Prácticas recomendadas: Administración de permisos - AWS OpsWorks

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas: Administración de permisos

importante

El AWS OpsWorks Stacks servicio llegó al final de su vida útil el 26 de mayo de 2024 y se ha desactivado tanto para los clientes nuevos como para los existentes. Recomendamos encarecidamente a los clientes que migren sus cargas de trabajo a otras soluciones lo antes posible. Si tienes preguntas sobre la migración, ponte en contacto con el AWS Support equipo en AWS Re:post o a través de Premium AWS Support.

Debe tener algún tipo de credencial de AWS para obtener acceso a los recursos de su cuenta. A continuación se ofrecen unas orientaciones generales para proporcionar acceso a los empleados.

  • En primer lugar, le recomendamos que no utilice las credenciales raíz de su cuenta para obtener acceso a recursos de AWS.

    En su lugar, cree identidades de IAM para sus empleados y añada permisos que proporcionen el acceso adecuado. Cada empleado podrán entonces utilizar sus credenciales para acceder a los recursos.

  • Los empleados deberían tener permisos de acceso solo a aquellos recursos que necesiten para desempeñar su trabajo.

    Por ejemplo, los desarrolladores de aplicaciones solo necesitan acceso a las pilas que ejecutan sus aplicaciones.

  • Los empleados deberían tener permisos solo para aquellas acciones que necesiten realizar para desempeñar su trabajo.

    Un desarrollador de aplicaciones puede necesitar permisos completos para una pila de desarrollo y permisos para implementar las aplicaciones en la pila de producción correspondiente. Probablemente no necesite permisos para iniciar o detener instancias en la pila de producción, crear o eliminar capas, etcétera.

Para obtener más información general acerca de la administración de permisos, consulte Credenciales de seguridad de AWS.

Puedes usar AWS OpsWorks Stacks o IAM para gestionar los permisos de los usuarios. Tenga en cuenta que las dos opciones no son excluyentes entre sí y, a veces, es conveniente utilizar ambas.

AWS OpsWorks Administración de permisos de Stacks

Cada stack tiene una página Permissions (Permisos) que puede utilizar para conceder a los usuarios permisos de acceso a la pila y especificar qué acciones se les permite realizar. Para especificar permisos de usuario debe configurar uno de los siguientes niveles de permisos. Cada nivel representa una política de IAM que concede permisos para un conjunto estándar de acciones.

  • Deny (Denegar) deniega permiso para interactuar con la pila en modo alguno.

  • Show (Mostrar) concede permiso para ver la configuración de la pila, pero no para modificar su estado en modo alguno.

  • Deploy (Implementar) incluye los permisos Show (Mostrar) y también otorga permisos para implementar aplicaciones.

  • Manage (Administrar) incluye los permisos Deploy (Implementar) y también permite al usuario realizar diversas acciones de administración de la pila, como crear o eliminar instancias y capas.

nota

El nivel Administrar permisos no otorga permisos para una pequeña cantidad de acciones de AWS OpsWorks Stacks de alto nivel, incluida la creación o clonación de pilas. Debe utilizar una política de IAM para conceder tales permisos.

Además de establecer los niveles de permisos, también puede utilizar una página Permissions (Permisos) del stock para especificar si los usuarios tienen privilegios SSH/RDP y sudo/admin en las instancias de la pila. Para obtener más información acerca de la administración de permisos de AWS OpsWorks Stacks, consulte Concesión de permisos por pila. Para obtener más información acerca de cómo administrar el acceso SSH, consulte Administración del acceso SSH.

Administración de permisos de IAM

Los permisos de IAM se administran con la consola de IAM, la API o la CLI, adjuntando a un usuario una política con formato JSON que especifica los permisos de forma explícita. Para obtener más información acerca de la administración de permisos de IAM, consulte ¿Qué es IAM?.

Recomendación: Empieza con la administración de permisos de AWS OpsWorks Stacks. Si necesita ajustar los permisos de un usuario o conceder permisos que no están incluidos en el nivel de permisos Manage (Administrar), puede combinar los dos métodos. AWS OpsWorks Luego, Stacks evalúa ambas políticas para determinar los permisos del usuario.

importante

Si un usuario tiene varias políticas de permisos en conflicto, siempre prevalece la denegación. Por ejemplo, suponga que adjunta a un usuario una política de IAM que permite obtener acceso a un stack determinado, pero también permite el uso de la página Permissions del stack para asignar al usuario un nivel de permisos Deny. El nivel de permisos Deny (Denegar) prevalece y el usuario no tendrá permiso de acceso a la pila. Para obtener más información, consulte Lógica de evaluación de la política de IAM.

Por ejemplo, suponga que desea que un usuario pueda realizar la mayoría de las operaciones en una pila, salvo añadir o eliminar capas.

  • Especifique un nivel de permisos Manage (Administrar), que permite llevar a cabo la mayoría de las acciones de administración de pilas, incluido crear y eliminar capas.

  • Adjunta al usuario la siguiente política administrada por el cliente, que deniega los permisos para usar la pila CreateLayery las DeleteLayeracciones de esa pila. La pila se identifica por su nombre de recurso de Amazon (ARN), que se puede consultar en la página Settings (Configuración) de la pila.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "opsworks:CreateLayer", "opsworks:DeleteLayer" ], "Resource": "arn:aws:opsworks:*:*:stack/2f18b4cb-4de5-4429-a149-ff7da9f0d8ee/" } ] }

Para obtener más información, incluidos ejemplos de políticas, consulte Administra los permisos de AWS OpsWorks Stacks mediante la incorporación de una política de IAM.

nota

Otro modo de utilizar la política de IAM es establecer una condición que limite el acceso a la pila por parte de los empleados con una dirección IP o un rango de direcciones IP específico. Por ejemplo, para garantizar que los empleados tienen acceso a las pilas únicamente desde dentro del firewall de la organización, defina una condición que limite el acceso al rango de direcciones IP corporativas. Para obtener más información, consulte Condiciones.