執行個體註冊政策 - AWS OpsWorks
AWSOpsWorksRegisterCLI_EC2 政策AWSOpsWorksRegisterCLI_OnPremises 政策(已廢除) AWSOpsWorksRegisterCLI 政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

執行個體註冊政策

重要

該 AWS OpsWorks Stacks 服務於 2024 年 5 月 26 日終止使用壽命,並已針對新客戶和現有客戶停用。我們強烈建議客戶盡快將其工作負載移轉至其他解決方案。如果您對移轉有任何疑問,請透過 AWS Re: post 或透過進AWS 階 Support 與 AWS Support 團隊聯絡。

AWSOpsWorksRegisterCLI_EC2AWSOpsWorksRegisterCLI_OnPremises 政策分別提供適當的許可,來註冊 EC2 和現場部署執行個體。您可AWSOpsWorksRegisterCLI_EC2以新增至 IAM 使用者以註冊 EC2 執行個體,但新增AWSOpsWorksRegisterCLI_OnPremises至您的使用者以註冊現場部署執行個體。若要使用這些策略,您必須執行至少 1.16.180 版 AWS CLI 或更新版本。

AWSOpsWorksRegisterCLI_EC2 政策

新增AWSOpsWorksRegisterCLI_EC2至您的使用者以註冊 EC2 執行個體。如果您計劃只註冊 EC2 執行個體,則應該使用此設定檔。當您使用此政策,許可是由 EC2 執行個體的執行個體設定檔提供。

{
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "opsworks:AssignInstance",
            "opsworks:CreateLayer",
            "opsworks:DeregisterInstance",
            "opsworks:DescribeInstances",
            "opsworks:DescribeStackProvisioningParameters",
            "opsworks:DescribeStacks",
            "opsworks:UnassignInstance"
          ],
          "Resource": [
            "*"
          ]
        },
        {
          "Effect": "Allow",
          "Action": [
            "ec2:DescribeInstances"
          ],
          "Resource": [
            "*"
          ]
        }
      ]
    }

AWSOpsWorksRegisterCLI_OnPremises 政策

新增AWSOpsWorksRegisterCLI_OnPremises至使用者以註冊內部部署執行個體。此政策包括 IAM 許可,例如AttachUserPolicy,但這些許可的工作資源受到限制。

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "opsworks:AssignInstance",
            "opsworks:CreateLayer",
            "opsworks:DeregisterInstance",
            "opsworks:DescribeInstances",
            "opsworks:DescribeStackProvisioningParameters",
            "opsworks:DescribeStacks",
            "opsworks:UnassignInstance"
          ],
          "Resource": [
            "*"
          ]
        },
        {
          "Effect": "Allow",
          "Action": [
            "ec2:DescribeInstances"
          ],
          "Resource": [
            "*"
          ]
        },
        {
          "Effect": "Allow",
          "Action": [
            "iam:CreateGroup",
            "iam:AddUserToGroup"
          ],
          "Resource": [
            "arn:aws:iam::*:group/AWS/OpsWorks/OpsWorks-*"
          ]
        },
        {
          "Effect": "Allow",
          "Action": [
            "iam:CreateUser",
            "iam:CreateAccessKey"
          ],
          "Resource": [
            "arn:aws:iam::*:user/AWS/OpsWorks/OpsWorks-*"
          ]
        },
        {
          "Effect": "Allow",
          "Action": [
            "iam:AttachUserPolicy"
          ],
          "Resource": [
            "arn:aws:iam::*:user/AWS/OpsWorks/OpsWorks-*"
          ],
          "Condition": {
            "ArnEquals": 
              {
                "iam:PolicyARN": "arn:aws:iam::aws:policy/AWSOpsWorksInstanceRegistration"
              }
            }
        }
      ]
    }

(已廢除) AWSOpsWorksRegisterCLI 政策

重要

AWSOpsWorksRegisterCLI 政策已廢除,因此無法用來註冊新的執行個體。它只適用於已註冊之執行個體的回溯相容性。該AWSOpsWorksRegisterCLI政策包括許多 IAM 許可CreateUser,包括PutUserPolicy、和AddUserToGroup。由於這些是管理員層級許可,您應該只將 AWSOpsWorksRegisterCLI 政策指派給信任的管理使用者。