Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cómo funciona AWS OpsWorks CM con IAM
Antes de utilizar IAM para gestionar el acceso a AWS OpsWorks CM, debe saber qué funciones de IAM están disponibles para su uso con CM. AWS OpsWorks Para obtener una visión general de cómo funcionan AWS OpsWorks CM y otros AWS servicios con IAM, consulte los AWS servicios que funcionan con IAM en la Guía del usuario de IAM.
Temas
AWS OpsWorks Políticas de CM basadas en la identidad
Con las políticas de IAM basadas en la identidad, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. AWS OpsWorks CM admite acciones, recursos y claves de condición específicos. Para obtener más información acerca de los elementos que utiliza en una política de JSON, consulte Referencia de los elementos de las políticas de JSON de IAM en la Guía del usuario de IAM.
En AWS OpsWorks CM, puede adjuntar una declaración de política personalizada a un usuario, rol o grupo.
Acciones
El elemento Action de una política basada en identidad de IAM describe la acción o las acciones específicas que la política permitirá o denegará. Las acciones políticas suelen tener el mismo nombre que la operación de AWS API asociada. La acción se utiliza en una política para otorgar permisos para realizar la operación asociada.
Las acciones políticas en AWS OpsWorks CM usan el siguiente prefijo antes de la acción:opsworks-cm:. Por ejemplo, para conceder a alguien permiso para crear un servidor CM de AWS OpsWorks mediante la operación de la API, incluya la acción opsworks-cm:CreateServer en su política. Las declaraciones de política deben incluir un NotAction elemento Action o. AWS OpsWorks
CM define su propio conjunto de acciones que describen las tareas que se pueden realizar con este servicio.
Para especificar varias acciones en una única instrucción, sepárelas con comas del siguiente modo:
"Action": [ "opsworks-cm:action1", "opsworks-cm:action2"
Puede utilizar caracteres comodín para especificar varias acciones (*). Por ejemplo, para especificar todas las acciones que comiencen con la palabra Describe, incluya la siguiente acción:
"Action": "opsworks-cm:Describe*"
Cuando utilice comodines para permitir varias acciones en una instrucción de política, tenga cuidado de permitir esas acciones sólo para servicios o usuarios autorizados.
Para ver una lista de acciones de AWS OpsWorks CM, consulte Acciones, recursos y claves de condición de AWS OpsWorks en la Guía del usuario de IAM.
Recursos
El elemento Resource especifica el objeto u objetos a los que se aplica la acción. Las instrucciones deben contener un elemento Resource o NotResource. Especifique un recurso con un ARN o el carácter comodín (*) para indicar que la instrucción se aplica a todos los recursos.
Puede obtener el número de recurso de Amazon (ARN) de un servidor AWS OpsWorks CM o de una copia de seguridad ejecutando las operaciones DescribeServerso DescribeBackupsAPI y basando las políticas a nivel de recursos en esos recursos.
Un recurso de servidor AWS OpsWorks CM tiene un ARN en el siguiente formato:
arn:aws:opsworks-cm:{Region}:${Account}:server/${ServerName}/${UniqueId}
Un recurso de respaldo de AWS OpsWorks CM tiene un ARN en el siguiente formato:
arn:aws:opsworks-cm:{Region}:${Account}:backup/${ServerName}-{Date-and-Time-Stamp-of-Backup}
Para obtener más información sobre el formato de los ARN, consulte Nombres de recursos de Amazon (ARN) y espacios de nombres de AWS servicio.
Por ejemplo, para especificar el servidor de Chef Automate test-chef-automate en su instrucción, utilice el siguiente ARN:
"Resource": "arn:aws:opsworks-cm:us-west-2:123456789012:server/test-chef-automate/EXAMPLE-d1a2bEXAMPLE"
Para especificar todos los servidores AWS OpsWorks CM que pertenecen a una cuenta específica, utilice el comodín (*):
"Resource": "arn:aws:opsworks-cm:us-west-2:123456789012:server/*"
El siguiente ejemplo especifica una copia de seguridad de un servidor AWS OpsWorks CM como recurso:
"Resource": "arn:aws:opsworks-cm:us-west-2:123456789012:backup/test-chef-automate-server-2018-05-20T19:06:12.399Z"
Algunas acciones de AWS OpsWorks CM, como las de creación de recursos, no se pueden realizar en un recurso específico. En dichos casos, debe utilizar el carácter comodín (*).
"Resource": "*"
En muchas acciones de la API de se utilizan varios recursos. Para especificar varios recursos en una única instrucción, separe los ARN con comas.
"Resource": [ "resource1", "resource2"
Para ver una lista de los tipos de recursos de AWS OpsWorks CM y sus ARN, consulte Acciones, recursos y claves de condición de AWS OpsWorks CM en la Guía del usuario de IAM. Para saber con qué acciones puede especificar el ARN de cada recurso, consulte Acciones, recursos y claves de condición de AWS OpsWorks CM en la Guía del usuario de IAM.
Claves de condición
AWS OpsWorks CM no tiene claves de contexto específicas de un servicio que puedan usarse en el Condition elemento de las declaraciones de políticas. Para obtener la lista de las claves de contexto globales que están disponibles para todos los servicios, consulte AWS Claves de contexto de condición global en la Referencia de políticas de IAM. Para ver todas las claves de condición AWS globales, consulte las claves de contexto de condición AWS globales en la Guía del usuario de IAM.
El elemento Condition (o bloque de Condition) permite especificar condiciones en las que entra en vigor una instrucción. El elemento Condition es opcional. Puede crear expresiones condicionales que utilizan operadores de condición, tales como igual o menor que, para que coincida la condición de la política con valores de la solicitud.
Si especifica varios elementos de Condition en una instrucción o varias claves en un único elemento de Condition, AWS las evalúa mediante una operación AND lógica. Si especifica varios valores para una sola clave de condición, AWS evalúa la condición mediante una operación lógicaOR. Se deben cumplir todas las condiciones antes de que se concedan los permisos de la instrucción.
También puede utilizar variables de marcador de posición al especificar condiciones. Por ejemplo, puede conceder un permiso de usuario para acceder a un recurso solo si está etiquetado con su nombre de usuario de . Para obtener más información, consulte Elementos de la política de IAM: Variables y etiquetas en la Guía del usuario de IAM.
Ejemplos
Para ver ejemplos de políticas de AWS OpsWorks CM basadas en la identidad, consulte. AWS OpsWorks Ejemplos de políticas de CM basadas en la identidad
AWS OpsWorks CM y políticas basadas en recursos
AWS OpsWorks CM no apoya las políticas basadas en los recursos.
Las políticas basadas en recursos son documentos de política JSON que especifican qué acciones puede realizar una entidad principal especificada en un recurso y en qué condiciones.
Autorización basada en etiquetas CM AWS OpsWorks
Puede adjuntar etiquetas a los recursos de AWS OpsWorks CM o pasarlas en una solicitud a AWS OpsWorks CM. Para controlar el acceso según las etiquetas, debe proporcionar información de las etiquetas en el elemento de condición de una política mediante aws:RequestTag/ o las claves de condición key-nameaws:TagKeys. Para obtener más información sobre cómo etiquetar los recursos de AWS OpsWorks CM, consulte Trabajar con etiquetas en AWS OpsWorks for Chef Automate los recursos o Trabajar con etiquetas en AWS OpsWorks for Puppet Enterprise los recursos consulte esta guía.
AWS OpsWorks Funciones de CM IAM
Un rol de IAM es una entidad de su AWS cuenta que tiene permisos específicos.
AWS OpsWorks CM utiliza dos funciones:
-
Un rol de servicio que otorga al servicio de AWS OpsWorks CM permisos para trabajar en la AWS cuenta de un usuario. Si usa el rol de servicio predeterminado proporcionado por OpsWorks CM, el nombre de este rol es
aws-opsworks-cm-service-role. -
Un rol de perfil de instancia que permite al servicio de AWS OpsWorks CM llamar a la API de OpsWorks CM. Esta función otorga acceso a Amazon S3 y AWS CloudFormation crea el servidor y el bucket de S3 para las copias de seguridad. Si utiliza el perfil de instancia predeterminado proporcionado por OpsWorks CM, el nombre de este rol de perfil de instancia es
aws-opsworks-cm-ec2-role.
AWS OpsWorks CM no usa roles vinculados a servicios.
Uso de credenciales temporales con CM de AWS OpsWorks
AWS OpsWorks CM admite el uso de credenciales temporales y hereda esa capacidad de. AWS Security Token Service
Puede utilizar credenciales temporales para iniciar sesión con federación, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Las credenciales de seguridad temporales se obtienen llamando a operaciones de AWS STS API como AssumeRoleo GetFederationToken.
Roles vinculados a servicios
AWS OpsWorks CM no utiliza funciones vinculadas a servicios.
Los roles vinculados al servicio permiten a AWS los servicios acceder a los recursos de otros servicios para completar una acción en tu nombre. Los roles vinculados a servicios aparecen en la cuenta de IAM y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Roles de servicio
Esta característica permite que un servicio asuma un rol de servicio en su nombre. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles de servicio aparecen en su cuenta de IAM y son propiedad de la cuenta. Esto significa que un administrador de IAM puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.
AWS OpsWorks El CM utiliza dos funciones:
-
Un rol de servicio que otorga al servicio de AWS OpsWorks CM permisos para trabajar en la AWS cuenta de un usuario. Si usa el rol de servicio predeterminado proporcionado por OpsWorks CM, el nombre de este rol es
aws-opsworks-cm-service-role. -
Un rol de perfil de instancia que permite al servicio de AWS OpsWorks CM llamar a la API de OpsWorks CM. Esta función otorga acceso a Amazon S3 y AWS CloudFormation crea el servidor y el bucket de S3 para las copias de seguridad. Si utiliza el perfil de instancia predeterminado proporcionado por OpsWorks CM, el nombre de este rol de perfil de instancia es
aws-opsworks-cm-ec2-role.
Elección de un rol de IAM en AWS OpsWorks CM
Al crear un servidor en AWS OpsWorks CM, debe elegir un rol para permitir que AWS OpsWorks CM acceda a Amazon EC2 en su nombre. Si ya ha creado un rol de servicio, AWS OpsWorks CM le proporciona una lista de roles entre los que puede elegir. OpsWorks CM puede crearle el rol si no lo especifica. Es importante seleccionar un rol que permita el acceso para iniciar y detener una instancia de Amazon EC2. Para obtener más información, consulte Crear un servidor de Chef Automate o Crear un nodo maestro de Puppet Enterprise.
