As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Melhores práticas: Gerenciamento de permissões
Importante
O AWS OpsWorks Stacks serviço chegou ao fim da vida útil em 26 de maio de 2024 e foi desativado para clientes novos e existentes. É altamente recomendável que os clientes migrem suas cargas de trabalho para outras soluções o mais rápido possível. Se você tiver dúvidas sobre migração, entre em contato com a AWS Support equipe no AWS re:POST
Você deve ter algum tipo de credencial da AWS para acessar os recursos da sua conta. Veja a seguir algumas diretrizes gerais para fornecer acesso a seus funcionários.
-
Em primeiro lugar, recomendamos que você não use as credenciais raiz da sua conta para acessar os recursos da AWS.
Em vez disso, crie identidades do IAM para seus funcionários e adicione permissões que forneçam acesso adequado. Assim, cada funcionário pode usar suas próprias credenciais para acessar os recursos.
-
Os funcionários devem ter permissão para acessar apenas os recursos de que eles precisam para desempenhar suas funções.
Por exemplo, os desenvolvedores de aplicativos precisam acessar apenas as pilhas que executam seus aplicativos.
-
Os funcionários devem ter permissão para executar apenas as ações de que eles precisam para desempenhar suas funções.
Um desenvolvedor de aplicativos pode precisar de permissão completa para uma pilha de desenvolvimento e de permissão para implantar seus aplicativos na pilha de produção correspondente. Eles provavelmente não precisam de permissão para iniciar ou interromper instâncias na pilha de produção, criar ou excluir camadas, e assim por diante.
Para obter mais informações gerais sobre o gerenciamento de permissões, consulte Credenciais de segurança da AWS.
Você pode usar o AWS OpsWorks Stacks ou o IAM para gerenciar as permissões do usuário. Observe que as duas opções não são mutuamente exclusivas e, em algumas ocasiões, pode ser conveniente usar ambas.
- AWS OpsWorks Gerenciamento de permissões de pilhas
-
Cada pilha tem uma página Permissions que você usa para conceder aos usuários permissões de acesso à pilha e para especificar as ações que eles podem executar. Você especifica as permissões de um usuário definindo um dos seguintes níveis de permissão. Cada nível representa uma política do IAM que concede permissões para um conjunto padrão de ações.
-
Deny nega permissão para qualquer interação com a pilha.
-
Show concede permissão para a visualização da configuração da pilha, mas não permite modificações no estado dela.
-
Deploy inclui as permissões Show e também concede as permissões de usuário para a implantação de aplicativos.
-
Manage inclui as permissões Deploy e também permite que o usuário execute diferentes ações de gerenciamento de pilha, como a criação ou exclusão de instâncias e camadas.
nota
O nível Gerenciar permissões não concede permissões para um pequeno número de ações de AWS OpsWorks pilhas de alto nível, incluindo criar ou clonar pilhas. Você deve usar uma política do IAM para conceder tais permissões.
Além de definir níveis de permissões, você também pode usar a página Permissions de uma pilha para especificar se os usuários têm privilégios de SSH/RDP e sudo/admin nas instâncias da pilha. Para obter mais informações sobre o gerenciamento de permissões no AWS OpsWorks Stacks, consulte Concessão de permissões por pilha. Para obter mais informações sobre o gerenciamento de acesso a SSH, consulte Gerenciamento do acesso por SSH
-
- Gerenciamento de permissões do IAM
-
Com o gerenciamento de permissões do IAM, você pode usar o console, API ou CLI do IAM para anexar uma política em formato JSON que especifique explicitamente as permissões de um usuário. Para obter mais informações sobre o gerenciamento de permissões do IAM, consulte O que é o IAM?
Recomendação: comece com o gerenciamento de permissões do AWS OpsWorks Stacks. Se você precisar ajustar as permissões de um usuário ou conceder permissões que não estão incluídas nos níveis de permissão Manage, pode combinar as duas abordagens. AWS OpsWorks Em seguida, o Stacks avalia as duas políticas para determinar as permissões do usuário.
Importante
Se um usuário tiver várias políticas com permissões conflitantes, a negação sempre vence. Por exemplo, suponha que você anexa uma política do IAM ao usuário permitindo o acesso a uma determinada pilha, mas também usa a página Permissões dessa pilha para atribuir ao usuário o nível de permissão Negar. O nível de permissão Deny tem precedência, e o usuário não poderá acessar a pilha. Para obter mais informações, consulte Lógica de avaliação de políticas do IAM.
Por exemplo, suponha que você deseja permitir ao usuário a execução da maioria das operações em uma pilha, com exceção da adição ou exclusão de camadas.
-
Especifique o nível de permissão Manage, que permite ao usuário executar a maioria das ações de gerenciamento de pilhas, incluindo a criação e a exclusão de camadas.
-
Anexe a seguinte política gerenciada pelo cliente ao usuário, que nega permissões para usar as DeleteLayerações CreateLayere nessa pilha. Você identifica a pilha pelo Nome de recurso da Amazon (ARN), que pode ser encontrado na página Settings (Configurações) da pilha.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "opsworks:CreateLayer", "opsworks:DeleteLayer" ], "Resource": "arn:aws:opsworks:*:*:stack/2f18b4cb-4de5-4429-a149-ff7da9f0d8ee/" } ] }
Para obter mais informações, incluindo exemplos de políticas, consulte Gerenciando permissões de AWS OpsWorks pilhas anexando uma política do IAM.
nota
Outra forma de usar as políticas do IAM é estabelecer uma condição que limita o acesso à pilha para funcionários com um endereço IP ou intervalo de endereços IP especificados. Por exemplo, para garantir que os funcionários tenham acesso às pilhas somente de dentro do seu firewall corporativo, defina uma condição que estabelece um limite de acesso ao intervalo de endereços IP corporativos. Para obter mais informações, consulte Condições.
