기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
정책 예제
중요
이 AWS OpsWorks Stacks 서비스는 2024년 5월 26일에 수명이 종료되었으며 신규 고객과 기존 고객 모두 사용할 수 없게 되었습니다. 고객은 가능한 한 빨리 워크로드를 다른 솔루션으로 마이그레이션할 것을 강력히 권장합니다. 마이그레이션에 대해 궁금한 점이 있으면 AWS re:Post 또는 Premium AWS
이 섹션에서는 Stacks 사용자에게 적용할 AWS OpsWorks 수 있는 IAM 정책의 예를 설명합니다.
-
관리 권한은(는) 관리 사용자에게 권한을 부여하는 데 사용할 수 있는 정책을 설명합니다.
-
권한 관리 및 [배포] 권한 섹션에서는 관리 및 배포 권한 수준을 보강 또는 제한하기 위해 사용자에게 적용할 수 있는 정책을 예시합니다.
AWS OpsWorks 스택은 IAM 정책에서 부여한 권한과 권한 페이지에서 부여한 권한을 평가하여 사용자의 권한을 결정합니다. 자세한 내용은 정책을 사용한 AWS 리소스 액세스 제어를 참조하십시오. [권한] 페이지에 대한 자세한 정보는 AWS OpsWorks 스택, 권한 수준 단원을 참조하세요.
관리 권한
IAM 콘솔 https://console.aws.amazon.com/iam/
AWS OpsWorks Stacks가 사용자를 대신하여 Amazon EC2 인스턴스와 같은 다른 AWS 리소스에 액세스할 수 있도록 허용하는 IAM 역할을 생성해야 합니다. 일반적으로 이 작업은 관리자가 첫 번째 스택을 생성하도록 하고 AWS OpsWorks Stacks가 대신 역할을 생성하도록 하는 방식으로 처리합니다. 그러면 이후의 모든 작업에 이 역할을 사용할 수 있습니다. 자세한 정보는 AWS OpsWorks Stacks가 사용자를 대신하여 작동하도록 허용을 참조하세요.
첫 번째 스택을 생성하는 관리자는 정책에 포함되지 않은 일부 IAM 작업에 대한 권한을 가지고 있어야 합니다. AWSOpsWorks_FullAccess 정책 Actions 섹션에 다음 권한을 추가합니다. 적절한 JSON 구문을 위해 작업 사이에 쉼표를 추가하고 작업 목록 끝에 있는 후행 쉼표를 제거해야 합니다.
"iam:PutRolePolicy", "iam:AddRoleToInstanceProfile", "iam:CreateInstanceProfile", "iam:CreateRole"
권한 관리
[관리] 권한 수준은 사용자가 계층 생성 또는 삭제를 포함한 다양한 스택 관리 작업을 수행하도록 허용합니다. 이 주제에서는 관리 사용자에게 사용하여 표준 권한을 보강 또는 제한할 수 있는 여러 정책을 설명합니다.
- [관리] 사용자에게서 계층을 추가 또는 삭제할 수 있는 권한을 거부
-
다음 IAM 정책을 사용하여 사용자가 계층 추가 또는 삭제를 제외한 모든 관리 작업을 수행할 수 있도록 관리 권한 수준을 제한할 수 있습니다.
리전,account_id,stack_id를 구성에 적합한 값으로 바꿉니다.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "opsworks:CreateLayer", "opsworks:DeleteLayer" ], "Resource": "arn:aws:opsworks:region:account_id:stack/stack_id/" } ] } - [관리] 사용자가 스택을 생성 또는 복제할 수 있도록 허용
-
관리 권한 수준은 사용자가 스택을 생성하거나 복제하도록 허용하지 않습니다. 다음 IAM 정책을 적용하여 사용자가 스택을 생성하거나 복제할 수 있도록 관리 권한을 변경할 수 있습니다.
리전및account_id를 구성에 적합한 값으로 바꿉니다.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GetRolePolicy", "iam:ListRoles", "iam:ListInstanceProfiles", "iam:ListUsers", "opsworks:DescribeUserProfiles", "opsworks:CreateUserProfile", "opsworks:DeleteUserProfile" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:opsworks::account_id:stack/*/", "Condition": { "StringEquals": { "iam:PassedToService": "opsworks.amazonaws.com" } } } ] } - [관리] 사용자에게서 리소스를 등록 또는 등록 해제할 수 있는 권한을 거부
-
관리 권한 수준은 사용자가 스택에 Amazon EBS 및 탄력적 IP 주소 리소스를 등록 또는 등록 해제할 수 있도록 허용합니다. 다음 정책을 적용하여 사용자가 리소스 등록을 제외한 모든 관리 작업을 수행할 수 있도록 관리 권한을 제한할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "opsworks:RegisterVolume", "opsworks:RegisterElasticIp" ], "Resource": "*" } ] } - [관리] 사용자가 사용자를 가져오도록 허용
-
권한 관리 수준에서는 사용자가 사용자를 AWS OpsWorks 스택으로 가져올 수 없습니다. 다음 IAM 정책을 적용하여 사용자가 사용자를 가져오고 삭제할 수 있도록 관리 권한을 강화할 수 있습니다.
리전및account_id를 구성에 적합한 값으로 바꿉니다.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GetRolePolicy", "iam:ListRoles", "iam:ListInstanceProfiles", "iam:ListUsers", "iam:PassRole", "opsworks:DescribeUserProfiles", "opsworks:CreateUserProfile", "opsworks:DeleteUserProfile" ], "Resource": "arn:aws:iam:region:account_id:user/*", "Condition": { "StringEquals": { "iam:PassedToService": "opsworks.amazonaws.com" } } } ] }
[배포] 권한
[배포] 권한 수준은 사용자가 앱을 생성하거나 복제하도록 허용하지 않습니다. 다음 IAM 정책을 적용하여 사용자가 앱을 만들고 삭제할 수 있도록 배포 권한을 강화할 수 있습니다. 리전, account_id, stack_id를 구성에 적합한 값으로 바꿉니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "opsworks:CreateApp", "opsworks:DeleteApp" ], "Resource": "arn:aws:opsworks:region:account_id:stack/stack_id/" } ] }
