Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gestion des AWS OpsWorks autorisations utilisateur de Stacks
Important
Le AWS OpsWorks Stacks service a pris fin le 26 mai 2024 et a été désactivé tant pour les nouveaux clients que pour les clients existants. Nous recommandons vivement aux clients de migrer leurs charges de travail vers d'autres solutions dès que possible. Si vous avez des questions sur la migration, contactez l' AWS Support équipe sur AWS Re:Post
Il est recommandé de limiter les utilisateurs de AWS OpsWorks Stacks à un ensemble spécifique d'actions ou à un ensemble de ressources de stack. Vous pouvez contrôler les autorisations AWS OpsWorks des utilisateurs de Stacks de deux manières : en utilisant la page Permissions de AWS OpsWorks Stacks et en appliquant une politique IAM appropriée.
La page OpsWorks Permissions, ou les actions équivalentes de la CLI ou de l'API, vous permet de contrôler les autorisations des utilisateurs dans un environnement multi-utilisateurs au cas par cas en attribuant à chaque utilisateur l'un des différents niveaux d'autorisation. Chaque niveau accorde les autorisations pour un ensemble standard d'actions pour une ressource de pile particulière. Sur la page Autorisations, vous pouvez contrôler les éléments suivants :
-
Les personnes autorisées à accéder à chaque pile.
-
Les actions que chaque utilisateur est autorisé à effectuer sur chaque pile.
Par exemple, vous pouvez autoriser certains utilisateurs à afficher uniquement la pile, alors que d'autres peuvent déployer des applications, ajouter des instances, et ainsi de suite.
-
Les personnes autorisées à gérer chaque pile.
Vous pouvez déléguer la gestion de chaque pile à un ou plusieurs utilisateurs spécifiés.
-
Qui dispose d'un accès SSH et de privilèges sudo (Linux) ou d'un accès RDP et de privilèges d'administrateur (Windows) au niveau utilisateur sur les instances Amazon EC2 de chaque pile.
Vous pouvez accorder ou supprimer ces autorisations séparément pour chaque utilisateur à tout moment.
Important
Le refus de l'accès SSH/RDP n'empêche pas nécessairement un utilisateur de se connecter aux instances. Si vous spécifiez une paire de clés Amazon EC2 pour une instance, tout utilisateur possédant la clé privée correspondante peut se connecter ou utiliser la clé pour récupérer le mot de passe administrateur Windows. Pour plus d’informations, consultez Gestion de l'accès SSH.
Vous pouvez utiliser la console, la CLI ou l'API IAM
-
L'utilisation d'une politique IAM pour spécifier les autorisations est plus flexible que l'utilisation des niveaux d'autorisation.
-
Vous pouvez configurer des identités IAM (utilisateurs, groupes d'utilisateurs et rôles), qui accordent des autorisations aux identités IAM, telles que les utilisateurs et les groupes d'utilisateurs, ou définir des rôles pouvant être associés à des utilisateurs fédérés.
-
Une politique IAM est le seul moyen d'accorder des autorisations pour certaines actions clés de AWS OpsWorks Stacks.
Par exemple, vous devez utiliser IAM pour accorder des autorisations pour
opsworks:CreateStacketopsworks:CloneStack, qui sont utilisées pour créer et cloner des piles, respectivement.
Bien qu'il ne soit pas explicitement possible d'importer des utilisateurs fédérés dans la console, un utilisateur fédéré peut implicitement créer un profil utilisateur en choisissant Mes paramètres en haut à droite de la console AWS OpsWorks Stacks, puis en choisissant Utilisateurs, également en haut à droite. Sur la page Utilisateurs, les utilisateurs fédérés, dont les comptes sont créés à l'aide de l'API ou de la CLI, ou implicitement via la console, peuvent gérer leurs comptes de la même manière que les utilisateurs non fédérés.
Les deux approches ne s'excluent pas mutuellement et il est parfois utile de les combiner ; AWS OpsWorks Stacks évalue alors les deux ensembles d'autorisations. Par exemple, supposons que vous vouliez permettre aux utilisateurs d'ajouter ou de supprimer des instances, mais pas d'ajouter ou de supprimer des couches. Aucun des niveaux d'autorisation de AWS OpsWorks Stacks n'accorde cet ensemble spécifique d'autorisations. Cependant, vous pouvez utiliser la page Autorisations pour accorder aux utilisateurs un niveau d'autorisation de gestion, qui leur permet d'effectuer la plupart des opérations de stack, puis d'appliquer une politique IAM qui refuse les autorisations d'ajouter ou de supprimer des couches. Pour plus d'informations, consultez la section Contrôle de l'accès aux AWS ressources à l'aide de politiques.
Le modèle suivant est un modèle classique de gestion des autorisations utilisateur. Dans chaque cas, le lecteur (vous-même) est censé être un utilisateur administrateur.
-
Utilisez la console IAM
pour appliquer des AWSOpsWorks_FullAccess politiques à un ou plusieurs utilisateurs administratifs. -
Créez un utilisateur pour chaque utilisateur non administratif avec une politique qui n'accorde aucune autorisation AWS OpsWorks Stacks.
Si un utilisateur a uniquement besoin d'accéder à AWS OpsWorks Stacks, il se peut que vous n'ayez pas du tout besoin d'appliquer de politique. Vous pouvez plutôt gérer leurs autorisations sur la page AWS OpsWorks Stacks Permissions.
-
Utilisez la page Utilisateurs de AWS OpsWorks Stacks pour importer les utilisateurs non administratifs dans AWS OpsWorks Stacks.
-
Pour chaque pile, utilisez la page Autorisations de la pile pour attribuer un niveau d'autorisation à chaque utilisateur.
-
Le cas échéant, personnalisez les niveaux d'autorisation des utilisateurs en appliquant une politique IAM correctement configurée.
Pour plus de recommandations sur la gestion des utilisateurs, consultezBonnes pratiques : Gestion des autorisations.
Pour plus d'informations sur les meilleures pratiques en matière d'IAM, consultez la section Bonnes pratiques de sécurité en matière d'IAM dans le guide de l'utilisateur d'IAM.
Rubriques
