最佳實務:管理許可 - AWS OpsWorks

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

最佳實務:管理許可

重要

該 AWS OpsWorks Stacks 服務於 2024 年 5 月 26 日終止使用壽命,並已針對新客戶和現有客戶停用。我們強烈建議客戶盡快將其工作負載移轉至其他解決方案。如果您對移轉有任何疑問,請透過 AWS Re: post 或透過進AWS 階 Support 與 AWS Support 團隊聯絡。

您必須具備某種形式的 AWS 登入資料,才能存取您帳戶的資源。以下是一些將存取提供給您員工的一般性準則。

  • 首先,也是第一步,我們建議您不要使用您帳戶的根登入資料存取 AWS 資源。

    而是為您的員工建立 IAM 身分,並新增提供適當存取權的許可。然後,每個員工都可以使用其認證來存取資源。

  • 員工應僅具備存取他們需要用來執行其工作之資源的許可。

    例如,應用程式開發人員僅需要存取執行其應用程式的堆疊。

  • 員工應僅具備使用他們需要用來執行其工作之動作的許可。

    應用程式開發人員可能需要開發堆疊的完整許可,以及將他們的應用程式部署到對應生產堆疊的許可。他們可能不需要啟動或停止生產堆疊上執行個體的許可、建立或刪除 layer 的許可等。

如需管理許可的詳細一般性資訊,請參閱 AWS 安全登入資料

您可以使用「 AWS OpsWorks 堆疊」或 IAM 來管理使用者許可。請注意,這兩種選項並非互斥關係,有時候您可能會希望同時使用兩者。

AWS OpsWorks 堆疊權限管理

每個堆疊都有一個 Permissions (許可) 頁面,您可以使用該頁面來授予使用者存取堆疊的許可,以及指定他們能夠執行的動作。您可以透過設定下列其中一個許可層級,來指定使用者的許可。每個層級代表一個 IAM 政策,該政策授予一組標準動作的許可。

  • Deny (拒絕) 會拒絕以任何方式與堆疊互動的許可。

  • Show (顯示) 會授予檢視堆疊組態的許可,但是不會授予以任何方式修改堆疊狀態的許可。

  • Deploy (部署) 包含 Show (顯示) 許可,並且也會授予使用者部署應用程式的許可。

  • Manage (管理) 包含 Deploy (部署) 許可,並且也會允許使用者執行各種堆疊管理動作,例如建立或刪除執行個體和 layer。

注意

管理」權限層級不會授與少量高階「 AWS OpsWorks 堆疊」動作的權限,包括建立或複製堆疊。您必須使用 IAM 政策來授與這些許可。

除了設定許可層級之外,您也可以使用堆疊的 Permissions (許可) 頁面指定使用者是否在堆疊的執行個體上具有 SSH/RDP 和 sudo/admin 權限。如需 AWS OpsWorks Stacks 許可管理的詳細資訊,請參閱授予每個堆疊的許可。如需管理 SSH 存取的詳細資訊,請參閱管理 SSH 存取

IAM 許可管理

透過 IAM 許可管理,您可以使用 IAM 主控台、API 或 CLI 將 JSON 格式化的政策附加到明確指定其許可的使用者。如需 IAM 許可管理的詳細資訊,請參閱什麼是 IAM?

建議:從 AWS OpsWorks 堆疊權限管理開始。若您需要微調使用者的許可,或授予未包含在 Manage (管理) 許可層級中的使用者許可,您可以合併使用兩種方法。 AWS OpsWorks 然後,堆疊會評估這兩個策略,以判斷使用者的權限。

重要

如果使用者有多個具有衝突權限的政策,則拒絕永遠會贏得勝利。例如,假設您將 IAM 政策附加到允許存取特定堆疊的使用者,但同時也使用堆疊的「權限」頁面將「拒絕」權限層級指派給使用者。Deny (拒絕) 許可層級會取得優先順序,使用者將無法存取堆疊。如需詳細資訊,請參閱 IAM 政策評估邏輯

例如,假設您希望除了新增和刪除 layer 之外,使用者能夠在堆疊上執行大多數的操作。

  • 請指定 Manage (管理) 許可 layer 級,允許使用者執行大多數的堆疊管理動作,包含建立和刪除 layer。

  • 將下列客戶管理的政策附加至使用者,這會拒絕在該堆疊上使用CreateLayerDeleteLayer動作的權限。您可以透過其 Amazon Resource Name (ARN)https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html#ARN 識別堆疊,該資訊可在堆疊的 Settings (設定) 頁面上取得。

    
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "opsworks:CreateLayer",
        "opsworks:DeleteLayer"
      ],
      "Resource": "arn:aws:opsworks:*:*:stack/2f18b4cb-4de5-4429-a149-ff7da9f0d8ee/"
    }
  ]
}

如需包含範例政策的詳細資訊,請參閱透過附加 IAM 政策來管理 AWS OpsWorks 堆疊許可

注意

使用 IAM 政策的另一種方式是設定條件,以限制具有指定 IP 位址或位址範圍的員工存取堆疊。例如,若要確保員工僅能從您公司的防火牆內部存取堆疊,請設定將存取限制在您公司 IP 地址範圍內的條件。如需詳細資訊,請參閱條件