AWS の マネージドポリシー AWS OpsWorks 設定管理 - AWS OpsWorks
AWSOpsWorksCMServiceRoleAWSOpsWorksCMInstanceProfileRoleポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS の マネージドポリシー AWS OpsWorks 設定管理

ユーザー、グループ、ロールにアクセス許可を追加するには、 を使用する方が簡単です。 AWS 自分でポリシーを記述するよりも マネージドポリシー。必要なアクセス許可のみをチームに提供するIAMカスタマー管理ポリシーを作成するには、時間と専門知識が必要です。すぐに使用を開始するには、 AWS マネージドポリシー。これらのポリシーは一般的なユースケースを対象としており、 で利用できます。 AWS アカウント。の詳細については、「」を参照してください。 AWS 管理ポリシー、「」を参照してください。 AWSIAM ユーザーガイドの マネージドポリシー

AWS サービスによるメンテナンスと更新 AWS マネージドポリシー。のアクセス許可は変更できません AWS マネージドポリシー。サービスが にアクセス許可を追加することがある AWS 新機能をサポートする マネージドポリシー。この種の更新は、ポリシーがアタッチされているすべてのアイデンティティ (ユーザー、グループ、ロール) に影響を与えます。サービスは を更新する可能性が最も高い AWS 新しい機能が起動されたとき、または新しいオペレーションが利用可能になったときの マネージドポリシー。サービスは からアクセス許可を削除しません AWS ポリシーの更新によって既存のアクセス許可が損なわれないように、 管理ポリシー。

さらに、 AWS は、複数の サービスにまたがる職務機能の マネージドポリシーをサポートします。例えば、 ReadOnlyAccess AWS 管理ポリシーは、すべての への読み取り専用アクセスを提供します。 AWS サービスとリソース。サービスが新機能を起動すると、 AWS は、新しいオペレーションとリソースの読み取り専用アクセス許可を追加します。職務機能ポリシーのリストと説明については、「」を参照してください。 AWS ユーザーガイドの ジョブ機能の IAM マネージドポリシー。

AWS 管理ポリシー: AWSOpsWorksCMServiceRole[]

IAM をエンティティAWSOpsWorksCMServiceRoleにアタッチできます。 OpsWorks CM は、 OpsWorks CM がユーザーに代わってアクションを実行できるようにするサービスロールにこのポリシーをアタッチします。

このポリシーでは、administrative OpsWorks CM 管理者が OpsWorks CM サーバーとバックアップを作成、管理、削除できるようにする アクセス許可。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • opsworks-cm — プリンシパルが既存のサーバを削除して、メンテナンス実行を開始できるようにします。

  • acm — プリンシパルが から証明書を削除またはインポートすることを許可する AWS Certificate Manager ユーザーが OpsWorks CM サーバーに接続できるようにする 。

  • cloudformation – OpsWorks CM が を作成および管理できるようにします AWS CloudFormation プリンシパルが OpsWorks CM サーバーを作成、更新、または削除するときの スタック。

  • ec2 – プリンシパルが OpsWorks CM サーバーを作成、更新、または削除するときに、 OpsWorks CM が Amazon Elastic Compute Cloud インスタンスを起動、プロビジョニング、更新、および終了できるようにします。

  • iam – OpsWorks CM が CM OpsWorks サーバーの作成と管理に必要なサービスロールを作成できるようにします。

  • tag — プリンシパルがサーバーやバックアップなどの OpsWorks CM リソースからタグを適用および削除できるようにします。

  • s3 — OpsWorks CM がサーバーバックアップを保存するための Amazon S3 バケットの作成、プリンシパルリクエスト時の S3 バケット内のオブジェクトの管理 (バックアップの削除など)、およびバケットの削除を許可。

  • secretsmanager – OpsWorks CM が Secrets Manager シークレットを作成および管理し、シークレットにタグを適用または削除できるようにします。

  • ssm — OpsWorks CM サーバーであるインスタンスで Systems Manager Run Command の使用を OpsWorks CM に許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket*"
            ],
            "Action": [
                "s3:CreateBucket",
                "s3:DeleteObject",
                "s3:DeleteBucket",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutBucketPolicy",
                "s3:PutObject",
                "s3:GetBucketTagging",
                "s3:PutBucketTagging"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Action": [
                "tag:UntagResources",
                "tag:TagResources"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Action": [
                "ssm:DescribeInstanceInformation",
                "ssm:GetCommandInvocation",
                "ssm:ListCommandInvocations",
                "ssm:ListCommands"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*"
                }
            },
            "Action": [
                "ssm:SendCommand"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:ssm:*::document/*",
                "arn:aws:s3:::amzn-s3-demo-bucket*"
            ],
            "Action": [
                "ssm:SendCommand"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Action": [
                "ec2:AllocateAddress",
                "ec2:AssociateAddress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateImage",
                "ec2:CreateSecurityGroup",
                "ec2:CreateSnapshot",
                "ec2:CreateTags",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteSnapshot",
                "ec2:DeregisterImage",
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAddresses",
                "ec2:DescribeImages",
                "ec2:DescribeInstanceStatus",
                "ec2:DescribeInstances",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSnapshots",
                "ec2:DescribeSubnets",
                "ec2:DisassociateAddress",
                "ec2:ReleaseAddress",
                "ec2:RunInstances",
                "ec2:StopInstances"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*"
                }
            },
            "Action": [
                "ec2:TerminateInstances",
                "ec2:RebootInstances"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:opsworks-cm:*:*:server/*"
            ],
            "Action": [
                "opsworks-cm:DeleteServer",
                "opsworks-cm:StartMaintenance"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:cloudformation:*:*:stack/aws-opsworks-cm-*"
            ],
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStackEvents",
                "cloudformation:DescribeStackResources",
                "cloudformation:DescribeStacks",
                "cloudformation:UpdateStack"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::*:role/aws-opsworks-cm-*",
                "arn:aws:iam::*:role/service-role/aws-opsworks-cm-*"
            ],
            "Action": [
                "iam:PassRole"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": [
                "acm:DeleteCertificate",
                "acm:ImportCertificate"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*",
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:GetSecretValue",
                "secretsmanager:UpdateSecret",
                "secretsmanager:DeleteSecret",
                "secretsmanager:TagResource",
                "secretsmanager:UntagResource"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteTags",
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ec2:*:*:elastic-ip/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        }
    ]
}

AWS 管理ポリシー: AWSOpsWorksCMInstanceProfileRole[]

IAM をエンティティAWSOpsWorksCMInstanceProfileRoleにアタッチできます。 OpsWorks CM は、 OpsWorks CM がユーザーに代わってアクションを実行できるようにするサービスロールにこのポリシーをアタッチします。

このポリシーでは、administrative OpsWorks CM サーバーとして使用される Amazon EC2インスタンスが から情報を取得できるようにする アクセス許可 AWS CloudFormation また、 AWS Secrets Manager、および は、サーバーバックアップを Amazon S3 バケットに保存します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • acm – OpsWorks CM サーバーEC2インスタンスが から証明書を取得できるようにします AWS Certificate Manager ユーザーが OpsWorks CM サーバーに接続できるようにする 。

  • cloudformation — OpsWorks CM サーバーEC2インスタンスが に関する情報を取得できるようにします。 AWS CloudFormation インスタンスの作成または更新プロセス中の スタック、および へのシグナルの送信 AWS CloudFormation ステータスについて。

  • s3 — OpsWorks CM サーバーEC2インスタンスがサーバーバックアップをアップロードして S3 バケットに保存し、必要に応じてアップロードを停止またはロールバックし、S3 バケットからバックアップを削除できるようにします。

  • secretsmanager – OpsWorks CM サーバーEC2インスタンスが OpsWorks CM 関連の Secrets Manager シークレットの値を取得できるようにします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "cloudformation:DescribeStackResource",
                "cloudformation:SignalResource"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        },
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:ListMultipartUploadParts",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket*",
            "Effect": "Allow"
        },
        {
            "Action": "acm:GetCertificate",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*",
            "Effect": "Allow"
        }
    ]
}

OpsWorks への CM 更新 AWS 管理ポリシー

の更新に関する詳細を表示する AWS このサービスがこれらの変更の追跡を開始してからの OpsWorks CM の マネージドポリシー。このページの変更に関する自動アラートについては、OpsWorks CM ドキュメント履歴ページのRSSフィードにサブスクライブしてください。

変更 説明 日付

AWSOpsWorksCMInstanceProfileRole - 管理ポリシーの更新

OpsWorks CM は、 OpsWorks CM サーバーとして使用されるEC2インスタンスが および Secrets Manager と CloudFormation情報を共有し、バックアップを管理できるようにする マネージドポリシーを更新しました。この変更opsworks-cm!により、Secrets Manager シークレットのリソース名に追加され、 OpsWorks CM がシークレットを所有できるようになります。

 2021 年 4 月 23 日

AWSOpsWorksCMServiceRole - 管理ポリシーの更新

OpsWorks CM は、CM 管理者が OpsWorks CM OpsWorks サーバーとバックアップを作成、管理、削除できるようにする マネージドポリシーを更新しました。この変更opsworks-cm!により、Secrets Manager シークレットのリソース名に追加され、 OpsWorks CM がシークレットを所有できるようになります。

 2021 年 4 月 23 日

OpsWorks CM が変更の追跡を開始しました

OpsWorks CM が の変更の追跡を開始しました AWS マネージドポリシー。

 2021 年 4 月 23 日