範例政策

重要

該 AWS OpsWorks Stacks 服務於 2024 年 5 月 26 日終止使用壽命，並已針對新客戶和現有客戶停用。我們強烈建議客戶盡快將其工作負載移轉至其他解決方案。如果您對移轉有任何疑問，請透過 AWS Re: post 或透過進AWS 階 Support 與 AWS Support 團隊聯絡。

本節說明可套用至 AWS OpsWorks Stack 使用者的 IAM 政策範例。

• 管理許可說明用來授與權限給系統管理使用者的原則。

• 管理許可並 部署許可顯示可套用至使用者以增強或限制 [管理] 和 [部署] 權限層級的原則範例。

  AWS OpsWorks 堆疊會評估 IAM 政策授予的許可，以及「權限」頁面授予的許可，以決定使用者的許可。如需詳細資訊，請參閱使用原則控制 AWS 資源的存取。如需 Permissions (許可) 頁面許可的詳細資訊，請參閱AWS OpsWorks 堆疊權限層級。

管理許可

使用 IAM 主控台 https://console.aws.amazon.com/iam/ 若要存取政策，請將此 AWSOpsWorks_FullAccess 政策附加至使用者，以授與他們執行所有「 AWS OpsWorks 堆疊」動作的權限。除其他外，還需要 IAM 許可，才能允許管理使用者匯入使用者。

您必須建立 IAM 角色，讓 AWS OpsWorks 堆疊代表您存取其他 AWS 資源，例如 Amazon EC2 執行個體。通常，您可以讓系統管理使用者建立第一個堆疊，然後讓 AWS OpsWorks Stacks 為您建立角色來處理這項工作。您接著可以使用針對所有後續的堆疊使用該角色。如需詳細資訊，請參閱 允許 AWS OpsWorks 堆疊代表您採取行動。

建立第一個堆疊的管理使用者必須具有 AWSOpsWorks_FullAccess 政策中未包含的某些 IAM 動作的許可。將下列權限新增至原則的Actions區段。如需正確的 JSON 語法，請務必在動作之間新增逗號，並移除動作清單末尾的尾隨逗號。

"iam:PutRolePolicy",
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:CreateRole"

管理許可

Manage (管理) 許可 layer 級允許使用者執行各種堆疊管理動作，包含新增或刪除 layer。本主題說明您可以用來管理使用者以增強或限制標準權限的數個原則。

拒絕 Manage (管理) 使用者新增或刪除 layer。

您可以使用下列 IAM 政策限制「管理」權限層級，以允許使用者執行所有「管理」動作，但新增或刪除層除外。使用適合您的組態的值取代區域、帳戶 ID 和 Stack_id。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "opsworks:CreateLayer",
        "opsworks:DeleteLayer"
      ],
      "Resource": "arn:aws:opsworks:region:account_id:stack/stack_id/"
    }
  ]
}

允許 Manage (管理) 使用者建立或複製堆疊

管理權限層級不允許使用者建立或複製堆疊。您可以套用下列 IAM 政策，變更「管理」權限，以允許使用者建立或複製堆疊。將區域和 account_id 替換為適合您的配置的值。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetRolePolicy",
        "iam:ListRoles",
        "iam:ListInstanceProfiles",
        "iam:ListUsers",
        "opsworks:DescribeUserProfiles",
        "opsworks:CreateUserProfile",
        "opsworks:DeleteUserProfile"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:opsworks::account_id:stack/*/",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "opsworks.amazonaws.com"
        }
      }
    }
  ]
}

拒絕 Manage (管理) 使用者註冊或取消註冊資源。

管理權限層級可讓使用者在堆疊中註冊和取消註冊 Amazon EBS 和彈性 IP 地址資源。您可以套用下列原則，限制 [管理] 權限，以允許使用者執行所有 [管理] 動作，但註冊資源除外。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "opsworks:RegisterVolume",
        "opsworks:RegisterElasticIp"
      ],
      "Resource": "*"
    }
  ]
}

允許 Manage (管理) 使用者匯入使用者

「管理」權限層級不允許使用者將使用者匯入「 AWS OpsWorks 堆疊」。您可以套用下列 IAM 政策來增強管理許可，以允許使用者匯入和刪除使用者。將區域和 account_id 替換為適合您的配置的值。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetRolePolicy",
        "iam:ListRoles",
        "iam:ListInstanceProfiles",
        "iam:ListUsers",
        "iam:PassRole",
        "opsworks:DescribeUserProfiles",
        "opsworks:CreateUserProfile",
        "opsworks:DeleteUserProfile"
      ],
      "Resource": "arn:aws:iam:region:account_id:user/*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "opsworks.amazonaws.com"
        }
      }
    }
  ]
}

部署許可

Deploy (部署) 許可層級不允許使用者建議或刪除應用程式。您可以透過套用下列 IAM 政策來增強部署許可，以允許使用者建立和刪除應用程式。使用適合您的組態的值取代區域、帳戶 ID 和 Stack_id。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "opsworks:CreateApp",
        "opsworks:DeleteApp"
      ],
      "Resource": "arn:aws:opsworks:region:account_id:stack/stack_id/"
    }
  ]
}