AWS OpsWorks コンフィグレーションマネジメント用の AWS 管理ポリシー

ユーザー、グループ、ロールにアクセス権限を追加するには、自分でポリシーを作成するよりも、AWS管理ポリシーを使用する方が簡単です。チームに必要な許可のみを提供する IAM カスタマーマネージドポリシーを作成するには、時間と専門知識が必要です。すぐに使用を開始するために、AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースを対象範囲に含めており、AWS アカウントで利用できます。AWS マネージドポリシーの詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS のサービスは、AWS マネージドポリシーを維持および更新します。AWS マネージドポリシーの許可を変更することはできません。サービスでは、新しい機能を利用できるようにするために、AWS マネージドポリシーに許可が追加されることがあります。この種類の更新は、ポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは、AWS マネージドポリシーから許可を削除しないため、ポリシーの更新によって既存の許可が破棄されることはありません。

さらに、AWS は、複数のサービスにまたがるジョブ機能の特徴に対するマネージドポリシーもサポートしています。例えば、ReadOnlyAccess AWS マネージドポリシーでは、すべての AWS のサービスおよびリソースへの読み取り専用アクセスを許可します。サービスが新しい機能を起動する場合、AWS は、新たなオペレーションとリソース用に、読み取り専用の許可を追加します。ジョブ機能ポリシーのリストと説明については、「IAM ユーザーガイド」のAWS 「ジョブ機能の管理ポリシー」を参照してください。

AWS マネージドポリシー: AWSOpsWorksCMServiceRole

IAM エンティティに AWSOpsWorksCMServiceRole をアタッチできます。また、OpsWorks CM はこのポリシーをサービスのロールにアタッチし、OpsWorks CM がユーザーに代わってアクションを実行することを許可します。

このポリシーは、OpsWorks CM 管理者が OpsWorks CM サーバーおよびバックアップを作成、管理、および削除できるようにする管理上の権限を付与します。

許可の詳細

このポリシーには、以下の許可が含まれています。

• opsworks-cm — プリンシパルが既存のサーバを削除して、メンテナンス実行を開始できるようにします。

• acm — プリンシパルが証明書の削除またはインポートを許可する AWS Certificate Manager を使用して、ユーザーが OpsWorks CM サーバーに接続できるようにします。

• cloudformation — プリンシパルが OpsWorks CM サーバーを作成、更新、または削除する際に、OpsWorks CM が AWS CloudFormation スタックを作成および管理できるようにします。

• ec2 — プリンシパルが OpsWorks CM サーバーを作成、更新、または削除するときに、OpsWorks CM が Amazon Elastic Compute Cloud インスタンスを起動、プロビジョニング、更新、終了できるようにします。

• iam — OpsWorks CM が、OpsWorks CM サーバーの作成および管理に必要なサービスロールを作成できるようにします。

• tag - プリンシパルは、サーバーやバックアップなどの OpsWorks CM リソースでタグを適用および削除できるようにします。

• s3 — OpsWorks CM は、サーバーバックアップを保存するための Amazon S3 バケットの作成、プリンシパルリクエスト (バックアップの削除など) で S3 バケット内のオブジェクトを管理し、バケットを削除できるようにします。

• secretsmanager — OpsWorks CM が Secrets Manager のシークレットを作成および管理し、シークレットからタグを適用または削除できるようにします。

• ssm — OpsWorks CM が OpsWorks CM サーバーであるインスタンスで Systems Manager の実行コマンドを使用できるようにします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-opsworks-cm-*"
            ],
            "Action": [
                "s3:CreateBucket",
                "s3:DeleteObject",
                "s3:DeleteBucket",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutBucketPolicy",
                "s3:PutObject",
                "s3:GetBucketTagging",
                "s3:PutBucketTagging"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Action": [
                "tag:UntagResources",
                "tag:TagResources"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Action": [
                "ssm:DescribeInstanceInformation",
                "ssm:GetCommandInvocation",
                "ssm:ListCommandInvocations",
                "ssm:ListCommands"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*"
                }
            },
            "Action": [
                "ssm:SendCommand"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:ssm:*::document/*",
                "arn:aws:s3:::aws-opsworks-cm-*"
            ],
            "Action": [
                "ssm:SendCommand"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Action": [
                "ec2:AllocateAddress",
                "ec2:AssociateAddress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateImage",
                "ec2:CreateSecurityGroup",
                "ec2:CreateSnapshot",
                "ec2:CreateTags",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteSnapshot",
                "ec2:DeregisterImage",
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAddresses",
                "ec2:DescribeImages",
                "ec2:DescribeInstanceStatus",
                "ec2:DescribeInstances",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSnapshots",
                "ec2:DescribeSubnets",
                "ec2:DisassociateAddress",
                "ec2:ReleaseAddress",
                "ec2:RunInstances",
                "ec2:StopInstances"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*"
                }
            },
            "Action": [
                "ec2:TerminateInstances",
                "ec2:RebootInstances"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:opsworks-cm:*:*:server/*"
            ],
            "Action": [
                "opsworks-cm:DeleteServer",
                "opsworks-cm:StartMaintenance"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:cloudformation:*:*:stack/aws-opsworks-cm-*"
            ],
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStackEvents",
                "cloudformation:DescribeStackResources",
                "cloudformation:DescribeStacks",
                "cloudformation:UpdateStack"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::*:role/aws-opsworks-cm-*",
                "arn:aws:iam::*:role/service-role/aws-opsworks-cm-*"
            ],
            "Action": [
                "iam:PassRole"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": [
                "acm:DeleteCertificate",
                "acm:ImportCertificate"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*",
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:GetSecretValue",
                "secretsmanager:UpdateSecret",
                "secretsmanager:DeleteSecret",
                "secretsmanager:TagResource",
                "secretsmanager:UntagResource"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteTags",
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ec2:*:*:elastic-ip/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        }
    ]
}

AWS マネージドポリシー: AWSOpsWorksCMInstanceProfileRole

IAM エンティティに AWSOpsWorksCMInstanceProfileRole をアタッチできます。また、OpsWorks CMはこのポリシーをサービスのロールにアタッチし、OpsWorks CM がユーザーに代わってアクションを実行できるようにします。

このポリシーは、OpsWorks CM サーバーとして使用されている Amazon EC2 インスタンスが AWS CloudFormation と AWS Secrets Manager から情報を取得し、サーバーのバックアップを Amazon S3 バケットに保存できるようにする管理権限を付与します。

許可の詳細

このポリシーには、以下の許可が含まれています。

• acm — OpsWorks CM サーバー EC2 インスタンスが AWS Certificate Manager から証明書を取得して、ユーザーが OpsWorks CM サーバーに接続するできるようにします。

• cloudformation — OpsWorks CM サーバー EC2 インスタンスが、インスタンスの作成または更新プロセス中に AWS CloudFormation スタックに関する情報を取得し、そのステータスについて AWS CloudFormation にシグナルを送信できるようにします。

• s3 — OpsWorks CM サーバー EC2 インスタンスがサーバーのバックアップをアップロードして S3 バケットに保存し、必要に応じてアップロードを停止またはロールバックし、S3 バケットからバックアップを削除できるようにします。

• secretsmanager — OpsWorks CM サーバーの EC2 インスタンスが OpsWorks CM 関連の Secrets Manager のシークレットの値を取得できるようにします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "cloudformation:DescribeStackResource",
                "cloudformation:SignalResource"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        },
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:ListMultipartUploadParts",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::aws-opsworks-cm-*",
            "Effect": "Allow"
        },
        {
            "Action": "acm:GetCertificate",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*",
            "Effect": "Allow"
        }
    ]
}

OpsWorks CMによる AWS マネージドポリシーの更新

このサービスが変更の追跡を開始した以降の、OpsWorks CMの AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知については、[OpsWorks CM ドキュメントの履歴] ページの RSS フィードをサブスクライブしてください。

変更	説明	日付
AWSOpsWorksCMInstanceProfileRole - 更新されたマネージドポリシー	OpsWorks CM は、OpsWorks CM サーバーとして使用される EC2 インスタンスが CloudFormation および Secrets Manager と情報を共有し、バックアップを管理できるようにするマネージドポリシーを更新しました。この変更により、Secrets Manager のシークレットのリソース名に opsworks-cm! が追加され、OpsWorks CM がシークレットを所有できるようになります。	2021 年 4 月 23 日
AWSOpsWorksCMServiceRole - 更新されたマネージドポリシー	OpsWorks CM は、OpsWorks CM 管理者が OpsWorks CM サーバーとバックアップを作成、管理、削除できるようにするマネージドポリシーを更新しました。この変更により、Secrets Manager のシークレットのリソース名に opsworks-cm! が追加され、OpsWorks CM がシークレットを所有できるようになります。	2021 年 4 月 23 日
OpsWorks CM は変更の追跡を開始しました	OpsWorks CM が AWS マネージドポリシーの変更の追跡を開始しました。	2021 年 4 月 23 日