AWS OpsWorks Stacks のユーザーアクセス許可の管理

重要

AWS OpsWorks Stacks新規顧客は受け付けていません。既存のお客様は、2024 年 5 月 26 OpsWorks 日まではコンソール、API、CLI、CloudFormationおよびリソースを通常どおり使用できますが、2024 年 5 月 26 日以降は廃止されます。この移行に備えて、AWS Systems Managerできるだけ早くスタックをに移行することをおすすめします。詳細については、「AWS OpsWorks Stacksサポート終了に関するよくある質問」および「AWS OpsWorks StacksAWS Systems Managerアプリケーションマネージャーへのアプリケーションの移行」を参照してください。

ベストプラクティスとして、AWS OpsWorks スタックユーザーを特定のアクションセットまたはスタックリソースのセットに制限します。AWS OpsWorksスタックのユーザー権限を管理するには、AWS OpsWorksスタックの権限ページを使用する方法と、適切な IAM ポリシーを適用する方法の 2 つがあります。

OpsWorks権限ページ（または同等のCLIまたはAPIアクション）では、各ユーザーに複数の権限レベルの1つを割り当てることにより、マルチユーザー環境のユーザー権限をスタックごとに制御できます。それぞれのレベルで付与される権限は、特定のスタックリソースに対する標準的なアクション一式に対応します。[Permissions] ページを使用して制御できる権限は次のとおりです。

• 各スタックにアクセスできるユーザー。

• 個々のユーザーが各スタックに対して実行できるアクション。

  たとえば、一部のユーザーにはスタックの閲覧のみを許可する一方で、他のユーザーにはアプリケーションのデプロイ、インスタンスの追加などを許可することができます。

• 各スタックを管理できるユーザー。

  指定したユーザー (複数可) に各スタックの管理を委任できます。

• 各スタックの Amazon EC2 インスタンスにおけるユーザーレベルの SSH アクセスと sudo 特権 (Linux) または RDP アクセスと管理者特権 (Windows) を持つ人。

  個々のユーザーについて、これらの権限をいつでも許可したり取り消したりすることができます。

重要

SSH/RDP アクセスを拒否しても、必ずしもユーザーがインスタンスにログインできなくなるわけではありません。インスタンスに Amazon EC2 キーペアを指定した場合、対応するプライベートキーを持つユーザーは誰でもログインするかキーを使用して Windows 管理者パスワードを取得できます。詳細については、「SSH アクセスの管理」を参照してください。

IAM コンソール、CLI、または API を使用して、さまざまな AWS OpsWorks Stacks リソースとアクションに明示的なアクセス権限を付与するポリシーをユーザーに追加できます。

• 権限は、IAM ポリシーを使用した方が、権限レベルで行うよりも柔軟に指定できます。

• ユーザーやユーザーグループなどの IAM ID にアクセス権限を付与する IAM アイデンティティ (ユーザー、ユーザーグループ、ロール) を設定したり、フェデレーティッドユーザーに関連付けることができるロールを定義したりできます。

• IAM ポリシーは、特定のキーとなる AWS OpsWorks スタックアクションにアクセス許可を付与する唯一の方法です。

  例えば、opsworks:CreateStack と opsworks:CloneStack (それぞれスタックの作成とクローン化に使用) へのアクセス権限を付与するには、IAM を使用する必要があります。

明示的にコンソールのフェデレーティッドユーザーをインポートすることはできませんが、フェデレーティッドユーザーは、AWS OpsWorks スタックの右上にある [My Settings] を選択して、次にやはり右上の [Users] を選択することで、暗黙的にユーザープロフィールを作成できます。ユーザーページでは、APIまたはCLIを使用して、またはコンソールから暗黙的にアカウントを作成したフェデレーティッドユーザーは、非フェデレーティッドユーザーと同様にアカウントを管理できます。

この 2 つのアプローチは相互排他的なものではなく、両者を組み合わせることで利便性が高まることもあります。両者を組み合わせて使用した場合、両方の権限の集合が AWS OpsWorks スタックによって評価されます。たとえば、インスタンスの追加と削除は許可するが、レイヤーの追加と削除をユーザーに許可するのは望ましくないとします。どの AWS OpsWorks スタックアクセス権限レベルでも、このようなアクセス権限レベルは付与されません。ただし、権限ページを使用してユーザーに管理権限レベルを付与すると、ユーザーはほとんどのスタック操作を実行できるようになります。その後、レイヤーの追加や削除の権限を拒否する IAM ポリシーを適用できます。詳細については、「AWSポリシーを使用してリソースへのアクセスを制御する」を参照してください。

ユーザーの権限を管理するための標準的なモデルを以下に示します。いずれのケースも、ここではお客様が管理ユーザーであるという前提で記述しています。

1. IAM コンソールを使用して、1 AWSOpsWorks_FullAccess 人以上の管理ユーザーにポリシーを適用します。

2. 非管理ユーザーそれぞれに、AWS OpsWorksスタック権限が付与されていないポリシーでユーザーを作成します。

   AWS OpsWorksユーザーがスタックへのアクセスのみを必要とする場合は、ポリシーをまったく適用する必要がない場合があります。このような権限は、AWS OpsWorksスタックの [Permissions] ページで管理することができます。

3. AWS OpsWorks スタックの [Users] ページを使用して、非管理ユーザーを AWS OpsWorks スタックにインポートします。

4. スタックごとにその [Permissions] ページを使用し、それぞれのユーザーに権限レベルを割り当てます。

5. 必要に応じて、適切に設定された IAM ポリシーを適用して、ユーザーの権限レベルをカスタマイズします。

ユーザー管理に関するその他の推奨事項については、を参照してくださいベストプラクティス: アクセス権限の管理。

IAM ベストプラクティスの詳細については、IAM ユーザーガイドの「IAM でのセキュリティのベストプラクティス」を参照してください。

トピック

• AWS OpsWorks Stacks ユーザーの管理
• AWS OpsWorks Stacks ユーザーへのスタックごとの権限の付与
• IAM ポリシーをアタッチすることによる AWS OpsWorks スタック権限の管理する
• ポリシーの例
• AWS OpsWorks Stacks の権限レベル