向 AWS OpsWorks 堆栈用户授予每个堆栈的权限 - AWS OpsWorks
设置用户的权限查看您的权限使用 IAM; 条件键来验证临时凭证

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

向 AWS OpsWorks 堆栈用户授予每个堆栈的权限

重要

该 AWS OpsWorks Stacks 服务于 2024 年 5 月 26 日终止,新客户和现有客户均已禁用。我们强烈建议客户尽快将其工作负载迁移到其他解决方案。如果您对迁移有疑问,请通过 re AWS : Post 或通过 Pre mium Su AWS pp ort 与 AWS Support 团队联系。

管理 AWS OpsWorks Stacks 用户权限的最简单方法是使用堆栈的 “权限” 页面。每个堆栈均有其自己的页面,该页面可授予针对该堆栈的权限。

您必须以管理员用户或者 Manage 用户的身份登录,才能修改任何权限设置。该列表仅显示那些已导入 AWS OpsWorks Stacks 的用户。有关如何创建和导入用户的信息,请参阅管理用户

默认权限级别为“IAM Policies Only”,该级别仅向用户授予其附加 IAM policy 中的那些权限。

  • 当您从 IAM; 或另一个区域导入用户时,将使用 IAM Policies Only 权限级别将用户添加到所有现有堆栈的列表中。

  • 默认情况下,您刚从其他区域导入的用户无法访问目标区域中的堆栈。如果从其他区域导入用户,要让他们管理目标区域中的堆栈,则在导入用户之后,必须为这些堆栈分配权限。

  • 当您创建新堆栈时,会使用 IAM Policies Only 权限级别将所有当前用户添加到列表中。

设置用户的权限

设置用户的权限

  1. 在导航窗格中,选择 Permissions (权限)

  2. Permissions (权限) 页面上,选择 Edit (编辑)

  3. 更改 Permission level (权限级别)Instance access (实例访问) 设置:

    • 使用 Permissions level 设置为每个用户分配其中一个标准权限级别,从而确定用户是否可访问此堆栈以及用户可以执行哪些操作。如果用户拥有 IAM 策略, AWS OpsWorks Stacks 会评估这两组权限。有关示例,请参阅示例策略

    • Instance access SSH/RDP 设置可指定用户是否对堆栈的实例具有 SSH (Linux) 或 RDP (Windows) 访问权。

      如果您授予 SSH/RDP 访问权,则可以选择 sudo/admin,这样可授予用户对堆栈实例的 sudo (Linux) 或管理 (Windows) 特权。

    利用“Permissions”页面管理用户。

您可以将每个用户分配到以下某个权限级别。有关每个级别所允许的操作列表,请参阅AWS OpsWorks 堆栈权限级别

拒绝

用户无法在堆栈上执行任何 AWS OpsWorks Stacks 操作,即使他们拥有授予 AWS OpsWorks Stacks 完全访问权限的 IAM 策略。例如,您可以利用这一点来拒绝某些用户访问堆栈以获取未发布的产品。

IAM Policies Only

默认级别,该级别分配给所有新导入的用户,以及新创建堆栈的所有用户。用户的权限由其所附加的 IAM policy 确定。如果用户没有 IAM 策略,或者他们的策略没有明确的 AWS OpsWorks 堆栈权限,则他们无法访问堆栈。通常会向管理用户分配该级别,因为它们的附加 IAM 策略已经授予完全访问权限。

Show (显式)

用户可查看堆栈,但不能执行任何操作。例如,管理员可能希望监控账户的堆栈,但不需要以任何方式部署应用程序或修改堆栈。

部署

包括 Show 权限,并允许用户部署应用程序。例如,应用程序开发人员可能需要将更新部署到堆栈的实例,但不能向堆栈添加层或实例。

Manage

包括 Deploy 权限,并允许用户执行各种堆栈管理工作,其中包括:

  • 添加或删除层和实例。

  • 使用堆栈的 Permissions 页面将权限级别分配给用户。

  • 注册或取消注册资源。

例如,每个堆栈均可能具有指定的管理员,负责确保堆栈具有适当数量和类型的实例、处理软件包和操作系统更新等等。

注意

Manage 级别不允许用户创建或克隆堆栈。必须由附加的 IAM policy 授予这些权限。有关示例,请参阅Manage 权限

如果用户还有 IAM 策略, AWS OpsWorks Stacks 会评估这两组权限。这将允许您为用户分配权限级别,然后将策略附加到用户以限制或扩充相应级别允许的操作。例如,您可以附加一种策略,该策略允许 Manage 用户创建或克隆堆栈,或拒绝该用户注册或取消注册资源。要获取此类策略的一些示例,请参阅示例策略

注意

如果用户的策略允许其他操作,则可能显示结果以覆盖 Permissions 页面设置。例如,如果用户拥有允许该CreateLayer操作的策略,但您使用 “权限” 页面来指定部署权限,则仍允许该用户创建图层。此规则的例外是 “拒绝” 选项,该选项甚至拒绝使用 AWSOpsWorks_FullAccess 策略的用户访问堆栈。有关更多信息,请参阅使用策略控制对 AWS 资源的访问权限

查看您的权限

如果启用了自我管理,则用户通过选择右上角的 My Settings,可查看其针对每个堆栈的权限级别汇总。如果用户的策略授予DescribeMyUserProfileUpdateMyUserProfile操作的权限,则用户也可以访问 “我的设置”

使用 IAM; 条件键来验证临时凭证

AWS OpsWorks Stacks 具有内置的授权层,支持其他授权案例(例如简化个人用户对堆栈的只读或读写访问权限的管理)。此授权层需要使用临时凭证。因此,如 IAM 文档的 JSON 策略元素参考所述,您不能使用 aws:TokenIssueTime 条件来验证用户是否正在使用长期凭证,或阻止使用临时凭证的用户执行相应操作。