정책 예제 - AWS OpsWorks

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

정책 예제

이 섹션에서는 AWS OpsWorks Stacks 사용자에게 연결할 수 있는 IAM 정책 몇 가지를 예시합니다.

  • 관리 권한 섹션에서는 관리 사용자에게 권한을 부여하는 데 사용할 수 있는 두 가지 정책을 소개합니다.

  • 권한 관리 [Deploy] 권한 섹션에서는 [Manage] 및 [Deploy] 권한 수준을 보강 또는 제한하기 위해 사용자에게 연결할 수 있는 정책을 예시합니다.

    AWS OpsWorks 스택은 연결된 IAM 정책에서 부여하는 권한과 권한 페이지에서 부여하는 권한을 평가하여 사용자 권한을 결정합니다. 자세한 내용은 AWS IAM 정책 개요를 참조하십시오. [Permissions] 페이지에 대한 자세한 정보는 AWS OpsWorks Stacks 권한 수준 단원을 참조하십시오.

관리 권한

다음은 AWSOpsWorksFullAccess 정책입니다. 이 정책은 사용자에게 모든 AWS OpsWorks Stacks 작업을 수행할 수 있는 권한을 부여합니다. IAM 권한이 필요합니다(특히 관리 사용자가 사용자를 가져오도록 허용하는 경우).

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "opsworks:*", "ec2:DescribeAvailabilityZones", "ec2:DescribeKeyPairs", "ec2:DescribeSecurityGroups", "ec2:DescribeAccountAttributes", "ec2:DescribeAvailabilityZones", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "elasticloadbalancing:DescribeInstanceHealth", "elasticloadbalancing:DescribeLoadBalancers", "iam:GetRolePolicy", "iam:ListRoles", "iam:ListInstanceProfiles", "iam:PassRole", "iam:ListUsers" ], "Resource": "*" } ] }

AWS OpsWorks Stacks가 사용자 대신 Amazon EC2 인스턴스와 같은 다른 AWS 리소스에 대한 작업을 수행할 수 있도록 허용하는 IAM 역할을 생성해야 합니다. 일반적으로 관리 사용자가 첫 번째 스택을 생성하도록 하고 AWS OpsWorks Stacks가 사용자 대신 역할을 생성하도록 하여 이 작업을 처리합니다. 그러면 이후의 모든 작업에 이 역할을 사용할 수 있습니다. 자세한 정보는 AWS OpsWorks Stacks가 사용자 대신 작업하도록 허용 단원을 참조하십시오.

첫 번째 스택을 생성하는 관리 사용자에게는 다음과 같이 AWSOpsWorksFullAccess 정책에 포함되지 않은 일부 IAM 작업에 대한 권한을 부여해야 합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "opsworks:*", "ec2:DescribeAvailabilityZones", "ec2:DescribeKeyPairs", "ec2:DescribeAccountAttributes", "ec2:DescribeAvailabilityZones", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "elasticloadbalancing:DescribeInstanceHealth", "elasticloadbalancing:DescribeLoadBalancers", "iam:GetRolePolicy", "iam:ListRoles", "iam:ListInstanceProfiles", "iam:PassRole", "iam:ListUsers", "iam:PutRolePolicy", "iam:AddRoleToInstanceProfile", "iam:CreateInstanceProfile", "iam:CreateRole" ], "Resource": "*" } ] }

권한 관리

[Manage] 권한 수준은 사용자가 계층 생성 또는 삭제를 포함한 다양한 스택 관리 작업을 수행하도록 허용합니다. 이 주제에서는 [Manage] 사용자에게 연결하여 표준 권한을 보강 또는 제한할 수 있는 여러 정책을 설명합니다.

[Manage] 사용자에게서 계층을 추가 또는 삭제할 수 있는 권한을 거부

다음 IAM 정책을 연결하여 사용자가 계층 추가 또는 삭제를 제외한 모든 Manage(관리) 작업을 수행할 수 있도록 관리(관리) 권한 수준을 제한할 수 있습니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "opsworks:CreateLayer", "opsworks:DeleteLayer" ], "Resource": "*" } ] }
[Manage] 사용자가 스택을 생성 또는 복제할 수 있도록 허용

[Manage] 권한 수준은 사용자가 스택을 생성하거나 복제하도록 허용하지 않습니다. 다음 IAM 정책을 연결하여 사용자가 스택을 생성 또는 복제할 수 있도록 Manage(관리) 권한을 보강할 수 있습니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "opsworks:CreateStack", "opsworks:CloneStack" ], "Resource": "*" } ] }
[Manage] 사용자에게서 리소스를 등록 또는 등록 해제할 수 있는 권한을 거부

Manage(관리) 권한 수준은 사용자가 스택에 Amazon EBS 및 탄력적 IP 주소 리소스를 등록 또는 등록 해제할 수 있도록 허용합니다. 다음 정책을 연결하여 사용자가 리소스 등록을 제외한 모든 Manage 작업을 수행할 수 있도록 [Manage] 권한을 제한할 수 있습니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "opsworks:RegisterVolume", "opsworks:RegisterElasticIp" ], "Resource": "*" } ] }
[Manage] 사용자가 사용자를 가져오도록 허용

Manage(관리) 권한 수준은 사용자가 AWS OpsWorks 스택으로 사용자를 가져오도록 허용하지 않습니다. 다음 IAM 정책을 연결하여 사용자가 사용자를 가져오기 또는 삭제할 수 있도록 Manage(관리) 권한을 보강할 수 있습니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GetRolePolicy", "iam:ListRoles", "iam:ListInstanceProfiles", "iam:ListUsers", "iam:PassRole", "iam:ListInstanceProfiles", "opsworks:DescribeUserProfiles", "opsworks:CreateUserProfile", "opsworks:DeleteUserProfile" ], "Resource": "*" } ] }

[Deploy] 권한

[Deploy] 권한 수준은 사용자가 앱을 생성하거나 복제하도록 허용하지 않습니다. 다음 IAM 정책을 연결하여 사용자가 앱을 생성 및 삭제할 수 있도록 배포 권한을 보강할 수 있습니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "opsworks:CreateApp", "opsworks:DeleteApp" ], "Resource": "*" } ] }