通过附加 IAM policy 来管理 AWS OpsWorks Stacks 权限

重要

AWS OpsWorks Stacks 不再接受新客户。在 2024 年 5 月 26 日之前，现有客户将能够照常使用 OpsWorks 控制台、API、CLI 和 CloudFormation 资源，届时这些工具或资源将停用。为准备此过渡，我们建议您尽快将堆栈过渡到AWS Systems Manager。有关更多信息，请参阅 AWS OpsWorks Stacks 生命周期终止常见问题解答 和 将 AWS OpsWorks Stacks 应用程序迁移到 AWS Systems Manager Application Manager：

您可以通过附加 IAM policy 来指定用户的 AWS OpsWorks Stacks 权限。如下这些权限需要附加策略：

• 管理用户权限，例如导入用户。

• 针对某些操作的权限，例如创建或克隆堆栈。

有关需要附加策略的完整操作列表，请参阅AWS OpsWorks Stacks 权限级别。

您还可以使用策略来自定义通过 Permissions 页面授予的权限级别。本节简要介绍了如何将 IAM policy 附加到用户，以指定 AWS OpsWorks Stacks 权限。有关更多信息，请参阅访问 AWS 资源管理。

IAM policy 是一个 JSON 对象，其中包含一个或多个语句。每个语句元素都有一个权限列表，这些权限拥有它们自己的三个基本元素：

Action

权限所影响的操作。您将 AWS OpsWorks Stacks 操作指定为 opsworks:action。可将 Action 设置为诸如 opsworks:CreateStack 等特定操作，该操作可指定是否允许用户调用 CreateStack。您还可以使用通配符来指定多组操作。例如，opsworks:Create* 可指定所有创建操作。有关 AWS OpsWorks Stacks 操作的完整列表，请参阅 AWS OpsWorks Stacks API 参考。

效果

是允许还是拒绝指定的操作。

资源

权限影响的 AWS 资源。AWS OpsWorksStacks 有一种资源类型，即堆栈。要指定特定堆栈资源的权限，请将 Resource 设置为堆栈的 ARN，其格式如下：arn:aws:opsworks:region:account_id:stack/stack_id/。

还可使用通配符。例如，将 Resource 设置为 * 可授予针对每种资源的权限。

例如，以下策略会拒绝用户停止 ID 为 2860-2f18b4cb-4de5-4429-a149-ff7da9f0d8ee 的堆栈上的实例。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": "opsworks:StopInstance",
      "Effect": "Deny",
      "Resource": "arn:aws:opsworks:*:*:stack/2f18b4cb-4de5-4429-a149-ff7da9f0d8ee/"
    }
  ]
}

有关为 IAM 用户添加权限的信息，请参阅 https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console。

有关如何创建或修改 IAM 策略的更多信息，请参阅策略和 IAM 中的权限。要获取 AWS OpsWorks Stacks 策略的一些示例，请参阅示例策略。