AWS for AWS OpsWorks Configuration Management 的 受管政策 - AWS OpsWorks

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS for AWS OpsWorks Configuration Management 的 受管政策

若要將許可新增至使用者、群組和角色,使用 AWS 受管政策比自行撰寫政策更容易。建立 IAM 客戶受管政策需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例,並且可在您的帳戶中使用 AWS 。如需受 AWS 管政策的詳細資訊,請參閱《IAM 使用者指南》中的AWS 受管政策

AWS 服務會維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可,因此政策更新不會破壞您現有的許可。

此外, AWS 支援跨多個 服務之任務函數的受管政策。例如,ReadOnlyAccess AWS 受管政策提供所有 AWS 服務和資源的唯讀存取權。當服務啟動新功能時, 會為新操作和資源 AWS 新增唯讀許可。如需任務職能政策的清單和說明,請參閱 IAM 使用者指南有關任務職能的AWS 受管政策

AWS 受管政策: AWSOpsWorksCMServiceRole

您可以將 AWSOpsWorksCMServiceRole 連接到 IAM 實體。OpsWorks CM 也會將此政策連接至服務角色,允許 OpsWorks CM 代表您執行動作。

此政策授予管理許可,允許 OpsWorks CM 管理員建立、管理和刪除 OpsWorks CM 伺服器和備份。

許可詳細資訊

此政策包含以下許可。

  • opsworks-cm – 允許主體刪除現有的伺服器,並開始維護執行。

  • acm – 允許主體從中刪除或匯入憑證 AWS Certificate Manager ,讓使用者連線至 OpsWorks CM 伺服器。

  • cloudformation – 允許 OpsWorks CM 在主體建立、更新或刪除 OpsWorks CM 伺服器時建立和管理 AWS CloudFormation 堆疊。

  • ec2 – 允許 OpsWorks CM 在主體建立、更新或刪除 OpsWorks CM 伺服器時啟動、佈建、更新和終止 Amazon Elastic Compute Cloud 執行個體。

  • iam – 允許 OpsWorks CM 建立建立和管理 OpsWorks CM 伺服器所需的服務角色。

  • tag – 允許主體從 OpsWorks CM 資源套用和移除標籤,包括伺服器和備份。

  • s3 – 允許 OpsWorks CM 建立 Amazon S3 儲存貯體以存放伺服器備份、根據委託人請求管理 S3 儲存貯體中的物件 (例如,刪除備份),以及刪除儲存貯體。

  • secretsmanager – 允許 OpsWorks CM 建立和管理 Secrets Manager 秘密,以及從秘密套用或移除標籤。

  • ssm – 允許 OpsWorks CM 在 OpsWorks CM 伺服器的執行個體上使用 Systems Manager Run Command。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket*" ], "Action": [ "s3:CreateBucket", "s3:DeleteObject", "s3:DeleteBucket", "s3:GetObject", "s3:ListBucket", "s3:PutBucketPolicy", "s3:PutObject", "s3:GetBucketTagging", "s3:PutBucketTagging" ] }, { "Effect": "Allow", "Resource": [ "*" ], "Action": [ "tag:UntagResources", "tag:TagResources" ] }, { "Effect": "Allow", "Resource": [ "*" ], "Action": [ "ssm:DescribeInstanceInformation", "ssm:GetCommandInvocation", "ssm:ListCommandInvocations", "ssm:ListCommands" ] }, { "Effect": "Allow", "Resource": [ "*" ], "Condition": { "StringLike": { "ssm:resourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*" } }, "Action": [ "ssm:SendCommand" ] }, { "Effect": "Allow", "Resource": [ "arn:aws:ssm:*::document/*", "arn:aws:s3:::amzn-s3-demo-bucket*" ], "Action": [ "ssm:SendCommand" ] }, { "Effect": "Allow", "Resource": [ "*" ], "Action": [ "ec2:AllocateAddress", "ec2:AssociateAddress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateImage", "ec2:CreateSecurityGroup", "ec2:CreateSnapshot", "ec2:CreateTags", "ec2:DeleteSecurityGroup", "ec2:DeleteSnapshot", "ec2:DeregisterImage", "ec2:DescribeAccountAttributes", "ec2:DescribeAddresses", "ec2:DescribeImages", "ec2:DescribeInstanceStatus", "ec2:DescribeInstances", "ec2:DescribeSecurityGroups", "ec2:DescribeSnapshots", "ec2:DescribeSubnets", "ec2:DisassociateAddress", "ec2:ReleaseAddress", "ec2:RunInstances", "ec2:StopInstances" ] }, { "Effect": "Allow", "Resource": [ "*" ], "Condition": { "StringLike": { "ec2:ResourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*" } }, "Action": [ "ec2:TerminateInstances", "ec2:RebootInstances" ] }, { "Effect": "Allow", "Resource": [ "arn:aws:opsworks-cm:*:*:server/*" ], "Action": [ "opsworks-cm:DeleteServer", "opsworks-cm:StartMaintenance" ] }, { "Effect": "Allow", "Resource": [ "arn:aws:cloudformation:*:*:stack/aws-opsworks-cm-*" ], "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStackResources", "cloudformation:DescribeStacks", "cloudformation:UpdateStack" ] }, { "Effect": "Allow", "Resource": [ "arn:aws:iam::*:role/aws-opsworks-cm-*", "arn:aws:iam::*:role/service-role/aws-opsworks-cm-*" ], "Action": [ "iam:PassRole" ] }, { "Effect": "Allow", "Resource": "*", "Action": [ "acm:DeleteCertificate", "acm:ImportCertificate" ] }, { "Effect": "Allow", "Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:GetSecretValue", "secretsmanager:UpdateSecret", "secretsmanager:DeleteSecret", "secretsmanager:TagResource", "secretsmanager:UntagResource" ] }, { "Effect": "Allow", "Action": "ec2:DeleteTags", "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:elastic-ip/*", "arn:aws:ec2:*:*:security-group/*" ] } ] }

AWS 受管政策: AWSOpsWorksCMInstanceProfileRole

您可以將 AWSOpsWorksCMInstanceProfileRole 連接到 IAM 實體。OpsWorks CM 也會將此政策連接至服務角色,允許 OpsWorks CM 代表您執行動作。

此政策會授予管理許可,允許用作 OpsWorks CM 伺服器的 Amazon EC2 執行個體從 AWS CloudFormation 和 取得資訊 AWS Secrets Manager,並將伺服器備份存放在 Amazon S3 儲存貯體中。

許可詳細資訊

此政策包含以下許可。

  • acm – 允許 OpsWorks CM 伺服器 EC2 執行個體從 取得憑證 AWS Certificate Manager ,讓使用者連線至 OpsWorks CM 伺服器。

  • cloudformation – 允許 OpsWorks CM 伺服器 EC2 執行個體在執行個體建立或更新程序期間取得 AWS CloudFormation 堆疊的相關資訊,並將 AWS CloudFormation 有關其狀態的訊號傳送至 。

  • s3 – 允許 OpsWorks CM 伺服器 EC2 執行個體上傳和存放 S3 儲存貯體中的伺服器備份、視需要停止或復原上傳,以及刪除 S3 儲存貯體中的備份。

  • secretsmanager – 允許 OpsWorks CM 伺服器 EC2 執行個體取得 OpsWorks CM 相關 Secrets Manager 秘密的值。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudformation:DescribeStackResource", "cloudformation:SignalResource" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:GetObject", "s3:ListAllMyBuckets", "s3:ListBucket", "s3:ListMultipartUploadParts", "s3:PutObject" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket*", "Effect": "Allow" }, { "Action": "acm:GetCertificate", "Resource": "*", "Effect": "Allow" }, { "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*", "Effect": "Allow" } ] }

AWS 受管政策的 OpsWorks CM 更新

檢視自此服務開始追蹤這些變更以來,OpsWorks CM AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 OpsWorks CM 文件歷史記錄頁面上的 RSS 摘要。

變更 描述 日期

AWSOpsWorksCMInstanceProfileRole - 更新的受管政策

OpsWorks CM 已更新 受管政策,允許做為 OpsWorks CM 伺服器的 EC2 執行個體與 CloudFormation 和 Secrets Manager 共用資訊,並管理備份。變更會opsworks-cm!新增至 Secrets Manager 秘密的資源名稱,以便允許 OpsWorks CM 擁有秘密。

2021 年 4 月 23 日

AWSOpsWorksCMServiceRole - 更新的受管政策

OpsWorks CM 已更新受管政策,允許 OpsWorks CM 管理員建立、管理和刪除 OpsWorks CM 伺服器和備份。變更會opsworks-cm!新增至 Secrets Manager 秘密的資源名稱,以便允許 OpsWorks CM 擁有秘密。

2021 年 4 月 23 日

OpsWorks CM 開始追蹤變更

OpsWorks CM 開始追蹤其 AWS 受管政策的變更。

2021 年 4 月 23 日