翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ポリシーの例
重要
この AWS OpsWorks Stacks サービスは 2024 年 5 月 26 日にサポート終了となり、新規および既存のお客様の両方で無効になっています。できるだけ早くワークロードを他のソリューションに移行することを強くお勧めします。移行についてご質問がある場合は、 AWS re:Post
このセクションでは、 AWS OpsWorks スタックユーザーに適用できる IAM ポリシーの例について説明します。
-
管理権限 では、管理ユーザーに権限を付与するために使用されるポリシーを説明します。
-
アクセス許可の管理 と Deploy 権限 では、管理とデプロイの権限レベルを補足したり制限したりする目的でユーザーに適用できるポリシーの例を紹介します。
AWS OpsWorks スタックは、IAM ポリシーによって付与されたアクセス許可と、アクセス許可ページによって付与されたアクセス許可を評価することで、ユーザーのアクセス許可を決定します。詳細については、「ポリシーを使用した AWS リソースへのアクセスの制御」を参照してください。[Permissions] ページの権限の詳細については、「AWS OpsWorks スタックのアクセス許可レベル」を参照してください。
管理権限
IAM コンソール https://console.aws.amazon.com/iam/
AWS OpsWorks スタックがユーザーに代わって Amazon EC2 インスタンスなどの他の AWS リソースにアクセスできるようにする IAM ロールを作成する必要があります。通常、このタスクは、管理ユーザーに最初のスタックを作成し、 AWS OpsWorks スタックにロールを作成させることで処理します。以後そのロールは、後続のすべてのスタックで使用することができます。詳細については、「AWS OpsWorks スタックがユーザーに代わって動作することを許可する」を参照してください。
最初のスタックを作成する管理ユーザーは、 AWSOpsWorks_FullAccess ポリシーに含まれていない一部の IAM アクションに対するアクセス許可を持っている必要があります。ポリシーの Actions
セクションに、次のアクセス許可を追加します。適切な JSON 構文のために、アクション間にカンマを追加し、アクションのリストの末尾にあるコンマを削除してください。
"iam:PutRolePolicy", "iam:AddRoleToInstanceProfile", "iam:CreateInstanceProfile", "iam:CreateRole"
アクセス許可の管理
Manage 権限レベルのユーザーは、レイヤーの追加と削除を含め、さまざまなスタック管理アクションを実行できます。このトピックでは、管理 ユーザーにアタッチすることで、標準の権限を制限したり補足したりできるいくつかのポリシーについて説明します。
- Manage ユーザーによるレイヤーの追加と削除を拒否する
-
管理 権限レベルを制限し、レイヤーの追加と削除を除くすべての 管理 アクションの実行を許可するには、次の IAM ポリシーをアタッチします。
リージョン
、account_id
、およびstack_id
を設定に適した値に置き換えます。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "opsworks:CreateLayer", "opsworks:DeleteLayer" ], "Resource": "arn:aws:opsworks:
region
:account_id
:stack/stack_id
/" } ] } - スタックの作成とクローン化を Manage ユーザーに許可する
-
Manage (管理) 権限レベルでは、スタックの作成もクローン化も許可されません。以下の IAM ポリシーをアタッチすることで、ユーザーがスタックの作成やクローン化を作成できるように 管理 を変更することができます。
リージョン
およびaccount_id
を設定に適した値に置き換えます。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GetRolePolicy", "iam:ListRoles", "iam:ListInstanceProfiles", "iam:ListUsers", "opsworks:DescribeUserProfiles", "opsworks:CreateUserProfile", "opsworks:DeleteUserProfile" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:opsworks::
account_id
:stack/*/", "Condition": { "StringEquals": { "iam:PassedToService": "opsworks.amazonaws.com" } } } ] } - Manage ユーザーによるリソースの登録と登録解除を拒否する
-
管理 権限レベルのユーザーは、スタックへの Amazon EBS と Elastic IP アドレスリソースの登録および登録解除を行うことができます。リソースの登録を除くすべての 管理 アクションを許可するように 管理 権限を制限するには、次のポリシーを適用します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "opsworks:RegisterVolume", "opsworks:RegisterElasticIp" ], "Resource": "*" } ] }
- ユーザーのインポートを Manage ユーザーに許可する
-
アクセス許可の管理レベルでは、ユーザーは AWS OpsWorks スタックにユーザーをインポートできません。ユーザーをインポートしたり削除したりできるように 管理 権限を補足するには、次の IAM ポリシーを適用します。
リージョン
およびaccount_id
を設定に適した値に置き換えます。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GetRolePolicy", "iam:ListRoles", "iam:ListInstanceProfiles", "iam:ListUsers", "iam:PassRole", "opsworks:DescribeUserProfiles", "opsworks:CreateUserProfile", "opsworks:DeleteUserProfile" ], "Resource": "arn:aws:iam:
region
:account_id
:user/*", "Condition": { "StringEquals": { "iam:PassedToService": "opsworks.amazonaws.com" } } } ] }
Deploy 権限
Deploy 権限レベルのユーザーは、アプリケーションを作成することも削除することもできません。アプリケーションを作成したり削除したりできるように デプロイ 権限を補足するには、次の IAM ポリシーをアタッチします。リージョン
、account_id
、および stack_id
を設定に適した値に置き換えます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "opsworks:CreateApp", "opsworks:DeleteApp" ], "Resource": "arn:aws:opsworks:
region
:account_id
:stack/stack_id
/" } ] }