Gestione delle autorizzazioni utente di AWS OpsWorks Stacks - AWS OpsWorks

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione delle autorizzazioni utente di AWS OpsWorks Stacks

Importante

Il AWS OpsWorks Stacks servizio ha raggiunto la fine del ciclo di vita il 26 maggio 2024 ed è stato disabilitato sia per i clienti nuovi che per quelli esistenti. Consigliamo vivamente ai clienti di migrare i propri carichi di lavoro verso altre soluzioni il prima possibile. Se hai domande sulla migrazione, contatta il AWS Support Team su AWS re:post o tramite Premium AWS Support.

Come best practice, limita gli utenti di AWS OpsWorks Stacks a un insieme specifico di azioni o a un insieme di risorse dello stack. Puoi controllare le autorizzazioni degli utenti di AWS OpsWorks Stacks in due modi: utilizzando la pagina Autorizzazioni AWS OpsWorks Stacks e applicando una policy IAM appropriata.

La pagina OpsWorks Autorizzazioni, o le azioni CLI o API equivalenti, consente di controllare le autorizzazioni utente in un ambiente multiutente in base allo stack assegnando a ciascun utente uno dei diversi livelli di autorizzazione. Ogni livello concede le autorizzazioni per un set standard di operazioni per una determinata risorsa dello stack. L'utilizzo della pagina Permissions (Autorizzazioni) consente di controllare le seguenti informazioni:

  • Chi può accedere a ogni stack.

  • Quali azioni ciascun utente può eseguire su ogni stack.

    Ad esempio, puoi consentire ad alcuni utenti solo di visualizzare lo stack, mentre altri possono distribuire applicazioni, aggiungere istanze e così via.

  • Chi può gestire ogni stack.

    Puoi delegare la gestione di ogni stack a uno o più utenti specificati.

  • Chi dispone di accesso SSH a livello utente e privilegi sudo (Linux) o accesso RDP e privilegi di amministratore (Windows) sulle istanze Amazon EC2 di ogni stack.

    Puoi concedere o rimuovere queste autorizzazioni separatamente per ciascun utente in qualsiasi momento.

Importante

La negazione dell'accesso SSH/RDP non necessariamente impedisce a un utente di eseguire l'accesso alle istanze. Se specifichi una coppia di chiavi Amazon EC2 per un'istanza, qualsiasi utente con la chiave privata corrispondente può accedere o utilizzare la chiave per recuperare la password dell'amministratore di Windows. Per ulteriori informazioni, consulta Gestione dell'accesso SSH.

Puoi utilizzare la console IAM, la CLI o l'API per aggiungere policy agli utenti che concedono autorizzazioni esplicite per le varie risorse e azioni AWS OpsWorks Stacks.

  • L'utilizzo di una policy IAM per specificare le autorizzazioni è più flessibile rispetto all'utilizzo dei livelli di autorizzazione.

  • Puoi configurare identità IAM (utenti, gruppi di utenti e ruoli), che concedono autorizzazioni alle identità IAM, come utenti e gruppi di utenti, o definire ruoli che possono essere associati a utenti federati.

  • Una policy IAM è l'unico modo per concedere le autorizzazioni per determinate azioni chiave di Stacks. AWS OpsWorks

    Ad esempio, è necessario utilizzare IAM per concedere le autorizzazioni per opsworks:CreateStack eopsworks:CloneStack, che vengono utilizzate rispettivamente per creare e clonare gli stack.

Sebbene non sia esplicitamente possibile importare utenti federati nella console, un utente federato può creare implicitamente un profilo utente selezionando Le mie impostazioni nella parte superiore destra della console AWS OpsWorks Stacks e quindi scegliendo Utenti, sempre in alto a destra. Nella pagina Utenti, gli utenti federati, i cui account vengono creati utilizzando l'API o la CLI o implicitamente tramite la console, possono gestire i propri account in modo simile agli utenti non federati.

I due approcci non si escludono a vicenda e talvolta può risultare utile combinarli; AWS OpsWorks Stacks valuta quindi entrambi i set di autorizzazioni. Ad esempio, supponiamo di voler consentire agli utenti di aggiungere o eliminare istanze, ma non di aggiungere o eliminare livelli. Nessuno dei livelli di autorizzazione Stack concede quel set specifico di autorizzazioni. AWS OpsWorks Tuttavia, puoi utilizzare la pagina Autorizzazioni per concedere agli utenti un livello di autorizzazione di gestione, che consente loro di eseguire la maggior parte delle operazioni sullo stack, e quindi applicare una policy IAM che nega le autorizzazioni per aggiungere o rimuovere livelli. Per ulteriori informazioni, consulta Controllo dell'accesso alle AWS risorse mediante le policy.

Di seguito è riportato un modello tipico per la gestione delle autorizzazioni utente. In ogni caso, si presuppone che il lettore (tu) sia un utente amministratore.

  1. Utilizza la console IAM per applicare AWSOpsWorks_FullAccess le policy a uno o più utenti amministrativi.

  2. Crea un utente per ogni utente non amministrativo con una policy che non conceda autorizzazioni AWS OpsWorks Stacks.

    Se un utente richiede l'accesso solo a AWS OpsWorks Stacks, potrebbe non essere necessario applicare affatto una policy. Puoi invece gestire le loro autorizzazioni con la pagina AWS OpsWorks Stacks Permissions.

  3. Utilizza la pagina AWS OpsWorks Stacks Users per importare gli utenti non amministrativi in Stacks. AWS OpsWorks

  4. Per ogni stack, utilizzare la pagina Permissions (Autorizzazioni) per assegnare un livello di autorizzazione a ciascun utente.

  5. Se necessario, personalizza i livelli di autorizzazione degli utenti applicando una policy IAM configurata in modo appropriato.

Per ulteriori consigli sulla gestione degli utenti, consulta. Best practice: Gestione delle autorizzazioni

Per ulteriori informazioni sulle best practice IAM, consulta la sezione Best practice di sicurezza in IAM nella IAM User Guide.

Argomenti