AWS OpsWorks Stacks のユーザーアクセス許可の管理 - AWS OpsWorks

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS OpsWorks Stacks のユーザーアクセス許可の管理

1 つの処理方法AWS OpsWorksスタックアクセス権限は、IAM AWSOpsWorks_FullAccess ポリシーを各 IAM ユーザーにアタッチすることです。しかしこのポリシーでは、すべての AWS OpsWorks スタックアクションをすべてのスタックに実行することがユーザーに許可されます。ベストプラクティスとして、AWS OpsWorksユーザーを、決められた一連のアクションまたは一連のスタックリソースにスタックします。あなたが制御することができますAWS OpsWorks2 つの方法でユーザーのアクセス許可をスタックします。AWS OpsWorksスタックアクセス許可ページを開き、適切な IAM ポリシーをアタッチします。

OpsWorksアクセス許可ページ(または同等の CLI または API アクション)を使用すると、マルチユーザー環境でのユーザー権限をスタック単位で制御できます。これにより、各ユーザーに複数のアクセス許可レベル。それぞれのレベルで付与される権限は、特定のスタックリソースに対する標準的なアクション一式に対応します。[Permissions] ページを使用して制御できる権限は次のとおりです。

  • 各スタックにアクセスできるユーザー。

  • 個々のユーザーが各スタックに対して実行できるアクション。

    たとえば、一部のユーザーにはスタックの閲覧のみを許可する一方で、他のユーザーにはアプリケーションのデプロイ、インスタンスの追加などを許可することができます。

  • 各スタックを管理できるユーザー。

    指定したユーザー (複数可) に各スタックの管理を委任できます。

  • 各スタックの Amazon EC2 インスタンスにおけるユーザーレベルの SSH アクセスと sudo 特権 (Linux) または RDP アクセスと管理者特権 (Windows) を持つユーザー。

    個々のユーザーについて、これらの権限をいつでも許可したり取り消したりすることができます。

重要

SSH/RDP アクセスを拒否しても、必ずしもユーザーがインスタンスにログインできなくなるわけではありません。インスタンスに Amazon EC2 key pair を指定した場合、対応するプライベートキーを持つユーザーはログインするかキーを使用して Windows 管理者パスワードを取得できます。詳細については、「SSH アクセスの管理」を参照してください。

「」を使用できます。IAM コンソール,CLI または API を使用して、ポリシーをユーザーにアタッチし、さまざまなAWS OpsWorksリソースとアクションをスタックします。

  • IAM ポリシーを使用した方が、権限レベルで行うよりも柔軟に指定できます。

  • 設定することができますIAM グループ] というエントリがない場合は、ユーザーのグループに権限を付与するか、フェデレーティッドユーザーに関連付けることができるロール

  • IAM ポリシーは、特定のキーにアクセス権限を付与する唯一の方法ですAWS OpsWorksアクションをスタックします。

    たとえば、IAM を使用してopsworks:CreateStackおよびopsworks:CloneStackそれぞれスタックの作成とクローンに使用。

明示的にコンソールのフェデレーティッドユーザーをインポートすることはできませんが、フェデレーティッドユーザーは、 スタックの右上にある [My SettingsAWS OpsWorks] を選択して、次にやはり右上の [Users] を選択することで、暗黙的にユーザープロフィールを作成できます。[Users] ページで、API または CLI を使用して作成された、またはコンソールを通じて暗黙的に作成されたアカウントのフェデレーティッドユーザーは、非フェデレーティッド IAM ユーザーと同じ様にアカウントを管理できます。

この 2 つのアプローチは相互排他的なものではなく、両者を組み合わせることで利便性が高まることもあります。両者を組み合わせて使用した場合、両方の権限の集合が AWS OpsWorks スタックによって評価されます。たとえば、インスタンスの追加と削除は許可するが、Layer の追加と削除をユーザーに許可するのは望ましくないとします。どの AWS OpsWorks スタックアクセス権限レベルでも、このようなアクセス権限レベルは付与されません。ただし、使用することはできますアクセス許可ページを使用して、管理アクセス許可レベルでは、ほとんどのスタック操作を許可したうえで、Layer の追加と削除のアクセス許可を拒否する IAM ポリシーをアタッチすることは可能です。詳細については、「AWS IAM アクセス許可の概要」を参照してください。

ユーザーの権限を管理するための標準的なモデルを以下に示します。いずれのケースも、ここではお客様が管理ユーザーであるという前提で記述しています。

  1. の使用IAM コンソールAWSOpsWorks_FullAccess ポリシーをアタッチすることもできます。

  2. 非管理ユーザーそれぞれに IAM ユーザーを作成し、AWS OpsWorksStacks のアクセス許可。

    ユーザーに必要な権限が AWS OpsWorks スタックに対するアクセスのみであれば、必ずしもポリシーをアタッチする必要はありません。このような権限は、AWS OpsWorks スタックの [Permissions] ページで管理することができます。

  3. AWS OpsWorks スタックの [Users] ページを使用して、非管理ユーザーを AWS OpsWorks スタックにインポートします。

  4. スタックごとにその [Permissions] ページを使用し、それぞれのユーザーに権限レベルを割り当てます。

  5. 必要に応じて、適切に構成した IAM ポリシーをアタッチし、ユーザーの権限レベルをカスタマイズします。

ユーザーの管理のベストプラクティスについては、「ベストプラクティス: アクセス権限の管理」を参照してください。

重要

root (アカウント所有者) の認証情報を使用して、AWS の日々の作業を行うことはお勧めできません。適切な権限を割り当てた IAM 管理者グループを作成してください。そのうえで、管理タスクを行う社内の人員 (お客様自身を含む) について IAM ユーザーを作成し、管理者グループに追加します。詳細については、「」を参照してください。IAM ベストプラクティス()IAM の使用ガイド。