本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理 AWS OpsWorks Stacks 用户
重要
AWS OpsWorks Stacks 不再接受新客户。在 2024 年 5 月 26 日之前,现有客户将能够照常使用 OpsWorks 控制台、API、CLI 和 CloudFormation 资源,届时这些工具或资源将停用。为准备此过渡,我们建议您尽快将堆栈过渡到AWS Systems Manager。有关更多信息,请参阅 AWS OpsWorks Stacks 生命周期终止常见问题解答 和 将 AWS OpsWorks Stacks 应用程序迁移到 AWS Systems Manager Application Manager:
在将用户导入到 AWS OpsWorks Stacks 中并授予其权限之前,必须先为每个人创建一个用户。要创建 IAM 用户,请先使用已授予 IAMFullAccess 策略中所定义权限的用户身份登录到 AWS。然后,使用 IAM 控制台为需要访问 AWS OpsWorks Stacks 的每个人创建 IAM 用户。最后,您可以将这些用户导入到 AWS OpsWorks Stacks 中,并按如下所示授予用户权限:
- 常规 AWS OpsWorks Stacks 用户
-
常规用户不需要附加策略。如果他们确实有一个附加策略,则该策略通常不包括任何 AWS OpsWorks Stacks 权限。相反,使用 AWS OpsWorks Stacks Permissions (权限) 页面,按堆栈将如下其中一个权限级别分配给常规用户。
-
Show 权限允许用户查看堆栈,但不允许执行任何操作。
-
Deploy 权限包括 Show 权限,还允许用户部署和更新应用程序。
-
Manage 权限包括 Deploy 权限,还允许用户执行堆栈管理操作 (例如添加层或实例)、使用 Permissions 页面设置用户权限,并启用他们自己的 SSH/RDP 和 sudo/管理员权限。
-
Deny 权限拒绝访问堆栈。
如果这些权限级别不太适合特定用户,则可以通过附加 IAM policy 来自定义用户的权限。例如,您可能希望使用 AWS OpsWorks Stacks Permissions (权限) 页面将 Manage (管理) 权限级别分配给用户,这样可授予他们执行所有堆栈管理操作的权限,但不允许他们创建或克隆堆栈。然后,您可以附加一个策略以限制这些权限 (通过拒绝它们添加或删除层),或扩充这些权限 (通过允许它们创建或克隆堆栈)。有关更多信息,请参阅通过附加 IAM policy 来管理 AWS OpsWorks Stacks 权限。
-
- AWS OpsWorks Stacks 管理用户
-
管理用户是拥有 AWSOpsWorks_FullAccess 策略所定义权限的账户所有者或 IAM 用户。此策略除了包括授予 Manage 用户的权限之外,还包括无法通过 Permissions 页面授予的操作权限,例如以下权限:
-
将用户导入到 AWS OpsWorks Stacks 中
-
创建和克隆堆栈
有关完整策略的信息,请参阅示例策略。有关只能通过附加 IAM policy 来授予用户的权限的详细列表,请参阅 AWS OpsWorks Stacks 权限级别。
-
主题
用户和区域
AWS OpsWorks Stacks 用户在创建这些账户的区域终端节点中可用。您可以在以下任一区域中创建用户。
-
美国东部(俄亥俄州)区域
-
美国东部(弗吉尼亚州北部)区域
-
美国西部(俄勒冈州)区域
-
美国西部(加利福尼亚北部)区域
加拿大(中部)区域(仅限 API;在 AWS Management Console 中不适用)
-
亚太地区(孟买)区域
-
亚太地区(新加坡)区域
-
亚太地区(悉尼)区域
-
亚太地区(东京)区域
-
亚太地区(首尔)区域
-
欧洲地区(法兰克福)区域
-
Europe (Ireland) Region
-
欧洲地区(伦敦)区域
欧洲(巴黎)区域
-
南美洲(圣保罗)区域
将用户导入到 AWS OpsWorks Stacks 时,会将它们导入到其中一个区域终端节点;如果您希望 用户可用于多个区域,则必须将用户导入到相应的区域。您也可以将 AWS OpsWorks Stacks 用户从一个区域导入到另一个区域;如果您将用户导入到已拥有具有相同名称的用户的区域中,则导入的用户会替换现有用户。有关导入用户的更多信息,请参阅导入用户。