Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de políticas
importante
El AWS OpsWorks Stacks servicio llegó al final de su vida útil el 26 de mayo de 2024 y se ha desactivado tanto para los clientes nuevos como para los actuales. Recomendamos encarecidamente a los clientes que migren sus cargas de trabajo a otras soluciones lo antes posible. Si tienes preguntas sobre la migración, ponte en contacto con el AWS Support equipo en AWS Re:post
En esta sección, se describen ejemplos de políticas de IAM que se pueden aplicar a AWS OpsWorks los usuarios de Stacks.
-
Permisos administrativos muestra políticas que se pueden utilizar para conceder permisos a usuarios administrativos.
-
Administración de permisos y Permisos Deploy muestran ejemplos de políticas que se pueden adjuntar a un usuario para ampliar o restringir los niveles de permisos Manage y Deploy.
AWS OpsWorks Stacks determina los permisos del usuario evaluando los permisos otorgados por las políticas de IAM, así como los permisos otorgados por la página de permisos. Para obtener más información, consulta Cómo controlar el acceso a AWS los recursos mediante políticas. Para obtener más información acerca de los permisos de la página Permissions (Permisos), consulte AWS OpsWorks Apila los niveles de permisos.
Permisos administrativos
Usa la consola de IAM, https://console.aws.amazon.com/iam/
Debes crear funciones de IAM que permitan a AWS OpsWorks Stacks actuar en tu nombre para acceder a otros AWS recursos, como las instancias de Amazon EC2. Por lo general, esta tarea se realiza haciendo que un usuario administrativo cree la primera pila y dejando que AWS OpsWorks Stacks cree la función por ti. A continuación, puede utilizar este rol para todas las pilas posteriores. Para obtener más información, consulte Permitir que AWS OpsWorks Stacks actúe en tu nombre.
El usuario administrativo que crea la primera pila debe tener permisos para algunas acciones de IAM que no estén incluidas en la AWSOpsWorks_FullAccess política. Añada los permisos siguientes a la sección Actions de la política. Para que la sintaxis JSON sea correcta, asegúrese de añadir comas entre las acciones y de eliminar la coma final al final de la lista de acciones.
"iam:PutRolePolicy", "iam:AddRoleToInstanceProfile", "iam:CreateInstanceProfile", "iam:CreateRole"
Administración de permisos
El nivel de permisos Manage (Administrar) permite a un usuario realizar diversas acciones de administración de la pila, como añadir o eliminar capas. En este tema se describen varias políticas que puede adjuntar a usuarios Administrar para ampliar o restringir los permisos estándar.
- Denegar a un usuario Manage (Administrar) la capacidad para añadir o eliminar capas
-
Puede restringir el nivel de permisos Administrar para permitir a un usuario realizar todas las acciones Administrar, salvo añadir o eliminar capas, adjuntando la siguiente política de IAM. Sustituya
region,account_id ypor los valores adecuados a su configuración.stack_id{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "opsworks:CreateLayer", "opsworks:DeleteLayer" ], "Resource": "arn:aws:opsworks:region:account_id:stack/stack_id/" } ] } - Permitir a un usuario Manage (Administrar) crear o clonar pilas
-
El nivel de permisos Manage no permite a los usuarios crear o clonar pilas. Puede aumentar los permisos Administrar para permitir a un usuario crear o clonar pilas adjuntando la siguiente política de IAM. Sustituya
region,account_id y stack_idpor los valores adecuados a su configuración.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GetRolePolicy", "iam:ListRoles", "iam:ListInstanceProfiles", "iam:ListUsers", "opsworks:DescribeUserProfiles", "opsworks:CreateUserProfile", "opsworks:DeleteUserProfile" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:opsworks::account_id:stack/*/", "Condition": { "StringEquals": { "iam:PassedToService": "opsworks.amazonaws.com" } } } ] } - Denegar a un usuario Manage la capacidad para registrar o anular el registro de recursos
-
El nivel de permisos Administrar permite al usuario registrar y anular el registro de recursos de una dirección IP elástica y de Amazon EBS con la pila. Puede restringir los permisos Administrar para permitir al usuario llevar a cabo todas las acciones Administrar, salvo registrar recursos adjuntando la siguiente política.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "opsworks:RegisterVolume", "opsworks:RegisterElasticIp" ], "Resource": "*" } ] } - Permitir a un usuario Manage (Administrar) importar usuarios
-
El nivel Administrar permisos no permite a los usuarios importar usuarios a AWS OpsWorks Stacks. Puede aumentar los permisos Administrar para permitir a un usuario importar y eliminar usuarios adjuntando la siguiente política de IAM. Sustituya
region,account_id y stack_idpor los valores adecuados a su configuración.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GetRolePolicy", "iam:ListRoles", "iam:ListInstanceProfiles", "iam:ListUsers", "iam:PassRole", "opsworks:DescribeUserProfiles", "opsworks:CreateUserProfile", "opsworks:DeleteUserProfile" ], "Resource": "arn:aws:iam:region:account_id:user/*", "Condition": { "StringEquals": { "iam:PassedToService": "opsworks.amazonaws.com" } } } ] }
Permisos Deploy
El nivel de permisos Deploy (Implementar) no permite a los usuarios crear o eliminar aplicaciones. Puede aumentar los permisos Implementar para permitir a un usuario crear y eliminar aplicaciones adjuntando la siguiente política de IAM. Sustituya region, account_id y por los valores adecuados a su configuración.stack_id
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "opsworks:CreateApp", "opsworks:DeleteApp" ], "Resource": "arn:aws:opsworks:region:account_id:stack/stack_id/" } ] }
