授與每堆疊的堆 AWS OpsWorks 疊使用者權限 - AWS OpsWorks
設定使用者的許可檢視您的許可使用 IAM 條件金鑰驗證臨時登入資料

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授與每堆疊的堆 AWS OpsWorks 疊使用者權限

重要

該 AWS OpsWorks Stacks 服務於 2024 年 5 月 26 日終止使用壽命,並已針對新客戶和現有客戶停用。我們強烈建議客戶盡快將其工作負載移轉至其他解決方案。如果您對移轉有任何疑問,請透過 AWS Re: post 或透過進AWS 階 Support 與 AWS Support 團隊聯絡。

管理 AWS OpsWorks Stacks 使用者權限最簡單的方法是使用堆疊的「權限」頁面。每個堆疊都有自己的頁面,可授予該堆疊的許可。

您必須以管理使用者身分或 Manage (管理) 使用者登入,才能修改任何許可設定。清單只會顯示已匯入「 AWS OpsWorks 堆疊」的使用者。如需如何建立和匯入使用者的資訊,請參閱管理使用者

預設權限層級為「僅 IAM 政策」,僅授予使用者其 IAM 政策中的許可。

  • 當您從 IAM 或其他區域匯入使用者時,系統會將該使用者新增至所有具有「僅 IAM 政策」權限等級的現有堆疊的清單中。

  • 根據預設,您剛從其他區域匯入的使用者無法存取目的地區域中的堆疊。如果您從其他區域匯入使用者,若要讓他們管理目標區域中的堆疊,則必須在匯入使用者之後將權限指派給這些堆疊。

  • 當您建立新的堆疊時,所有目前的使用者都會新增至清單,並帶有 IAM Policies Only (僅限 IAM 政策) 許可層級。

設定使用者的許可

設定使用者的許可

  1. 在導覽窗格中,選擇 Permissions (許可)

  2. Permissions (許可) 頁面上,選擇 Edit (編輯)

  3. 變更 Permission level (許可層級)Instance access (執行個體存取) 設定。

    • 使用 Permissions level (許可層級) 設定指派其中一個標準許可層級給每個使用者。該許可層級會判斷使用者是否可以存取堆疊,以及使用者可執行的動作為何。如果使用者擁有 IAM 政策, AWS OpsWorks Stacks 會評估這兩組許可。如需範例,請參閱範例政策

    • Instance access (執行個體存取) SSH/RDP 設定會指定使用者是否具有堆疊執行個體的 SSH (Linux) 或 RDP (Windows) 存取。

      若您授權 SSH/RDP 存取,您可以選擇性的選取 sudo/admin,授予使用者堆疊執行個體上的 sudo (Linux) 或管理 (Windows) 權限。

    使用「權限」頁面管理使用者。

您可以將每個使用者指派給下列其中一個許可層級。如需每個層級允許動作的清單,請參閱AWS OpsWorks 堆疊權限層級

拒絕

使用者無法在堆疊上執行任何「堆 AWS OpsWorks 疊」動作,即使他們擁有授予「堆 AWS OpsWorks 疊」完整存取權限的 IAM 政策也一樣。舉例來說,您可能會使用此層級來拒絕某些使用者存取未發行產品的堆疊。

僅限 IAM 政策

預設層級,這是指派給所有新匯入使用者,以及新建立堆疊中所有使用者的層級。使用者的許可由其 IAM 政策決定。如果使用者沒有 IAM 政策,或他們的政策沒有明確的 AWS OpsWorks Stacks 權限,他們就無法存取堆疊。管理使用者通常會被指派此層級,因為他們的 IAM 政策已授予完整存取權限。

Show (顯示)

使用者可檢視堆疊,但無法執行任何操作。例如,管理人員可能希望監控帳戶的堆疊,但不需要部署應用程式或以任何方式修改堆疊。

部署

包含 Show (顯示) 許可,同時也會允許使用者部署應用程式。例如,應用程式開發人員可能需要將更新部署到堆疊的執行個體,但不需要將 layer 或執行個體新增至堆疊。

Manage (管理)

包含 Deploy (部署) 許可,但同時也會允許使用者執行各種堆疊管理操作,包含:

  • 新增或刪除 layer 和執行個體。

  • 使用堆疊的 Permissions (許可) 頁面將許可層級指派給使用者。

  • 註冊或取消註冊資源。

例如,每個堆疊可以有一名指定管理人員,負責確認堆疊具有適當數目及類型的執行個體、處理套件和作業系統更新等。

注意

管理層級無法讓使用者建立或複製堆疊。這些許可必須由 IAM 政策授予。如需範例,請參閱管理許可

如果使用者也有 IAM 政策, AWS OpsWorks Stacks 會評估這兩組許可。這可讓您將權限層級指派給使用者,然後套用原則來限制或增強層級允許的動作。例如,您可以套用允許 Manage 使用者建立或複製堆疊的原則,或拒絕該使用者註冊或取消註冊資源的能力。如需這類政策的一些範例,請參閱範例政策

注意

若使用者的政策允許額外的動作,其結果可能會覆寫 Permissions (許可) 頁面設定。例如,如果使用者具有允許CreateLayer動作的策略,但您使用「權限」頁面指定「部署」權限,則仍允許該使用者建立層。此規則的例外是「拒絕」選項,即使使用 AWSOpsWorks_FullAccess 策略的使用者也會拒絕堆疊存取。如需詳細資訊,請參閱使用原則控制 AWS 資源的存取。

檢視您的許可

若已啟用 self-management,使用者可透過選擇位於右上角的 My Settings (我的設定),來檢視其在每個堆疊上的許可層級。如果使用者的策略授DescribeMyUserProfile與和UpdateMyUserProfile動作的權限,則使用者也可以存取 [我的設定]

使用 IAM 條件金鑰驗證臨時登入資料

AWS OpsWorks Stack 具有內建的授權層,可支援其他授權案例 (例如簡化個別使用者對堆疊的唯讀或讀寫存取管理)。此授權 layer 依存於使用暫時登入資料。因此,您無法使用aws:TokenIssueTime條件來驗證使用者是否正在使用長期登入資料,或封鎖使用臨時登入資料之使用者的動作,如 IAM 文件中的 IAM JSON 政策元素參考中所述。