Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Administrar los AWS OpsWorks permisos de usuario de Stacks
importante
El AWS OpsWorks Stacks servicio llegó al final de su vida útil el 26 de mayo de 2024 y se ha desactivado tanto para los clientes nuevos como para los existentes. Recomendamos encarecidamente a los clientes que migren sus cargas de trabajo a otras soluciones lo antes posible. Si tienes preguntas sobre la migración, ponte en contacto con el AWS Support equipo en AWS Re:post
Como práctica recomendada, restringe a los usuarios de AWS OpsWorks Stacks a un conjunto específico de acciones o a un conjunto de recursos de stack. Puedes controlar los permisos de usuario de AWS OpsWorks Stacks de dos maneras: mediante la página de permisos de AWS OpsWorks Stacks y aplicando una política de IAM adecuada.
La página de OpsWorks permisos (o las acciones de CLI o API equivalentes) le permiten controlar los permisos de los usuarios en un entorno multiusuario por pila asignando a cada usuario uno de varios niveles de permisos. Cada nivel concede permisos para un conjunto estándar de acciones sobre un determinado recurso de la pila. Con la página Permissions (Permisos), puede controlar los elementos siguientes:
-
Quién puede obtener acceso a cada pila.
-
Qué acciones puede realizar cada usuario en cada pila.
Por ejemplo, puede permitir que algunos usuarios solo vean la pila, mientras que otros pueden implementar aplicaciones, añadir instancias, etc.
-
Quién puede administrar cada pila.
Puede delegar la administración de cada conjunto a uno o varios usuarios especificados.
-
Quién tiene acceso SSH de nivel de usuario y privilegios de sudo (Linux) o acceso RDP y privilegios de administrador (Windows) en las instancias de Amazon EC2 de cada pila.
Puede conceder o eliminar estos permisos de forma independiente para cada usuario en cualquier momento.
importante
Rechazar el acceso SSH/RDP no impide necesariamente que un usuario inicie sesión en instancias. Si especifica un par de claves de Amazon EC2 para una instancia, cualquier usuario que tenga la clave privada correspondiente podrá iniciar sesión o utilizar la clave para recuperar la contraseña de administrador. Para obtener más información, consulte Administración del acceso SSH.
Puede utilizar la CLI, la API o la consola de IAM
-
El uso de una política de IAM para especificar permisos es más flexible que usar niveles de permisos.
-
Puede configurar las identidades de IAM (usuarios, grupos de usuarios y roles), que otorgan permisos a las identidades de IAM, como los usuarios y los grupos de usuarios, o definir roles que se pueden asociar a los usuarios federados.
-
Una política de IAM es la única forma de conceder permisos para determinadas acciones clave de Stacks. AWS OpsWorks
Por ejemplo, debe utilizar IAM para conceder permisos sobre
opsworks:CreateStackyopsworks:CloneStack, que se utilizan para crear y clonar pilas respectivamente.
Si bien no es posible importar usuarios federados a la consola de forma explícita, un usuario federado puede crear implícitamente un perfil de usuario al seleccionar Mi configuración en la esquina superior derecha de la consola de AWS OpsWorks Stacks y, a continuación, elegir Usuarios, también en la esquina superior derecha. En la página Usuarios, los usuarios federados (cuyas cuentas se crean mediante la API o la CLI, o implícitamente mediante la consola) pueden administrar sus cuentas de forma similar a la de los usuarios de IAM no federados.
Los dos enfoques no son mutuamente excluyentes y en ocasiones es útil combinarlos; en dicho caso, AWS OpsWorks Stacks evalúa ambos conjuntos de permisos. Por ejemplo, supongamos que quiera que los usuarios puedan añadir o eliminar instancias, pero no añadir ni eliminar capas. Ninguno de los niveles de permisos de AWS OpsWorks Stacks otorga ese conjunto específico de permisos. Sin embargo, tiene a su disposición la página Permisos para conceder a los usuarios un nivel de permiso Administrar, lo que les permite realizar la mayoría de las operaciones de la pila, y después adjuntar una política de IAM que deniegue los permisos para añadir o eliminar capas. Para obtener más información, consulte Controlar el acceso a recursos de AWS mediante políticas.
A continuación se presenta un modelo típico de administración de permisos de usuario. En cada caso, se presupone que el lector (usted) es un usuario administrativo.
-
Usa la consola de IAM
para aplicar AWSOpsWorks_FullAccess políticas a uno o más usuarios administrativos. -
Cree un usuario para cada usuario que no sea administrativo y tenga una política que no conceda permisos de AWS OpsWorks Stacks.
Si un usuario solo necesita acceder a AWS OpsWorks Stacks, es posible que no necesites aplicar ninguna política en absoluto. En su lugar, puedes administrar sus permisos en la página de permisos AWS OpsWorks de Stacks.
-
Usa la página Usuarios de AWS OpsWorks Stacks para importar los usuarios no administrativos a Stacks. AWS OpsWorks
-
Para cada pila, utilice la página Permissions (Permisos) de la pila para asignar un nivel de permiso a cada usuario.
-
Según sus necesidades, personalice los niveles de permisos de usuarios adjuntando una política de IAM configurada adecuadamente.
Para ver más recomendaciones acerca de la administración de usuarios, consulte Prácticas recomendadas: Administración de permisos.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte las Prácticas recomendadas de seguridad en IAM en la Guía de usuario de IAM.
Temas
