Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comment fonctionne AWS OpsWorks CM avec IAM
Avant IAM de gérer l'accès à AWS OpsWorks CM, vous devez connaître les IAM fonctionnalités disponibles avec AWS OpsWorks CM. Pour obtenir une vue d'ensemble du fonctionnement de AWS OpsWorks CM et AWS des autres servicesIAM, consultez la section AWS Services compatibles IAM dans le Guide de IAM l'utilisateur.
Rubriques
AWS OpsWorks Politiques basées sur l'identité CM
Avec les politiques IAM basées sur l'identité, vous pouvez spécifier les actions et les ressources autorisées ou refusées ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. AWS OpsWorks CM prend en charge des actions, des ressources et des clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une JSON politique, consultez la référence aux éléments de IAM JSON politique dans le Guide de IAM l'utilisateur.
Dans AWS OpsWorks CM, vous pouvez associer une déclaration de politique personnalisée à un utilisateur, à un rôle ou à un groupe.
Actions
L'Actionélément d'une politique IAM basée sur l'identité décrit l'action ou les actions spécifiques qui seront autorisées ou refusées par la politique. Les actions de stratégie portent généralement le même nom que l' AWS APIopération associée. L'action est utilisée dans une politique pour permettre d'effectuer l'opération associée.
Les actions de politique dans AWS OpsWorks CM utilisent le préfixe suivant avant l'action :opsworks-cm:. Par exemple, pour autoriser quelqu'un à créer un serveur AWS OpsWorks CM à l'aide d'une API opération, vous devez inclure opsworks-cm:CreateServer cette action dans sa politique. Les déclarations de politique doivent inclure un NotAction élément Action ou. AWS OpsWorks
CM définit son propre ensemble d'actions décrivant les tâches que vous pouvez effectuer avec ce service.
Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme suit :
"Action": [ "opsworks-cm:action1", "opsworks-cm:action2"
Vous pouvez aussi spécifier plusieurs actions à l’aide de caractères génériques (*). Par exemple, pour spécifier toutes les actions qui commencent par le mot Describe, incluez l’action suivante :
"Action": "opsworks-cm:Describe*"
Lorsque vous utilisez des caractères génériques pour autoriser plusieurs actions dans une déclaration de stratégie, veillez à autoriser ces actions uniquement pour les services ou les utilisateurs autorisés.
Pour consulter la liste des actions AWS OpsWorks CM, voir Actions, ressources et clés de condition AWS OpsWorks dans le guide de l'IAMutilisateur.
Ressources
L'élément Resource précise les objets auxquels l'action s'applique. Les instructions doivent inclure un élément Resource ou NotResource. Vous spécifiez une ressource à l'aide d'un ARN ou à l'aide du caractère générique (*) pour indiquer que l'instruction s'applique à toutes les ressources.
Vous pouvez obtenir le numéro de ressource Amazon (ARN) d'un serveur AWS OpsWorks CM ou d'une sauvegarde en exécutant les DescribeBackupsAPIopérations DescribeServersor, et baser les politiques de niveau des ressources sur ces ressources.
Une ressource de serveur AWS OpsWorks CM possède un ARN format au format suivant :
arn:aws:opsworks-cm:{Region}:${Account}:server/${ServerName}/${UniqueId}
Une ressource de sauvegarde AWS OpsWorks CM possède un ARN format au format suivant :
arn:aws:opsworks-cm:{Region}:${Account}:backup/${ServerName}-{Date-and-Time-Stamp-of-Backup}
Pour plus d'informations sur le format deARNs, consultez Amazon Resource Names (ARNs) et AWS Service Namespaces.
Par exemple, pour spécifier le serveur test-chef-automate Chef Automate dans votre relevé, utilisez ce qui suit ARN :
"Resource": "arn:aws:opsworks-cm:us-west-2:123456789012:server/test-chef-automate/EXAMPLE-d1a2bEXAMPLE"
Pour spécifier tous les serveurs AWS OpsWorks CM appartenant à un compte spécifique, utilisez le caractère générique (*) :
"Resource": "arn:aws:opsworks-cm:us-west-2:123456789012:server/*"
L'exemple suivant indique une sauvegarde du serveur AWS OpsWorks CM en tant que ressource :
"Resource": "arn:aws:opsworks-cm:us-west-2:123456789012:backup/test-chef-automate-server-2018-05-20T19:06:12.399Z"
Certaines actions AWS OpsWorks CM, telles que celles relatives à la création de ressources, ne peuvent pas être effectuées sur une ressource spécifique. Dans ces cas-là, vous devez utiliser le caractère générique (*).
"Resource": "*"
De nombreuses API actions font appel à de multiples ressources. Pour spécifier plusieurs ressources dans une seule instruction, séparez-les ARNs par des virgules.
"Resource": [ "resource1", "resource2"
Pour consulter la liste des types de ressources AWS OpsWorks CM et leurs caractéristiquesARNs, reportez-vous à la section Actions, ressources et clés de condition pour AWS OpsWorks CM dans le guide de IAM l'utilisateur. Pour savoir avec quelles actions vous pouvez spécifier pour chaque ressource, consultez ARN la section Actions, ressources et clés de condition pour AWS OpsWorks CM dans le guide de IAM l'utilisateur.
Clés de condition
AWS OpsWorks CM ne dispose pas de clés contextuelles spécifiques au service pouvant être utilisées dans l'Conditionélément des déclarations de politique. Pour obtenir la liste des clés de contexte globales disponibles pour tous les services, consultez la section Clés de contexte de condition AWS globale dans le document de référence des IAM politiques. Pour voir toutes les clés de condition AWS globales, voir les clés contextuelles de condition AWS globales dans le guide de IAM l'utilisateur.
L’élément Condition (ou le bloc Condition) vous permet de spécifier des conditions lorsqu’une instruction est appliquée. L’élément Condition est facultatif. Vous pouvez créer des expressions conditionnelles qui utilisent des opérateurs de condition, comme égal ou inférieur, pour faire correspondre la condition de la stratégie aux valeurs de la demande.
Si vous spécifiez plusieurs éléments Condition dans une instruction, ou plusieurs clés dans un seul élément Condition, AWS les évalue à l’aide d’une opération AND logique. Si vous spécifiez plusieurs valeurs pour une seule clé de condition, AWS évalue la condition à l'aide d'une OR opération logique. Toutes les conditions doivent être remplies avant que les autorisations associées à l’instruction ne soient accordées.
Vous pouvez aussi utiliser des variables d’espace réservé quand vous spécifiez des conditions. Par exemple, vous pouvez autoriser un utilisateur à accéder à une ressource uniquement si celle-ci porte le nom de l'utilisateur. Pour plus d'informations, voir Éléments IAM de politique : variables et balises dans le guide de IAM l'utilisateur.
Exemples
Pour consulter des exemples de politiques basées sur l'identité AWS OpsWorks CM, consultez. AWS OpsWorks Exemples de politiques basées sur l'identité CM
AWS OpsWorks Politiques basées sur le CM et les ressources
AWS OpsWorks CM ne prend pas en charge les politiques basées sur les ressources.
Les politiques basées sur les ressources sont des documents de JSON politique qui spécifient les actions qu'un principal spécifié peut effectuer sur une ressource et dans quelles conditions.
Autorisation basée sur les balises AWS OpsWorks CM
Vous pouvez associer des balises aux ressources AWS OpsWorks CM ou transmettre des balises dans une demande adressée à AWS OpsWorks CM. Pour contrôler l'accès basé sur des balises, vous devez fournir les informations des balises dans l'élément de condition d'une stratégie utilisant les clés de condition aws:RequestTag/ ou key-nameaws:TagKeys. Pour plus d'informations sur le balisage des ressources AWS OpsWorks CM, consultez Utilisation des balises sur les AWS OpsWorks for Chef Automate ressources ou Utilisation des balises sur les AWS OpsWorks for Puppet Enterprise ressources consultez ce guide.
AWS OpsWorks IAMRôles CM
Un IAMrôle est une entité de votre AWS compte dotée d'autorisations spécifiques.
AWS OpsWorks CM utilise deux rôles :
-
Rôle de service qui accorde au service AWS OpsWorks CM les autorisations nécessaires pour travailler dans le AWS compte d'un utilisateur. Si vous utilisez le rôle de service par défaut fourni par OpsWorks CM, le nom de ce rôle est
aws-opsworks-cm-service-role. -
Rôle de profil d'instance qui permet au service AWS OpsWorks CM d'appeler le OpsWorks CMAPI. Ce rôle donne accès à Amazon S3 et permet AWS CloudFormation de créer le serveur et le compartiment S3 pour les sauvegardes. Si vous utilisez le profil d'instance par défaut fourni par OpsWorks CM, le nom de ce rôle de profil d'instance est
aws-opsworks-cm-ec2-role.
AWS OpsWorks CM n'utilise pas de rôles liés à un service.
Utilisation d'informations d'identification temporaires avec la gestion de configuration d' AWS OpsWorks
AWS OpsWorks CM prend en charge l'utilisation d'informations d'identification temporaires et hérite de cette fonctionnalité de AWS Security Token Service.
Vous pouvez utiliser des informations d'identification temporaires pour vous connecter à la fédération, assumer un IAM rôle ou assumer un rôle entre comptes. Vous obtenez des informations d'identification de sécurité temporaires en appelant AWS STS API des opérations telles que AssumeRoleou GetFederationToken.
Rôles liés à un service
AWS OpsWorks CM n'utilise pas de rôles liés à un service.
Les rôles liés aux AWS services permettent aux services d'accéder aux ressources d'autres services pour effectuer une action en votre nom. Les rôles liés au service apparaissent dans votre IAM compte et appartiennent au service. Un IAM administrateur peut consulter mais pas modifier les autorisations pour les rôles liés à un service.
Rôles de service
Cette fonction permet à un service d’endosser une fonction du service en votre nom. Ce rôle autorise le service à accéder à des ressources d’autres services pour effectuer une action en votre nom. Les rôles de service apparaissent dans votre IAM compte et sont détenus par le compte. Cela signifie qu'un IAM administrateur peut modifier les autorisations associées à ce rôle. Toutefois, une telle action peut perturber le bon fonctionnement du service.
AWS OpsWorks CM utilise deux rôles :
-
Rôle de service qui accorde au service AWS OpsWorks CM les autorisations nécessaires pour travailler dans le AWS compte d'un utilisateur. Si vous utilisez le rôle de service par défaut fourni par OpsWorks CM, le nom de ce rôle est
aws-opsworks-cm-service-role. -
Rôle de profil d'instance qui permet au service AWS OpsWorks CM d'appeler le OpsWorks CMAPI. Ce rôle donne accès à Amazon S3 et permet AWS CloudFormation de créer le serveur et le compartiment S3 pour les sauvegardes. Si vous utilisez le profil d'instance par défaut fourni par OpsWorks CM, le nom de ce rôle de profil d'instance est
aws-opsworks-cm-ec2-role.
Choix d'un rôle IAM dans la gestion de configuration d' AWS OpsWorks
Lorsque vous créez un serveur dans AWS OpsWorks CM, vous devez choisir un rôle pour permettre à AWS OpsWorks CM d'accéder à Amazon EC2 en votre nom. Si vous avez déjà créé un rôle de service, AWS OpsWorks CM vous propose une liste de rôles parmi lesquels choisir. OpsWorks CM peut créer le rôle pour vous, si vous ne le spécifiez pas. Il est important de choisir un rôle qui autorise l'accès au démarrage et à l'arrêt EC2 des instances Amazon. Pour plus d’informations, consultez Création d'un serveur Chef Automate ou Créer un serveur maître Puppet Enterprise.
