Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Políticas de ejemplo basadas en políticas administradas
En esta sección se muestra cómo controlar el acceso de los usuarios a AWS Elastic Beanstalk e incluye políticas de ejemplo que proporcionan el acceso necesario para situaciones comunes. Estas políticas se derivan de las políticas administradas de Elastic Beanstalk. Para obtener información acerca de cómo asociar políticas administradas a usuarios y grupos, consulte Administración de políticas de usuario de Elastic Beanstalk.
En este escenario, Ejemplo Corp. es una empresa de software con tres equipos responsables del sitio web de la empresa: los administradores que se encargan de la infraestructura, los desarrolladores que crean el software para el sitio web y un equipo de control de calidad que comprueba el sitio web. Para ayudarle a administrar los permisos a sus recursos de Elastic Beanstalk, Ejemplo Corp. crea tres grupos a los que pertenecen los miembros de cada equipo respectivo: Administradores, Desarrolladores y Evaluadores. Ejemplo Corp. quiere que el grupo Administradores tenga acceso completo a todas las aplicaciones, entornos y sus recursos subyacentes, para poder crear y eliminar todos los recursos de Elastic Beanstalk, además de solucionar los problemas con estos recursos. Los desarrolladores requieren permisos para ver todos los recursos de Elastic Beanstalk y para crear e implementar versiones de la aplicación. Los desarrolladores no deben poder crear nuevas aplicaciones o entornos ni terminar entornos en ejecución. Los evaluadores deben ver todos los recursos de Elastic Beanstalk para monitorear y probar aplicaciones. Los evaluadores no deberían poder realizar cambios en ningún recurso de Elastic Beanstalk.
Las siguientes políticas de ejemplo proporcionan los permisos necesarios para cada grupo.
Ejemplo 1: Grupo Administradores: todas las API de Elastic Beanstalk y servicios relacionados
La siguiente política concede a los usuarios permisos para todas las acciones necesarias para utilizar Elastic Beanstalk. Esta política también permite a Elastic Beanstalk aprovisionar y administrar recursos en su nombre en los siguientes servicios. Elastic Beanstalk utiliza estos servicios adicionales para aprovisionar los recursos subyacentes cuando se crea un entorno.
-
Amazon Elastic Compute Cloud
-
Elastic Load Balancing
-
Auto Scaling
-
Amazon CloudWatch
-
Amazon Simple Storage Service
-
Amazon Simple Notification Service
-
Amazon Relational Database Service
-
AWS CloudFormation
Tenga en cuenta que esta política es un ejemplo. Concede un amplio conjunto de permisos a los servicios de AWS que Elastic Beanstalk utiliza para administrar aplicaciones y entornos. Por ejemplo, ec2:* permite a un usuario de AWS Identity and Access Management (IAM) realizar cualquier acción en cualquier recurso de Amazon EC2 en la cuenta de AWS. Estos permisos no se limitan a los recursos que utiliza con Elastic Beanstalk. Como práctica recomendada, debe conceder a las personas únicamente los permisos necesarios para llevar a cabo sus tareas.
{
"Version" : "2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"elasticbeanstalk:*",
"ec2:*",
"elasticloadbalancing:*",
"autoscaling:*",
"cloudwatch:*",
"s3:*",
"sns:*",
"rds:*",
"cloudformation:*"
],
"Resource" : "*"
}
]
}Ejemplo 2: Grupo de desarrolladores: todas excepto las operaciones con privilegios elevados
La siguiente política deniega permisos para crear aplicaciones y entornos, y permite todas las demás acciones de Elastic Beanstalk.
Tenga en cuenta que esta política es un ejemplo. Concede un amplio conjunto de permisos a los productos de AWS que Elastic Beanstalk utiliza para administrar aplicaciones y entornos. Por ejemplo, ec2:* permite a un usuario de IAM realizar cualquier acción en cualquier recurso de Amazon EC2 en la cuenta de AWS. Estos permisos no se limitan a los recursos que utiliza con Elastic Beanstalk. Como práctica recomendada, debe conceder a las personas únicamente los permisos necesarios para llevar a cabo sus tareas.
{
"Version" : "2012-10-17",
"Statement" : [
{
"Action" : [
"elasticbeanstalk:CreateApplication",
"elasticbeanstalk:CreateEnvironment",
"elasticbeanstalk:DeleteApplication",
"elasticbeanstalk:RebuildEnvironment",
"elasticbeanstalk:SwapEnvironmentCNAMEs",
"elasticbeanstalk:TerminateEnvironment"],
"Effect" : "Deny",
"Resource" : "*"
},
{
"Action" : [
"elasticbeanstalk:*",
"ec2:*",
"elasticloadbalancing:*",
"autoscaling:*",
"cloudwatch:*",
"s3:*",
"sns:*",
"rds:*",
"cloudformation:*"],
"Effect" : "Allow",
"Resource" : "*"
}
]
}Ejemplo 3: Evaluadores: solo consulta
La siguiente política permite acceso de solo lectura a todas las aplicaciones, versiones de la aplicación, eventos y entornos. No permite realizar ninguna acción.
{
"Version" : "2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"elasticbeanstalk:Check*",
"elasticbeanstalk:Describe*",
"elasticbeanstalk:List*",
"elasticbeanstalk:RequestEnvironmentInfo",
"elasticbeanstalk:RetrieveEnvironmentInfo",
"ec2:Describe*",
"elasticloadbalancing:Describe*",
"autoscaling:Describe*",
"cloudwatch:Describe*",
"cloudwatch:List*",
"cloudwatch:Get*",
"s3:Get*",
"s3:List*",
"sns:Get*",
"sns:List*",
"rds:Describe*",
"cloudformation:Describe*",
"cloudformation:Get*",
"cloudformation:List*",
"cloudformation:Validate*",
"cloudformation:Estimate*"
],
"Resource" : "*"
}
]
}
