Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
In che modo AWS OpsWorks CM funziona con IAM
Prima di utilizzare IAM per gestire l'accesso a AWS OpsWorks CM, è necessario comprendere con quali IAM funzionalità è possibile utilizzare AWS OpsWorks CM. Per avere una visione di alto livello di come AWS OpsWorks CM e altro AWS i servizi funzionano conIAM, vedi AWS servizi compatibili con IAM la Guida per l'IAMutente.
Argomenti
AWS OpsWorks Politiche basate sull'identità di CM
Con le politiche IAM basate sull'identità, è possibile specificare azioni e risorse consentite o negate, nonché le condizioni in base alle quali le azioni sono consentite o negate. AWS OpsWorks CM supporta azioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una JSON politica, consulta il riferimento agli elementi IAM JSON della politica nella Guida per l'IAMutente.
In AWS OpsWorks CM, puoi allegare una dichiarazione politica personalizzata a un utente, ruolo o gruppo.
Azioni
L'Actionelemento di una politica IAM basata sull'identità descrive l'azione o le azioni specifiche che saranno consentite o negate dalla politica. Le azioni politiche di solito hanno lo stesso nome di quelle associate AWS APIoperazione. L'operazione viene utilizzata in una policy per concedere le autorizzazioni di eseguire l'operazione associata.
Azioni politiche in AWS OpsWorks CM utilizza il seguente prefisso prima dell'azione:opsworks-cm:. Ad esempio, per concedere a qualcuno il permesso di creare un AWS OpsWorks Utilizzando un'APIoperazione su un server CM, l'opsworks-cm:CreateServerazione viene inclusa nella relativa policy. Le istruzioni della policy devono includere un elemento Action o NotAction. AWS OpsWorks
CM definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.
Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:
"Action": [ "opsworks-cm:action1", "opsworks-cm:action2"
È possibile specificare più azioni tramite caratteri jolly (*). Ad esempio, per specificare tutte le azioni che iniziano con la parola Describe, includi la seguente azione:
"Action": "opsworks-cm:Describe*"
Quando utilizzi i caratteri jolly per consentire più operazioni in un'istruzione di policy, presta attenzione a consentire le operazioni solo per i servizi o gli utenti autorizzati.
Per visualizzare un elenco di AWS OpsWorks Azioni CM, consulta Azioni, risorse e chiavi di condizione AWS OpsWorks nella Guida per l'IAMutente.
Risorse
L'elemento Resource specifica l'oggetto o gli oggetti ai quali si applica l'operazione. Le istruzioni devono includere un elemento Resource o un elemento NotResource. Si specifica una risorsa utilizzando un ARN o utilizzando il carattere jolly (*) per indicare che l'istruzione si applica a tutte le risorse.
Puoi ottenere l'Amazon Resource Number (ARN) di un AWS OpsWorks Server CM o backup eseguendo DescribeBackupsAPIle operazioni DescribeServerso e basando le politiche a livello di risorsa su tali risorse.
Un record AWS OpsWorks La risorsa del server CM ha un formato ARN nel seguente formato:
arn:aws:opsworks-cm:{Region}:${Account}:server/${ServerName}/${UniqueId}
Un record AWS OpsWorks La risorsa di backup CM ha il seguente formato: ARN
arn:aws:opsworks-cm:{Region}:${Account}:backup/${ServerName}-{Date-and-Time-Stamp-of-Backup}
Per ulteriori informazioni sul formato diARNs, consulta Amazon Resource Names (ARNs) e AWS Namespace dei servizi.
Ad esempio, per specificare il server test-chef-automate Chef Automate nella tua dichiarazione, utilizza quanto segue: ARN
"Resource": "arn:aws:opsworks-cm:us-west-2:123456789012:server/test-chef-automate/EXAMPLE-d1a2bEXAMPLE"
Per specificare tutto AWS OpsWorks I server CM che appartengono a un account specifico, utilizza il carattere jolly (*):
"Resource": "arn:aws:opsworks-cm:us-west-2:123456789012:server/*"
L'esempio seguente specifica un AWS OpsWorks Il backup del server CM come risorsa:
"Resource": "arn:aws:opsworks-cm:us-west-2:123456789012:backup/test-chef-automate-server-2018-05-20T19:06:12.399Z"
Medio AWS OpsWorks Le azioni CM, come quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (*).
"Resource": "*"
Molte API azioni coinvolgono più risorse. Per specificare più risorse in un'unica istruzione, separale ARNs con virgole.
"Resource": [ "resource1", "resource2"
Per visualizzare un elenco di AWS OpsWorks Tipi di risorse CM e relativiARNs, consulta Azioni, risorse e chiavi di condizione per AWS OpsWorks CM nella Guida per l'IAMutente. Per sapere con quali azioni è possibile specificare le caratteristiche ARN di ciascuna risorsa, consulta Azioni, risorse e chiavi di condizione per AWS OpsWorks CM nella Guida per l'IAMutente.
Chiavi di condizione
AWS OpsWorks CM non dispone di chiavi contestuali specifiche del servizio che possano essere utilizzate nell'Conditionelemento delle dichiarazioni politiche. Per l'elenco delle chiavi di contesto globali disponibili per tutti i servizi, vedere AWS chiavi di contesto della condizione globale nel IAMPolicy Reference. Per vedere tutto AWS chiavi di condizione globali, vedi AWS chiavi di contesto della condizione globale nella Guida IAM per l'utente.
L'elemento Condition(o blocco Condition) consente di specificare le condizioni in cui un'istruzione è in vigore. L'elemento Conditionè facoltativo. Puoi compilare espressioni condizionali che utilizzano operatori di condizione, ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta.
Se specificate più Condition elementi in un'istruzione o più chiavi in un singolo Condition elemento, AWS li valuta utilizzando un'ANDoperazione logica. Se specificate più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'ORoperazione logica. Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell'istruzione vengano concesse.
Puoi anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, è possibile concedere a un utente l'autorizzazione ad accedere a una risorsa solo se è contrassegnata con il nome dell'utente. Per ulteriori informazioni, consulta Elementi IAM della politica: variabili e tag nella Guida IAM per l'utente.
Esempi
Per visualizzare esempi di AWS OpsWorks Politiche basate sull'identità CM, vedere. AWS OpsWorks Esempi di policy basate sull'identità CM
AWS OpsWorks CM e politiche basate sulle risorse
AWS OpsWorks CM non supporta politiche basate sulle risorse.
Le politiche basate sulle risorse sono documenti JSON politici che specificano quali azioni uno specifico committente può eseguire su una risorsa e in quali condizioni.
Autorizzazione basata su AWS OpsWorks Tag CM
Puoi allegare tag a AWS OpsWorks Risorse CM o invia tag in una richiesta a AWS OpsWorks CM. Per controllare l'accesso basato su tag, fornire informazioni sui tag nell'elemento condizione di una policy utilizzando le chiavi di condizione aws:RequestTag/ o key-nameaws:TagKeys. Per ulteriori informazioni sull'etichettatura AWS OpsWorks Risorse CM, vedi Lavorare con i tag sulle AWS OpsWorks for Chef Automate risorse o Utilizzo dei tag nelle AWS OpsWorks for Puppet Enterprise risorse in questa guida.
AWS OpsWorks IAMRuoli CM
Un IAMruolo è un'entità all'interno di te AWS account con autorizzazioni specifiche.
AWS OpsWorks CM utilizza due ruoli:
-
Un ruolo di servizio che garantisce il AWS OpsWorks Autorizzazioni del servizio CM per funzionare all'interno di un utente AWS account. Se si utilizza il ruolo di servizio predefinito fornito da OpsWorks CM, il nome di questo ruolo è
aws-opsworks-cm-service-role. -
Un ruolo di profilo di istanza che consente di AWS OpsWorks Il servizio CM chiama il OpsWorks CMAPI. Questo ruolo garantisce l'accesso ad Amazon S3 e AWS CloudFormation per creare il server e il bucket S3 per i backup. Se si utilizza il profilo di istanza predefinito fornito da OpsWorks CM, il nome di questo ruolo del profilo di istanza è.
aws-opsworks-cm-ec2-role
AWS OpsWorks CM non utilizza ruoli collegati ai servizi.
Utilizzo di credenziali temporanee con AWS OpsWorks CM
AWS OpsWorks CM supporta l'utilizzo di credenziali temporanee e eredita tale funzionalità da AWS Security Token Service.
È possibile utilizzare credenziali temporanee per accedere con la federazione, assumere un IAM ruolo o assumere un ruolo tra account. È possibile ottenere credenziali di sicurezza temporanee chiamando AWS STS APIoperazioni come AssumeRoleo GetFederationToken.
Ruoli collegati al servizio
AWS OpsWorks CM non utilizza ruoli collegati ai servizi.
I ruoli collegati ai servizi consentono AWS servizi per accedere alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi vengono visualizzati nell'IAMaccount e sono di proprietà del servizio. Un IAM amministratore può visualizzare ma non modificare le autorizzazioni per i ruoli collegati al servizio.
Ruoli dei servizi
Questa caratteristica consente a un servizio di assumere un ruolo di servizio per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli di servizio vengono visualizzati nell'IAMaccount e sono di proprietà dell'account. Ciò significa che un IAM amministratore può modificare le autorizzazioni per questo ruolo. Tuttavia, il farlo potrebbe pregiudicare la funzionalità del servizio.
AWS OpsWorks CM utilizza due ruoli:
-
Un ruolo di servizio che garantisce il AWS OpsWorks Autorizzazioni del servizio CM per funzionare all'interno di un utente AWS account. Se si utilizza il ruolo di servizio predefinito fornito da OpsWorks CM, il nome di questo ruolo è
aws-opsworks-cm-service-role. -
Un ruolo di profilo di istanza che consente di AWS OpsWorks Il servizio CM chiama il OpsWorks CMAPI. Questo ruolo garantisce l'accesso ad Amazon S3 e AWS CloudFormation per creare il server e il bucket S3 per i backup. Se si utilizza il profilo di istanza predefinito fornito da OpsWorks CM, il nome di questo ruolo del profilo di istanza è.
aws-opsworks-cm-ec2-role
Scelta di un IAM ruolo in AWS OpsWorks CM
Quando crei un server in AWS OpsWorks CM, devi scegliere un ruolo da consentire AWS OpsWorks CM per accedere ad EC2 Amazon per tuo conto. Se hai già creato un ruolo di servizio, allora AWS OpsWorks CM fornisce un elenco di ruoli tra cui scegliere. OpsWorks CM può creare il ruolo per te, se non ne specifichi uno. È importante scegliere un ruolo che consenta l'accesso per avviare e arrestare EC2 le istanze Amazon. Per ulteriori informazioni, consulta Creare un server Chef Automate o Creare un Puppet Enterprise Master.
