기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
정책 예제
중요
AWS OpsWorks Stacks은 더 이상 신규 고객을 받지 않습니다. 기존 고객은 2024년 5월 26일까지 OpsWorks 콘솔, API, CLI, CloudFormation 리소스를 정상적으로 사용할 수 있으며, 이때 중단될 예정입니다. 이러한 전환에 대비하려면 가능한 한 빨리 스택을 AWS Systems Manager으로 전환하는 것이 좋습니다. 자세한 정보는 AWS OpsWorks Stacks 수명 종료 관련 자주 묻는 질문 및 AWS Systems Manager 애플리케이션 관리자로 AWS OpsWorks Stacks 애플리케이션 마이그레이션 섹션을 참조하세요.
이 섹션에서는 AWS OpsWorks Stacks 사용자에게 적용할 수 있는 IAM 정책의 예를 설명합니다.
-
관리 권한은(는) 관리 사용자에게 권한을 부여하는 데 사용할 수 있는 정책을 설명합니다.
-
권한 관리 및 [Deploy] 권한 섹션에서는 관리 및 배포 권한 수준을 보강 또는 제한하기 위해 사용자에게 적용할 수 있는 정책을 예시합니다.
AWS OpsWorks 스택은 IAM 정책에서 부여하는 권한과 권한 페이지에서 부여하는 권한을 평가하여 사용자 권한을 결정합니다. 자세한 내용은 정책을 사용한 AWS 리소스 액세스 제어를 참조하세요. [Permissions] 페이지에 대한 자세한 정보는 AWS OpsWorks Stacks 권한 수준 단원을 참조하십시오.
관리 권한
IAM 콘솔 https://console.aws.amazon.com/iam/
AWS OpsWorks Stacks가 사용자를 대신하여 Amazon EC2 인스턴스와 같은 다른 AWS 리소스에 액세스할 수 있도록 허용하는 IAM 역할을 생성해야 합니다. 일반적으로 관리 사용자가 첫 번째 스택을 생성하도록 하고 AWS OpsWorks Stacks가 사용자 대신 역할을 생성하도록 하여 이 작업을 처리합니다. 그러면 이후의 모든 작업에 이 역할을 사용할 수 있습니다. 자세한 내용은 AWS OpsWorks Stacks가 사용자 대신 작업하도록 허용 섹션을 참조하세요.
첫 번째 스택을 생성하는 관리 사용자에게는 다음과 같이 AWSOpsWorks_FullAccess 정책에 포함되지 않은 일부 IAM 작업에 대한 권한을 부여해야 합니다. 정책 Actions 섹션에 다음 권한을 추가합니다. 적절한 JSON 구문을 위해 작업 사이에 쉼표를 추가하고 작업 목록 끝에 있는 후행 쉼표를 제거해야 합니다.
"iam:PutRolePolicy", "iam:AddRoleToInstanceProfile", "iam:CreateInstanceProfile", "iam:CreateRole"
권한 관리
[Manage] 권한 수준은 사용자가 계층 생성 또는 삭제를 포함한 다양한 스택 관리 작업을 수행하도록 허용합니다. 이 주제에서는 관리 사용자에게 사용하여 표준 권한을 보강 또는 제한할 수 있는 여러 정책을 설명합니다.
- [Manage] 사용자에게서 계층을 추가 또는 삭제할 수 있는 권한을 거부
-
다음 IAM 정책을 사용하여 사용자가 계층 추가 또는 삭제를 제외한 모든 관리 작업을 수행할 수 있도록 관리 권한 수준을 제한할 수 있습니다.
리전,account_id,stack_id를 구성에 적합한 값으로 바꾸십시오.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "opsworks:CreateLayer", "opsworks:DeleteLayer" ], "Resource": "arn:aws:opsworks:region:account_id:stack/stack_id/" } ] } - [Manage] 사용자가 스택을 생성 또는 복제할 수 있도록 허용
-
관리 권한 수준은 사용자가 스택을 생성하거나 복제하도록 허용하지 않습니다. 다음 IAM 정책을 적용하여 사용자가 스택을 생성하거나 복제할 수 있도록 관리 권한을 변경할 수 있습니다.
리전및account_id를 구성에 적합한 값으로 바꾸십시오.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GetRolePolicy", "iam:ListRoles", "iam:ListInstanceProfiles", "iam:ListUsers", "opsworks:DescribeUserProfiles", "opsworks:CreateUserProfile", "opsworks:DeleteUserProfile" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:opsworks::account_id:stack/*/", "Condition": { "StringEquals": { "iam:PassedToService": "opsworks.amazonaws.com" } } } ] } - [Manage] 사용자에게서 리소스를 등록 또는 등록 해제할 수 있는 권한을 거부
-
관리 권한 수준은 사용자가 스택에 Amazon EBS 및 탄력적 IP 주소 리소스를 등록 또는 등록 해제할 수 있도록 허용합니다. 다음 정책을 적용하여 사용자가 리소스 등록을 제외한 모든 관리 작업을 수행할 수 있도록 관리 권한을 제한할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "opsworks:RegisterVolume", "opsworks:RegisterElasticIp" ], "Resource": "*" } ] } - [Manage] 사용자가 사용자를 가져오도록 허용
-
Manage(관리) 권한 수준은 사용자가 AWS OpsWorks 스택으로 사용자를 가져오도록 허용하지 않습니다. 다음 IAM 정책을 적용하여 사용자가 사용자를 가져오고 삭제할 수 있도록 관리 권한을 강화할 수 있습니다.
리전및account_id를 구성에 적합한 값으로 바꾸십시오.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GetRolePolicy", "iam:ListRoles", "iam:ListInstanceProfiles", "iam:ListUsers", "iam:PassRole", "opsworks:DescribeUserProfiles", "opsworks:CreateUserProfile", "opsworks:DeleteUserProfile" ], "Resource": "arn:aws:iam:region:account_id:user/*", "Condition": { "StringEquals": { "iam:PassedToService": "opsworks.amazonaws.com" } } } ] }
[Deploy] 권한
[Deploy] 권한 수준은 사용자가 앱을 생성하거나 복제하도록 허용하지 않습니다. 다음 IAM 정책을 적용하여 사용자가 앱을 만들고 삭제할 수 있도록 배포 권한을 강화할 수 있습니다. 리전, account_id, stack_id를 구성에 적합한 값으로 바꾸십시오.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "opsworks:CreateApp", "opsworks:DeleteApp" ], "Resource": "arn:aws:opsworks:region:account_id:stack/stack_id/" } ] }
