Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS políticas gestionadas para AWS OpsWorks Gestión de la configuración
Para añadir permisos a usuarios, grupos y roles, es más fácil de usar AWS administró políticas en lugar de escribir las políticas usted mismo. Crear políticas gestionadas por los IAM clientes que proporcionen a tu equipo solo los permisos que necesita requiere tiempo y experiencia. Para empezar rápidamente, puedes usar nuestra AWS políticas gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en su AWS account. Para obtener más información acerca de AWS políticas gestionadas, consulte AWS políticas gestionadas en la Guía IAM del usuario.
AWS los servicios se mantienen y actualizan AWS políticas gestionadas. No puedes cambiar los permisos en AWS políticas gestionadas. En ocasiones, los servicios añaden permisos adicionales a una AWS política gestionada para admitir nuevas funciones. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Lo más probable es que los servicios actualicen un AWS política gestionada cuando se lanza una nueva función o cuando hay nuevas operaciones disponibles. Los servicios no eliminan los permisos de un AWS política gestionada, por lo que las actualizaciones de la política no afectarán a tus permisos actuales.
Además, AWS admite políticas gestionadas para funciones laborales que abarcan varios servicios. Por ejemplo, el ReadOnlyAccess AWS la política gestionada proporciona acceso de solo lectura a todos AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS añade permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y descripciones de las políticas de funciones laborales, consulte AWS políticas gestionadas para las funciones laborales en la Guía IAM del usuario.
AWSpolítica gestionada: AWSOpsWorksCMServiceRole
Puede adjuntarla AWSOpsWorksCMServiceRole
a sus IAM entidades. OpsWorks CM también vincula esta política a una función de servicio que permite a OpsWorks CM realizar acciones en su nombre.
Esta política otorga administrative
permisos que permiten a los administradores de OpsWorks CM crear, administrar y eliminar servidores y copias de seguridad de OpsWorks CM.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
opsworks-cm
: permite a las entidades principales eliminar los servidores existentes e iniciar las ejecuciones de mantenimiento. -
acm
— Permite a los directores eliminar o importar certificados de AWS Certificate Manager que permiten a los usuarios conectarse a un servidor OpsWorks CM. -
cloudformation
— Permite a OpsWorks CM crear y administrar AWS CloudFormation se acumula cuando los directores crean, actualizan o eliminan los servidores de OpsWorks CM. -
ec2
— Permite a OpsWorks CM lanzar, aprovisionar, actualizar y finalizar instancias de Amazon Elastic Compute Cloud cuando los directores crean, actualizan o eliminan servidores de OpsWorks CM. iam
— Permite a OpsWorks CM crear las funciones de servicio necesarias para crear y administrar los servidores de OpsWorks CM.-
tag
— Permite a los directores aplicar y eliminar etiquetas de los recursos de OpsWorks CM, incluidos los servidores y las copias de seguridad. -
s3
— Permite a OpsWorks CM crear depósitos de Amazon S3 para almacenar copias de seguridad de servidores, gestionar objetos en depósitos S3 a petición principal (por ejemplo, eliminar una copia de seguridad) y eliminar depósitos. secretsmanager
— Permite a OpsWorks CM crear y gestionar los secretos de Secrets Manager y aplicar o eliminar etiquetas de los secretos.ssm
— Permite a OpsWorks CM utilizar Systems Manager Run Command en las instancias que son servidores OpsWorks CM.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket*" ], "Action": [ "s3:CreateBucket", "s3:DeleteObject", "s3:DeleteBucket", "s3:GetObject", "s3:ListBucket", "s3:PutBucketPolicy", "s3:PutObject", "s3:GetBucketTagging", "s3:PutBucketTagging" ] }, { "Effect": "Allow", "Resource": [ "*" ], "Action": [ "tag:UntagResources", "tag:TagResources" ] }, { "Effect": "Allow", "Resource": [ "*" ], "Action": [ "ssm:DescribeInstanceInformation", "ssm:GetCommandInvocation", "ssm:ListCommandInvocations", "ssm:ListCommands" ] }, { "Effect": "Allow", "Resource": [ "*" ], "Condition": { "StringLike": { "ssm:resourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*" } }, "Action": [ "ssm:SendCommand" ] }, { "Effect": "Allow", "Resource": [ "arn:aws:ssm:*::document/*", "arn:aws:s3:::amzn-s3-demo-bucket*" ], "Action": [ "ssm:SendCommand" ] }, { "Effect": "Allow", "Resource": [ "*" ], "Action": [ "ec2:AllocateAddress", "ec2:AssociateAddress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateImage", "ec2:CreateSecurityGroup", "ec2:CreateSnapshot", "ec2:CreateTags", "ec2:DeleteSecurityGroup", "ec2:DeleteSnapshot", "ec2:DeregisterImage", "ec2:DescribeAccountAttributes", "ec2:DescribeAddresses", "ec2:DescribeImages", "ec2:DescribeInstanceStatus", "ec2:DescribeInstances", "ec2:DescribeSecurityGroups", "ec2:DescribeSnapshots", "ec2:DescribeSubnets", "ec2:DisassociateAddress", "ec2:ReleaseAddress", "ec2:RunInstances", "ec2:StopInstances" ] }, { "Effect": "Allow", "Resource": [ "*" ], "Condition": { "StringLike": { "ec2:ResourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*" } }, "Action": [ "ec2:TerminateInstances", "ec2:RebootInstances" ] }, { "Effect": "Allow", "Resource": [ "arn:aws:opsworks-cm:*:*:server/*" ], "Action": [ "opsworks-cm:DeleteServer", "opsworks-cm:StartMaintenance" ] }, { "Effect": "Allow", "Resource": [ "arn:aws:cloudformation:*:*:stack/aws-opsworks-cm-*" ], "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStackResources", "cloudformation:DescribeStacks", "cloudformation:UpdateStack" ] }, { "Effect": "Allow", "Resource": [ "arn:aws:iam::*:role/aws-opsworks-cm-*", "arn:aws:iam::*:role/service-role/aws-opsworks-cm-*" ], "Action": [ "iam:PassRole" ] }, { "Effect": "Allow", "Resource": "*", "Action": [ "acm:DeleteCertificate", "acm:ImportCertificate" ] }, { "Effect": "Allow", "Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:GetSecretValue", "secretsmanager:UpdateSecret", "secretsmanager:DeleteSecret", "secretsmanager:TagResource", "secretsmanager:UntagResource" ] }, { "Effect": "Allow", "Action": "ec2:DeleteTags", "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:elastic-ip/*", "arn:aws:ec2:*:*:security-group/*" ] } ] }
AWSpolítica gestionada: AWSOpsWorksCMInstanceProfileRole
Puede adjuntarla AWSOpsWorksCMInstanceProfileRole
a sus IAM entidades. OpsWorks CM también vincula esta política a una función de servicio que permite a OpsWorks CM realizar acciones en su nombre.
Esta política otorga administrative
permisos que permiten a las EC2 instancias de Amazon que se utilizan como servidores OpsWorks CM obtener información de AWS CloudFormation y AWS Secrets Manager y almacene las copias de seguridad de los servidores en buckets de Amazon S3.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
acm
— Permite a las EC2 instancias del servidor OpsWorks CM obtener certificados de AWS Certificate Manager que permiten a los usuarios conectarse a un servidor OpsWorks CM. -
cloudformation
— Permite a EC2 las instancias del servidor OpsWorks CM obtener información sobre AWS CloudFormation se acumula durante el proceso de creación o actualización de la instancia y envía señales a AWS CloudFormation acerca de su estado. -
s3
— Permite a EC2 las instancias del servidor OpsWorks CM cargar y almacenar las copias de seguridad del servidor en depósitos de S3, detener o revertir las cargas si es necesario y eliminar las copias de seguridad de los depósitos de S3. -
secretsmanager
— Permite a EC2 las instancias del servidor OpsWorks CM obtener los valores de los secretos de Secrets Manager relacionados con OpsWorks CM.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudformation:DescribeStackResource", "cloudformation:SignalResource" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:GetObject", "s3:ListAllMyBuckets", "s3:ListBucket", "s3:ListMultipartUploadParts", "s3:PutObject" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket*", "Effect": "Allow" }, { "Action": "acm:GetCertificate", "Resource": "*", "Effect": "Allow" }, { "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*", "Effect": "Allow" } ] }
OpsWorks CM actualiza a AWS políticas administradas
Ver detalles sobre las actualizaciones de AWS gestioné las políticas de OpsWorks CM desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase al RSS feed de la página del historial de documentos de OpsWorks CM.
Cambio | Descripción | Fecha |
---|---|---|
AWSOpsWorksCMInstanceProfileRole- Política de gestión actualizada |
OpsWorks CM actualizó la política gestionada que permite a las EC2 instancias utilizadas como servidores OpsWorks CM compartir información con Secrets Manager CloudFormation y gestionar las copias de seguridad. El cambio añade |
23 de abril de 2021 |
AWSOpsWorksCMServiceRole- Política de gestión actualizada |
OpsWorks CM actualizó la política administrada que permite a los administradores de OpsWorks CM crear, administrar y eliminar servidores y copias de seguridad de OpsWorks CM. El cambio añade |
23 de abril de 2021 |
OpsWorks CM comenzó a rastrear los cambios |
OpsWorks CM comenzó a rastrear los cambios en su AWS políticas gestionadas. |
23 de abril de 2021 |