本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 的托管策略 AWS OpsWorks 配置管理
要向用户、群组和角色添加权限,使用起来更简单 AWS 托管策略而不是自己编写策略。创建IAM客户托管策略以仅向您的团队提供他们所需的权限需要时间和专业知识。要快速入门,你可以使用我们的 AWS 托管策略。这些政策涵盖常见用例,可在您的 AWS account。有关 AWS 托管策略,请参阅 AWS 《IAM用户指南》中的托管策略。
AWS 服务维护和更新 AWS 托管策略。您无法在中更改权限 AWS 托管策略。服务偶尔会向... 添加其他权限 AWS 托管策略以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。服务最有可能更新 AWS 新功能启动或新操作可用时的托管策略。服务不会从中移除权限 AWS 托管策略,因此策略更新不会破坏您的现有权限。
此外, AWS 支持跨多个服务的工作职能的托管策略。例如,ReadOnlyAccess AWS 托管策略提供对所有人的只读访问权限 AWS 服务和资源。当一项服务启动一项新功能时, AWS 为新操作和资源添加只读权限。有关工作职能政策的列表和说明,请参阅 AWS 《IAM用户指南》中工作职能的托管策略。
AWS托管策略:AWSOpsWorksCMServiceRole
你可以附加AWSOpsWorksCMServiceRole到你的IAM实体。 OpsWorks CM 还将此策略附加到允许 OpsWorks CM 代表您执行操作的服务角色。
本政策授予 administrative 允许 OpsWorks CM 管理员创建、管理和删除 OpsWorks CM 服务器和备份的权限。
权限详细信息
该策略包含以下权限。
-
opsworks-cm—允许委托人删除现有服务器并开始运行维护。 -
acm— 允许委托人从中删除或导入证书 AWS Certificate Manager 允许用户连接到 C OpsWorks M 服务器。 -
cloudformation— 允许 OpsWorks CM 创建和管理 AWS CloudFormation 在主体创建、更新或删除 OpsWorks CM 服务器时堆叠。 -
ec2— 允许 OpsWorks CM 在委托人创建、更新或删除 C OpsWorks M 服务器时启动、配置、更新和终止 Amazon 弹性计算云实例。 iam— 允许 OpsWorks CM 创建创建和管理 OpsWorks CM 服务器所需的服务角色。-
tag— 允许委托人在 OpsWorks CM 资源(包括服务器和备份)中应用和删除标签。 -
s3— 允许 OpsWorks CM 创建用于存储服务器备份的 Amazon S3 存储桶,根据委托人请求管理 S3 存储桶中的对象(例如,删除备份),以及删除存储桶。 secretsmanager— 允许 OpsWorks CM 创建和管理 Secrets Manager 密钥,以及应用或删除密钥中的标签。ssm— 允许 OpsWorks CM 在作为 C OpsWorks M 服务器的实例上使用 Systems Manager 运行命令。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket*" ], "Action": [ "s3:CreateBucket", "s3:DeleteObject", "s3:DeleteBucket", "s3:GetObject", "s3:ListBucket", "s3:PutBucketPolicy", "s3:PutObject", "s3:GetBucketTagging", "s3:PutBucketTagging" ] }, { "Effect": "Allow", "Resource": [ "*" ], "Action": [ "tag:UntagResources", "tag:TagResources" ] }, { "Effect": "Allow", "Resource": [ "*" ], "Action": [ "ssm:DescribeInstanceInformation", "ssm:GetCommandInvocation", "ssm:ListCommandInvocations", "ssm:ListCommands" ] }, { "Effect": "Allow", "Resource": [ "*" ], "Condition": { "StringLike": { "ssm:resourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*" } }, "Action": [ "ssm:SendCommand" ] }, { "Effect": "Allow", "Resource": [ "arn:aws:ssm:*::document/*", "arn:aws:s3:::amzn-s3-demo-bucket*" ], "Action": [ "ssm:SendCommand" ] }, { "Effect": "Allow", "Resource": [ "*" ], "Action": [ "ec2:AllocateAddress", "ec2:AssociateAddress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateImage", "ec2:CreateSecurityGroup", "ec2:CreateSnapshot", "ec2:CreateTags", "ec2:DeleteSecurityGroup", "ec2:DeleteSnapshot", "ec2:DeregisterImage", "ec2:DescribeAccountAttributes", "ec2:DescribeAddresses", "ec2:DescribeImages", "ec2:DescribeInstanceStatus", "ec2:DescribeInstances", "ec2:DescribeSecurityGroups", "ec2:DescribeSnapshots", "ec2:DescribeSubnets", "ec2:DisassociateAddress", "ec2:ReleaseAddress", "ec2:RunInstances", "ec2:StopInstances" ] }, { "Effect": "Allow", "Resource": [ "*" ], "Condition": { "StringLike": { "ec2:ResourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*" } }, "Action": [ "ec2:TerminateInstances", "ec2:RebootInstances" ] }, { "Effect": "Allow", "Resource": [ "arn:aws:opsworks-cm:*:*:server/*" ], "Action": [ "opsworks-cm:DeleteServer", "opsworks-cm:StartMaintenance" ] }, { "Effect": "Allow", "Resource": [ "arn:aws:cloudformation:*:*:stack/aws-opsworks-cm-*" ], "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStackResources", "cloudformation:DescribeStacks", "cloudformation:UpdateStack" ] }, { "Effect": "Allow", "Resource": [ "arn:aws:iam::*:role/aws-opsworks-cm-*", "arn:aws:iam::*:role/service-role/aws-opsworks-cm-*" ], "Action": [ "iam:PassRole" ] }, { "Effect": "Allow", "Resource": "*", "Action": [ "acm:DeleteCertificate", "acm:ImportCertificate" ] }, { "Effect": "Allow", "Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:GetSecretValue", "secretsmanager:UpdateSecret", "secretsmanager:DeleteSecret", "secretsmanager:TagResource", "secretsmanager:UntagResource" ] }, { "Effect": "Allow", "Action": "ec2:DeleteTags", "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:elastic-ip/*", "arn:aws:ec2:*:*:security-group/*" ] } ] }
AWS托管策略:AWSOpsWorksCMInstanceProfileRole
你可以附加AWSOpsWorksCMInstanceProfileRole到你的IAM实体。 OpsWorks CM 还将此策略附加到允许 OpsWorks CM 代表您执行操作的服务角色。
本政策授予 administrative 允许用作 OpsWorks CM 服务器的 Amazon EC2 实例从中获取信息的权限 AWS CloudFormation 以及 AWS Secrets Manager,并将服务器备份存储在 Amazon S3 存储桶中。
权限详细信息
该策略包含以下权限。
-
acm— 允许 OpsWorks CM 服务器EC2实例从中获取证书 AWS Certificate Manager 允许用户连接到 C OpsWorks M 服务器。 -
cloudformation— 允许 OpsWorks CM 服务器EC2实例获取有关信息 AWS CloudFormation 在实例创建或更新过程中堆叠,并将信号发送到 AWS CloudFormation 关于它的状态。 -
s3— 允许 OpsWorks CM 服务器EC2实例上传服务器备份并将其存储在 S3 存储桶中,必要时停止或回滚上传,以及从 S3 存储桶中删除备份。 -
secretsmanager— 允许 OpsWorks CM 服务器EC2实例获取与 C OpsWorks M 相关的 Secrets Manager 密钥的值。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudformation:DescribeStackResource", "cloudformation:SignalResource" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:GetObject", "s3:ListAllMyBuckets", "s3:ListBucket", "s3:ListMultipartUploadParts", "s3:PutObject" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket*", "Effect": "Allow" }, { "Action": "acm:GetCertificate", "Resource": "*", "Effect": "Allow" }, { "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*", "Effect": "Allow" } ] }
OpsWorks CM 更新至 AWS 托管策略
查看有关更新的详细信息 AWS 自从该服务开始跟踪这些更改以来, OpsWorks CM 的管理策略。要获得有关此页面变更的自动提醒,请在 OpsWorks CM 文档历史记录页面上订阅 RSS Feed。
| 更改 | 描述 | 日期 |
|---|---|---|
|
AWSOpsWorksCMInstanceProfileRole-更新了托管策略 |
OpsWorks CM 更新了托管策略,允许用作 OpsWorks CM 服务器的EC2实例与 CloudFormation Secrets Manager 共享信息并管理备份。此更改 |
2021 年 4 月 23 日 |
|
AWSOpsWorksCMServiceRole-更新了托管策略 |
OpsWorks CM 更新了允许 OpsWorks CM 管理员创建、管理和删除 OpsWorks CM 服务器和备份的托管策略。此更改 |
2021 年 4 月 23 日 |
|
OpsWorks CM 开始追踪变更 |
OpsWorks CM 开始跟踪其变更 AWS 托管策略。 |
2021 年 4 月 23 日 |
