Gerenciando permissões AWS OpsWorks de usuário do Stacks - AWS OpsWorks

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciando permissões AWS OpsWorks de usuário do Stacks

Importante

O AWS OpsWorks Stacks serviço chegou ao fim da vida útil em 26 de maio de 2024 e foi desativado para clientes novos e existentes. É altamente recomendável que os clientes migrem suas cargas de trabalho para outras soluções o mais rápido possível. Se você tiver dúvidas sobre migração, entre em contato com a AWS Support equipe no AWS re:POST ou por meio do Premium AWS Support.

Como prática recomendada, restrinja os usuários do AWS OpsWorks Stacks a um conjunto específico de ações ou a um conjunto de recursos do stack. Você pode controlar as permissões de usuário do AWS OpsWorks Stacks de duas maneiras: usando a página de permissões do AWS OpsWorks Stacks e aplicando uma política apropriada do IAM.

A página OpsWorks Permissões, ou as ações equivalentes da CLI ou da API, permite que você controle as permissões do usuário em um ambiente multiusuário por pilha, atribuindo a cada usuário um dos vários níveis de permissão. Cada nível concede permissões para um conjunto padrão de ações para um determinado recurso de pilha. Usando página Permissions, você pode controlar o seguinte:

  • Quem pode acessar cada pilha.

  • Quais ações cada usuário tem permissão para executar em cada pilha.

    Por exemplo, você pode permitir que alguns usuários apenas visualizem a pilha, enquanto outros podem implantar aplicativos, adicionar instâncias e assim por diante.

  • Quem pode gerenciar cada pilha.

    A gestão de cada pilha pode ser delegada para um ou mais usuários determinados.

  • Quem tem acesso SSH a nível de usuário e privilégios de sudo (Linux) ou acesso RDP e privilégios de administrador (Windows) em cada instância Amazon EC2 da pilha.

    Você pode conceder ou remover essas permissões separadamente para cada usuário a qualquer momento.

Importante

Negar o acesso SSH/RDP não necessariamente impede que um usuário faça login nas instâncias. Se você especificar um par de chaves do Amazon EC2 para uma instância, qualquer usuário com a chave privada correspondente poderá fazer login ou usar a chave para recuperar a senha de administrador do Windows. Para ter mais informações, consulte Gerenciamento do acesso por SSH.

Você pode usar a CLI, a API ou o console do IAM para adicionar políticas aos seus usuários que concedem permissões explícitas para os diversos recursos e ações do AWS OpsWorks Stacks.

  • Usar uma política do IAM para especificar as permissões é mais flexível do que usar os níveis de permissões.

  • Você pode configurar identidades do IAM (usuários, grupos de usuários e perfis), que concedem permissões às identidades do IAM, como usuários e grupos de usuários, ou definir perfis que podem ser associadas a usuários federados.

  • Uma política do IAM é a única maneira de conceder permissões para determinadas ações-chave do AWS OpsWorks Stacks.

    Por exemplo, você deve usar o IAM para conceder permissões para opsworks:CreateStack e opsworks:CloneStack, que são usados para criar e clonar pilhas, respectivamente.

Embora não seja explicitamente possível importar usuários federados no console, um usuário federado pode criar implicitamente um perfil de usuário escolhendo Minhas configurações no canto superior direito do console AWS OpsWorks Stacks e, em seguida, escolhendo Usuários, também no canto superior direito. Na página Usuários, os usuários federados, cujas contas foram criadas usando a API ou CLI, ou implicitamente por meio do console, podem gerenciar suas contas de maneira similar aos usuários não federados.

As duas abordagens não são mutuamente exclusivas e, às vezes, é útil combiná-las; o AWS OpsWorks Stacks, portanto, avalia os dois conjuntos de permissões. Por exemplo, suponha que você queira permitir aos usuários adicionar ou excluir instâncias, mas não adicionar ou excluir camadas. Nenhum dos níveis de permissão do AWS OpsWorks Stacks concede esse conjunto específico de permissões. No entanto, você pode usar a página Permissões para conceder aos usuários um nível de permissão Gerenciar, o que lhes permite executar a maioria das operações de pilha e, em seguida, aplicar uma política do IAM que nega permissões para adicionar ou remover camadas. Para obter mais informações, consulte Controlar o acesso a recursos da AWS usando políticas.

O seguinte é um modelo típico para o gerenciamento de permissões de usuários. Em cada caso, o leitor (você) é considerado um usuário administrativo.

  1. Use o console do IAM para aplicar AWSOpsWorks_FullAccess políticas a um ou mais usuários administrativos.

  2. Crie um usuário do para cada usuário não administrativo com uma política que não garanta nenhuma permissão do AWS OpsWorks Stacks.

    Se um usuário precisar acessar somente AWS OpsWorks as pilhas, talvez você nem precise aplicar uma política. Em vez disso, você pode gerenciar suas permissões com a página Permissões de AWS OpsWorks pilhas.

  3. Use a página AWS OpsWorks Stacks Users para importar os usuários não administrativos para AWS OpsWorks o Stacks.

  4. Para cada pilha, use a página Permissions da pilha para atribuir um nível de permissão a cada usuário.

  5. Conforme necessário, personalize os níveis de permissão dos usuários aplicando uma política do IAM adequadamente configurada.

Para obter mais recomendações sobre o gerenciamento de usuários, consulte Melhores práticas: Gerenciamento de permissões.

Para obter mais informações sobre as práticas recomendadas do IAM, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.

Tópicos