Autorizzazioni di amministrazione Gestione delle autorizzazioni Autorizzazioni Deploy (Distribuzione)

Policy di esempio

Importante

Il AWS OpsWorks Stacks servizio ha raggiunto la fine del ciclo di vita il 26 maggio 2024 ed è stato disattivato sia per i clienti nuovi che per quelli esistenti. Consigliamo vivamente ai clienti di migrare i propri carichi di lavoro verso altre soluzioni il prima possibile. Se hai domande sulla migrazione, contatta il AWS Support Team su AWS re:post o tramite Premium AWS Support.

Questa sezione descrive esempi di policy IAM che possono essere applicate agli utenti di AWS OpsWorks Stacks.

Autorizzazioni di amministrazionedescrive le politiche utilizzate per concedere le autorizzazioni agli utenti amministrativi.
Gestione delle autorizzazionie Autorizzazioni Deploy (Distribuzione) mostra esempi di politiche che possono essere applicate a un utente per aumentare o limitare i livelli di autorizzazione Manage and Deploy.

AWS OpsWorks Stacks determina le autorizzazioni dell'utente valutando le autorizzazioni concesse dalle policy IAM e le autorizzazioni concesse dalla pagina Autorizzazioni. Per ulteriori informazioni, consulta Controllo dell'accesso alle risorse mediante le politiche. AWS Per ulteriori informazioni sulle autorizzazioni disponibili nella pagina Permissions (Autorizzazioni), consulta AWS OpsWorks Stacks (livelli di autorizzazione).

Autorizzazioni di amministrazione

Utilizza la console IAM, https://console.aws.amazon.com/iam/, per accedere alla AWSOpsWorks_FullAccess policy. Collega questa policy a un utente per concedergli le autorizzazioni per eseguire tutte le azioni AWS OpsWorks Stacks. Le autorizzazioni IAM sono necessarie, tra le altre cose, per consentire a un utente amministrativo di importare utenti.

Devi creare ruoli IAM che consentano a AWS OpsWorks Stacks di agire per tuo conto per accedere ad altre AWS risorse, come le istanze Amazon EC2. Di solito gestisci questa attività facendo creare il primo stack a un utente amministrativo e lasciando che AWS OpsWorks Stacks crei il ruolo per te. Puoi quindi utilizzare tale ruolo per tutti gli stack successivi. Per ulteriori informazioni, consulta Consentire a AWS OpsWorks Stacks di agire per tuo conto.

L'utente amministrativo che crea il primo stack deve disporre delle autorizzazioni per alcune azioni IAM che non sono incluse nella policy. AWSOpsWorks_FullAccess Aggiungi le seguenti autorizzazioni alla Actions sezione della policy. Per una corretta sintassi JSON, assicurati di aggiungere virgole tra le azioni e di rimuovere la virgola finale alla fine dell'elenco delle azioni.


"iam:PutRolePolicy",
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:CreateRole"

Gestione delle autorizzazioni

Il livello di autorizzazione Manage (Gestione) consente a un utente di eseguire una serie di operazioni di gestione dello stack, ad esempio aggiungere o eliminare i livelli. Questo argomento descrive diverse politiche che è possibile utilizzare per gestire gli utenti per aumentare o limitare le autorizzazioni standard.

Impedire a un utente con l'autorizzazione Manage (Gestione) di aggiungere o eliminare i livelli

Puoi limitare il livello di autorizzazioni di Gestione per consentire a un utente di eseguire tutte le azioni di Manage tranne l'aggiunta o l'eliminazione di livelli utilizzando la seguente policy IAM. Sostituisci region, account_id e stack_id con valori appropriati alla tua configurazione.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "opsworks:CreateLayer",
        "opsworks:DeleteLayer"
      ],
      "Resource": "arn:aws:opsworks:region:account_id:stack/stack_id/"
    }
  ]
}

Consentire a un utente con l'autorizzazione Manage (Gestione) di creare o clonare gli stack

Il livello di gestione delle autorizzazioni non consente agli utenti di creare o clonare pile. Puoi modificare le autorizzazioni di gestione per consentire a un utente di creare o clonare stack applicando la seguente politica IAM. Sostituisci region e account_id con valori appropriati alla tua configurazione.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetRolePolicy",
        "iam:ListRoles",
        "iam:ListInstanceProfiles",
        "iam:ListUsers",
        "opsworks:DescribeUserProfiles",
        "opsworks:CreateUserProfile",
        "opsworks:DeleteUserProfile"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:opsworks::account_id:stack/*/",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "opsworks.amazonaws.com"
        }
      }
    }
  ]
}

Impedire a un utente con l'autorizzazione Manage (Gestione) di registrare o annullare la registrazione delle risorse

Il livello Manage permissions consente all'utente di registrare e annullare la registrazione delle risorse di indirizzi IP di Amazon EBS ed Elastic con lo stack. Puoi limitare le autorizzazioni di gestione per consentire all'utente di eseguire tutte le azioni di gestione tranne la registrazione delle risorse applicando la seguente politica.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "opsworks:RegisterVolume",
        "opsworks:RegisterElasticIp"
      ],
      "Resource": "*"
    }
  ]
}

Consentire a un utente con l'autorizzazione Manage (Gestione) di importare utenti

Il livello di gestione delle autorizzazioni non consente agli utenti di importare utenti in Stacks. AWS OpsWorks Puoi aumentare le autorizzazioni di gestione per consentire a un utente di importare ed eliminare utenti applicando la seguente politica IAM. Sostituisci region e account_id con valori appropriati alla tua configurazione.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetRolePolicy",
        "iam:ListRoles",
        "iam:ListInstanceProfiles",
        "iam:ListUsers",
        "iam:PassRole",
        "opsworks:DescribeUserProfiles",
        "opsworks:CreateUserProfile",
        "opsworks:DeleteUserProfile"
      ],
      "Resource": "arn:aws:iam:region:account_id:user/*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "opsworks.amazonaws.com"
        }
      }
    }
  ]
}

Autorizzazioni Deploy (Distribuzione)

Il livello di autorizzazione Deploy (Distribuzione) non consente agli utenti di creare o eliminare le app. Puoi aumentare le autorizzazioni Deploy per consentire a un utente di creare ed eliminare app applicando la seguente politica IAM. Sostituisci region, account_id e stack_id con valori appropriati alla tua configurazione.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "opsworks:CreateApp",
        "opsworks:DeleteApp"
      ],
      "Resource": "arn:aws:opsworks:region:account_id:stack/stack_id/"
    }
  ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Allegare una policy IAM

Livelli di autorizzazione