ポリシーの例 - AWS OpsWorks
管理権限アクセス許可の管理 Deploy 権限

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ポリシーの例

重要

この AWS OpsWorks Stacks サービスは 2024 年 5 月 26 日にサポート終了となり、新規および既存のお客様の両方で無効になっています。できるだけ早くワークロードを他のソリューションに移行することを強くお勧めします。移行についてご質問がある場合は、AWS re:Post またはAWS プレミアムサポートを通じて AWS サポート チームにお問い合わせください。

このセクションでは、 スタックユーザーに適用できる IAM OpsWorks ポリシーの例について説明します。

管理権限

IAM コンソール https://console.aws.amazon.com/iam/ を使用して AWSOpsWorks_FullAccess ポリシーにアクセスします。このポリシーをユーザーにアタッチして、すべての OpsWorks スタックアクションを実行するアクセス許可を付与します。ユーザーのインポートを管理ユーザーに許可するなど、特定の操作については、IAM の権限が必須となります。

スタックがユーザーに代わって Amazon EC2 インスタンスなどの他の AWS リソースにアクセスできるようにする IAM ロールを作成する必要があります。 OpsWorks 通常、このタスクを処理するには、管理ユーザーに最初のスタックを作成し、 OpsWorks スタックにロールを作成します。以後そのロールは、後続のすべてのスタックで使用することができます。詳細については、「OpsWorks スタックがユーザーに代わって動作することを許可する」を参照してください。

最初のスタックを作成する管理ユーザーは、AWSOpsWorks_FullAccess ポリシーに含まれていない特定の IAM アクションに対する権限を持っている必要があります。ポリシーの Actions セクションに、次のアクセス許可を追加します。適切な JSON 構文のために、アクション間にカンマを追加し、アクションのリストの末尾にあるコンマを削除してください。

"iam:PutRolePolicy",
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:CreateRole"

アクセス許可の管理

Manage 権限レベルのユーザーは、レイヤーの追加と削除を含め、さまざまなスタック管理アクションを実行できます。このトピックでは、管理 ユーザーにアタッチすることで、標準の権限を制限したり補足したりできるいくつかのポリシーについて説明します。

Manage ユーザーによるレイヤーの追加と削除を拒否する

管理 権限レベルを制限し、レイヤーの追加と削除を除くすべての 管理 アクションの実行を許可するには、次の IAM ポリシーをアタッチします。リージョンaccount_id、および stack_id を設定に適した値に置き換えます。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "opsworks:CreateLayer",
                "opsworks:DeleteLayer"
            ],
            "Resource": "arn:aws:opsworks:us-east-1:account_id:stack/stack_id/"
        }
    ]
}
スタックの作成とクローン化を Manage ユーザーに許可する

Manage (管理) 権限レベルでは、スタックの作成もクローン化も許可されません。以下の IAM ポリシーをアタッチすることで、ユーザーがスタックの作成やクローン化を作成できるように 管理 を変更することができます。リージョン および account_id を設定に適した値に置き換えます。

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetRolePolicy",
        "iam:ListRoles",
        "iam:ListInstanceProfiles",
        "iam:ListUsers",
        "opsworks:DescribeUserProfiles",
        "opsworks:CreateUserProfile",
        "opsworks:DeleteUserProfile"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:opsworks::account_id:stack/*/",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "opsworks.amazonaws.com"
        }
      }
    }
  ]
}
Manage ユーザーによるリソースの登録と登録解除を拒否する

管理 権限レベルのユーザーは、スタックへの Amazon EBS と Elastic IP アドレスリソースの登録および登録解除を行うことができます。リソースの登録を除くすべての 管理 アクションを許可するように 管理 権限を制限するには、次のポリシーを適用します。

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "opsworks:RegisterVolume",
        "opsworks:RegisterElasticIp"
      ],
      "Resource": "*"
    }
  ]
}
ユーザーのインポートを Manage ユーザーに許可する

アクセス許可の管理レベルでは、ユーザーは OpsWorks スタックにユーザーをインポートできません。ユーザーをインポートしたり削除したりできるように 管理 権限を補足するには、次の IAM ポリシーを適用します。リージョン および account_id を設定に適した値に置き換えます。

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetRolePolicy",
        "iam:ListRoles",
        "iam:ListInstanceProfiles",
        "iam:ListUsers",
        "iam:PassRole",
        "opsworks:DescribeUserProfiles",
        "opsworks:CreateUserProfile",
        "opsworks:DeleteUserProfile"
      ],
      "Resource": "arn:aws:iam:region:account_id:user/*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "opsworks.amazonaws.com"
        }
      }
    }
  ]
}

Deploy 権限

Deploy 権限レベルのユーザーは、アプリケーションを作成することも削除することもできません。アプリケーションを作成したり削除したりできるように デプロイ 権限を補足するには、次の IAM ポリシーをアタッチします。リージョンaccount_id、および stack_id を設定に適した値に置き換えます。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "opsworks:CreateApp",
                "opsworks:DeleteApp"
            ],
            "Resource": "arn:aws:opsworks:us-east-1:account_id:stack/stack_id/"
        }
    ]
}