Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo funciona AWS OpsWorks CM con IAM

Antes de administrar el acceso a AWS OpsWorks CM, debe comprender qué IAM funciones están disponibles para su uso con AWS OpsWorks CM. IAM Para obtener una visión general de cómo funcionan AWS OpsWorks CM y otros AWS serviciosIAM, consulte AWS los servicios con los que funcionan IAM en la Guía del IAM usuario.

AWS OpsWorks Políticas de CM basadas en la identidad

Con las políticas IAM basadas en la identidad, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. AWS OpsWorks CM admite acciones, recursos y claves de condición específicos. Para obtener más información sobre todos los elementos que se utilizan en una JSON política, consulte la referencia sobre los elementos de la IAM JSON política en la Guía del IAM usuario.

En AWS OpsWorks CM, puede adjuntar una declaración de política personalizada a un usuario, rol o grupo.

Acciones

El Action elemento de una política IAM basada en la identidad describe la acción o las acciones específicas que la política permitirá o denegará. Las acciones políticas suelen tener el mismo nombre que la operación asociada AWS API. La acción se utiliza en una política para otorgar permisos para realizar la operación asociada.

Las acciones políticas en AWS OpsWorks CM usan el siguiente prefijo antes de la acción:opsworks-cm:. Por ejemplo, para conceder a alguien permiso para crear un servidor AWS OpsWorks CM mediante una API operación, incluyes la opsworks-cm:CreateServer acción en su política. Las declaraciones de política deben incluir un NotAction elemento Action o. AWS OpsWorks CM define su propio conjunto de acciones que describen las tareas que se pueden realizar con este servicio.

Para especificar varias acciones en una única instrucción, sepárelas con comas del siguiente modo:

"Action": [
      "opsworks-cm:action1",
      "opsworks-cm:action2"

Puede utilizar caracteres comodín para especificar varias acciones (*). Por ejemplo, para especificar todas las acciones que comiencen con la palabra Describe, incluya la siguiente acción:

"Action": "opsworks-cm:Describe*"

Cuando utilice comodines para permitir varias acciones en una instrucción de política, tenga cuidado de permitir esas acciones sólo para servicios o usuarios autorizados.

Para ver una lista de acciones de AWS OpsWorks CM, consulte Acciones, recursos y claves de condición AWS OpsWorks en la Guía del IAM usuario.

Recursos

El elemento Resource especifica el objeto u objetos a los que se aplica la acción. Las instrucciones deben contener un elemento Resource o NotResource. Para especificar un recurso, utilice un ARN o un comodín (*) para indicar que la declaración se aplica a todos los recursos.

Puede obtener el número de recurso de Amazon (ARN) de un servidor AWS OpsWorks CM o una copia de seguridad ejecutando las DescribeBackupsAPIoperaciones DescribeServerso y basar las políticas a nivel de recursos en esos recursos.

Un recurso de servidor AWS OpsWorks CM tiene ARN el siguiente formato:

arn:aws:opsworks-cm:{Region}:${Account}:server/${ServerName}/${UniqueId}

Un recurso de respaldo de AWS OpsWorks CM tiene ARN el siguiente formato:

arn:aws:opsworks-cm:{Region}:${Account}:backup/${ServerName}-{Date-and-Time-Stamp-of-Backup}

Para obtener más información sobre el formato deARNs, consulte Amazon Resource Names (ARNs) y AWS Service Namespaces.

Por ejemplo, para especificar el servidor test-chef-automate Chef Automate en su declaración, utilice lo siguiente: ARN

"Resource": "arn:aws:opsworks-cm:us-west-2:123456789012:server/test-chef-automate/EXAMPLE-d1a2bEXAMPLE"

Para especificar todos los servidores AWS OpsWorks CM que pertenecen a una cuenta específica, utilice el comodín (*):

"Resource": "arn:aws:opsworks-cm:us-west-2:123456789012:server/*"

El siguiente ejemplo especifica una copia de seguridad del servidor AWS OpsWorks CM como recurso:

"Resource": "arn:aws:opsworks-cm:us-west-2:123456789012:backup/test-chef-automate-server-2018-05-20T19:06:12.399Z"

Algunas acciones de AWS OpsWorks CM, como las de creación de recursos, no se pueden realizar en un recurso específico. En dichos casos, debe utilizar el carácter comodín (*).

"Resource": "*"

Muchas API acciones implican varios recursos. Para especificar varios recursos en una sola sentencia, sepárelos ARNs con comas.

"Resource": [
      "resource1",
      "resource2"

Para ver una lista de los tipos de recursos de AWS OpsWorks CM y sus claves de condiciónARNs, consulte las acciones, los recursos y las claves de condición de AWS OpsWorks CM en la Guía del IAM usuario. Para saber con qué acciones puede especificar cada recurso, consulte las acciones, los recursos y las claves de condición de AWS OpsWorks CM en la Guía del IAM usuario. ARN

Claves de condición

AWS OpsWorks CM no tiene claves de contexto específicas de un servicio que puedan usarse en el Condition elemento de las declaraciones de políticas. Para ver la lista de claves de contexto globales que están disponibles para todos los servicios, consulte las claves de contexto de condición AWS global en la Referencia de IAMpolíticas. Para ver todas las claves de condición AWS globales, consulte las claves de contexto de condición AWS globales en la Guía del IAM usuario.

El elemento Condition (o bloque de Condition) permite especificar condiciones en las que entra en vigor una instrucción. El elemento Condition es opcional. Puede crear expresiones condicionales que utilizan operadores de condición, tales como igual o menor que, para que coincida la condición de la política con valores de la solicitud.

Si especifica varios elementos de Condition en una instrucción o varias claves en un único elemento de Condition, AWS las evalúa mediante una operación AND lógica. Si especifica varios valores para una sola clave de condición, AWS evalúa la condición mediante una OR operación lógica. Se deben cumplir todas las condiciones antes de que se concedan los permisos de la instrucción.

También puedes utilizar variables de marcador de posición al especificar condiciones. Por ejemplo, puede conceder un permiso de usuario para acceder a un recurso solo si está etiquetado con su nombre de usuario de . Para obtener más información, consulte los elementos IAM de política: variables y etiquetas en la Guía del IAM usuario.

Ejemplos

Para ver ejemplos de políticas de AWS OpsWorks CM basadas en la identidad, consulte. AWS OpsWorks Ejemplos de políticas de CM basadas en la identidad

AWS OpsWorks CM y políticas basadas en recursos

AWS OpsWorks CM no apoya las políticas basadas en los recursos.

Las políticas basadas en los recursos son documentos JSON de política que especifican qué acciones puede realizar un director específico en un recurso y en qué condiciones.

Autorización basada en etiquetas CM AWS OpsWorks

Puede adjuntar etiquetas a los recursos de AWS OpsWorks CM o pasarlas en una solicitud a AWS OpsWorks CM. Para controlar el acceso según las etiquetas, debe proporcionar información de las etiquetas en el elemento de condición de una política mediante aws:RequestTag/key-name o las claves de condición aws:TagKeys. Para obtener más información sobre cómo etiquetar los recursos de AWS OpsWorks CM, consulte Trabajar con etiquetas en AWS OpsWorks for Chef Automate los recursos o Trabajar con etiquetas en AWS OpsWorks for Puppet Enterprise los recursos consulte esta guía.

AWS OpsWorks Funciones de CM IAM

Un IAMrol es una entidad de tu AWS cuenta que tiene permisos específicos.

AWS OpsWorks CM utiliza dos funciones:

AWS OpsWorks CM no usa roles vinculados a servicios.

Uso de credenciales temporales con CM de AWS OpsWorks

AWS OpsWorks CM admite el uso de credenciales temporales y hereda esa capacidad de. AWS Security Token Service

Puede usar credenciales temporales para iniciar sesión con la federación, asumir un IAM rol o asumir un rol multicuenta. Para obtener credenciales de seguridad temporales, puede llamar a AWS STS API operaciones como AssumeRoleo GetFederationToken.

Roles vinculados a servicios

AWS OpsWorks CM no utiliza funciones vinculadas al servicio.

Los roles vinculados al servicio permiten a AWS los servicios acceder a los recursos de otros servicios para completar una acción en tu nombre. Los roles vinculados al servicio aparecen en tu IAM cuenta y son propiedad del servicio. Un IAM administrador puede ver los permisos de los roles vinculados al servicio, pero no editarlos.

Roles de servicio

Esta característica permite que un servicio asuma un rol de servicio en su nombre. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles de servicio aparecen en tu IAM cuenta y son propiedad de la cuenta. Esto significa que un IAM administrador puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.

AWS OpsWorks CM utiliza dos funciones:

Selección de un rol de CM de AWS OpsWorks en IAM

Al crear un servidor en AWS OpsWorks CM, debes elegir un rol para permitir que AWS OpsWorks CM acceda a Amazon EC2 en tu nombre. Si ya ha creado un rol de servicio, AWS OpsWorks CM le proporciona una lista de roles entre los que puede elegir. OpsWorks CM puede crearle el rol si no lo especifica. Es importante elegir un rol que permita el acceso para iniciar y detener las EC2 instancias de Amazon. Para obtener más información, consulte Crear un servidor de Chef Automate o Crear un nodo maestro de Puppet Enterprise.