AWS políticas gestionadas para la gestión de AWS OpsWorks la configuración - AWS OpsWorks
AWSOpsFunción de trabajo CMServiceAWSOpsFunciona CMInstance ProfileRoleActualizaciones de políticas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS políticas gestionadas para la gestión de AWS OpsWorks la configuración

Para añadir permisos a usuarios, grupos y roles, es más fácil usar políticas AWS administradas que escribirlas tú mismo. Se necesita tiempo y experiencia para crear políticas administradas por el cliente de IAM que proporcionen a su equipo solo los permisos necesarios. Para empezar rápidamente, puedes usar nuestras políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en tu AWS cuenta. Para obtener más información sobre las políticas AWS administradas, consulte las políticas AWS administradas en la Guía del usuario de IAM.

AWS los servicios mantienen y AWS actualizan las políticas gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios añaden permisos adicionales a una política AWS gestionada para admitir nuevas funciones. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Lo más probable es que los servicios actualicen una política AWS administrada cuando se lanza una nueva función o cuando hay nuevas operaciones disponibles. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.

Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política ReadOnlyAccess AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte Políticas administradas de AWS para funciones de trabajo en la Guía del usuario de IAM.

Política gestionada por AWS: AWSOpsWorksCMServiceRole - En desuso

Puede adjuntarlo AWSOpsWorksCMServiceRole a sus entidades de IAM. OpsWorks CM también vincula esta política a una función de servicio que permite a OpsWorks CM realizar acciones en su nombre.

Esta política otorga administrative permisos que permiten a los administradores de OpsWorks CM crear, administrar y eliminar servidores y copias de seguridad de OpsWorks CM.

Para obtener más información, consulte las políticas AWS administradas obsoletas en la Guía de referencia de políticas AWS administradas.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • opsworks-cm: permite a las entidades principales eliminar los servidores existentes e iniciar las ejecuciones de mantenimiento.

  • acm— Permite a los directores eliminar o importar certificados AWS Certificate Manager que permiten a los usuarios conectarse a un servidor OpsWorks CM.

  • cloudformation— Permite a OpsWorks CM crear y gestionar AWS CloudFormation pilas cuando los directores crean, actualizan o eliminan OpsWorks servidores de CM.

  • ec2— Permite a OpsWorks CM lanzar, aprovisionar, actualizar y finalizar instancias de Amazon Elastic Compute Cloud cuando los directores crean, actualizan o eliminan servidores de OpsWorks CM.

  • iam— Permite a OpsWorks CM crear las funciones de servicio necesarias para crear y administrar los servidores de OpsWorks CM.

  • tag— Permite a los directores aplicar y eliminar etiquetas de los recursos de OpsWorks CM, incluidos los servidores y las copias de seguridad.

  • s3— Permite a OpsWorks CM crear buckets de Amazon S3 para almacenar copias de seguridad del servidor, gestionar objetos en buckets S3 a petición principal (por ejemplo, eliminar una copia de seguridad) y eliminar buckets.

  • secretsmanager— Permite a OpsWorks CM crear y gestionar los secretos de Secrets Manager y aplicar o eliminar etiquetas de los secretos.

  • ssm— Permite a OpsWorks CM utilizar Systems Manager Run Command en las instancias que son servidores OpsWorks CM.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket*"
            ],
            "Action": [
                "s3:CreateBucket",
                "s3:DeleteObject",
                "s3:DeleteBucket",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutBucketPolicy",
                "s3:PutObject",
                "s3:GetBucketTagging",
                "s3:PutBucketTagging"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Action": [
                "tag:UntagResources",
                "tag:TagResources"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Action": [
                "ssm:DescribeInstanceInformation",
                "ssm:GetCommandInvocation",
                "ssm:ListCommandInvocations",
                "ssm:ListCommands"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*"
                }
            },
            "Action": [
                "ssm:SendCommand"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:ssm:*::document/*",
                "arn:aws:s3:::amzn-s3-demo-bucket*"
            ],
            "Action": [
                "ssm:SendCommand"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Action": [
                "ec2:AllocateAddress",
                "ec2:AssociateAddress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateImage",
                "ec2:CreateSecurityGroup",
                "ec2:CreateSnapshot",
                "ec2:CreateTags",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteSnapshot",
                "ec2:DeregisterImage",
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAddresses",
                "ec2:DescribeImages",
                "ec2:DescribeInstanceStatus",
                "ec2:DescribeInstances",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSnapshots",
                "ec2:DescribeSubnets",
                "ec2:DisassociateAddress",
                "ec2:ReleaseAddress",
                "ec2:RunInstances",
                "ec2:StopInstances"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*"
                }
            },
            "Action": [
                "ec2:TerminateInstances",
                "ec2:RebootInstances"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:opsworks-cm:*:*:server/*"
            ],
            "Action": [
                "opsworks-cm:DeleteServer",
                "opsworks-cm:StartMaintenance"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:cloudformation:*:*:stack/aws-opsworks-cm-*"
            ],
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStackEvents",
                "cloudformation:DescribeStackResources",
                "cloudformation:DescribeStacks",
                "cloudformation:UpdateStack"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::*:role/aws-opsworks-cm-*",
                "arn:aws:iam::*:role/service-role/aws-opsworks-cm-*"
            ],
            "Action": [
                "iam:PassRole"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": [
                "acm:DeleteCertificate",
                "acm:ImportCertificate"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*",
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:GetSecretValue",
                "secretsmanager:UpdateSecret",
                "secretsmanager:DeleteSecret",
                "secretsmanager:TagResource",
                "secretsmanager:UntagResource"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteTags",
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ec2:*:*:elastic-ip/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        }
    ]
}

Política gestionada por AWS: AWSOpsWorksCMInstanceProfileRole - En desuso

Puede adjuntar AWSOpsWorksCMInstanceProfileRole a sus entidades de IAM. OpsWorks CM también vincula esta política a una función de servicio que le permite a OpsWorks CM realizar acciones en su nombre.

Esta política concede administrative permisos que permiten a las EC2 instancias de Amazon que se utilizan como servidores OpsWorks CM obtener información AWS CloudFormation y AWS Secrets Manager almacenar copias de seguridad del servidor en depósitos de Amazon S3.

Para obtener más información, consulte las políticas AWS administradas obsoletas en la Guía de referencia de políticas AWS administradas.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • acm— Permite a EC2 las instancias del servidor OpsWorks CM obtener certificados AWS Certificate Manager que permiten a los usuarios conectarse a un servidor OpsWorks CM.

  • cloudformation— Permite a EC2 las instancias del servidor OpsWorks CM obtener información sobre las AWS CloudFormation pilas durante el proceso de creación o actualización de la instancia y enviar señales a ellas AWS CloudFormation sobre su estado.

  • s3— Permite a EC2 las instancias del servidor OpsWorks CM cargar y almacenar las copias de seguridad del servidor en depósitos de S3, detener o revertir las cargas si es necesario y eliminar las copias de seguridad de los depósitos de S3.

  • secretsmanager— Permite a EC2 las instancias del servidor OpsWorks CM obtener los valores de los secretos de Secrets Manager relacionados con OpsWorks CM.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "cloudformation:DescribeStackResource",
                "cloudformation:SignalResource"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        },
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:ListMultipartUploadParts",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket*",
            "Effect": "Allow"
        },
        {
            "Action": "acm:GetCertificate",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*",
            "Effect": "Allow"
        }
    ]
}

OpsWorks CM actualiza las políticas AWS gestionadas

Consulte los detalles sobre las actualizaciones de las políticas AWS administradas para OpsWorks CM desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del historial de documentos de OpsWorks CM.

Cambio Descripción Fecha

AWSOpsFunciona CMInstance ProfileRole: en desuso

Esta política ha quedado obsoleta porque el servicio está obsoleto.

 26 de mayo de 2025

AWSOpsCMServiceRol de Works: obsoleto

Esta política ha quedado obsoleta porque el servicio está obsoleto.

 26 de mayo de 2025

AWSOpsCMServiceFunción de trabajo: política gestionada actualizada

OpsWorks CM actualizó la política administrada que permite a los administradores de OpsWorks CM crear, administrar y eliminar servidores y copias de seguridad de OpsWorks CM. El cambio añade opsworks-cm! al nombre del recurso los secretos de Secrets Manager, de modo que OpsWorks CM puede ser propietario de los secretos.

23 de abril de 2021

OpsWorks CM comenzó a rastrear los cambios

OpsWorks CM comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas.

 23 de abril de 2021