AWSAWS OpsWorks 配置管理的托管策略 - AWS OpsWorks
AWSOps作品CMService角色AWSOps作品 CMInstance ProfileRole策略更新

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWSAWS OpsWorks 配置管理的托管策略

要向用户、群组和角色添加权限,使用 AWS 托管策略比自己编写策略要容易得多。创建仅为团队提供所需权限的 IAM 客户管理型策略需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管策略。这些政策涵盖常见用例,可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息,请参阅 IAM 用户指南中的AWS 托管策略

AWS 服务维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管策略添加其他权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当推出新功能或有新操作可用时,服务最有可能更新 AWS 托管策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。

此外,还 AWS 支持跨多个服务的工作职能的托管策略。例如,ReadOnlyAccess AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动一项新功能时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的AWS 托管式策略

AWS 托管策略:AWSOpsWorksCMServiceRole-已弃用

您可以附加AWSOpsWorksCMServiceRole到您的 IAM 实体。 OpsWorks CM 还将此策略附加到允许 OpsWorks CM 代表您执行操作的服务角色。

此策略administrative授予允许 OpsWorks CM 管理员创建、管理和删除 OpsWorks CM 服务器和备份的权限。

有关更多信息,请参阅《AWS 托管策略参考指南》中的已弃用 AWS 托管策略

权限详细信息

该策略包含以下权限。

  • opsworks-cm—允许委托人删除现有服务器并开始运行维护。

  • acm— 允许委托人删除或导入允许用户连接到 OpsWorks CM 服务器的证书。 AWS Certificate Manager

  • cloudformation— 允许 OpsWorks CM 在委托人创建、更新或删除 OpsWorks CM 服务器时创建和管理 AWS CloudFormation 堆栈。

  • ec2— 允许 OpsWorks CM 在委托人创建、更新或删除 C OpsWorks M 服务器时启动、配置、更新和终止 Amazon 弹性计算云实例。

  • iam— 允许 OpsWorks CM 创建创建和管理 OpsWorks CM 服务器所需的服务角色。

  • tag— 允许委托人在 OpsWorks CM 资源(包括服务器和备份)中应用和删除标签。

  • s3— 允许 OpsWorks CM 创建用于存储服务器备份的 Amazon S3 存储桶,根据委托人请求管理 S3 存储桶中的对象(例如,删除备份),以及删除存储桶。

  • secretsmanager— 允许 OpsWorks CM 创建和管理 Secrets Manager 密钥,以及应用或删除密钥中的标签。

  • ssm— 允许 OpsWorks CM 在作为 C OpsWorks M 服务器的实例上使用 Systems Manager 运行命令。

JSON
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket*"
            ],
            "Action": [
                "s3:CreateBucket",
                "s3:DeleteObject",
                "s3:DeleteBucket",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutBucketPolicy",
                "s3:PutObject",
                "s3:GetBucketTagging",
                "s3:PutBucketTagging"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Action": [
                "tag:UntagResources",
                "tag:TagResources"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Action": [
                "ssm:DescribeInstanceInformation",
                "ssm:GetCommandInvocation",
                "ssm:ListCommandInvocations",
                "ssm:ListCommands"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*"
                }
            },
            "Action": [
                "ssm:SendCommand"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:ssm:*::document/*",
                "arn:aws:s3:::amzn-s3-demo-bucket*"
            ],
            "Action": [
                "ssm:SendCommand"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Action": [
                "ec2:AllocateAddress",
                "ec2:AssociateAddress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateImage",
                "ec2:CreateSecurityGroup",
                "ec2:CreateSnapshot",
                "ec2:CreateTags",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteSnapshot",
                "ec2:DeregisterImage",
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAddresses",
                "ec2:DescribeImages",
                "ec2:DescribeInstanceStatus",
                "ec2:DescribeInstances",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSnapshots",
                "ec2:DescribeSubnets",
                "ec2:DisassociateAddress",
                "ec2:ReleaseAddress",
                "ec2:RunInstances",
                "ec2:StopInstances"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*"
                }
            },
            "Action": [
                "ec2:TerminateInstances",
                "ec2:RebootInstances"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:opsworks-cm:*:*:server/*"
            ],
            "Action": [
                "opsworks-cm:DeleteServer",
                "opsworks-cm:StartMaintenance"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:cloudformation:*:*:stack/aws-opsworks-cm-*"
            ],
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStackEvents",
                "cloudformation:DescribeStackResources",
                "cloudformation:DescribeStacks",
                "cloudformation:UpdateStack"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::*:role/aws-opsworks-cm-*",
                "arn:aws:iam::*:role/service-role/aws-opsworks-cm-*"
            ],
            "Action": [
                "iam:PassRole"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "*",
            "Action": [
                "acm:DeleteCertificate",
                "acm:ImportCertificate"
            ]
        },
        {
            "Effect": "Allow",
            "Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*",
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:GetSecretValue",
                "secretsmanager:UpdateSecret",
                "secretsmanager:DeleteSecret",
                "secretsmanager:TagResource",
                "secretsmanager:UntagResource"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteTags",
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ec2:*:*:elastic-ip/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        }
    ]
}

AWS 托管策略:AWSOpsWorksCMInstanceProfileRole-已弃用

您可以将 AWSOpsWorksCMInstanceProfileRole 附加到 IAM 实体。 OpsWorks CM 还将此策略附加到允许 OpsWorks CM 代表您执行操作的服务角色。

此策略授予的administrative权限允许用作 OpsWorks CM 服务器的 Amazon EC2 实例从 AWS CloudFormation 和获取信息 AWS Secrets Manager,并将服务器备份存储在 Amazon S3 存储桶中。

有关更多信息,请参阅《AWS 托管策略参考指南》中的已弃用 AWS 托管策略

权限详细信息

该策略包含以下权限。

  • acm— 允许 OpsWorks CM 服务器 EC2 实例获取允许用户连接到 OpsWorks CM 服务器的证书。 AWS Certificate Manager

  • cloudformation— 允许 OpsWorks CM 服务器 EC2 实例在实例创建或更新过程中获取 AWS CloudFormation 堆栈信息,并向发送 AWS CloudFormation 有关堆栈状态的信号。

  • s3— 允许 OpsWorks CM 服务器 EC2 实例上传服务器备份并将其存储在 S3 存储桶中,必要时停止或回滚上传,以及从 S3 存储桶中删除备份。

  • secretsmanager— 允许 OpsWorks CM 服务器 EC2 实例获取与 C OpsWorks M 相关的 Secrets Manager 密钥的值。

JSON
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "cloudformation:DescribeStackResource",
                "cloudformation:SignalResource"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        },
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:ListMultipartUploadParts",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket*",
            "Effect": "Allow"
        },
        {
            "Action": "acm:GetCertificate",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*",
            "Effect": "Allow"
        }
    ]
}

OpsWorks CM 对 AWS 托管策略的更新

查看自该服务开始跟踪这些更改以来 OpsWorks CM AWS 托管策略更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 OpsWorks CM 文档历史记录页面上的 RSS feed。

更改 描述 日期

AWSOps作品 CMInstance ProfileRole-已弃用

此政策已被弃用,因为该服务已被弃用。

 2025 年 5 月 26 日

AWSOps工作CMService角色-已弃用

此政策已被弃用,因为该服务已被弃用。

 2025 年 5 月 26 日

AWSOpsWork CMService s R ole-更新的托管策略

OpsWorks CM 更新了允许 OpsWorks CM 管理员创建、管理和删除 OpsWorks CM 服务器和备份的托管策略。此更改opsworks-cm!添加了 Secrets Manager 密钥的资源名称,因此允许 OpsWorks CM 拥有这些密钥。

 2021 年 4 月 23 日

OpsWorks CM 开始追踪变更

OpsWorks CM 开始跟踪其 AWS 托管策略的更改。

 2021 年 4 月 23 日