本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS OpsWorks 的操作、资源和条件键
AWS OpsWorks (service prefix:opsworks) 提供以下特定于服务的资源、操作和条件上下文密钥,供在IAM权限策略中使用。
参考:
-
了解如何配置该服务。
-
查看此服务可用的API操作列表。
-
了解如何使用 IAM 权限策略保护该服务及其资源。
AWS OpsWorks 定义的操作
您可以在 Action 策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 AWS中执行操作的权限。当您在策略中使用操作时,通常会允许或拒绝访问具有相同名称的API操作或CLI命令。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。
操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。如果该列包含资源类型,则可以在带有该操作ARN的语句中指定该类型的资源类型。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您使用IAM策略中的Resource元素限制资源访问权限,则必须为每种必需的资源类型包含ARN或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。
操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。
注意
资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。
有关下表中各列的详细信息,请参阅操作表。
| 操作 | 描述 | 访问级别 | 资源类型(* 为必需) | 条件键 | 相关操作 |
|---|---|---|---|---|---|
| AssignInstance | 授予权限以将注册的实例分配给某个层 | 写入 | |||
| AssignVolume | 授予将堆栈中已注册的 Amazon EBS 卷分配给指定实例的权限 | 写入 | |||
| AssociateElasticIp | 授予权限以将堆栈的其中一个注册的弹性 IP 地址与指定的实例关联 | 写入 | |||
| AttachElasticLoadBalancer | 授予权限以将 Elastic Load Balancing 负载均衡器附加到指定的层 | 写入 | |||
| CloneStack | 授予权限以创建指定堆栈的克隆 | 写入 | |||
| CreateApp | 授予权限以创建指定堆栈的应用程序 | 写入 | |||
| CreateDeployment | 授予权限以运行部署或堆栈命令 | 写入 | |||
| CreateInstance | 授予权限以在指定堆栈中创建实例 | 写入 | |||
| CreateLayer | 授予权限以创建层 | 写入 | |||
| CreateStack | 授予创建新堆栈的权限 | 写入 | |||
| CreateUserProfile | 授予权限以创建新的用户配置文件 | 写入 | |||
| DeleteApp | 授予删除指定应用程序的权限 | 写入 | |||
| DeleteInstance | 授予删除指定实例的权限,这将终止关联的 Amazon EC2 实例 | 写入 | |||
| DeleteLayer | 授予删除指定层的权限 | 写入 | |||
| DeleteStack | 授予删除指定堆栈的权限 | 写入 | |||
| DeleteUserProfile | 授予删除用户配置文件的权限 | 写入 | |||
| DeregisterEcsCluster | 授予删除用户配置文件的权限 | 写入 | |||
| DeregisterElasticIp | 授予权限以取消注册指定的弹性 IP 地址 | 写入 | |||
| DeregisterInstance | 授予取消注册已注册的 Amazon 实例EC2或本地实例的权限 | 写入 | |||
| DeregisterRdsDbInstance | 授予取消注册 Amazon RDS 实例的权限 | 写入 | |||
| DeregisterVolume | 授予取消注册 Amazon EBS 卷的权限 | 写入 | |||
| DescribeAgentVersions | 授予描述可用 AWS OpsWorks 代理版本的权限 | 列表 | |||
| DescribeApps | 授予权限以请求指定的一组应用程序的描述 | 列表 | |||
| DescribeCommands | 授予权限以描述指定命令的结果 | 列表 | |||
| DescribeDeployments | 授予权限以请求指定的一组部署的描述 | 列表 | |||
| DescribeEcsClusters | 授予描述在堆栈中注册的 Amazon ECS 集群的权限 | 列表 | |||
| DescribeElasticIps | 授予权限以描述弹性 IP 地址 | 列表 | |||
| DescribeElasticLoadBalancers | 授予权限以描述堆栈的 Elastic Load Balancing 实例 | 列表 | |||
| DescribeInstances | 授予权限以请求一组实例的描述 | 列表 | |||
| DescribeLayers | 授予权限以请求指定堆栈中一个或多个层的描述 | 列表 | |||
| DescribeLoadBasedAutoScaling | 授予权限以描述指定层的基于负载的自动伸缩配置 | 列表 | |||
| DescribeMyUserProfile | 授予描述用户SSH信息的权限 | 列表 | |||
| DescribeOperatingSystems | 授予描述 AWS OpsWorks Stacks 支持的操作系统的权限 | 列表 | |||
| DescribePermissions | 授予权限以描述指定堆栈的权限 | 列表 | |||
| DescribeRaidArrays | 授予描述实例RAID数组的权限 | 列表 | |||
| DescribeRdsDbInstances | 授予描述 Amazon RDS 实例的权限 | 列表 | |||
| DescribeServiceErrors | 授予描述 AWS OpsWorks 服务错误的权限 | 列表 | |||
| DescribeStackProvisioningParameters | 授予权限以请求堆栈的预置参数的描述 | 列表 | |||
| DescribeStackSummary | 授予权限以描述指定堆栈中层和应用程序的数量以及处于每种状态(如 running_setup 或 online)的实例数量 | 列表 | |||
| DescribeStacks | 授予权限以请求指定一个或多个堆栈的描述 | 列表 | |||
| DescribeTimeBasedAutoScaling | 授予权限以描述指定实例的基于时间的自动伸缩配置 | 列表 | |||
| DescribeUserProfiles | 授予描述指定用户的权限 | 列表 | |||
| DescribeVolumes | 授予描述实例的 Amazon EBS 卷的权限 | 列表 | |||
| DetachElasticLoadBalancer | 授予权限以将指定的 Elastic Load Balancing 实例与其层分离 | 写入 | |||
| DisassociateElasticIp | 授予权限以将弹性 IP 地址与其实例解除关联 | 写入 | |||
| GetHostnameSuggestion | 授予权限以根据当前主机名主题获取为指定层生成的主机名 | 读取 | |||
| GrantAccess | 授予在指定时间段内授予对 Windows 实例的RDP访问权限的权限 | 写入 | |||
| ListTags | 授予权限以返回应用于指定的堆栈或层的标签列表 | 列表 | |||
| RebootInstance | 授予权限以重启指定实例 | 写入 | |||
| RegisterEcsCluster | 授予使用堆栈注册指定 Amazon ECS 集群的权限 | 写入 | |||
| RegisterElasticIp | 授予权限以向指定的堆栈注册弹性 IP 地址 | 写入 | |||
| RegisterInstance | 授予在指定堆栈之外创建的实例注册的权限 AWS OpsWorks | 写入 | |||
| RegisterRdsDbInstance | 授予向堆栈注册 Amazon RDS 实例的权限 | 写入 | |||
| RegisterVolume | 授予使用指定堆栈注册 Amazon EBS 卷的权限 | 写入 | |||
| SetLoadBasedAutoScaling | 授予权限以为指定层指定基于负载的自动伸缩配置 | 写入 | |||
| SetPermission | 授予权限以指定用户的权限 | 权限管理 | |||
| SetTimeBasedAutoScaling | 授予权限以为指定的实例指定基于时间的自动伸缩配置 | 写入 | |||
| StartInstance | 授予权限以启动指定的实例 | 写入 | |||
| StartStack | 授予权限以启动堆栈的实例 | 写入 | |||
| StopInstance | 授予权限以停止指定的实例 | 写入 | |||
| StopStack | 授予权限以停止指定的堆栈 | 写入 | |||
| TagResource | 授予权限以将标签应用于指定的堆栈或层 | 标记 | |||
| UnassignInstance | 授予权限以从注册的实例的层取消分配此实例 | 写入 | |||
| UnassignVolume | 授予取消分配的 Amazon EBS 卷的权限 | 写入 | |||
| UntagResource | 授予权限以从指定的堆栈或层中删除标签 | 标记 | |||
| UpdateApp | 授予权限以更新指定应用程序 | 写入 | |||
| UpdateElasticIp | 授予权限以更新已注册的弹性 IP 地址的名称 | 写入 | |||
| UpdateInstance | 授予权限以更新指定实例 | 写入 | |||
| UpdateLayer | 授予权限以更新指定层 | 写入 | |||
| UpdateMyUserProfile | 授予更新用户SSH公钥的权限 | 写入 | |||
| UpdateRdsDbInstance | 授予更新 Amazon RDS 实例的权限 | 写入 | |||
| UpdateStack | 授予更新指定堆栈的权限 | 写入 | |||
| UpdateUserProfile | 授予权限以更新指定的用户配置文件 | 权限管理 | |||
| UpdateVolume | 授予更新 Amazon EBS 卷名称或挂载点的权限 | 写入 |
AWS OpsWorks 定义的资源类型
以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表。
| 资源类型 | ARN | 条件键 |
|---|---|---|
| stack |
arn:${Partition}:opsworks:${Region}:${Account}:stack/${StackId}/
|
AWS OpsWorks 的条件键
OpsWorks 没有可在策略声明Condition元素中使用的特定于服务的上下文密钥。有关适用于所有服务的全局上下文键列表,请参阅可用的条件键。
