Concedendo permissões por AWS OpsWorks pilha aos usuários do Stacks - AWS OpsWorks
Configuração das permissões de um usuárioVisualização das suas permissõesUso das chaves de condição do IAM para verificar credenciais temporárias

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Concedendo permissões por AWS OpsWorks pilha aos usuários do Stacks

Importante

O AWS OpsWorks Stacks serviço chegou ao fim da vida útil em 26 de maio de 2024 e foi desativado para clientes novos e existentes. É altamente recomendável que os clientes migrem suas cargas de trabalho para outras soluções o mais rápido possível. Se você tiver dúvidas sobre migração, entre em contato com a AWS Support equipe no AWS re:POST ou por meio do Premium AWS Support.

A maneira mais simples de gerenciar as permissões de usuário do AWS OpsWorks Stacks é usando a página de Permissões de uma pilha. Cada pilha tem sua própria página, que concede permissões para esse pilha.

Você deve estar conectado como usuário administrativo ou usuário Manage para modificar qualquer uma das configurações de permissões. A lista mostra somente os usuários que foram importados para o AWS OpsWorks Stacks. Para obter informações sobre como criar e importar usuários, consulte Gerenciamento de usuários.

O nível de permissão padrão é Apenas políticas do IAM, que concede aos usuários apenas as permissões que estão em sua política do IAM.

  • Quando você importa um usuário do IAM ou de outra região, o usuário é adicionado à lista para todas as pilhas existentes com um nível de permissão Somente políticas do IAM.

  • Por padrão, um usuário que você acabou de importar de outra região não tem acesso a pilhas na região de destino. Se você importar usuários de outra região, para permitir que eles gerenciem pilhas na região de destino, deve atribuir a eles permissões para essas pilhas depois de importá-las.

  • Quando você cria uma nova pilha, todos os usuários atuais são adicionados à lista com níveis de permissão IAM Policies Only.

Configuração das permissões de um usuário

Para definir as permissões de um usuário

  1. No painel de navegação, selecione Permissions (Permissões).

  2. Na página Permissions (Permissões), escolha Edit (Editar).

  3. Altere as configurações de Permission level (Nível de permissão) e Instance access (Acesso à instância):

    • Use as configurações de Permissions level para atribuir um dos níveis de permissão padrão para cada usuário, o que determina se o usuário pode acessar essa pilha e quais ações ela pode realizar. Se um usuário tiver uma política de IAM, o AWS OpsWorks Stacks avalia os dois conjuntos de permissões. Para ver um exemplo, consulte Exemplo de políticas.

    • A configuração de Instance access SSH/RDP especifica se o usuário tem acesso SSH (Linux) ou RDP (Windows) às instâncias da pilha.

      Se você autorizar o acesso SSH/RDP, terá a opção de selecionar sudo/admin, que concede ao usuário privilégios de sudo (Linux) ou administrativos (Windows) nas instâncias da pilha.

    Gerenciamento de usuários com a página de permissões.

Você pode atribuir cada usuário a um dos seguintes níveis de permissões. Para obter uma lista das ações que são permitidas por cada nível, consulte AWS OpsWorks Níveis de permissões de pilhas.

Negar

O usuário não pode realizar nenhuma ação do AWS OpsWorks Stacks na pilha, mesmo que tenha uma política do IAM que conceda às AWS OpsWorks Stacks permissões de acesso total. Você pode usar isso, por exemplo, para negar que alguns usuários acessem pilhas de produtos não lançados.

IAM Policies Only

O nível padrão, que é atribuído a todos os usuários recém-importados e a todos os usuários para pilhas recém-criadas. As permissões de usuário são determinadas pela política do IAM. Se um usuário não tiver uma política de IAM ou se sua política não tiver permissões explícitas de AWS OpsWorks pilhas, ele não poderá acessar a pilha. Os usuários administrativos costumam ser atribuídos a esse nível, pois suas políticas do IAM já concedem permissões de acesso total.

Show (Mostrar)

O usuário pode visualizar uma pilha, mas não pode executar nenhuma operação. Por exemplo, os gerentes podem querer monitorar as pilhas de uma conta, mas não precisariam implantar aplicativos ou modificar a pilha.

Implante

Inclui as permissões Show e também permite que o usuário implemente aplicativos. Por exemplo, um desenvolvedor de aplicativo talvez possa precisar implantar atualizações nas instâncias da pilha, mas não adicionar camadas ou instâncias à pilha.

Gerencie

Inclui as permissões Deploy e também permite que o usuário execute uma variedade de operações de gerenciamento de pilha, incluindo:

  • Adição ou exclusão de camadas e instâncias.

  • Uso da página Permissions da pilha para atribuir níveis de permissões a usuários.

  • Registro ou cancelamento do registro de recursos.

Por exemplo, cada pilha pode ter um gerente que é responsável por assegurar que a pilha tenha um número e um tipo apropriado de instâncias, lidar com atualizações de pacote e sistema operacional, e assim por diante.

nota

O nível Manage não permite que os usuários criem ou clonem pilhas. Essas permissões devem ser concedidas por uma política do IAM. Para ver um exemplo, consulte Gerencie permissões.

Se o usuário também tiver uma política de IAM, o AWS OpsWorks Stacks avalia os dois conjuntos de permissões. Isso permite que você atribua um nível de permissão a um usuário e, em seguida, aplique uma política para restringir ou aumentar as ações permitidas do nível. Por exemplo, você poderia aplicar uma política que permite a um usuário Gerenciar criar ou clonar pilhas ou que nega a esse usuário a capacidade de registrar ou cancelar o registro de recursos. Para ver alguns exemplos de tais políticas, consulte Exemplo de políticas.

nota

Se a política do usuário permitir ações adicionais, o resultado poderá aparentar anular as configurações da página Permissions. Por exemplo, se um usuário tem uma política que permite a CreateLayeração, mas você usa a página Permissões para especificar permissões de implantação, o usuário ainda tem permissão para criar camadas. A exceção a essa regra é a opção Negar, que nega o acesso à pilha até mesmo para usuários com AWSOpsWorks_FullAccess políticas. Para obter mais informações, consulte Controle do acesso aos AWS recursos usando políticas.

Visualização das suas permissões

Se o autogerenciamento estiver ativado, os usuários poderão ver um resumo dos seus níveis de permissão para cada pilha, escolhendo My Settings no canto superior direito. Os usuários também podem acessar Minhas configurações se suas políticas concederem permissões para as UpdateMyUserProfileações DescribeMyUserProfilee.

Uso das chaves de condição do IAM para verificar credenciais temporárias

AWS OpsWorks O Stacks tem uma camada de autorização integrada que oferece suporte a casos de autorização adicionais (como o gerenciamento simplificado do acesso somente de leitura ou leitura e gravação às pilhas para usuários individuais). Essa camada de autorização se baseia no uso de credenciais temporárias. Consequentemente, você não pode usar uma condição aws:TokenIssueTime para verificar se os usuários estão usando credenciais de longo prazo ou bloquear ações de usuários que estão usando credenciais temporárias, como descrito em referência a elementos da política JSON do IAM na documentação do IAM.