AWSAWS OpsWorks Configuration Management の マネージドポリシー - AWS OpsWorks
AWSOpsWorksCMServiceRoleAWSOpsWorksCMInstanceProfileRoleポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSAWS OpsWorks Configuration Management の マネージドポリシー

ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりも AWS 管理ポリシーを使用する方が簡単です。チームに必要な権限のみを提供する IAM カスタマーマネージドポリシーを作成するには時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースを対象としており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、IAM ユーザーガイドの「 AWS 管理ポリシー」を参照してください。

AWS サービスは、 AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスは、新機能をサポートするために、 AWS マネージドポリシーに追加のアクセス許可を追加することがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。サービスは、新機能が起動されたとき、または新しいオペレーションが利用可能になったときに、 AWS マネージドポリシーを更新する可能性が最も高いです。サービスは AWS 管理ポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。

さらに、 は、複数のサービスにまたがるジョブ関数の マネージドポリシー AWS をサポートしています。例えば、ReadOnlyAccess AWS 管理ポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。ジョブ機能のポリシーの一覧および詳細については、「IAM ユーザーガイド」の「AWS のジョブ機能のマネージドポリシー」を参照してください。

AWS 管理ポリシー: AWSOpsWorksCMServiceRole - 廃止

IAM エンティティに AWSOpsWorksCMServiceRole をアタッチできます。また、OpsWorks CM はこのポリシーをサービスのロールにアタッチし、OpsWorks CM がユーザーに代わってアクションを実行することを許可します。

このポリシーは、OpsWorks CM 管理者が OpsWorks CM サーバーおよびバックアップを作成、管理、および削除できるようにする管理上の権限を付与します。

詳細については、「 AWS マネージドポリシーリファレンスガイド」の「非推奨 AWS の マネージドポリシー」を参照してください。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • opsworks-cm — プリンシパルが既存のサーバを削除して、メンテナンス実行を開始できるようにします。

  • acm – ユーザーが OpsWorks CM サーバーに接続 AWS Certificate Manager できるようにする から証明書を削除またはインポートすることをプリンシパルに許可します。

  • cloudformation — プリンシパルが OpsWorks CM サーバーを作成、更新、または削除する際に、OpsWorks CM が AWS CloudFormation スタックを作成および管理できるようにします。

  • ec2 — プリンシパルが OpsWorks CM サーバーを作成、更新、または削除するときに、OpsWorks CM が Amazon Elastic Compute Cloud インスタンスを起動、プロビジョニング、更新、終了できるようにします。

  • iam — OpsWorks CM が、OpsWorks CM サーバーの作成および管理に必要なサービスロールを作成できるようにします。

  • tag - プリンシパルは、サーバーやバックアップなどの OpsWorks CM リソースでタグを適用および削除できるようにします。

  • s3 — OpsWorks CM は、サーバーバックアップを保存するための Amazon S3 バケットの作成、プリンシパルリクエスト (バックアップの削除など) で S3 バケット内のオブジェクトを管理し、バケットを削除できるようにします。

  • secretsmanager — OpsWorks CM が Secrets Manager のシークレットを作成および管理し、シークレットからタグを適用または削除できるようにします。

  • ssm — OpsWorks CM が OpsWorks CM サーバーであるインスタンスで Systems Manager の実行コマンドを使用できるようにします。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket*"
            ],
            "Action": [
                "s3:CreateBucket",
                "s3:DeleteObject",
                "s3:DeleteBucket",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutBucketPolicy",
                "s3:PutObject",
                "s3:GetBucketTagging",
                "s3:PutBucketTagging"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Action": [
                "tag:UntagResources",
                "tag:TagResources"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Action": [
                "ssm:DescribeInstanceInformation",
                "ssm:GetCommandInvocation",
                "ssm:ListCommandInvocations",
                "ssm:ListCommands"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*"
                }
            },
            "Action": [
                "ssm:SendCommand"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:ssm:*::document/*",
                "arn:aws:s3:::amzn-s3-demo-bucket*"
            ],
            "Action": [
                "ssm:SendCommand"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Action": [
                "ec2:AllocateAddress",
                "ec2:AssociateAddress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateImage",
                "ec2:CreateSecurityGroup",
                "ec2:CreateSnapshot",
                "ec2:CreateTags",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteSnapshot",
                "ec2:DeregisterImage",
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAddresses",
                "ec2:DescribeImages",
                "ec2:DescribeInstanceStatus",
                "ec2:DescribeInstances",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSnapshots",
                "ec2:DescribeSubnets",
                "ec2:DisassociateAddress",
                "ec2:ReleaseAddress",
                "ec2:RunInstances",
                "ec2:StopInstances"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*"
                }
            },
            "Action": [
                "ec2:TerminateInstances",
                "ec2:RebootInstances"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:opsworks-cm:*:*:server/*"
            ],
            "Action": [
                "opsworks-cm:DeleteServer",
                "opsworks-cm:StartMaintenance"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:cloudformation:*:*:stack/aws-opsworks-cm-*"
            ],
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStackEvents",
                "cloudformation:DescribeStackResources",
                "cloudformation:DescribeStacks",
                "cloudformation:UpdateStack"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::*:role/aws-opsworks-cm-*",
                "arn:aws:iam::*:role/service-role/aws-opsworks-cm-*"
            ],
            "Action": [
                "iam:PassRole"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": [
                "acm:DeleteCertificate",
                "acm:ImportCertificate"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*",
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:GetSecretValue",
                "secretsmanager:UpdateSecret",
                "secretsmanager:DeleteSecret",
                "secretsmanager:TagResource",
                "secretsmanager:UntagResource"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteTags",
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ec2:*:*:elastic-ip/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        }
    ]
}

AWS 管理ポリシー: AWSOpsWorksCMInstanceProfileRole - 廃止

IAM エンティティに AWSOpsWorksCMInstanceProfileRole をアタッチできます。また、OpsWorks CM はこのポリシーをサービスのロールにアタッチし、OpsWorks CM がユーザーに代わってアクションを実行することを許可します。

このポリシーは、OpsWorks CM サーバーとして使用される Amazon EC2 インスタンスが および から AWS CloudFormation 情報を取得し AWS Secrets Manager、Amazon S3 バケットにサーバーバックアップを保存できるようにする管理アクセス許可を付与します。

詳細については、「 AWS 管理ポリシーリファレンスガイド」の「非推奨 AWS の 管理ポリシー」を参照してください。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • acm – OpsWorks CM サーバー EC2 インスタンス AWS Certificate Manager が から証明書を取得して、ユーザーが OpsWorks CM サーバーに接続できるようにします。

  • cloudformation – OpsWorks CM サーバー EC2 インスタンスがインスタンスの作成または更新プロセス中に AWS CloudFormation スタックに関する情報を取得し、そのステータス AWS CloudFormation に関するシグナルを に送信できるようにします。

  • s3 — OpsWorks CM サーバー EC2 インスタンスがサーバーのバックアップをアップロードして S3 バケットに保存し、必要に応じてアップロードを停止またはロールバックし、S3 バケットからバックアップを削除できるようにします。

  • secretsmanager — OpsWorks CM サーバーの EC2 インスタンスが OpsWorks CM 関連の Secrets Manager のシークレットの値を取得できるようにします。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "cloudformation:DescribeStackResource",
                "cloudformation:SignalResource"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        },
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:ListMultipartUploadParts",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket*",
            "Effect": "Allow"
        },
        {
            "Action": "acm:GetCertificate",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*",
            "Effect": "Allow"
        }
    ]
}

AWS 管理ポリシーへの OpsWorks CM 更新

このサービスがこれらの変更の追跡を開始してからの OpsWorks CM の AWS 管理ポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知については、[OpsWorks CM ドキュメントの履歴] ページの RSS フィードをサブスクライブしてください。

変更 説明 日付

AWSOpsWorksCMInstanceProfileRole - 非推奨

サービスは廃止されているため、このポリシーは廃止されました。

 2025 年 5 月 26 日

AWSOpsWorksCMServiceRole - 非推奨

サービスは廃止されているため、このポリシーは廃止されました。

 2025 年 5 月 26 日

AWSOpsWorksCMServiceRole - 更新されたマネージドポリシー

OpsWorks CM は、OpsWorks CM 管理者が OpsWorks CM サーバーとバックアップを作成、管理、削除できるようにするマネージドポリシーを更新しました。この変更により、Secrets Manager のシークレットのリソース名に opsworks-cm! が追加され、OpsWorks CM がシークレットを所有できるようになります。

 2021 年 4 月 23 日

OpsWorks CM は変更の追跡を開始しました

OpsWorks CM は AWS 、管理ポリシーの変更の追跡を開始しました。

 2021 年 4 月 23 日