbindung zu einem OpsWorks CM-Server herstellen können.

  • cloudformation— Ermöglicht OpsWorks EC2 CM-Serverinstanzen das Abrufen von Informationen über AWS CloudFormation stapelt während des Instanzerstellungs- oder Aktualisierungsprozesses und sendet Signale an AWS CloudFormation über seinen Status.

  • s3— Ermöglicht OpsWorks EC2 CM-Serverinstanzen, Server-Backups hochzuladen und in S3-Buckets zu speichern, Uploads bei Bedarf zu stoppen oder rückgängig zu machen und Backups aus S3-Buckets zu löschen.

  • secretsmanager— Ermöglicht OpsWorks EC2 CM-Serverinstanzen, die Werte von OpsWorks CM-bezogenen Secrets Manager abzurufen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "cloudformation:DescribeStackResource",
                "cloudformation:SignalResource"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        },
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:ListMultipartUploadParts",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket*",
            "Effect": "Allow"
        },
        {
            "Action": "acm:GetCertificate",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*",
            "Effect": "Allow"
        }
    ]
}

OpsWorks CM aktualisiert auf AWS Verwaltete Richtlinien

Einzelheiten zu Updates anzeigen für AWS verwaltete Richtlinien für OpsWorks CM, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Abonnieren Sie den RSS Feed auf der OpsWorks CM-Dokumentverlaufsseite, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.

Änderung Beschreibung Datum

AWSOpsWorksCMInstanceProfileRole- Die verwaltete Richtlinie wurde aktualisiert

OpsWorks CM hat die verwaltete Richtlinie aktualisiert, die es den als OpsWorks CM-Server verwendeten EC2 Instanzen ermöglicht, Informationen mit CloudFormation Secrets Manager auszutauschen und Backups zu verwalten. Durch die Änderung wird der Ressourcenname für Secrets Manager Manager-Geheimnisse erweitertopsworks-cm!, sodass OpsWorks CM Eigentümer der Secrets sein darf.

23. April 2021

AWSOpsWorksCMServiceRole- Die verwaltete Richtlinie wurde aktualisiert

OpsWorks CM hat die verwaltete Richtlinie aktualisiert, die es OpsWorks CM-Administratoren ermöglicht, OpsWorks CM-Server und Backups zu erstellen, zu verwalten und zu löschen. Durch die Änderung wird der Ressourcenname für Secrets Manager Manager-Geheimnisse erweitertopsworks-cm!, sodass OpsWorks CM Eigentümer der Secrets sein darf.

23. April 2021

OpsWorks CM hat begonnen, Änderungen zu verfolgen

OpsWorks CM begann mit der Nachverfolgung von Änderungen für AWS verwaltete Richtlinien.

 23. April 2021