As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Exemplo de políticas
Importante
O AWS OpsWorks Stacks serviço chegou ao fim da vida útil em 26 de maio de 2024 e foi desativado para clientes novos e existentes. É altamente recomendável que os clientes migrem suas cargas de trabalho para outras soluções o mais rápido possível. Se você tiver dúvidas sobre migração, entre em contato com a AWS Support equipe no AWS re:POST
Esta seção descreve exemplos de políticas do IAM que podem ser aplicadas aos usuários do AWS OpsWorks Stacks.
-
Permissões administrativas descreve duas políticas que podem ser usadas para conceder permissões a usuários administrativos.
-
Gerencie permissões e Permissões Deploy mostram exemplos de políticas que podem ser aplicadas a um usuário para aumentar ou restringir os níveis de permissões Manage e Deploy.
AWS OpsWorks O Stacks determina as permissões do usuário avaliando as permissões concedidas pelas políticas do IAM, bem como as permissões concedidas pela página de Permissões. Para obter mais informações, consulte Controle do acesso aos AWS recursos usando políticas. Para obter mais informações sobre as permissões da página Permissions, consulte AWS OpsWorks Níveis de permissões de pilhas.
Permissões administrativas
Use o console do IAM, https://console.aws.amazon.com/iam/
Você deve criar uma função do IAM que permita que o AWS OpsWorks Stacks atue em seu nome para acessar outros AWS recursos, como instâncias do Amazon EC2. Normalmente, você realiza essa tarefa fazendo com que um usuário administrativo crie a primeira pilha e deixe que AWS OpsWorks as pilhas criem a função para você. Em seguida, você pode usar essa função para todos os pilhas subsequentes. Para ter mais informações, consulte Permitindo que AWS OpsWorks as pilhas ajam em seu nome.
O usuário administrativo que cria a primeira pilha deve ter permissões para algumas ações do IAM que não estão incluídas na AWSOpsWorks_FullAccess política. Adicione as seguintes permissões à seção Actions da política. Para obter uma sintaxe JSON adequada, adicione vírgulas entre as ações e remova a vírgula final no final da lista de ações.
"iam:PutRolePolicy", "iam:AddRoleToInstanceProfile", "iam:CreateInstanceProfile", "iam:CreateRole"
Gerencie permissões
O nível de permissões Manage permite que um usuário execute uma variedade de ações de gerenciamento de pilha, incluindo adição e exclusão de camadas. Este tópico descreve várias políticas que você pode usar para Gerenciar usuários para aumentar ou restringir as permissões padrão.
- Negar a um usuário Manage a capacidade de adicionar ou excluir camadas
-
Você pode restringir os níveis de permissão Gerenciar para permitir que um usuário execute todas as ações Gerenciar, exceto adicionar ou excluir camadas, usando a seguinte política do IAM. Substitua
region,account_idestack_idpor valores apropriados à sua configuração.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "opsworks:CreateLayer", "opsworks:DeleteLayer" ], "Resource": "arn:aws:opsworks:region:account_id:stack/stack_id/" } ] } - Permitir que um usuário Manage crie ou clone pilhas
-
O nível de permissões Gerenciar não permite que os usuários criem ou clonem pilhas. Você pode mudar as permissões Gerenciar para permitir que um usuário crie ou clone pilhas aplicando as seguintes políticas do IAM. Substitua
regioneaccount_idpor valores apropriados à sua configuração.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GetRolePolicy", "iam:ListRoles", "iam:ListInstanceProfiles", "iam:ListUsers", "opsworks:DescribeUserProfiles", "opsworks:CreateUserProfile", "opsworks:DeleteUserProfile" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:opsworks::account_id:stack/*/", "Condition": { "StringEquals": { "iam:PassedToService": "opsworks.amazonaws.com" } } } ] } - Negar a um usuário Manage a capacidade de registrar ou cancelar o registro de recursos
-
O nível de permissões Gerenciar permite que o usuário registre e cancele o registro do Amazon EBS e dos recursos de endereço IP elástico com a pilha. Você pode restringir as permissões Gerenciar para permitir que o usuário execute todas as ações Gerenciar, exceto registrar os recursos, aplicando a política a seguir.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "opsworks:RegisterVolume", "opsworks:RegisterElasticIp" ], "Resource": "*" } ] } - Permitir que um usuário Manage importe usuários
-
O nível Gerenciar permissões não permite que os usuários importem usuários para o AWS OpsWorks Stacks. Você pode aumentar as permissões Gerenciar para permitir que um usuário importe e exclua usuários aplicando a seguinte política do IAM. Substitua
regioneaccount_idpor valores apropriados à sua configuração.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GetRolePolicy", "iam:ListRoles", "iam:ListInstanceProfiles", "iam:ListUsers", "iam:PassRole", "opsworks:DescribeUserProfiles", "opsworks:CreateUserProfile", "opsworks:DeleteUserProfile" ], "Resource": "arn:aws:iam:region:account_id:user/*", "Condition": { "StringEquals": { "iam:PassedToService": "opsworks.amazonaws.com" } } } ] }
Permissões Deploy
O nível de permissões Deploy não permite que os usuários criem ou excluam aplicativos. Você pode aumentar as permissões Implantar para permitir que um usuário crie e exclua aplicativos aplicando a seguinte política do IAM. Substitua region, account_id e stack_id por valores apropriados à sua configuração.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "opsworks:CreateApp", "opsworks:DeleteApp" ], "Resource": "arn:aws:opsworks:region:account_id:stack/stack_id/" } ] }
