Contoh kebijakan - AWS OpsWorks
Izin AdministratifKelola Izin Menyebarkan Izin

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Contoh kebijakan

penting

AWS OpsWorks Stacks Layanan ini mencapai akhir masa pakai pada 26 Mei 2024 dan telah dinonaktifkan untuk pelanggan baru dan yang sudah ada. Kami sangat menyarankan pelanggan untuk memindahkan beban kerja mereka ke solusi lain sesegera mungkin. Jika Anda memiliki pertanyaan tentang migrasi, hubungi AWS Support Tim di AWS re:Post atau melalui AWS Dukungan Premium.

Bagian ini menjelaskan contoh kebijakan IAM yang dapat diterapkan pada pengguna AWS OpsWorks Stacks.

Izin Administratif

Gunakan konsol IAM, https://console.aws.amazon.com/iam/, untuk mengakses AWSOpsWorks_FullAccess kebijakan, Lampirkan kebijakan ini ke pengguna untuk memberi mereka izin untuk melakukan semua tindakan AWS OpsWorks Stacks. Izin IAM diperlukan, antara lain, untuk memungkinkan pengguna administratif mengimpor pengguna.

Anda harus membuat peran IAM yang memungkinkan AWS OpsWorks Stacks bertindak atas nama Anda untuk mengakses AWS sumber daya lain, seperti instans Amazon EC2. Anda biasanya menangani tugas ini dengan meminta pengguna administratif membuat tumpukan pertama, dan membiarkan AWS OpsWorks Stacks membuat peran untuk Anda. Anda kemudian dapat menggunakan peran itu untuk semua tumpukan berikutnya. Untuk informasi selengkapnya, lihat Mengizinkan AWS OpsWorks Tumpukan untuk Bertindak Atas Nama Anda.

Pengguna administratif yang membuat tumpukan pertama harus memiliki izin untuk beberapa tindakan IAM yang tidak disertakan dalam kebijakan. AWSOpsWorks_FullAccess Tambahkan izin berikut ke Actions bagian kebijakan. Untuk sintaks JSON yang tepat, pastikan untuk menambahkan koma di antara tindakan dan menghapus tanda koma di akhir daftar tindakan. 

"iam:PutRolePolicy",
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:CreateRole"

Kelola Izin

Tingkat izin Kelola memungkinkan pengguna untuk melakukan berbagai tindakan manajemen tumpukan, termasuk menambahkan atau menghapus lapisan. Topik ini menjelaskan beberapa kebijakan yang dapat Anda gunakan untuk Mengelola pengguna untuk menambah atau membatasi izin standar.

Tolak Kelola pengguna kemampuan untuk menambah atau menghapus lapisan

Anda dapat membatasi tingkat Kelola izin untuk memungkinkan pengguna melakukan semua tindakan Kelola kecuali menambahkan atau menghapus lapisan dengan menggunakan kebijakan IAM berikut. Ganti region, account_id, dan stack_id dengan nilai yang sesuai dengan konfigurasi Anda.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "opsworks:CreateLayer",
        "opsworks:DeleteLayer"
      ],
      "Resource": "arn:aws:opsworks:region:account_id:stack/stack_id/"
    }
  ]
}
Izinkan pengguna Kelola untuk membuat atau mengkloning tumpukan

Tingkat Kelola izin tidak memungkinkan pengguna untuk membuat atau mengkloning tumpukan. Anda dapat mengubah izin Kelola untuk memungkinkan pengguna membuat atau mengkloning tumpukan dengan menerapkan kebijakan IAM berikut. Ganti region dan account_id dengan nilai yang sesuai dengan konfigurasi Anda.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetRolePolicy",
        "iam:ListRoles",
        "iam:ListInstanceProfiles",
        "iam:ListUsers",
        "opsworks:DescribeUserProfiles",
        "opsworks:CreateUserProfile",
        "opsworks:DeleteUserProfile"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:opsworks::account_id:stack/*/",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "opsworks.amazonaws.com"
        }
      }
    }
  ]
}
Tolak Kelola pengguna kemampuan untuk mendaftar atau membatalkan pendaftaran sumber daya

Tingkat izin Kelola memungkinkan pengguna untuk mendaftarkan dan membatalkan pendaftaran Amazon EBS dan sumber daya alamat IP Elastis dengan tumpukan. Anda dapat membatasi izin Kelola agar pengguna dapat melakukan semua tindakan Kelola kecuali mendaftarkan sumber daya dengan menerapkan kebijakan berikut.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "opsworks:RegisterVolume",
        "opsworks:RegisterElasticIp"
      ],
      "Resource": "*"
    }
  ]
}
Izinkan pengguna Kelola untuk mengimpor pengguna

Tingkat Kelola izin tidak memungkinkan pengguna untuk mengimpor pengguna ke AWS OpsWorks Stacks. Anda dapat menambah izin Kelola untuk memungkinkan pengguna mengimpor dan menghapus pengguna dengan menerapkan kebijakan IAM berikut. Ganti region dan account_id dengan nilai yang sesuai dengan konfigurasi Anda.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetRolePolicy",
        "iam:ListRoles",
        "iam:ListInstanceProfiles",
        "iam:ListUsers",
        "iam:PassRole",
        "opsworks:DescribeUserProfiles",
        "opsworks:CreateUserProfile",
        "opsworks:DeleteUserProfile"
      ],
      "Resource": "arn:aws:iam:region:account_id:user/*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "opsworks.amazonaws.com"
        }
      }
    }
  ]
}

Menyebarkan Izin

Tingkat izin Deploy tidak memungkinkan pengguna untuk membuat atau menghapus aplikasi. Anda dapat menambah izin Deploy untuk memungkinkan pengguna membuat dan menghapus aplikasi dengan menerapkan kebijakan IAM berikut. Ganti region, account_id, dan stack_id dengan nilai yang sesuai dengan konfigurasi Anda.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "opsworks:CreateApp",
        "opsworks:DeleteApp"
      ],
      "Resource": "arn:aws:opsworks:region:account_id:stack/stack_id/"
    }
  ]
}