As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS políticas gerenciadas para AWS OpsWorks Gerenciamento de configuração
Para adicionar permissões a usuários, grupos e funções, é mais fácil de usar AWS políticas gerenciadas do que escrever políticas você mesmo. É preciso tempo e experiência para criar políticas gerenciadas pelo IAM cliente que forneçam à sua equipe somente as permissões necessárias. Para começar rapidamente, você pode usar nosso AWS políticas gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis em seu AWS conta. Para obter mais informações sobre AWS políticas gerenciadas, consulte AWS políticas gerenciadas no Guia IAM do usuário.
AWS manutenção e atualização de serviços AWS políticas gerenciadas. Você não pode alterar as permissões no AWS políticas gerenciadas. Ocasionalmente, os serviços adicionam permissões adicionais a um AWS política gerenciada para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem um AWS política gerenciada quando um novo recurso é lançado ou quando novas operações são disponibilizadas. Os serviços não removem permissões de um AWS política gerenciada, para que as atualizações de políticas não violem suas permissões existentes.
Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, o ReadOnlyAccess AWS a política gerenciada fornece acesso somente de leitura a todos AWS serviços e recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de funções de trabalho, consulte AWS políticas gerenciadas para funções de trabalho no Guia IAM do usuário.
AWSpolítica gerenciada: AWSOpsWorksCMServiceRole
Você pode se conectar AWSOpsWorksCMServiceRole às suas IAM entidades. OpsWorks O CM também anexa essa política a uma função de serviço que permite que o OpsWorks CM execute ações em seu nome.
Esta política concede administrative permissões que permitem aos administradores do OpsWorks CM criar, gerenciar e excluir servidores e backups do OpsWorks CM.
Detalhes das permissões
Esta política inclui as seguintes permissões:
-
opsworks-cm: permite que os diretores excluam os servidores existentes e iniciem as operações de manutenção. -
acm— Permite que os diretores excluam ou importem certificados de AWS Certificate Manager que permitem que os usuários se conectem a um servidor OpsWorks CM. -
cloudformation— Permite que o OpsWorks CM crie e gerencie AWS CloudFormation pilhas quando os principais criam, atualizam ou excluem servidores OpsWorks CM. -
ec2— Permite que o OpsWorks CM inicie, provisione, atualize e encerre instâncias do Amazon Elastic Compute Cloud quando os diretores criam, atualizam ou OpsWorks excluem servidores CM. iam— Permite que o OpsWorks CM crie funções de serviço necessárias para criar e gerenciar servidores OpsWorks CM.-
tag— permite que os diretores apliquem e removam tags dos recursos do OpsWorks CM, incluindo servidores e backups. -
s3— Permite que o OpsWorks CM crie buckets Amazon S3 para armazenar backups de servidores, gerenciar objetos em buckets S3 mediante solicitação principal (por exemplo, excluir um backup) e excluir buckets. secretsmanager— Permite que o OpsWorks CM crie e gerencie segredos do Secrets Manager e aplique ou remova tags dos segredos.ssm— Permite que o OpsWorks CM use o Systems Manager Run Command nas instâncias que são servidores OpsWorks CM.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket*" ], "Action": [ "s3:CreateBucket", "s3:DeleteObject", "s3:DeleteBucket", "s3:GetObject", "s3:ListBucket", "s3:PutBucketPolicy", "s3:PutObject", "s3:GetBucketTagging", "s3:PutBucketTagging" ] }, { "Effect": "Allow", "Resource": [ "*" ], "Action": [ "tag:UntagResources", "tag:TagResources" ] }, { "Effect": "Allow", "Resource": [ "*" ], "Action": [ "ssm:DescribeInstanceInformation", "ssm:GetCommandInvocation", "ssm:ListCommandInvocations", "ssm:ListCommands" ] }, { "Effect": "Allow", "Resource": [ "*" ], "Condition": { "StringLike": { "ssm:resourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*" } }, "Action": [ "ssm:SendCommand" ] }, { "Effect": "Allow", "Resource": [ "arn:aws:ssm:*::document/*", "arn:aws:s3:::amzn-s3-demo-bucket*" ], "Action": [ "ssm:SendCommand" ] }, { "Effect": "Allow", "Resource": [ "*" ], "Action": [ "ec2:AllocateAddress", "ec2:AssociateAddress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateImage", "ec2:CreateSecurityGroup", "ec2:CreateSnapshot", "ec2:CreateTags", "ec2:DeleteSecurityGroup", "ec2:DeleteSnapshot", "ec2:DeregisterImage", "ec2:DescribeAccountAttributes", "ec2:DescribeAddresses", "ec2:DescribeImages", "ec2:DescribeInstanceStatus", "ec2:DescribeInstances", "ec2:DescribeSecurityGroups", "ec2:DescribeSnapshots", "ec2:DescribeSubnets", "ec2:DisassociateAddress", "ec2:ReleaseAddress", "ec2:RunInstances", "ec2:StopInstances" ] }, { "Effect": "Allow", "Resource": [ "*" ], "Condition": { "StringLike": { "ec2:ResourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*" } }, "Action": [ "ec2:TerminateInstances", "ec2:RebootInstances" ] }, { "Effect": "Allow", "Resource": [ "arn:aws:opsworks-cm:*:*:server/*" ], "Action": [ "opsworks-cm:DeleteServer", "opsworks-cm:StartMaintenance" ] }, { "Effect": "Allow", "Resource": [ "arn:aws:cloudformation:*:*:stack/aws-opsworks-cm-*" ], "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStackResources", "cloudformation:DescribeStacks", "cloudformation:UpdateStack" ] }, { "Effect": "Allow", "Resource": [ "arn:aws:iam::*:role/aws-opsworks-cm-*", "arn:aws:iam::*:role/service-role/aws-opsworks-cm-*" ], "Action": [ "iam:PassRole" ] }, { "Effect": "Allow", "Resource": "*", "Action": [ "acm:DeleteCertificate", "acm:ImportCertificate" ] }, { "Effect": "Allow", "Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:GetSecretValue", "secretsmanager:UpdateSecret", "secretsmanager:DeleteSecret", "secretsmanager:TagResource", "secretsmanager:UntagResource" ] }, { "Effect": "Allow", "Action": "ec2:DeleteTags", "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:elastic-ip/*", "arn:aws:ec2:*:*:security-group/*" ] } ] }
AWSpolítica gerenciada: AWSOpsWorksCMInstanceProfileRole
Você pode se conectar AWSOpsWorksCMInstanceProfileRole às suas IAM entidades. OpsWorks O CM também anexa essa política a uma função de serviço que permite que o OpsWorks CM execute ações em seu nome.
Esta política concede administrative permissões que permitem que as EC2 instâncias da Amazon usadas como servidores OpsWorks CM obtenham informações de AWS CloudFormation e AWS Secrets Manager e armazene backups do servidor em buckets do Amazon S3.
Detalhes das permissões
Esta política inclui as seguintes permissões:
-
acm— Permite que as EC2 instâncias do servidor OpsWorks CM obtenham certificados de AWS Certificate Manager que permitem que os usuários se conectem a um servidor OpsWorks CM. -
cloudformation— Permite que as EC2 instâncias do servidor OpsWorks CM obtenham informações sobre AWS CloudFormation acumula durante o processo de criação ou atualização da instância e envia sinais para AWS CloudFormation sobre seu status. -
s3— permite que as EC2 instâncias do servidor OpsWorks CM carreguem e armazenem backups do servidor em buckets do S3, interrompam ou revertam os uploads, se necessário, e excluam os backups dos buckets do S3. -
secretsmanager— Permite que as EC2 instâncias do servidor OpsWorks CM obtenham os valores dos segredos do Secrets Manager relacionados ao OpsWorks CM.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudformation:DescribeStackResource", "cloudformation:SignalResource" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:GetObject", "s3:ListAllMyBuckets", "s3:ListBucket", "s3:ListMultipartUploadParts", "s3:PutObject" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket*", "Effect": "Allow" }, { "Action": "acm:GetCertificate", "Resource": "*", "Effect": "Allow" }, { "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*", "Effect": "Allow" } ] }
OpsWorks Atualizações do CM para AWS políticas gerenciadas
Exibir detalhes sobre as atualizações do AWS gerenciei políticas para o OpsWorks CM desde que esse serviço começou a rastrear essas mudanças. Para alertas automáticos sobre alterações nesta página, assine o RSS feed na página de histórico do documento OpsWorks CM.
| Alteração | Descrição | Data |
|---|---|---|
|
AWSOpsWorksCMInstanceProfileRole- Política gerenciada atualizada |
OpsWorks O CM atualizou a política gerenciada que permite que as EC2 instâncias usadas como servidores OpsWorks CM compartilhem informações com CloudFormation o Secrets Manager e gerenciem backups. A alteração é adicionada |
23 de abril de 2021 |
|
AWSOpsWorksCMServiceRole- Política gerenciada atualizada |
OpsWorks O CM atualizou a política gerenciada que permite aos administradores do OpsWorks CM criar, gerenciar e excluir servidores e backups do OpsWorks CM. A alteração é adicionada |
23 de abril de 2021 |
|
OpsWorks O CM começou a rastrear as mudanças |
OpsWorks O CM começou a rastrear as mudanças em seu AWS políticas gerenciadas. |
23 de abril de 2021 |
