Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# AWS políticas gestionadas para la gestión de AWS OpsWorks la configuración
Para añadir permisos a usuarios, grupos y roles, es más fácil usar políticas AWS administradas que escribirlas tú mismo. Se necesita tiempo y experiencia para [crear políticas administradas por el cliente de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que proporcionen a su equipo solo los permisos necesarios. Para empezar rápidamente, puedes usar nuestras políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en tu AWS cuenta. Para obtener más información sobre las políticas AWS administradas, consulte las [políticas AWS administradas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
AWS los servicios mantienen y AWS actualizan las políticas gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios añaden permisos adicionales a una política AWS gestionada para admitir nuevas funciones. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Lo más probable es que los servicios actualicen una política AWS administrada cuando se lanza una nueva función o cuando hay nuevas operaciones disponibles. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.
Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política **ReadOnlyAccess** AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte [Políticas administradas de AWS para funciones de trabajo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía del usuario de IAM*.
## Política gestionada por AWS: `AWSOpsWorksCMServiceRole` - Obsoleta
Puede adjuntarlo `AWSOpsWorksCMServiceRole` a sus entidades de IAM. OpsWorks CM también vincula esta política a una función de servicio que permite a OpsWorks CM realizar acciones en su nombre.
Esta política otorga {{administrative}} permisos que permiten a los administradores de OpsWorks CM crear, administrar y eliminar servidores y copias de seguridad de OpsWorks CM.
Para obtener más información, consulte [las políticas AWS administradas obsoletas](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html#deprecated-managed-policies) en la *Guía de referencia de políticas AWS administradas*.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `opsworks-cm`: permite a las entidades principales eliminar los servidores existentes e iniciar las ejecuciones de mantenimiento.
+ `acm`— Permite a los directores eliminar o importar certificados AWS Certificate Manager que permiten a los usuarios conectarse a un servidor OpsWorks CM.
+ `cloudformation`— Permite a OpsWorks CM crear y gestionar AWS CloudFormation pilas cuando los directores crean, actualizan o eliminan OpsWorks servidores CM.
+ `ec2`— Permite a OpsWorks CM lanzar, aprovisionar, actualizar y finalizar instancias de Amazon Elastic Compute Cloud cuando los directores crean, actualizan o eliminan servidores de OpsWorks CM.
+ `iam`— Permite a OpsWorks CM crear las funciones de servicio necesarias para crear y administrar los servidores de OpsWorks CM.
+ `tag`— Permite a los directores aplicar y eliminar etiquetas de los recursos de OpsWorks CM, incluidos los servidores y las copias de seguridad.
+ `s3`— Permite a OpsWorks CM crear depósitos de Amazon S3 para almacenar copias de seguridad de servidores, gestionar objetos en depósitos S3 a petición principal (por ejemplo, eliminar una copia de seguridad) y eliminar depósitos.
+ `secretsmanager`— Permite a OpsWorks CM crear y gestionar los secretos de Secrets Manager y aplicar o eliminar etiquetas de los secretos.
+ `ssm`— Permite a OpsWorks CM utilizar Systems Manager Run Command en las instancias que son servidores OpsWorks CM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket*"
],
"Action": [
"s3:CreateBucket",
"s3:DeleteObject",
"s3:DeleteBucket",
"s3:GetObject",
"s3:ListBucket",
"s3:PutBucketPolicy",
"s3:PutObject",
"s3:GetBucketTagging",
"s3:PutBucketTagging"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"tag:UntagResources",
"tag:TagResources"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"ssm:DescribeInstanceInformation",
"ssm:GetCommandInvocation",
"ssm:ListCommandInvocations",
"ssm:ListCommands"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*"
}
},
"Action": [
"ssm:SendCommand"
]
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:*::document/*",
"arn:aws:s3:::amzn-s3-demo-bucket*"
],
"Action": [
"ssm:SendCommand"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"ec2:AllocateAddress",
"ec2:AssociateAddress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateImage",
"ec2:CreateSecurityGroup",
"ec2:CreateSnapshot",
"ec2:CreateTags",
"ec2:DeleteSecurityGroup",
"ec2:DeleteSnapshot",
"ec2:DeregisterImage",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeImages",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstances",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSnapshots",
"ec2:DescribeSubnets",
"ec2:DisassociateAddress",
"ec2:ReleaseAddress",
"ec2:RunInstances",
"ec2:StopInstances"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*"
}
},
"Action": [
"ec2:TerminateInstances",
"ec2:RebootInstances"
]
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:opsworks-cm:*:*:server/*"
],
"Action": [
"opsworks-cm:DeleteServer",
"opsworks-cm:StartMaintenance"
]
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:cloudformation:*:*:stack/aws-opsworks-cm-*"
],
"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStackResources",
"cloudformation:DescribeStacks",
"cloudformation:UpdateStack"
]
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:iam::*:role/aws-opsworks-cm-*",
"arn:aws:iam::*:role/service-role/aws-opsworks-cm-*"
],
"Action": [
"iam:PassRole"
]
},
{
"Effect": "Allow",
"Resource": "*",
"Action": [
"acm:DeleteCertificate",
"acm:ImportCertificate"
]
},
{
"Effect": "Allow",
"Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:UpdateSecret",
"secretsmanager:DeleteSecret",
"secretsmanager:TagResource",
"secretsmanager:UntagResource"
]
},
{
"Effect": "Allow",
"Action": "ec2:DeleteTags",
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:elastic-ip/*",
"arn:aws:ec2:*:*:security-group/*"
]
}
]
}
```
------
## Política gestionada por AWS: `AWSOpsWorksCMInstanceProfileRole` - Obsoleta
Puede adjuntar `AWSOpsWorksCMInstanceProfileRole` a sus entidades de IAM. OpsWorks CM también asocia esta política a una función de servicio que le permite a OpsWorks CM realizar acciones en su nombre.
Esta política concede {{administrative}} permisos que permiten a las EC2 instancias de Amazon que se utilizan como servidores OpsWorks CM obtener información AWS CloudFormation y AWS Secrets Manager almacenar copias de seguridad del servidor en depósitos de Amazon S3.
Para obtener más información, consulte [las políticas AWS administradas obsoletas en la Guía de referencia de políticas AWS](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html#deprecated-managed-policies) *administradas*.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `acm`— Permite a EC2 las instancias del servidor OpsWorks CM obtener certificados AWS Certificate Manager que permiten a los usuarios conectarse a un servidor OpsWorks CM.
+ `cloudformation`— Permite a EC2 las instancias del servidor OpsWorks CM obtener información sobre las CloudFormation pilas durante el proceso de creación o actualización de la instancia y enviar señales a ellas CloudFormation sobre su estado.
+ `s3`— Permite a EC2 las instancias del servidor OpsWorks CM cargar y almacenar las copias de seguridad del servidor en depósitos de S3, detener o revertir las cargas si es necesario y eliminar las copias de seguridad de los depósitos de S3.
+ `secretsmanager`— Permite a EC2 las instancias del servidor OpsWorks CM obtener los valores de los secretos de Secrets Manager relacionados con OpsWorks CM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"cloudformation:DescribeStackResource",
"cloudformation:SignalResource"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListMultipartUploadParts",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket*",
"Effect": "Allow"
},
{
"Action": "acm:GetCertificate",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*",
"Effect": "Allow"
}
]
}
```
------
## OpsWorks CM actualiza las políticas AWS gestionadas
Consulte los detalles sobre las actualizaciones de las políticas AWS administradas para OpsWorks CM desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del [historial de documentos de OpsWorks CM](history.md).
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AWSOpsFunciona CMInstance ProfileRole](#security-iam-awsmanpol-AWSOpsWorksCMInstanceProfileRole): en desuso | Esta política ha quedado obsoleta porque el servicio está obsoleto. | 26 de mayo de 2025 |
| [AWSOpsCMServiceFunción Works](#security-iam-awsmanpol-AWSOpsWorksCMServiceRole): obsoleta | Esta política ha quedado obsoleta porque el servicio está obsoleto. | 26 de mayo de 2025 |
| [AWSOpsCMServiceFunción de trabajo: política](#security-iam-awsmanpol-AWSOpsWorksCMServiceRole) gestionada actualizada | OpsWorks CM actualizó la política administrada que permite a los administradores de OpsWorks CM crear, administrar y eliminar servidores y copias de seguridad de OpsWorks CM. El cambio añade `opsworks-cm!` al nombre del recurso los secretos de Secrets Manager, de modo que OpsWorks CM puede ser propietario de los secretos. | 23 de abril de 2021 |
| OpsWorks CM comenzó a rastrear los cambios | OpsWorks CM comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas. | 23 de abril de 2021 |