Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come funziona AWS OpsWorks CM con IAM

Prima di utilizzare IAM per gestire l'accesso a AWS OpsWorks CM, è necessario comprendere quali IAM funzionalità sono disponibili per l'uso con AWS OpsWorks CM. Per avere una panoramica generale del funzionamento di AWS OpsWorks CM e di altri AWS serviziIAM, consulta la sezione AWS Servizi compatibili IAM nella Guida per l'IAMutente.

AWS OpsWorks Politiche basate sull'identità CM

Con le politiche IAM basate sull'identità, è possibile specificare azioni e risorse consentite o negate, nonché le condizioni in base alle quali le azioni sono consentite o negate. AWS OpsWorks CM supporta azioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una JSON politica, consulta il riferimento agli elementi IAM JSON della politica nella Guida per l'IAMutente.

In AWS OpsWorks CM, puoi allegare una dichiarazione politica personalizzata a un utente, ruolo o gruppo.

Azioni

L'Actionelemento di una politica IAM basata sull'identità descrive l'azione o le azioni specifiche che saranno consentite o negate dalla politica. Le azioni politiche in genere hanno lo stesso nome dell'operazione associata. AWS API L'operazione viene utilizzata in una policy per concedere le autorizzazioni di eseguire l'operazione associata.

Le azioni politiche in AWS OpsWorks CM utilizzano il seguente prefisso prima dell'azione:opsworks-cm:. Ad esempio, per concedere a qualcuno l'autorizzazione a creare un server AWS OpsWorks CM utilizzando un'APIoperazione, includi l'opsworks-cm:CreateServerazione nella sua politica. Le dichiarazioni politiche devono includere un NotAction elemento Action or. AWS OpsWorks CM definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.

Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:

"Action": [
      "opsworks-cm:action1",
      "opsworks-cm:action2"

È possibile specificare più azioni tramite caratteri jolly (*). Ad esempio, per specificare tutte le azioni che iniziano con la parola Describe, includi la seguente azione:

"Action": "opsworks-cm:Describe*"

Quando utilizzi i caratteri jolly per consentire più operazioni in un'istruzione di policy, presta attenzione a consentire le operazioni solo per i servizi o gli utenti autorizzati.

Per visualizzare un elenco di azioni AWS OpsWorks CM, consulta Azioni, risorse e chiavi di condizione AWS OpsWorks nella Guida per l'IAMutente.

Risorse

L'elemento Resource specifica l'oggetto o gli oggetti ai quali si applica l'operazione. Le istruzioni devono includere un elemento Resource o un elemento NotResource. Si specifica una risorsa utilizzando un ARN o utilizzando il carattere jolly (*) per indicare che l'istruzione si applica a tutte le risorse.

Puoi ottenere l'Amazon Resource Number (ARN) di un server AWS OpsWorks CM o di un backup eseguendo DescribeBackupsAPIle operazioni DescribeServerso e basare politiche a livello di risorsa su tali risorse.

Una risorsa del server AWS OpsWorks CM ha un formato ARN nel seguente formato:

arn:aws:opsworks-cm:{Region}:${Account}:server/${ServerName}/${UniqueId}

Una risorsa di backup AWS OpsWorks CM ha un formato ARN nel seguente formato:

arn:aws:opsworks-cm:{Region}:${Account}:backup/${ServerName}-{Date-and-Time-Stamp-of-Backup}

Per ulteriori informazioni sul formato diARNs, consulta Amazon Resource Names (ARNs) e AWS Service Namespaces.

Ad esempio, per specificare il server test-chef-automate Chef Automate nella tua dichiarazione, usa quanto segue: ARN

"Resource": "arn:aws:opsworks-cm:us-west-2:123456789012:server/test-chef-automate/EXAMPLE-d1a2bEXAMPLE"

Per specificare tutti i server AWS OpsWorks CM che appartengono a un account specifico, usa il carattere jolly (*):

"Resource": "arn:aws:opsworks-cm:us-west-2:123456789012:server/*"

L'esempio seguente specifica un backup del server AWS OpsWorks CM come risorsa:

"Resource": "arn:aws:opsworks-cm:us-west-2:123456789012:backup/test-chef-automate-server-2018-05-20T19:06:12.399Z"

Alcune azioni AWS OpsWorks CM, come quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (*).

"Resource": "*"

Molte API azioni coinvolgono più risorse. Per specificare più risorse in un'unica istruzione, separale ARNs con virgole.

"Resource": [
      "resource1",
      "resource2"

Per visualizzare un elenco dei tipi di risorse AWS OpsWorks CM e relativiARNs, consulta Azioni, risorse e chiavi di condizione per AWS OpsWorks CM nella Guida per l'IAMutente. Per sapere con quali azioni è possibile specificare le caratteristiche ARN di ciascuna risorsa, consulta Azioni, risorse e chiavi di condizione per AWS OpsWorks CM nella Guida per l'IAMutente.

Chiavi di condizione

AWS OpsWorks CM non dispone di chiavi contestuali specifiche del servizio che possano essere utilizzate nell'Conditionelemento delle dichiarazioni politiche. Per l'elenco delle chiavi di contesto globali disponibili per tutti i servizi, consulta le chiavi di contesto delle condizioni AWS globali nel IAMPolicy Reference. Per visualizzare tutte le chiavi di contesto AWS globali, consulta le chiavi di contesto delle condizioni AWS globali nella Guida IAM per l'utente.

L'elemento Condition(o blocco Condition) consente di specificare le condizioni in cui un'istruzione è in vigore. L'elemento Conditionè facoltativo. Puoi compilare espressioni condizionali che utilizzano operatori di condizione, ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta.

Se specifichi più elementi Conditionin un'istruzione o più chiavi in un singolo elemento Condition, questi vengono valutati da AWS utilizzando un'operazione ANDlogica. Se si specificano più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'ORoperazione logica. Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell'istruzione vengano concesse.

Puoi anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, è possibile concedere a un utente l'autorizzazione ad accedere a una risorsa solo se è contrassegnata con il nome dell'utente. Per ulteriori informazioni, consulta Elementi IAM della politica: variabili e tag nella Guida IAM per l'utente.

Esempi

Per visualizzare esempi di politiche basate sull'identità AWS OpsWorks CM, vedere. AWS OpsWorks Esempi di policy basate sull'identità CM

AWS OpsWorks CM e politiche basate sulle risorse

AWS OpsWorks CM non supporta politiche basate sulle risorse.

Le politiche basate sulle risorse sono documenti JSON politici che specificano quali azioni uno specifico committente può eseguire su una risorsa e in quali condizioni.

Autorizzazione basata su tag CM AWS OpsWorks

È possibile allegare tag alle risorse AWS OpsWorks CM o passare i tag in una richiesta a AWS OpsWorks CM. Per controllare l'accesso basato su tag, fornire informazioni sui tag nell'elemento condizione di una policy utilizzando le chiavi di condizione aws:RequestTag/key-name o aws:TagKeys. Per ulteriori informazioni sull'etichettatura delle risorse AWS OpsWorks CM, consulta Lavorare con i tag sulle AWS OpsWorks for Chef Automate risorse o Utilizzo dei tag nelle AWS OpsWorks for Puppet Enterprise risorse consulta questa guida.

AWS OpsWorks Ruoli CM IAM

Un IAMruolo è un'entità all'interno del tuo AWS account che dispone di autorizzazioni specifiche.

AWS OpsWorks CM utilizza due ruoli:

AWS OpsWorks CM non utilizza ruoli collegati ai servizi.

Utilizzo di credenziali temporanee con AWS OpsWorks CM

AWS OpsWorks CM supporta l'utilizzo di credenziali temporanee e eredita tale funzionalità da. AWS Security Token Service

È possibile utilizzare credenziali temporanee per accedere con la federazione, assumere un IAM ruolo o assumere un ruolo tra account. È possibile ottenere credenziali di sicurezza temporanee chiamando AWS STS API operazioni come o. AssumeRoleGetFederationToken

Ruoli collegati al servizio

AWS OpsWorks CM non utilizza ruoli collegati ai servizi.

I ruoli collegati ai AWS servizi consentono ai servizi di accedere alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi vengono visualizzati nell'IAMaccount e sono di proprietà del servizio. Un IAM amministratore può visualizzare ma non modificare le autorizzazioni per i ruoli collegati al servizio.

Ruoli dei servizi

Questa caratteristica consente a un servizio di assumere un ruolo di servizio per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli di servizio vengono visualizzati nell'IAMaccount e sono di proprietà dell'account. Ciò significa che un IAM amministratore può modificare le autorizzazioni per questo ruolo. Tuttavia, il farlo potrebbe pregiudicare la funzionalità del servizio.

AWS OpsWorks CM utilizza due ruoli:

Scelta di un ruolo IAM in AWS OpsWorks CM

Quando crei un server in AWS OpsWorks CM, devi scegliere un ruolo per consentire a AWS OpsWorks CM di accedere ad Amazon per tuo EC2 conto. Se hai già creato un ruolo di servizio, AWS OpsWorks CM ti fornisce un elenco di ruoli tra cui scegliere. OpsWorks CM può creare il ruolo per te, se non ne specifichi uno. È importante scegliere un ruolo che consenta l'accesso per avviare e arrestare EC2 le istanze Amazon. Per ulteriori informazioni, consulta Creare un server Chef Automate o Creare un Puppet Enterprise Master.