AWS politiques gérées pour AWS OpsWorks Gestion de configuration - AWS OpsWorks
AWSOpsWorksCMServiceRoleAWSOpsWorksCMInstanceProfileRoleMises à jour des politiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politiques gérées pour AWS OpsWorks Gestion de configuration

Pour ajouter des autorisations aux utilisateurs, aux groupes et aux rôles, il est plus facile d'utiliser AWS des politiques gérées plutôt que d'écrire des politiques vous-même. Il faut du temps et de l'expertise pour créer des politiques gérées par les IAM clients qui fournissent à votre équipe uniquement les autorisations dont elle a besoin. Pour démarrer rapidement, vous pouvez utiliser notre AWS politiques gérées. Ces politiques couvrent les cas d'utilisation courants et sont disponibles dans votre AWS . Pour plus d'informations sur AWS politiques gérées, voir AWS politiques gérées dans le guide de IAM l'utilisateur.

AWS maintenance et mise à jour des services AWS politiques gérées. Vous ne pouvez pas modifier les autorisations dans AWS politiques gérées. Les services ajoutent parfois des autorisations supplémentaires à un AWS politique gérée pour prendre en charge les nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont les plus susceptibles de mettre à jour un AWS politique gérée lorsqu'une nouvelle fonctionnalité est lancée ou lorsque de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'un AWS politique gérée, afin que les mises à jour des politiques n'enfreignent pas vos autorisations existantes.

De plus, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, le ReadOnlyAccess AWS la politique gérée fournit un accès en lecture seule à tous AWS services et ressources. Lorsqu'un service lance une nouvelle fonctionnalité, AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir une liste et une description des politiques relatives aux fonctions professionnelles, voir AWS politiques gérées pour les fonctions professionnelles dans le guide de IAM l'utilisateur.

AWSpolitique gérée : AWSOpsWorksCMServiceRole

Vous pouvez les joindre AWSOpsWorksCMServiceRole à vos IAM entités. OpsWorks CM associe également cette politique à un rôle de service qui permet à OpsWorks CM d'effectuer des actions en votre nom.

Cette politique accorde administrative autorisations qui permettent aux administrateurs OpsWorks CM de créer, de gérer et de supprimer des serveurs OpsWorks CM et des sauvegardes.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • opsworks-cm— Permet aux principaux de supprimer des serveurs existants et de démarrer des opérations de maintenance.

  • acm— Permet aux principaux de supprimer ou d'importer des certificats depuis AWS Certificate Manager qui permettent aux utilisateurs de se connecter à un serveur OpsWorks CM.

  • cloudformation— Permet à OpsWorks CM de créer et de gérer AWS CloudFormation s'accumule lorsque les principaux créent, mettent à jour ou suppriment des serveurs OpsWorks CM.

  • ec2— Permet à OpsWorks CM de lancer, de provisionner, de mettre à jour et de résilier des instances Amazon Elastic Compute Cloud lorsque les principaux créent, mettent à jour ou suppriment des serveurs OpsWorks CM.

  • iam— Permet à OpsWorks CM de créer les rôles de service nécessaires à la création et à la gestion des serveurs OpsWorks CM.

  • tag— Permet aux principaux d'appliquer et de supprimer des balises sur les ressources OpsWorks CM, y compris les serveurs et les sauvegardes.

  • s3— Permet à OpsWorks CM de créer des compartiments Amazon S3 pour stocker les sauvegardes de serveurs, de gérer les objets dans des compartiments S3 sur demande principale (par exemple, supprimer une sauvegarde) et de supprimer des compartiments.

  • secretsmanager— Permet à OpsWorks CM de créer et de gérer les secrets de Secrets Manager, et d'appliquer ou de supprimer des balises dans les secrets.

  • ssm— Permet à OpsWorks CM d'utiliser la commande Run Command de Systems Manager sur les instances qui sont des serveurs OpsWorks CM.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket*"
            ],
            "Action": [
                "s3:CreateBucket",
                "s3:DeleteObject",
                "s3:DeleteBucket",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutBucketPolicy",
                "s3:PutObject",
                "s3:GetBucketTagging",
                "s3:PutBucketTagging"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Action": [
                "tag:UntagResources",
                "tag:TagResources"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Action": [
                "ssm:DescribeInstanceInformation",
                "ssm:GetCommandInvocation",
                "ssm:ListCommandInvocations",
                "ssm:ListCommands"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*"
                }
            },
            "Action": [
                "ssm:SendCommand"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:ssm:*::document/*",
                "arn:aws:s3:::amzn-s3-demo-bucket*"
            ],
            "Action": [
                "ssm:SendCommand"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Action": [
                "ec2:AllocateAddress",
                "ec2:AssociateAddress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateImage",
                "ec2:CreateSecurityGroup",
                "ec2:CreateSnapshot",
                "ec2:CreateTags",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteSnapshot",
                "ec2:DeregisterImage",
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAddresses",
                "ec2:DescribeImages",
                "ec2:DescribeInstanceStatus",
                "ec2:DescribeInstances",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSnapshots",
                "ec2:DescribeSubnets",
                "ec2:DisassociateAddress",
                "ec2:ReleaseAddress",
                "ec2:RunInstances",
                "ec2:StopInstances"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*"
                }
            },
            "Action": [
                "ec2:TerminateInstances",
                "ec2:RebootInstances"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:opsworks-cm:*:*:server/*"
            ],
            "Action": [
                "opsworks-cm:DeleteServer",
                "opsworks-cm:StartMaintenance"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:cloudformation:*:*:stack/aws-opsworks-cm-*"
            ],
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStackEvents",
                "cloudformation:DescribeStackResources",
                "cloudformation:DescribeStacks",
                "cloudformation:UpdateStack"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::*:role/aws-opsworks-cm-*",
                "arn:aws:iam::*:role/service-role/aws-opsworks-cm-*"
            ],
            "Action": [
                "iam:PassRole"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": [
                "acm:DeleteCertificate",
                "acm:ImportCertificate"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*",
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:GetSecretValue",
                "secretsmanager:UpdateSecret",
                "secretsmanager:DeleteSecret",
                "secretsmanager:TagResource",
                "secretsmanager:UntagResource"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteTags",
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ec2:*:*:elastic-ip/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        }
    ]
}

AWSpolitique gérée : AWSOpsWorksCMInstanceProfileRole

Vous pouvez les joindre AWSOpsWorksCMInstanceProfileRole à vos IAM entités. OpsWorks CM associe également cette politique à un rôle de service qui permet à OpsWorks CM d'effectuer des actions en votre nom.

Cette politique accorde administrative autorisations qui permettent aux EC2 instances Amazon utilisées comme serveurs OpsWorks CM d'obtenir des informations auprès de AWS CloudFormation and AWS Secrets Manager, et stockez les sauvegardes de serveurs dans des compartiments Amazon S3.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • acm— Permet aux EC2 instances du serveur OpsWorks CM d'obtenir des certificats auprès de AWS Certificate Manager qui permettent aux utilisateurs de se connecter à un serveur OpsWorks CM.

  • cloudformation— Permet aux EC2 instances du serveur OpsWorks CM d'obtenir des informations sur AWS CloudFormation s'accumule pendant le processus de création ou de mise à jour de l'instance, et envoie des signaux à AWS CloudFormation sur son statut.

  • s3— Permet aux EC2 instances du serveur OpsWorks CM de télécharger et de stocker les sauvegardes du serveur dans des compartiments S3, d'arrêter ou d'annuler les téléchargements si nécessaire et de supprimer les sauvegardes des compartiments S3.

  • secretsmanager— Permet aux EC2 instances du serveur OpsWorks CM d'obtenir les valeurs des secrets de Secrets Manager liés à OpsWorks CM.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "cloudformation:DescribeStackResource",
                "cloudformation:SignalResource"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        },
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:ListMultipartUploadParts",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket*",
            "Effect": "Allow"
        },
        {
            "Action": "acm:GetCertificate",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*",
            "Effect": "Allow"
        }
    ]
}

OpsWorks Mises à jour de CM vers AWS stratégies gérées

Afficher les détails des mises à jour de AWS politiques gérées pour OpsWorks CM depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au RSS flux sur la page d'historique du document OpsWorks CM.

Modification Description Date

AWSOpsWorksCMInstanceProfileRole- Politique gérée mise à jour

OpsWorks CM a mis à jour la politique gérée qui permet aux EC2 instances utilisées comme serveurs OpsWorks CM de partager des informations avec CloudFormation Secrets Manager et de gérer les sauvegardes. La modification ajoute opsworks-cm! au nom de la ressource pour les secrets de Secrets Manager, de sorte que OpsWorks CM est autorisé à détenir les secrets.

23 avril 2021

AWSOpsWorksCMServiceRole- Politique gérée mise à jour

OpsWorks CM a mis à jour la politique gérée qui permet aux administrateurs OpsWorks CM de créer, de gérer et de supprimer des serveurs OpsWorks CM et des sauvegardes. La modification ajoute opsworks-cm! au nom de la ressource pour les secrets de Secrets Manager, de sorte que OpsWorks CM est autorisé à détenir les secrets.

23 avril 2021

OpsWorks CM a commencé à suivre les modifications

OpsWorks CM a commencé à suivre les modifications apportées à son AWS politiques gérées.

 23 avril 2021