本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理 AWS OpsWorks 堆疊使用者權限
重要
該 AWS OpsWorks Stacks 服務於 2024 年 5 月 26 日終止使用壽命,並已針對新客戶和現有客戶停用。我們強烈建議客戶盡快將其工作負載移轉至其他解決方案。如果您對移轉有任何疑問,請透過 AWS Re: post
最佳做法是將 AWS OpsWorks Stack 使用者限制在一組指定的動作或一組堆疊資源。您可以透過兩種方式控制 AWS OpsWorks Stacks 使用者許可:使用「 AWS OpsWorks 堆疊權限」頁面,以及套用適當的 IAM 政策。
「 OpsWorks 權限」頁面 (或同等的 CLI 或 API 動作) 可讓您透過為每個使用者指派數個權限等級中的一個,在每個堆疊的基礎上控制多使用者環境中的使用者權限。每個層級都會授予特定堆疊資源之標準動作組的許可。使用 Permissions (許可) 頁面,您可以控制下列項目:
-
誰可以存取每個堆疊。
-
每個使用者在每個堆疊上允許執行的動作有哪些。
例如,您可以允許一部分的使用者僅能檢視堆疊,其他使用者則能部署應用程式、新增執行個體等。
-
誰可以管理每個堆疊。
您可以將每個堆疊的管理委派給一或多個指定的使用者。
-
在每個堆疊的 Amazon EC2 執行個體上擁有使用者層級安全殼層存取權和須藤權限 (Linux) 或 RDP 存取權和管理員權限 (Windows) 的使用者。
您可以隨時為每個使用者分別授予或移除這些許可。
重要
拒絕 SSH/RDP 存取不一定能防止使用者登入執行個體。如果您為執行個體指定 Amazon EC2 key pair,任何具有對應私密金鑰的使用者都可以登入或使用該金鑰擷取 Windows 管理員密碼。如需詳細資訊,請參閱 管理 SSH 存取。
您可以使用 IAM 主控台
-
使用 IAM 政策指定許可比使用許可級別更靈活。
-
您可以設定 IAM 身分 (使用者、使用者群組和角色),將許可授與 IAM 身分 (例如使用者和使用者群組),或定義可與聯合身分使用者關聯的角色。
-
IAM 政策是授予特定金鑰 AWS OpsWorks 堆疊動作許可的唯一方式。
例如,您必須使用 IAM 來授
opsworks:CreateStack與和的許可opsworks:CloneStack,這些許可分別用於建立和複製堆疊。
雖然無法明確地在主控台中匯入聯合身分使用者,但聯合身分的使用者可以選擇「 AWS OpsWorks 堆疊」主控台右上角的 「我的設定」,然後選擇右上角的「使用者」,以隱含方式建立使用者設定檔。在 [使用者] 頁面上,聯合身分使用者 (其帳戶是透過 API 或 CLI 建立),或透過主控台隱含建立的同盟使用者,可以與非同盟使用者類似地管理其帳戶。
兩種方式並非互斥關係,有時候合併使用兩者也會非常有用。 AWS OpsWorks Stacks 接著便會評估這兩組許可。例如,假設您希望允許使用者新增或刪除執行個體,但不希望其新增或刪除 layer。「 AWS OpsWorks 堆疊」權限層級均不會授予該特定權限集。不過,您可以使用 [權限] 頁面授與使用者 [管理] 權限層級,讓使用者能夠執行大部分的堆疊作業,然後套用拒絕權限的 IAM 政策來新增或移除層。如需詳細資訊,請參閱使用原則控制 AWS 資源的存取。
以下是管理使用者許可的典型模型。在每個案例中,皆預設讀者 (即您) 具備管理員身分。
-
使用 IAM 主控台
將 AWSOpsWorks_FullAccess 政策套用至一或多個管理使用者。 -
使用未授予 AWS OpsWorks 堆疊權限的政策,為每位非管理使用者建立使用者。
如果使用者只需要存取「 AWS OpsWorks 堆疊」,您可能完全不需要套用政策。您可以改用「 AWS OpsWorks 堆疊權限」頁面管理其權限。
-
使用「 AWS OpsWorks 堆疊使用者」頁面,將非管理員使用者匯入「 AWS OpsWorks 堆疊」。
-
針對每個堆疊,使用堆疊的 Permissions (許可) 頁面,將許可層級指派給每個使用者。
-
視需要套用適當設定的 IAM 政策來自訂使用者的權限層級。
如需有關管理使用者的更多建議,請參閱最佳實務:管理許可。
如需 IAM 最佳做法的詳細資訊,請參閱 IAM 使用者指南中的 IAM 中的安全最佳實務。
主題
