Concessione delle AWS OpsWorks autorizzazioni per stack agli utenti di Stacks - AWS OpsWorks

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Concessione delle AWS OpsWorks autorizzazioni per stack agli utenti di Stacks

Importante

Il AWS OpsWorks Stacks servizio ha raggiunto la fine del ciclo di vita il 26 maggio 2024 ed è stato disattivato sia per i clienti nuovi che per quelli esistenti. Consigliamo vivamente ai clienti di migrare i propri carichi di lavoro verso altre soluzioni il prima possibile. Se hai domande sulla migrazione, contatta il AWS Support Team su AWS re:post o tramite Premium AWS Support.

Il modo più semplice per gestire le autorizzazioni degli utenti di AWS OpsWorks Stack è utilizzare la pagina Autorizzazioni di uno stack. Ogni stack dispone della propria pagina, che consente di concedere autorizzazioni per lo stack specifico.

Devi effettuare l'accesso come utente amministratore o come utente con privilegi Manage (Gestione) per poter modificare le impostazioni delle autorizzazioni. L'elenco mostra solo gli utenti che sono stati importati in Stacks. AWS OpsWorks Per ulteriori informazioni su come creare e importare utenti, consulta Gestione degli utenti.

Il livello di autorizzazione predefinito è IAM Policies Only, che concede agli utenti solo le autorizzazioni incluse nella loro politica IAM.

  • Quando importi un utente da IAM o da un'altra regione, l'utente viene aggiunto all'elenco per tutti gli stack esistenti con un livello di autorizzazione IAM Policies Only.

  • Per impostazione predefinita, un utente che hai appena importato da un'altra regione non ha accesso agli stack nella regione di destinazione. Se importate utenti da un'altra regione, per consentire loro di gestire gli stack nella regione di destinazione, è necessario assegnare loro le autorizzazioni per tali stack dopo l'importazione degli utenti.

  • Quando crei un nuovo stack, tutti gli utenti correnti vengono aggiunti all'elenco con i livelli di autorizzazione IAM Policies Only (Solo policy IAM).

Impostazione delle autorizzazioni di un utente

Per impostare le autorizzazioni di un utente
  1. Nel riquadro di navigazione, seleziona Permissions (Autorizzazioni).

  2. Nella pagina Permissions (Autorizzazioni), scegliere Edit (Modifica).

  3. Modificare le impostazioni in Permission level (Livello di autorizzazione) Instance access (Accesso istanze):

    • Utilizzare le impostazioni di Permissions level (Livello di autorizzazione) per assegnare uno dei livelli di autorizzazione standard a ciascun utente. Ciò determina se l'utente può accedere allo stack corrente e quali azioni può eseguire. Se un utente dispone di una policy IAM, AWS OpsWorks Stacks valuta entrambi i set di autorizzazioni. Per un esempio, consulta Policy di esempio.

    • In Instance access (Accesso istanze), l'impostazione SSH/RDP specifica se l'utente dispone dell'accesso SSH (Linux) o RDP (Windows) alle istanze dello stack.

      Se viene autorizzato l'accesso di tipo SSH/RDP, facoltativamente è possibile selezionare sudo/admin per concedere all'utente i privilegi sudo (Linux) o i privilegi di amministrazione (Windows) per le istanze dello stack.

    Gestione degli utenti con la pagina Autorizzazioni.

A ciascun utente puoi assegnare uno dei seguenti livelli di autorizzazione. Per un elenco delle operazioni consentite da ogni livello, consulta AWS OpsWorks Stacks (livelli di autorizzazione).

Rifiuta

L'utente non può eseguire alcuna azione AWS OpsWorks Stacks sullo stack, anche se dispone di una policy IAM che concede a AWS OpsWorks Stacks le autorizzazioni di accesso complete. Puoi utilizzare questo livello, ad esempio, per impedire ad alcuni utenti di accedere agli stack di prodotti non rilasciati.

IAM Policies Only (Solo policy IAM)

Si tratta del livello predefinito, che viene assegnato a tutti gli utenti appena importato e a tutti gli utenti per i nuovi stack creati. Le autorizzazioni dell'utente sono determinate dalla sua politica IAM. Se un utente non dispone di una policy IAM o la sua policy non dispone di autorizzazioni AWS OpsWorks Stacks esplicite, non può accedere allo stack. Agli utenti amministrativi viene in genere assegnato questo livello perché le loro politiche IAM concedono già autorizzazioni di accesso complete.

Mostra

L'utente può visualizzare uno stack, ma non eseguire operazioni. Ad esempio, i responsabili possono monitorare gli stack di un account, ma non hanno alcun bisogno di distribuire app o modificare lo stack.

Distribuzione

Include l'autorizzazione Show (Visualizzazione) e consente all'utente di distribuire applicazioni. Ad esempio, uno sviluppatore di app potrebbe aver bisogno di distribuire aggiornamenti alle istanze dello stack, ma non di aggiungere livelli o istanze allo stack.

Manage (Gestione)

Include le autorizzazioni Deploy (Distribuzione), ma consente all'utente anche di eseguire una serie di operazioni di gestione dello stack, tra cui:

  • Aggiunta o eliminazione di livelli e istanze.

  • Utilizzo della pagina Permissions (Autorizzazioni) per assegnare livelli di autorizzazione agli utenti.

  • Registrazione o annullamento della registrazione delle risorse.

Ad esempio, ogni stack può essere associato a un responsabile designato, che deve verificare che lo stack includa il numero e il tipo appropriati di istanze, nonché gestire gli aggiornamenti di pacchetti e sistemi operativi e così via.

Nota

Il livello Manage (Gestione) non consente agli utenti di creare o clonare gli stack. Tali autorizzazioni devono essere concesse da una policy IAM. Per vedere un esempio, consulta Gestione delle autorizzazioni.

Se l'utente dispone anche di una policy IAM, AWS OpsWorks Stacks valuta entrambi i set di autorizzazioni. Ciò consente di assegnare un livello di autorizzazione a un utente e quindi applicare una politica per limitare o aumentare le azioni consentite del livello. Ad esempio, è possibile applicare una politica che consenta a un utente di Manage di creare o clonare pile o neghi a tale utente la possibilità di registrare o annullare la registrazione delle risorse. Per alcuni esempi di tali policy, consulta Policy di esempio.

Nota

Se la policy dell'utente consente operazioni aggiuntive, il risultato potrebbe sovrascrivere le impostazioni della pagina Permissions (Autorizzazioni). Ad esempio, se un utente dispone di una politica che consente l'CreateLayerazione ma utilizza la pagina Autorizzazioni per specificare le autorizzazioni Deploy, all'utente è comunque consentito creare livelli. L'eccezione a questa regola è l'opzione Deny, che nega l'accesso allo stack anche agli utenti con policy. AWSOpsWorks_FullAccess Per ulteriori informazioni, vedere Controllo dell'accesso alle AWS risorse mediante le politiche.

Visualizzazione delle autorizzazioni

Se la funzionalità di gestione autonoma è abilitata, gli utenti possono visualizzare un riepilogo dei propri livelli di autorizzazione per ogni stack scegliendo My Settings (Le mie impostazioni) in alto a destra. Gli utenti possono accedere alle mie impostazioni anche se la loro politica concede le autorizzazioni per le azioni DescribeMyUserProfilee UpdateMyUserProfile.

Utilizzo delle chiavi di condizione IAM per verificare le credenziali temporanee

AWS OpsWorks Stacks dispone di un livello di autorizzazione integrato che supporta casi di autorizzazione aggiuntivi (come la gestione semplificata dell'accesso in sola lettura o lettura-scrittura agli stack per i singoli utenti). Questo livello di autorizzazione dipende dall'utilizzo delle credenziali temporanee. Per questo motivo, non è possibile utilizzare una aws:TokenIssueTime condizione per verificare che gli utenti utilizzino credenziali a lungo termine o bloccare le azioni degli utenti che utilizzano credenziali temporanee, come descritto nel riferimento agli elementi delle policy di IAM JSON nella documentazione IAM.