本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS AWS OpsWorks 配置管理的托管策略
要向用户、群组和角色添加权限,使用 AWS 托管策略比自己编写策略要容易得多。创建仅为团队提供所需权限的 [IAM 客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管策略。这些政策涵盖常见用例,可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息,请参阅 *IAM 用户指南*中的[AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服务维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管策略添加其他权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当推出新功能或有新操作可用时,服务最有可能更新 AWS 托管策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。
此外,还 AWS 支持跨多个服务的工作职能的托管策略。例如,**ReadOnlyAccess** AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动一项新功能时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 *IAM 用户指南*中的[适用于工作职能的AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
## AWS 托管策略:`AWSOpsWorksCMServiceRole`-已弃用
您可以附加`AWSOpsWorksCMServiceRole`到您的 IAM 实体。 OpsWorks CM 还将此策略附加到允许 OpsWorks CM 代表您执行操作的服务角色。
此策略{{administrative}}授予允许 OpsWorks CM 管理员创建、管理和删除 OpsWorks CM 服务器和备份的权限。
有关更多信息,请参阅《[AWS 托管策略参考指南》中的已弃](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html#deprecated-managed-policies)*用 AWS 托管策略*。
**权限详细信息**
该策略包含以下权限。
+ `opsworks-cm`—允许委托人删除现有服务器并开始运行维护。
+ `acm`— 允许委托人删除或导入允许用户连接到 OpsWorks CM 服务器的证书。 AWS Certificate Manager
+ `cloudformation`— 允许 OpsWorks CM 在委托人创建、更新或删除 OpsWorks CM 服务器时创建和管理 AWS CloudFormation 堆栈。
+ `ec2`— 允许 OpsWorks CM 在委托人创建、更新或删除 C OpsWorks M 服务器时启动、配置、更新和终止 Amazon 弹性计算云实例。
+ `iam`— 允许 OpsWorks CM 创建创建和管理 OpsWorks CM 服务器所需的服务角色。
+ `tag`— 允许委托人在 OpsWorks CM 资源(包括服务器和备份)中应用和删除标签。
+ `s3`— 允许 OpsWorks CM 创建用于存储服务器备份的 Amazon S3 存储桶,根据委托人请求管理 S3 存储桶中的对象(例如,删除备份),以及删除存储桶。
+ `secretsmanager`— 允许 OpsWorks CM 创建和管理 Secrets Manager 密钥,以及应用或删除密钥中的标签。
+ `ssm`— 允许 OpsWorks CM 在作为 C OpsWorks M 服务器的实例上使用 Systems Manager 运行命令。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket*"
],
"Action": [
"s3:CreateBucket",
"s3:DeleteObject",
"s3:DeleteBucket",
"s3:GetObject",
"s3:ListBucket",
"s3:PutBucketPolicy",
"s3:PutObject",
"s3:GetBucketTagging",
"s3:PutBucketTagging"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"tag:UntagResources",
"tag:TagResources"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"ssm:DescribeInstanceInformation",
"ssm:GetCommandInvocation",
"ssm:ListCommandInvocations",
"ssm:ListCommands"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*"
}
},
"Action": [
"ssm:SendCommand"
]
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:*::document/*",
"arn:aws:s3:::amzn-s3-demo-bucket*"
],
"Action": [
"ssm:SendCommand"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"ec2:AllocateAddress",
"ec2:AssociateAddress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateImage",
"ec2:CreateSecurityGroup",
"ec2:CreateSnapshot",
"ec2:CreateTags",
"ec2:DeleteSecurityGroup",
"ec2:DeleteSnapshot",
"ec2:DeregisterImage",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeImages",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstances",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSnapshots",
"ec2:DescribeSubnets",
"ec2:DisassociateAddress",
"ec2:ReleaseAddress",
"ec2:RunInstances",
"ec2:StopInstances"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*"
}
},
"Action": [
"ec2:TerminateInstances",
"ec2:RebootInstances"
]
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:opsworks-cm:*:*:server/*"
],
"Action": [
"opsworks-cm:DeleteServer",
"opsworks-cm:StartMaintenance"
]
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:cloudformation:*:*:stack/aws-opsworks-cm-*"
],
"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStackResources",
"cloudformation:DescribeStacks",
"cloudformation:UpdateStack"
]
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:iam::*:role/aws-opsworks-cm-*",
"arn:aws:iam::*:role/service-role/aws-opsworks-cm-*"
],
"Action": [
"iam:PassRole"
]
},
{
"Effect": "Allow",
"Resource": "*",
"Action": [
"acm:DeleteCertificate",
"acm:ImportCertificate"
]
},
{
"Effect": "Allow",
"Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:UpdateSecret",
"secretsmanager:DeleteSecret",
"secretsmanager:TagResource",
"secretsmanager:UntagResource"
]
},
{
"Effect": "Allow",
"Action": "ec2:DeleteTags",
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:elastic-ip/*",
"arn:aws:ec2:*:*:security-group/*"
]
}
]
}
```
------
## AWS 托管策略:`AWSOpsWorksCMInstanceProfileRole`-已弃用
您可以将 `AWSOpsWorksCMInstanceProfileRole` 附加到 IAM 实体。 OpsWorks CM 还将此策略附加到允许 OpsWorks CM 代表您执行操作的服务角色。
此策略授予的{{administrative}}权限允许用作 OpsWorks CM 服务器的 Amazon EC2 实例从 AWS CloudFormation 和获取信息 AWS Secrets Manager,并将服务器备份存储在 Amazon S3 存储桶中。
有关更多信息,请参阅《[AWS 托管策略参考指南》中的已弃](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html#deprecated-managed-policies)*用 AWS 托管策略*。
**权限详细信息**
该策略包含以下权限。
+ `acm`— 允许 OpsWorks CM 服务器 EC2 实例获取允许用户连接到 OpsWorks CM 服务器的证书。 AWS Certificate Manager
+ `cloudformation`— 允许 OpsWorks CM 服务器 EC2 实例在实例创建或更新过程中获取 CloudFormation 堆栈信息,并向发送 CloudFormation 有关堆栈状态的信号。
+ `s3`— 允许 OpsWorks CM 服务器 EC2 实例上传服务器备份并将其存储在 S3 存储桶中,必要时停止或回滚上传,以及从 S3 存储桶中删除备份。
+ `secretsmanager`— 允许 OpsWorks CM 服务器 EC2 实例获取与 C OpsWorks M 相关的 Secrets Manager 密钥的值。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"cloudformation:DescribeStackResource",
"cloudformation:SignalResource"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListMultipartUploadParts",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket*",
"Effect": "Allow"
},
{
"Action": "acm:GetCertificate",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*",
"Effect": "Allow"
}
]
}
```
------
## OpsWorks CM 对 AWS 托管策略的更新
查看自该服务开始跟踪这些更改以来 OpsWorks CM AWS 托管策略更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 [OpsWorks CM 文档历史记录](history.md)页面上的 RSS feed。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSOps作品 CMInstance ProfileRole](#security-iam-awsmanpol-AWSOpsWorksCMInstanceProfileRole)-已弃用 | 此政策已被弃用,因为该服务已被弃用。 | 2025 年 5 月 26 日 |
| [AWSOps工作CMService角色](#security-iam-awsmanpol-AWSOpsWorksCMServiceRole)-已弃用 | 此政策已被弃用,因为该服务已被弃用。 | 2025 年 5 月 26 日 |
| [AWSOpsWork CMService s R](#security-iam-awsmanpol-AWSOpsWorksCMServiceRole) ole-更新的托管策略 | OpsWorks CM 更新了允许 OpsWorks CM 管理员创建、管理和删除 OpsWorks CM 服务器和备份的托管策略。此更改`opsworks-cm!`添加了 Secrets Manager 密钥的资源名称,因此允许 OpsWorks CM 拥有这些密钥。 | 2021 年 4 月 23 日 |
| OpsWorks CM 开始追踪变更 | OpsWorks CM 开始跟踪其 AWS 托管策略的更改。 | 2021 年 4 月 23 日 |