Autorisations administratives Gestion des autorisations Autorisations Deploy

Exemples de stratégies

Important

Le AWS OpsWorks Stacks service a pris fin le 26 mai 2024 et a été désactivé tant pour les nouveaux clients que pour les clients existants. Nous recommandons vivement aux clients de migrer leurs charges de travail vers d'autres solutions dès que possible. Si vous avez des questions sur la migration, contactez l' AWS Support équipe sur AWS Re:Post ou via le AWS Support Premium.

Cette section décrit des exemples de politiques IAM qui peuvent être appliquées aux utilisateurs de AWS OpsWorks Stacks.

Autorisations administrativesdécrit les politiques utilisées pour accorder des autorisations aux utilisateurs administratifs.
Gestion des autorisationset Autorisations Deploy montrez des exemples de politiques qui peuvent être appliquées à un utilisateur pour augmenter ou restreindre les niveaux d'autorisation de gestion et de déploiement.

AWS OpsWorks Stacks détermine les autorisations de l'utilisateur en évaluant les autorisations accordées par les politiques IAM ainsi que les autorisations accordées par la page Permissions. Pour plus d'informations, consultez la section Contrôle de l'accès aux AWS ressources à l'aide de politiques. Pour plus d'informations sur les autorisations de la page Autorisations, consultez AWS OpsWorks Stabilise les niveaux d'autorisation.

Autorisations administratives

Utilisez la console IAM, https://console.aws.amazon.com/iam/, pour accéder à la AWSOpsWorks_FullAccess politique. Attachez cette politique à un utilisateur pour lui accorder l'autorisation d'effectuer toutes les actions AWS OpsWorks Stacks. Les autorisations IAM sont requises, entre autres, pour permettre à un utilisateur administratif d'importer des utilisateurs.

Vous devez créer un rôle IAM qui permet à AWS OpsWorks Stacks d'agir en votre nom pour accéder à d'autres AWS ressources, telles que les instances Amazon EC2. Vous gérez généralement cette tâche en demandant à un utilisateur administratif de créer la première pile et en laissant AWS OpsWorks Stacks créer le rôle pour vous. Vous pouvez ensuite utiliser ce rôle pour toutes les piles suivantes. Pour plus d’informations, consultez Permettre à AWS OpsWorks Stacks d'agir en votre nom.

L'utilisateur administratif qui crée la première pile doit disposer d'autorisations pour certaines actions IAM qui ne sont pas incluses dans la AWSOpsWorks_FullAccess politique. Ajoutez les autorisations suivantes à la Actions section de la politique. Pour une syntaxe JSON correcte, veillez à ajouter des virgules entre les actions et à supprimer la virgule de fin à la fin de la liste des actions.


"iam:PutRolePolicy",
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:CreateRole"

Gestion des autorisations

Le niveau d'autorisation Gérer permet à un utilisateur d'effectuer diverses actions de gestion de pile, y compris l'ajout ou la suppression de couches. Cette rubrique décrit plusieurs politiques que vous pouvez utiliser pour gérer les utilisateurs afin d'augmenter ou de restreindre les autorisations standard.

Refuser à un utilisateur Gérer la possibilité d'ajouter ou de supprimer des couches

Vous pouvez restreindre le niveau des autorisations de gestion pour permettre à un utilisateur d'effectuer toutes les actions de gestion, à l'exception de l'ajout ou de la suppression de couches, en utilisant la politique IAM suivante. Remplacez region, account_id et stack_id par des valeurs adaptées à votre configuration.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "opsworks:CreateLayer",
        "opsworks:DeleteLayer"
      ],
      "Resource": "arn:aws:opsworks:region:account_id:stack/stack_id/"
    }
  ]
}

Permettre à un utilisateur Gérer de créer ou de cloner des piles

Le niveau Gérer les autorisations ne permet pas aux utilisateurs de créer ou de cloner des piles. Vous pouvez modifier les autorisations de gestion pour permettre à un utilisateur de créer ou de cloner des piles en appliquant la politique IAM suivante. Remplacez region et account_id par des valeurs adaptées à votre configuration.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetRolePolicy",
        "iam:ListRoles",
        "iam:ListInstanceProfiles",
        "iam:ListUsers",
        "opsworks:DescribeUserProfiles",
        "opsworks:CreateUserProfile",
        "opsworks:DeleteUserProfile"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:opsworks::account_id:stack/*/",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "opsworks.amazonaws.com"
        }
      }
    }
  ]
}

Refuser à un utilisateur Manage la possibilité d'enregistrer des ressources ou d'annuler leur enregistrement

Le niveau de gestion des autorisations permet à l'utilisateur d'enregistrer et de désenregistrer les ressources d'adresses IP Amazon EBS et Elastic auprès de la pile. Vous pouvez restreindre les autorisations de gestion pour permettre à l'utilisateur d'effectuer toutes les actions de gestion, à l'exception de l'enregistrement des ressources, en appliquant la politique suivante.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "opsworks:RegisterVolume",
        "opsworks:RegisterElasticIp"
      ],
      "Resource": "*"
    }
  ]
}

Autoriser un utilisateur Gérer à importer des utilisateurs

Le niveau de gestion des autorisations ne permet pas aux utilisateurs d'importer des utilisateurs dans AWS OpsWorks Stacks. Vous pouvez augmenter les autorisations de gestion pour permettre à un utilisateur d'importer et de supprimer des utilisateurs en appliquant la politique IAM suivante. Remplacez region et account_id par des valeurs adaptées à votre configuration.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetRolePolicy",
        "iam:ListRoles",
        "iam:ListInstanceProfiles",
        "iam:ListUsers",
        "iam:PassRole",
        "opsworks:DescribeUserProfiles",
        "opsworks:CreateUserProfile",
        "opsworks:DeleteUserProfile"
      ],
      "Resource": "arn:aws:iam:region:account_id:user/*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "opsworks.amazonaws.com"
        }
      }
    }
  ]
}

Autorisations Deploy

Le niveau d'autorisation Déployer ne permet pas aux utilisateurs de créer ou de supprimer des applications. Vous pouvez augmenter les autorisations de déploiement pour permettre à un utilisateur de créer et de supprimer des applications en appliquant la politique IAM suivante. Remplacez region, account_id et stack_id par des valeurs adaptées à votre configuration.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "opsworks:CreateApp",
        "opsworks:DeleteApp"
      ],
      "Resource": "arn:aws:opsworks:region:account_id:stack/stack_id/"
    }
  ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Joindre une politique IAM

Niveaux d'autorisation