インスタンス登録ポリシー - AWS OpsWorks
AWSOpsWorksRegisterCLI_EC2 ポリシーAWSOpsWorksRegisterCLI_OnPremises ポリシー(廃止済み) AWSOpsWorksRegisterCLI ポリシー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インスタンス登録ポリシー

重要

AWS OpsWorks Stacks は新規顧客を受け付けなくなりました。既存のお客様は、2024 年 5 月 26 日までは、通常どおり OpsWorks コンソール、API、CLI、および CloudFormation リソースを使用できます。その時点で廃止されます。この移行に備えて、できるだけ早くスタックを AWS Systems Manager に移行することをおすすめします。詳細については、「AWS OpsWorks Stacks サポート終了に関する FAQ」および「AWS Systems Manager アプリケーションマネージャへの AWS OpsWorks Stacks アプリケーションの移行」を参照してください。

AWSOpsWorksRegisterCLI_EC2 および AWSOpsWorksRegisterCLI_OnPremises ポリシーは、EC2 およびオンプレミスのインスタンスをそれぞれ登録するために必要な正しいアクセス権限を提供します。EC2 インスタンスを登録する場合には、AWSOpsWorksRegisterCLI_EC2 をユーザーに追加しますが、オンプレミス インスタンスを登録する場合には、AWSOpsWorksRegisterCLI_OnPremises を IAM ユーザーに追加します。これらのポリシーを使用するには、AWS CLI のバージョンが少なくとも 1.16.180 以降でなければなりません。

AWSOpsWorksRegisterCLI_EC2 ポリシー

EC2 インスタンスを登録する場合には、AWSOpsWorksRegisterCLI_EC2をお客様のユーザーに追加します。EC2 インスタンスのみを登録する場合には、このプロファイルを使用する必要があります。このポリシーを使用する場合は、EC2 インスタンスのインスタンスプロファイルからアクセス権限が提供されます。

{
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "opsworks:AssignInstance",
            "opsworks:CreateLayer",
            "opsworks:DeregisterInstance",
            "opsworks:DescribeInstances",
            "opsworks:DescribeStackProvisioningParameters",
            "opsworks:DescribeStacks",
            "opsworks:UnassignInstance"
          ],
          "Resource": [
            "*"
          ]
        },
        {
          "Effect": "Allow",
          "Action": [
            "ec2:DescribeInstances"
          ],
          "Resource": [
            "*"
          ]
        }
      ]
    }

AWSOpsWorksRegisterCLI_OnPremises ポリシー

オンプレミス インスタンスを登録する場合には、AWSOpsWorksRegisterCLI_OnPremises をユーザーに追加します。このポリシーには、AttachUserPolicy といった IAM アクセス権限が含まれていますが、この権限でアクセスできるリソースには限りがあります。

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "opsworks:AssignInstance",
            "opsworks:CreateLayer",
            "opsworks:DeregisterInstance",
            "opsworks:DescribeInstances",
            "opsworks:DescribeStackProvisioningParameters",
            "opsworks:DescribeStacks",
            "opsworks:UnassignInstance"
          ],
          "Resource": [
            "*"
          ]
        },
        {
          "Effect": "Allow",
          "Action": [
            "ec2:DescribeInstances"
          ],
          "Resource": [
            "*"
          ]
        },
        {
          "Effect": "Allow",
          "Action": [
            "iam:CreateGroup",
            "iam:AddUserToGroup"
          ],
          "Resource": [
            "arn:aws:iam::*:group/AWS/OpsWorks/OpsWorks-*"
          ]
        },
        {
          "Effect": "Allow",
          "Action": [
            "iam:CreateUser",
            "iam:CreateAccessKey"
          ],
          "Resource": [
            "arn:aws:iam::*:user/AWS/OpsWorks/OpsWorks-*"
          ]
        },
        {
          "Effect": "Allow",
          "Action": [
            "iam:AttachUserPolicy"
          ],
          "Resource": [
            "arn:aws:iam::*:user/AWS/OpsWorks/OpsWorks-*"
          ],
          "Condition": {
            "ArnEquals": 
              {
                "iam:PolicyARN": "arn:aws:iam::aws:policy/AWSOpsWorksInstanceRegistration"
              }
            }
        }
      ]
    }

(廃止済み) AWSOpsWorksRegisterCLI ポリシー

重要

AWSOpsWorksRegisterCLI ポリシーは廃止されているため、新しいインスタンスの登録には使用できません。すでに登録されているインスタンスを対象とする下位互換作業にのみ使用できます。AWSOpsWorksRegisterCLI ポリシーには、CreateUserPutUserPolicy、および AddUserToGroup を含む多くの IAM アクセス権限が含まれています。これらは管理者レベルのアクセス権限であるため、AWSOpsWorksRegisterCLI ポリシーは信頼できる管理ユーザーにのみ割り当てる必要があります。