本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 管理 OpsWorks Stacks 使用者許可 **重要** AWS OpsWorks Stacks 此服務已於 2024 年 5 月 26 日終止,並已針對新客戶和現有客戶停用。我們強烈建議客戶盡快將其工作負載遷移至其他解決方案。如果您對遷移有任何疑問,請透過 [AWS re:Post](https://repost.aws/) 或透過 [AWS Premium Support](https://aws.amazon.com/support) 聯絡 AWS 支援 團隊。 最佳實務是將 OpsWorks Stacks 使用者限制為一組指定的動作或一組堆疊資源。您可以透過兩種方式控制 OpsWorks Stacks 使用者許可:使用 OpsWorks Stacks **許可**頁面,以及套用適當的 IAM 政策。 OpsWorks **許可**頁面 - 或同等的 CLI 或 API 動作 - 可讓您透過為每個使用者指派多個許可*層級中的一個來控制多使用者環境中的使用者許可*。每個層級都會授予特定堆疊資源之標準動作組的許可。使用 **Permissions (許可)** 頁面,您可以控制下列項目: + 誰可以存取每個堆疊。 + 每個使用者在每個堆疊上允許執行的動作有哪些。 例如,您可以允許一部分的使用者僅能檢視堆疊,其他使用者則能部署應用程式、新增執行個體等。 + 誰可以管理每個堆疊。 您可以將每個堆疊的管理委派給一或多個指定的使用者。 + 在每個堆疊的 Amazon EC2 執行個體上具有使用者層級 SSH 存取和 sudo 權限 (Linux) 或 RDP 存取和管理員權限 (Windows) 的人員。 您可以隨時為每個使用者分別授予或移除這些許可。 **重要** 拒絕 SSH/RDP 存取不一定能防止使用者登入執行個體。如果您為執行個體指定 Amazon EC2 金鑰對,則任何具有對應私有金鑰的使用者都可以登入或使用金鑰來擷取 Windows 管理員密碼。如需詳細資訊,請參閱[管理 SSH 存取](security-ssh-access.md)。 您可以使用 [IAM 主控台](https://console.aws.amazon.com/iam)、CLI 或 API 將政策新增至您的使用者,以授予各種 OpsWorks Stacks 資源和動作的明確許可。 + 使用 IAM 政策來指定許可比使用許可層級更靈活。 + 您可以設定 [IAM 身分 (使用者、使用者群組和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html),將許可授予 IAM 身分,例如使用者和使用者群組,或定義可與聯合身分使用者相關聯的[角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。 + IAM 政策是授予特定金鑰 Stacks OpsWorks 動作許可的唯一方法。 例如,您必須使用 IAM 授予 `opsworks:CreateStack`和 的許可`opsworks:CloneStack`,這些許可分別用於建立和複製堆疊。 雖然無法在主控台中明確匯入聯合身分使用者,但聯合身分使用者可以透過選擇 Stacks OpsWorks 主控台右上角的**我的設定**,然後選擇右上角的使用者,隱含地建立**使用者**設定檔。在**使用者**頁面上,聯合身分使用者 - 透過使用 API 或 CLI 建立帳戶,或隱含地透過主控台 - 可以像非聯合身分使用者一樣管理其帳戶。 兩種方式並非互斥關係,有時候合併使用兩者也會非常有用。 OpsWorks Stacks 接著便會評估這兩組許可。例如,假設您希望允許使用者新增或刪除執行個體,但不希望其新增或刪除 layer。沒有任何 OpsWorks Stacks 許可層級會授予該特定許可集。不過,您可以使用**許可**頁面授予使用者**管理**許可層級,以允許他們執行大多數堆疊操作,然後套用拒絕新增或移除層許可的 IAM 政策。如需詳細資訊,請參閱[使用 政策控制對 資源的 AWS 存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html)。 以下是管理使用者許可的典型模型。在每個案例中,皆預設讀者 (即您) 具備管理員身分。 1. 使用 [IAM 主控台](https://console.aws.amazon.com/iam)將 AWSOpsWorks\$1FullAccess 政策套用至一或多個管理使用者。 1. 使用不授予 OpsWorks Stacks 許可的政策為每個非管理使用者建立使用者。 如果使用者只需要存取 OpsWorks Stacks,您可能完全不需要套用政策。您可以改為使用 OpsWorks Stacks Permissions 頁面來管理其**許可**。 1. 使用 OpsWorks Stacks **使用者**頁面將非管理使用者匯入 OpsWorks Stacks。 1. 針對每個堆疊,使用堆疊的 **Permissions (許可)** 頁面,將許可層級指派給每個使用者。 1. 視需要套用適當設定的 IAM 政策,以自訂使用者的許可層級。 如需管理使用者的詳細建議,請參閱 [最佳實務:管理許可](best-practices-permissions.md)。 如需 IAM 最佳實務的詳細資訊,請參閱《[IAM 使用者指南》中的 IAM 中的安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。 ** **Topics** + [管理 OpsWorks Stacks 使用者](opsworks-security-users-manage.md) + [授予每個 OpsWorks 堆疊的 Stacks 使用者許可](opsworks-security-users-console.md) + [連接 OpsWorks IAM 政策來管理 Stacks 許可](opsworks-security-users-policy.md) + [範例政策](opsworks-security-users-examples.md) + [OpsWorks Stacks 許可層級](opsworks-security-users-standard.md)