기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS 에 대한 관리형 정책 AWS OpsWorks 구성 관리
사용자, 그룹 및 역할에 권한을 추가하려면 더 쉽게 사용할 수 있습니다. AWS 정책을 직접 작성하는 것보다 관리형 정책을 사용하십시오. 팀에 필요한 권한만 제공하는 IAM고객 관리형 정책을 만들려면 시간과 전문 지식이 필요합니다. 빠르게 시작하려면 다음을 사용할 수 있습니다. AWS 관리형 정책. 이러한 정책은 일반적인 사용 사례를 다루며 다음과 같은 국가에서 사용할 수 있습니다. AWS 계정. 에 대한 자세한 내용은 AWS 관리형 정책을 참조하십시오. AWSIAM사용 설명서의 관리형 정책.
AWS 서비스 유지 및 업데이트 AWS 관리형 정책. 에서는 권한을 변경할 수 없습니다. AWS 관리형 정책. 서비스는 경우에 따라 권한을 추가할 수 있습니다. AWS 새 기능을 지원하는 관리형 정책. 이 유형의 업데이트는 정책이 연결된 모든 ID(사용자, 그룹 및 역할)에 적용됩니다. 서비스가 업데이트할 가능성이 가장 높습니다. AWS 새 기능이 출시되거나 새 작업을 사용할 수 있게 될 때의 관리형 정책. 서비스는 권한의 권한을 제거하지 않습니다. AWS 관리형 정책을 사용하므로 정책 업데이트로 인해 기존 권한이 손상되지 않습니다.
또한, AWS 여러 서비스에 걸친 작업 기능에 대한 관리형 정책을 지원합니다. 예를 들어, ReadOnlyAccess AWS 관리형 정책은 모든 사용자에게 읽기 전용 액세스를 제공합니다. AWS 서비스 및 리소스. 서비스가 새 기능을 출시하면 AWS 새 작업 및 리소스에 대한 읽기 전용 권한을 추가합니다. 직무 정책 목록 및 설명은 을 참조하십시오. AWSIAM사용자 안내서의 직무 관리 정책
AWS관리형 정책: AWSOpsWorksCMServiceRole
AWSOpsWorksCMServiceRoleIAM엔티티에 연결할 수 있습니다. OpsWorks 또한 CM은 OpsWorks CM이 사용자를 대신하여 작업을 수행할 수 있도록 하는 서비스 역할에 이 정책을 연결합니다.
이 정책은 다음을 부여합니다.administrative OpsWorks CM 관리자가 OpsWorks CM 서버 및 백업을 만들고, 관리하고, 삭제할 수 있는 권한입니다.
권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
-
opsworks-cm— 주체가 기존 서버를 삭제하고 유지 관리 실행을 시작할 수 있습니다. -
acm— 주체가 인증서를 삭제하거나 가져올 수 있습니다. AWS Certificate Manager 이를 통해 사용자는 OpsWorks CM 서버에 연결할 수 있습니다. -
cloudformation— OpsWorks CM이 만들고 관리할 수 있습니다. AWS CloudFormation 주도자가 CM 서버를 생성, 업데이트 또는 삭제할 OpsWorks 때 스택됩니다. -
ec2— 보안 OpsWorks 주체가 CM 서버를 생성, 업데이트 또는 삭제할 OpsWorks 때 CM이 Amazon Elastic Compute Cloud 인스턴스를 시작, 프로비저닝, 업데이트 및 종료할 수 있도록 허용합니다. iam— OpsWorks CM이 CM 서버를 생성 및 관리하는 OpsWorks 데 필요한 서비스 역할을 생성할 수 있습니다.-
tag— 주도자가 서버 및 백업을 포함한 OpsWorks CM 리소스에서 태그를 적용하고 제거할 수 있습니다. -
s3— OpsWorks CM이 서버 백업을 저장하기 위한 Amazon S3 버킷을 생성하고, 주요 요청 시 S3 버킷의 객체를 관리 (예: 백업 삭제) 하고, 버킷을 삭제할 수 있습니다. secretsmanager— OpsWorks CM이 Secrets Manager 암호를 생성 및 관리하고 암호에 태그를 적용하거나 제거할 수 있습니다.ssm— OpsWorks CM이 OpsWorks CM 서버인 인스턴스에서 Systems Manager 실행 명령을 사용할 수 있도록 허용합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket*"
],
"Action": [
"s3:CreateBucket",
"s3:DeleteObject",
"s3:DeleteBucket",
"s3:GetObject",
"s3:ListBucket",
"s3:PutBucketPolicy",
"s3:PutObject",
"s3:GetBucketTagging",
"s3:PutBucketTagging"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"tag:UntagResources",
"tag:TagResources"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"ssm:DescribeInstanceInformation",
"ssm:GetCommandInvocation",
"ssm:ListCommandInvocations",
"ssm:ListCommands"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*"
}
},
"Action": [
"ssm:SendCommand"
]
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:*::document/*",
"arn:aws:s3:::amzn-s3-demo-bucket*"
],
"Action": [
"ssm:SendCommand"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"ec2:AllocateAddress",
"ec2:AssociateAddress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateImage",
"ec2:CreateSecurityGroup",
"ec2:CreateSnapshot",
"ec2:CreateTags",
"ec2:DeleteSecurityGroup",
"ec2:DeleteSnapshot",
"ec2:DeregisterImage",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeImages",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstances",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSnapshots",
"ec2:DescribeSubnets",
"ec2:DisassociateAddress",
"ec2:ReleaseAddress",
"ec2:RunInstances",
"ec2:StopInstances"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*"
}
},
"Action": [
"ec2:TerminateInstances",
"ec2:RebootInstances"
]
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:opsworks-cm:*:*:server/*"
],
"Action": [
"opsworks-cm:DeleteServer",
"opsworks-cm:StartMaintenance"
]
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:cloudformation:*:*:stack/aws-opsworks-cm-*"
],
"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStackResources",
"cloudformation:DescribeStacks",
"cloudformation:UpdateStack"
]
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:iam::*:role/aws-opsworks-cm-*",
"arn:aws:iam::*:role/service-role/aws-opsworks-cm-*"
],
"Action": [
"iam:PassRole"
]
},
{
"Effect": "Allow",
"Resource": "*",
"Action": [
"acm:DeleteCertificate",
"acm:ImportCertificate"
]
},
{
"Effect": "Allow",
"Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:UpdateSecret",
"secretsmanager:DeleteSecret",
"secretsmanager:TagResource",
"secretsmanager:UntagResource"
]
},
{
"Effect": "Allow",
"Action": "ec2:DeleteTags",
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:elastic-ip/*",
"arn:aws:ec2:*:*:security-group/*"
]
}
]
}AWS관리형 정책: AWSOpsWorksCMInstanceProfileRole
AWSOpsWorksCMInstanceProfileRoleIAM엔티티에 연결할 수 있습니다. OpsWorks 또한 CM은 OpsWorks CM이 사용자를 대신하여 작업을 수행할 수 있도록 하는 서비스 역할에 이 정책을 연결합니다.
이 정책은 다음을 부여합니다.administrative OpsWorks CM 서버로 사용되는 Amazon EC2 인스턴스가 정보를 가져올 수 있도록 하는 권한 AWS CloudFormation 그리고 AWS Secrets Manager, Amazon S3 버킷에 서버 백업을 저장합니다.
권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
-
acm— OpsWorks CM 서버 EC2 인스턴스가 다음에서 인증서를 받을 수 있도록 허용합니다. AWS Certificate Manager 이를 통해 사용자는 OpsWorks CM 서버에 연결할 수 있습니다. -
cloudformation— OpsWorks CM 서버 EC2 인스턴스에서 다음 정보를 가져올 수 있습니다. AWS CloudFormation 인스턴스 생성 또는 업데이트 프로세스 중에 스택하고 다음으로 신호를 보냅니다. AWS CloudFormation 상태 정보. -
s3— OpsWorks CM 서버 EC2 인스턴스가 S3 버킷에 서버 백업을 업로드 및 저장하고, 필요한 경우 업로드를 중지 또는 롤백하고, S3 버킷에서 백업을 삭제할 수 있습니다. -
secretsmanager— OpsWorks CM 서버 EC2 인스턴스가 OpsWorks CM 관련 Secrets Manager 암호 값을 가져올 수 있도록 합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"cloudformation:DescribeStackResource",
"cloudformation:SignalResource"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListMultipartUploadParts",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket*",
"Effect": "Allow"
},
{
"Action": "acm:GetCertificate",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*",
"Effect": "Allow"
}
]
}OpsWorks CM은 다음으로 업데이트됩니다. AWS 관리형 정책
업데이트에 대한 세부 정보 보기 AWS 이 서비스가 이러한 변경 사항을 추적하기 시작한 이후 OpsWorks CM에 대한 관리형 정책. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 OpsWorks CM 문서 기록 페이지에서 RSS 피드를 구독하십시오.
| 변경 사항 | 설명 | 날짜 |
|---|---|---|
|
AWSOpsWorksCMInstanceProfileRole- 업데이트된 관리형 정책 |
OpsWorks CM은 OpsWorks CM 서버로 사용되는 EC2 인스턴스가 Secrets CloudFormation Manager와 정보를 공유하고 백업을 관리할 수 있도록 허용하는 관리형 정책을 업데이트했습니다. |
2021년 4월 23일 |
|
AWSOpsWorksCMServiceRole- 관리형 정책 업데이트 |
OpsWorks CM은 CM 관리자가 OpsWorks OpsWorks CM 서버 및 백업을 생성, 관리 및 삭제할 수 있는 관리형 정책을 업데이트했습니다. |
2021년 4월 23일 |
|
OpsWorks CM이 변경 사항을 추적하기 시작했습니다. |
OpsWorks CM은 해당 변경 사항을 추적하기 시작했습니다. AWS 관리형 정책. |
2021년 4월 23일 |
