通过附加 IAM 策略管理 AWS OpsWorks 堆栈权限 - AWS OpsWorks

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

通过附加 IAM 策略管理 AWS OpsWorks 堆栈权限

重要

该 AWS OpsWorks Stacks 服务于 2024 年 5 月 26 日终止,新客户和现有客户均已禁用。我们强烈建议客户尽快将其工作负载迁移到其他解决方案。如果您对迁移有疑问,请通过 re AWS : Post 或通过 Pre mium Su AWS pp ort 与 AWS Support 团队联系。

您可以通过附加 IAM 策略来指定用户的 AWS OpsWorks 堆栈权限。如下这些权限需要附加策略:

  • 管理用户权限,例如导入用户。

  • 针对某些操作的权限,例如创建或克隆堆栈。

有关需要附加策略的完整操作列表,请参阅AWS OpsWorks 堆栈权限级别

您还可以使用策略来自定义通过 Permissions 页面授予的权限级别。本节简要概述了如何将 IAM 策略应用于用户以指定 AWS OpsWorks Stacks 权限。有关更多信息,请参阅 AWS 资源访问管理

IAM policy 是一个 JSON 对象,其中包含一个或多个语句。每个语句元素都有一个权限列表,这些权限拥有它们自己的三个基本元素:

操作

权限所影响的操作。您可以将 AWS OpsWorks Stacks 操作指定为。opsworks:action可将 Action 设置为诸如 opsworks:CreateStack 等特定操作,该操作可指定是否允许用户调用 CreateStack。您还可以使用通配符来指定多组操作。例如,opsworks:Create* 可指定所有创建操作。有关 AWS OpsWorks 堆栈操作的完整列表,请参阅 Stack AWS OpsWorks s API 参考。

效果

是允许还是拒绝指定的操作。

资源

权限影响的 AWS 资源。 AWS OpsWorks 堆栈有一种资源类型,即堆栈。要指定特定堆栈资源的权限,请将 Resource 设置为堆栈的 ARN,其格式如下:arn:aws:opsworks:region:account_id:stack/stack_id/

还可使用通配符。例如,将 Resource 设置为 * 可授予针对每种资源的权限。

例如,以下策略会拒绝用户停止 ID 为 2860-2f18b4cb-4de5-4429-a149-ff7da9f0d8ee 的堆栈上的实例。

{ "Version": "2012-10-17", "Statement": [ { "Action": "opsworks:StopInstance", "Effect": "Deny", "Resource": "arn:aws:opsworks:*:*:stack/2f18b4cb-4de5-4429-a149-ff7da9f0d8ee/" } ] }

有关为 IAM 用户添加权限的信息,请参阅 https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console

有关如何创建或修改 IAM 策略的更多信息,请参阅策略和 IAM 中的权限。有关 AWS OpsWorks 堆栈策略的一些示例,请参阅示例策略