本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 受管理的政策 AWS OpsWorks 組態管理
要向用戶,組和角色添加權限,使用起來更容易 AWS 管理策略而不是自己編寫策略。建立IAM客戶管理的政策需要時間和專業知識,以便為您的團隊提供他們所需的權限。要快速開始使用,您可以使用我們的 AWS 受管理的策略。這些政策涵蓋常見使用案例,並可在您的 AWS 帳戶。如需關於 AWS 受管政策,請參閱 AWS《IAM使用者指南》中的受管理策略。
AWS 服務維護和更新 AWS 受管理的策略。您無法更改權限 AWS 受管理的策略。服務偶爾會將其他權限新增至 AWS 管理策略以支持新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。服務最有可能更新 AWS 啟動新功能或新作業可用時的受管理策略。服務不會移除權限 AWS 受管理的原則,因此政策更新不會破壞您現有的權限。
此外, AWS 支援跨多項服務之工作職能的受管理原則。例如,ReadOnlyAccess AWS 受管理策略提供所有人的唯讀存取 AWS 服務和資源。當服務啟動新功能時, AWS 新增作業和資源的唯讀權限。如需工作職能原則的清單與說明,請參閱 AWS 《使用者指南》中針對工作職能的IAM管理策略。
AWS受管理策略:AWSOpsWorksCMServiceRole
您可以附加AWSOpsWorksCMServiceRole到您的IAM實體。 OpsWorks CM 也會將此原則附加至允許 OpsWorks CM 代表您執行動作的服務角色。
本政策撥款 administrative 允許 OpsWorks CM 管理員建立、管理和刪除 OpsWorks CM 伺服器和備份的權限。
許可詳細資訊
此政策包含以下許可。
-
opsworks-cm— 允許主參與者刪除現有伺服器,並開始維護執行。 -
acm— 允許主參與者從中刪除或匯入憑證 AWS Certificate Manager 可讓使用者連線至 OpsWorks CM 伺服器。 -
cloudformation— 允許 OpsWorks CM 創建和管理 AWS CloudFormation 當主體建立、更新或刪除 OpsWorks CM 伺服器時堆疊。 -
ec2— 允許 OpsWorks CM 在主體建立、更新或刪除 OpsWorks CM 伺服器時啟動、佈建、更新和終止 Amazon 彈性運算雲端執行個體。 iam— 允許 OpsWorks CM 建立建立和管理 OpsWorks CM 伺服器所需的服務角色。-
tag— 允許主參與者從 OpsWorks CM 資源 (包括伺服器和備份) 中套用及移除標籤。 -
s3— 允許 OpsWorks CM 建立 Amazon S3 儲存貯體來存放伺服器備份、根據主要請求管理 S3 儲存貯體中的物件 (例如,刪除備份),以及刪除儲存貯體。 secretsmanager— 允許 OpsWorks CM 建立和管理秘密管理員密碼,以及套用或移除密碼中的標籤。ssm— 允許 OpsWorks CM 在屬於 OpsWorks CM 伺服器的執行個體上使用 Systems Manager 執行命令。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket*"
],
"Action": [
"s3:CreateBucket",
"s3:DeleteObject",
"s3:DeleteBucket",
"s3:GetObject",
"s3:ListBucket",
"s3:PutBucketPolicy",
"s3:PutObject",
"s3:GetBucketTagging",
"s3:PutBucketTagging"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"tag:UntagResources",
"tag:TagResources"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"ssm:DescribeInstanceInformation",
"ssm:GetCommandInvocation",
"ssm:ListCommandInvocations",
"ssm:ListCommands"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*"
}
},
"Action": [
"ssm:SendCommand"
]
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:*::document/*",
"arn:aws:s3:::amzn-s3-demo-bucket*"
],
"Action": [
"ssm:SendCommand"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"ec2:AllocateAddress",
"ec2:AssociateAddress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateImage",
"ec2:CreateSecurityGroup",
"ec2:CreateSnapshot",
"ec2:CreateTags",
"ec2:DeleteSecurityGroup",
"ec2:DeleteSnapshot",
"ec2:DeregisterImage",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeImages",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstances",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSnapshots",
"ec2:DescribeSubnets",
"ec2:DisassociateAddress",
"ec2:ReleaseAddress",
"ec2:RunInstances",
"ec2:StopInstances"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*"
}
},
"Action": [
"ec2:TerminateInstances",
"ec2:RebootInstances"
]
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:opsworks-cm:*:*:server/*"
],
"Action": [
"opsworks-cm:DeleteServer",
"opsworks-cm:StartMaintenance"
]
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:cloudformation:*:*:stack/aws-opsworks-cm-*"
],
"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStackResources",
"cloudformation:DescribeStacks",
"cloudformation:UpdateStack"
]
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:iam::*:role/aws-opsworks-cm-*",
"arn:aws:iam::*:role/service-role/aws-opsworks-cm-*"
],
"Action": [
"iam:PassRole"
]
},
{
"Effect": "Allow",
"Resource": "*",
"Action": [
"acm:DeleteCertificate",
"acm:ImportCertificate"
]
},
{
"Effect": "Allow",
"Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:UpdateSecret",
"secretsmanager:DeleteSecret",
"secretsmanager:TagResource",
"secretsmanager:UntagResource"
]
},
{
"Effect": "Allow",
"Action": "ec2:DeleteTags",
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:elastic-ip/*",
"arn:aws:ec2:*:*:security-group/*"
]
}
]
}AWS受管理策略:AWSOpsWorksCMInstanceProfileRole
您可以附加AWSOpsWorksCMInstanceProfileRole到您的IAM實體。 OpsWorks CM 也會將此原則附加至允許 OpsWorks CM 代表您執行動作的服務角色。
本政策撥款 administrative 允許用作 OpsWorks CM 伺服器的 Amazon EC2 執行個體從中取得資訊的許可 AWS CloudFormation 以及 AWS Secrets Manager,並將伺服器備份存放在 Amazon S3 儲存貯體中。
許可詳細資訊
此政策包含以下許可。
-
acm— 允許 OpsWorks CM 伺服器EC2執行個體從中取得憑證 AWS Certificate Manager 可讓使用者連線至 OpsWorks CM 伺服器。 -
cloudformation— 允許 OpsWorks CM 伺服器EC2執行個體取得相關資訊 AWS CloudFormation 在執行個體建立或更新程序期間進行堆疊,並將訊號傳送至 AWS CloudFormation 關於其狀態。 -
s3— 允許 OpsWorks CM 伺服器EC2執行個體在 S3 儲存貯體中上傳和存放伺服器備份、視需要停止或復原上傳,以及從 S3 儲存貯體刪除備份。 -
secretsmanager— 允許 OpsWorks CM 伺服器EC2執行個體取得 OpsWorks CM 相關 Secrets Manager 碼的值。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"cloudformation:DescribeStackResource",
"cloudformation:SignalResource"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListMultipartUploadParts",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket*",
"Effect": "Allow"
},
{
"Action": "acm:GetCertificate",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*",
"Effect": "Allow"
}
]
}OpsWorks CM 更新到 AWS 受管政策
檢視有關更新的詳細資訊 AWS 自此服務開始追蹤這些變更之後, OpsWorks CM 的受管理原則。如需有關此頁面變更的自動警示,請訂閱 OpsWorks CM 文件記錄頁面上的RSS摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
|
AWSOpsWorksCMInstanceProfileRole-更新了管理策略 |
OpsWorks CM 更新了受管政策,允許用作 OpsWorks CM 伺服器的EC2執行個體與 CloudFormation和 Secrets Manager 共用資訊,以及管理備份。此變更會新 |
2021 年 4 月 23 日 |
|
AWSOpsWorksCMServiceRole-更新了管理策略 |
OpsWorks CM 更新了受管理的原則,可讓 OpsWorks CM 系統管理員建立、管理和刪除 OpsWorks CM 伺服器和備份。此變更會新 |
2021 年 4 月 23 日 |
|
OpsWorks CM 開始追蹤變更 |
OpsWorks CM 開始跟踪其更改 AWS 受管理的策略。 |
2021 年 4 月 23 日 |
