AWS OpsWorks スタックユーザーアクセス許可の管理

重要

この AWS OpsWorks Stacks サービスは 2024 年 5 月 26 日にサポート終了となり、新規および既存のお客様の両方で無効になっています。できるだけ早くワークロードを他のソリューションに移行することを強くお勧めします。移行についてご質問がある場合は、 AWS re:Post または AWS Premium Support を通じて AWS Support チームにお問い合わせください。

ベストプラクティスとして、 AWS OpsWorks スタックのユーザーを、指定された一連のアクションまたは一連のスタックリソースに制限します。 AWS OpsWorks スタックユーザーアクセス許可は、 AWS OpsWorks スタックアクセス許可ページを使用する方法と、適切な IAM ポリシーを適用する方法の 2 つの方法で制御できます。

アクセス OpsWorks 許可ページ、または同等の CLI または API アクションでは、複数のアクセス許可レベル のいずれかを各ユーザーに割り当てて、マルチユーザー環境でユーザーアクセス許可をスタックごとに制御できます。それぞれのレベルで付与される権限は、特定のスタックリソースに対する標準的なアクション一式に対応します。[Permissions] ページを使用して制御できる権限は次のとおりです。

• 各スタックにアクセスできるユーザー。

• 個々のユーザーが各スタックに対して実行できるアクション。

  たとえば、一部のユーザーにはスタックの閲覧のみを許可する一方で、他のユーザーにはアプリケーションのデプロイ、インスタンスの追加などを許可することができます。

• 各スタックを管理できるユーザー。

  指定したユーザー (複数可) に各スタックの管理を委任できます。

• 各スタックの Amazon EC2 インスタンスにおけるユーザーレベルの SSH アクセスと sudo 特権 (Linux) または RDP アクセスと管理者特権 (Windows) を持つ人。

  個々のユーザーについて、これらの権限をいつでも許可したり取り消したりすることができます。

重要

SSH/RDP アクセスを拒否しても、必ずしもユーザーがインスタンスにログインできなくなるわけではありません。インスタンスに Amazon EC2 キーペアを指定した場合、対応するプライベートキーを持つユーザーは誰でもログインするかキーを使用して Windows 管理者パスワードを取得できます。詳細については、「SSH アクセスの管理」を参照してください。

IAM コンソール、 CLI または API から、 AWS OpsWorks スタックの各種リソースやアクションに対するアクセス許可を明示的に付与するポリシーをユーザーに追加することもできます。

• 権限は、IAM ポリシーを使用した方が、権限レベルで行うよりも柔軟に指定できます。

• IAM ID (ユーザー、ユーザーグループ、ロール) を設定して、ユーザーやユーザーグループなどの IAM ID にアクセス権限を付与したり、フェデレーションユーザーに関連付けられるロールを定義したりできます。

• IAM ポリシーは、特定のキー AWS OpsWorks スタックアクションのアクセス許可を付与する唯一の方法です。

  例えば、opsworks:CreateStack と opsworks:CloneStack (それぞれスタックの作成とクローン化に使用) へのアクセス権限を付与するには、IAM を使用する必要があります。

コンソールでフェデレーティッドユーザーをインポートすることは明示的には不可能ですが、フェデレーティッドユーザーは、 AWS OpsWorks スタックコンソールの右上にある「マイ設定」を選択し、右上にある「ユーザー」を選択することで、暗黙的にユーザープロファイルを作成できます。ユーザー ページで、API または CLI を使用して作成された、またはコンソールを通じて暗黙的に作成されたアカウントのフェデレーティッドユーザーは、非フェデレーティッド IAM ユーザーと同じ様にアカウントを管理できます。

この 2 つのアプローチは相互排他的なものではなく、両者を組み合わせることで利便性が高まることもあります。両者を組み合わせて使用した場合、両方の権限の集合が AWS OpsWorks スタックによって評価されます。たとえば、インスタンスの追加と削除は許可するが、レイヤーの追加と削除をユーザーに許可するのは望ましくないとします。 AWS OpsWorks スタックのアクセス許可レベルは、その特定のアクセス許可セットを付与しません。ただし、許可 ページを使用して、管理 権限レベルをユーザーに付与し、ほとんどのスタック操作を許可したうえで、レイヤーの追加と削除の権限を拒否する IAM ポリシーを適用することは可能です。詳細については、[のポリシーを使用して AWS リソースへのアクセスを制御する]を参照してください。

ユーザーの権限を管理するための標準的なモデルを以下に示します。いずれのケースも、ここではお客様が管理ユーザーであるという前提で記述しています。

1. IAM コンソールを使用して、1 人以上の管理ユーザーに AWSOpsWorks_FullAccess ポリシーを適用します。

2. 非管理ユーザーそれぞれに、 AWS OpsWorks スタックの権限が付与されていないポリシーで ユーザーを作成します。

   ユーザーが AWS OpsWorks スタックへのアクセスのみを必要とする場合は、ポリシーをまったく適用する必要がなくなる場合があります。代わりに、 AWS OpsWorks スタックのアクセス許可 ページでアクセス許可を管理できます。

3. AWS OpsWorks スタックユーザーページを使用して、管理者以外のユーザーを AWS OpsWorks スタックにインポートします。

4. スタックごとにその [Permissions] ページを使用し、それぞれのユーザーに権限レベルを割り当てます。

5. 必要に応じて、適切に構成した IAM ポリシーを適用し、ユーザーの権限レベルをカスタマイズします。

ユーザー管理に関する推奨事項については、「ベストプラクティス: アクセス権限の管理」を参照してください。

IAM でのベストプラクティスの詳細については、IAM ユーザーガイドの「IAM でのセキュリティのベストプラクティス」を参照してください。

トピック

• AWS OpsWorks スタックユーザーの管理
• AWS OpsWorks スタックごとのスタックユーザーアクセス許可の付与
• IAM ポリシーをアタッチして AWS OpsWorks スタックのアクセス許可を管理する
• ポリシーの例
• AWS OpsWorks スタックのアクセス許可レベル