本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
通过附加 IAM 策略管理 AWS OpsWorks 堆栈权限
重要
该 AWS OpsWorks Stacks 服务于 2024 年 5 月 26 日终止,新客户和现有客户均已禁用。我们强烈建议客户尽快将其工作负载迁移到其他解决方案。如果您对迁移有疑问,请通过 re AWS : Post 或通过 Pre
您可以通过附加 IAM 策略来指定用户的 AWS OpsWorks 堆栈权限。如下这些权限需要附加策略:
-
管理用户权限,例如导入用户。
-
针对某些操作的权限,例如创建或克隆堆栈。
有关需要附加策略的完整操作列表,请参阅AWS OpsWorks 堆栈权限级别。
您还可以使用策略来自定义通过 Permissions 页面授予的权限级别。本节简要概述了如何将 IAM 策略应用于用户以指定 AWS OpsWorks Stacks 权限。有关更多信息,请参阅 AWS 资源访问管理。
IAM policy 是一个 JSON 对象,其中包含一个或多个语句。每个语句元素都有一个权限列表,这些权限拥有它们自己的三个基本元素:
- 操作
-
权限所影响的操作。您可以将 AWS OpsWorks Stacks 操作指定为。
opsworks:可将actionAction设置为诸如opsworks:CreateStack等特定操作,该操作可指定是否允许用户调用CreateStack。您还可以使用通配符来指定多组操作。例如,opsworks:Create*可指定所有创建操作。有关 AWS OpsWorks 堆栈操作的完整列表,请参阅 Stack AWS OpsWorks s API 参考。 - 效果
-
是允许还是拒绝指定的操作。
- 资源
-
权限影响的 AWS 资源。 AWS OpsWorks 堆栈有一种资源类型,即堆栈。要指定特定堆栈资源的权限,请将
Resource设置为堆栈的 ARN,其格式如下:arn:aws:opsworks:。region:account_id:stack/stack_id/还可使用通配符。例如,将
Resource设置为*可授予针对每种资源的权限。
例如,以下策略会拒绝用户停止 ID 为 2860-2f18b4cb-4de5-4429-a149-ff7da9f0d8ee 的堆栈上的实例。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "opsworks:StopInstance",
"Effect": "Deny",
"Resource": "arn:aws:opsworks:*:*:stack/2f18b4cb-4de5-4429-a149-ff7da9f0d8ee/"
}
]
}有关为 IAM 用户添加权限的信息,请参阅 https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console。
有关如何创建或修改 IAM 策略的更多信息,请参阅策略和 IAM 中的权限。有关 AWS OpsWorks 堆栈策略的一些示例,请参阅示例策略。
