IAM ポリシーをアタッチすることによる AWS OpsWorks スタック権限の管理する - AWS OpsWorks

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM ポリシーをアタッチすることによる AWS OpsWorks スタック権限の管理する

重要

AWS OpsWorks Stacks は新規顧客を受け付けなくなりました。既存のお客様は、2024 年 5 月 26 日までは OpsWorks コンソール、 API、 CLI、 および CloudFormation リソースを通常どおり使用できますが、その時点でこれらのリソースは廃止されます。この移行に備えて、できるだけ早くスタックを AWS Systems Manager に移行することをおすすめします。詳細については、AWS OpsWorks Stacks サポート終了に関する FAQ および AWS Systems Manager アプリケーションマネージャへの AWS OpsWorks Stacks アプリケーションの移行 を参照してください。

ユーザーの AWS OpsWorks スタック権限は、IAM ポリシーをアタッチすることによって指定できます。次に示す一部の権限については、ポリシーのアタッチが必須となります。

  • 管理ユーザー権限 (ユーザーのインポートなど)。

  • 特定のアクションの権限 (スタックの作成、スタックのクローン化など)。

アタッチされたポリシーが必要となる全アクションの一覧については、「AWS OpsWorks Stacks の権限レベル」を参照してください。

ポリシーを使用することによって、許可 ページで付与された権限レベルをカスタマイズすることもできます。このセクションでは、IAM ポリシーをユーザーに適用して AWS OpsWorks スタックのアクセス権限を指定する方法について簡単に説明します。詳細については、「AWSリソースのアクセス管理」を参照してください。

IAM ポリシーは、1 つ以上の statements (ステートメント) を含んだ JSON オブジェクトです。各ステートメント要素には、一連の権限が記述され、それぞれ 3 つの基本要素が存在します。

[Action] (アクション)

権限の対象となるアクション。AWS OpsWorks スタックのアクションを opsworks:action の形式で指定します。Action には、特定のアクションを指定できます。例えば、opsworks:CreateStack は、CreateStack の呼び出しをユーザーに許可するかどうかを指定します。また、ワイルドカードを使用して複数のアクションをまとめて指定することもできます。例えば、すべての作成アクションを指定するには、opsworks:Create* とします。AWS OpsWorks スタックの全アクションの一覧については、「AWS OpsWorksスタックの API リファレンス」を参照してください。

[Effect] (効果)

指定したアクションを許可するか拒否するかを示します。

[Resource] (リソース)

AWS OpsWorks権限の対象となる AWS リソース。スタックの唯一のリソースタイプはスタックです。特定のスタックリソースの権限を指定するには、Resource 形式で、スタックの ARN を arn:aws:opsworks:region:account_id:stack/stack_id/ に指定します。

また、ワイルドカードを使用することもできます。例えば、Resource* に設定すると、すべてのリソースに対する権限が付与されます。

たとえば、次のポリシーでは、ID が 2860-2f18b4cb-4de5-4429-a149-ff7da9f0d8ee であるスタックのインスタンスをユーザーが停止できないようにしています。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": "opsworks:StopInstance",
      "Effect": "Deny",
      "Resource": "arn:aws:opsworks:*:*:stack/2f18b4cb-4de5-4429-a149-ff7da9f0d8ee/"
    }
  ]
}

IAM ユーザーに権限を付与する方法の詳細については、「https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console」を参照してください。

IAM ポリシーの作成や変更を行う方法の詳細については、許可とポリシー を参照してください。AWS OpsWorks スタックのポリシーの例については、「ポリシーの例」を参照してください。