本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS for AWS OpsWorks 組態管理的 受管政策
若要新增許可給使用者、群組和角色,使用 AWS 受管政策比自行撰寫政策更容易。建立 [IAM 客戶受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例,並且可在您的帳戶中使用 AWS 。如需 AWS 受管政策的詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服務會維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會將其他許可新增至 AWS 受管政策,以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務最有可能更新 AWS 受管政策。服務不會從 AWS 受管政策移除許可,因此政策更新不會破壞您現有的許可。
此外, AWS 支援跨多個 服務之任務函數的受管政策。例如,**ReadOnlyAccess** AWS 受管政策提供所有 AWS 服務和資源的唯讀存取權。當服務啟動新功能時, 會 AWS 新增新操作和資源的唯讀許可。如需任務職能政策的清單和說明,請參閱 *IAM 使用者指南*中[有關任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
## AWS `AWSOpsWorksCMServiceRole` 受管政策:- 已棄用
您可以將 `AWSOpsWorksCMServiceRole` 連接到 IAM 實體。OpsWorks CM 也會將此政策連接至允許 OpsWorks CM 代表您執行動作的服務角色。
此政策授予*管理*許可,允許 OpsWorks CM 管理員建立、管理和刪除 OpsWorks CM 伺服器和備份。
如需詳細資訊,請參閱《 [AWS 受管政策參考指南》中的已棄用](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html#deprecated-managed-policies)* AWS 受管政策*。
**許可詳細資訊**
此政策包含以下許可。
+ `opsworks-cm` – 允許主體刪除現有的伺服器,並開始維護執行。
+ `acm` – 允許主體從 刪除或匯入憑證 AWS Certificate Manager ,讓使用者連線至 OpsWorks CM 伺服器。
+ `cloudformation` – 允許 OpsWorks CM 在主體建立、更新或刪除 OpsWorks CM 伺服器時建立和管理 AWS CloudFormation 堆疊。
+ `ec2` – 允許 OpsWorks CM 在主體建立、更新或刪除 OpsWorks CM 伺服器時啟動、佈建、更新和終止 Amazon Elastic Compute Cloud 執行個體。
+ `iam` – 允許 OpsWorks CM 建立建立和管理 OpsWorks CM 伺服器所需的服務角色。
+ `tag` – 允許主體從 OpsWorks CM 資源套用和移除標籤,包括伺服器和備份。
+ `s3` – 允許 OpsWorks CM 建立 Amazon S3 儲存貯體來存放伺服器備份、根據委託人請求管理 S3 儲存貯體中的物件 (例如,刪除備份),以及刪除儲存貯體。
+ `secretsmanager` – 允許 OpsWorks CM 建立和管理 Secrets Manager 秘密,以及從秘密套用或移除標籤。
+ `ssm` – 允許 OpsWorks CM 在屬於 OpsWorks CM 伺服器的執行個體上使用 Systems Manager Run Command。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket*"
],
"Action": [
"s3:CreateBucket",
"s3:DeleteObject",
"s3:DeleteBucket",
"s3:GetObject",
"s3:ListBucket",
"s3:PutBucketPolicy",
"s3:PutObject",
"s3:GetBucketTagging",
"s3:PutBucketTagging"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"tag:UntagResources",
"tag:TagResources"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"ssm:DescribeInstanceInformation",
"ssm:GetCommandInvocation",
"ssm:ListCommandInvocations",
"ssm:ListCommands"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*"
}
},
"Action": [
"ssm:SendCommand"
]
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:*::document/*",
"arn:aws:s3:::amzn-s3-demo-bucket*"
],
"Action": [
"ssm:SendCommand"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"ec2:AllocateAddress",
"ec2:AssociateAddress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateImage",
"ec2:CreateSecurityGroup",
"ec2:CreateSnapshot",
"ec2:CreateTags",
"ec2:DeleteSecurityGroup",
"ec2:DeleteSnapshot",
"ec2:DeregisterImage",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeImages",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstances",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSnapshots",
"ec2:DescribeSubnets",
"ec2:DisassociateAddress",
"ec2:ReleaseAddress",
"ec2:RunInstances",
"ec2:StopInstances"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*"
}
},
"Action": [
"ec2:TerminateInstances",
"ec2:RebootInstances"
]
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:opsworks-cm:*:*:server/*"
],
"Action": [
"opsworks-cm:DeleteServer",
"opsworks-cm:StartMaintenance"
]
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:cloudformation:*:*:stack/aws-opsworks-cm-*"
],
"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStackResources",
"cloudformation:DescribeStacks",
"cloudformation:UpdateStack"
]
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:iam::*:role/aws-opsworks-cm-*",
"arn:aws:iam::*:role/service-role/aws-opsworks-cm-*"
],
"Action": [
"iam:PassRole"
]
},
{
"Effect": "Allow",
"Resource": "*",
"Action": [
"acm:DeleteCertificate",
"acm:ImportCertificate"
]
},
{
"Effect": "Allow",
"Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:UpdateSecret",
"secretsmanager:DeleteSecret",
"secretsmanager:TagResource",
"secretsmanager:UntagResource"
]
},
{
"Effect": "Allow",
"Action": "ec2:DeleteTags",
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:elastic-ip/*",
"arn:aws:ec2:*:*:security-group/*"
]
}
]
}
```
------
## AWS `AWSOpsWorksCMInstanceProfileRole` 受管政策:- 已棄用
您可以將 `AWSOpsWorksCMInstanceProfileRole` 連接到 IAM 實體。OpsWorks CM 也會將此政策連接至允許 OpsWorks CM 代表您執行動作的服務角色。
此政策授予*管理*許可,允許用作 OpsWorks CM 伺服器的 Amazon EC2 執行個體從 AWS CloudFormation 和 取得資訊 AWS Secrets Manager,並將伺服器備份存放在 Amazon S3 儲存貯體中。
如需詳細資訊,請參閱《 [AWS 受管政策參考指南》中的已棄用](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html#deprecated-managed-policies)* AWS 受管政策*。
**許可詳細資訊**
此政策包含以下許可。
+ `acm` – 允許 OpsWorks CM 伺服器 EC2 執行個體從 取得憑證 AWS Certificate Manager ,讓使用者連線至 OpsWorks CM 伺服器。
+ `cloudformation` – 允許 OpsWorks CM 伺服器 EC2 執行個體在執行個體建立或更新程序期間取得 CloudFormation 堆疊的相關資訊,並將 CloudFormation 有關其狀態的訊號傳送至 。
+ `s3` – 允許 OpsWorks CM 伺服器 EC2 執行個體上傳和存放 S3 儲存貯體中的伺服器備份、視需要停止或復原上傳,以及刪除 S3 儲存貯體中的備份。
+ `secretsmanager` – 允許 OpsWorks CM 伺服器 EC2 執行個體取得 OpsWorks CM 相關 Secrets Manager 秘密的值。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"cloudformation:DescribeStackResource",
"cloudformation:SignalResource"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListMultipartUploadParts",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket*",
"Effect": "Allow"
},
{
"Action": "acm:GetCertificate",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*",
"Effect": "Allow"
}
]
}
```
------
## AWS 受管政策的 OpsWorks CM 更新
檢視自此服務開始追蹤這些變更以來,OpsWorks CM AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 [OpsWorks CM 文件歷史記錄](history.md)頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AWSOpsWorksCMInstanceProfileRole](#security-iam-awsmanpol-AWSOpsWorksCMInstanceProfileRole) - 已棄用 | 此政策已棄用,因為服務已棄用。 | 2025 年 5 月 26 日 |
| [AWSOpsWorksCMServiceRole](#security-iam-awsmanpol-AWSOpsWorksCMServiceRole) - 已棄用 | 此政策已棄用,因為服務已棄用。 | 2025 年 5 月 26 日 |
| [AWSOpsWorksCMServiceRole](#security-iam-awsmanpol-AWSOpsWorksCMServiceRole) - 更新的受管政策 | OpsWorks CM 已更新受管政策,允許 OpsWorks CM 管理員建立、管理和刪除 OpsWorks CM 伺服器和備份。變更會`opsworks-cm!`新增至 Secrets Manager 秘密的資源名稱,以便允許 OpsWorks CM 擁有秘密。 | 2021 年 4 月 23 日 |
| OpsWorks CM 已開始追蹤變更 | OpsWorks CM 開始追蹤其 AWS 受管政策的變更。 | 2021 年 4 月 23 日 |