Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Exemples de stratégies
**Important**
Le AWS OpsWorks Stacks service a atteint sa fin de vie le 26 mai 2024 et a été désactivé tant pour les nouveaux clients que pour les clients existants. Nous recommandons vivement aux clients de migrer leurs charges de travail vers d'autres solutions dès que possible. Si vous avez des questions sur la migration, contactez l' AWS Support équipe sur [AWS Re:Post](https://repost.aws/) ou via le [AWS Support](https://aws.amazon.com/support) Premium.
Cette section décrit des exemples de politiques IAM qui peuvent être appliquées aux utilisateurs de OpsWorks Stacks.
+ [Autorisations administratives](#opsworks-security-users-examples-admin)décrit les politiques utilisées pour accorder des autorisations aux utilisateurs administratifs.
+ [Gestion des autorisations](#opsworks-security-users-examples-manage)et [Autorisations Deploy](#opsworks-security-users-examples-deploy) montrez des exemples de politiques qui peuvent être appliquées à un utilisateur pour augmenter ou restreindre les niveaux d'autorisation de gestion et de déploiement.
OpsWorks Stacks détermine les autorisations de l'utilisateur en évaluant les autorisations accordées par les politiques IAM ainsi que les autorisations accordées par la page **Permissions**. Pour plus d'informations, consultez la section [Contrôle de l'accès aux AWS ressources à l'aide de politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html). Pour plus d'informations sur les autorisations de la page **Autorisations**, consultez [OpsWorks Stabilise les niveaux d'autorisationNiveaux d'autorisation](opsworks-security-users-standard.md).
## Autorisations administratives
Utilisez la console IAM [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/), pour accéder à la AWSOpsWorks\$1FullAccess politique, attachez cette politique à un utilisateur pour lui accorder l'autorisation d'effectuer toutes les actions OpsWorks Stacks. Les autorisations IAM sont requises, entre autres, pour permettre à un utilisateur administratif d'importer des utilisateurs.
Vous devez créer un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) qui permet à OpsWorks Stacks d'agir en votre nom pour accéder à d'autres AWS ressources, telles que les instances Amazon EC2 . Vous gérez généralement cette tâche en demandant à un utilisateur administratif de créer la première pile et en laissant OpsWorks Stacks créer le rôle pour vous. Vous pouvez ensuite utiliser ce rôle pour toutes les piles suivantes. Pour de plus amples informations, veuillez consulter [Permettre à OpsWorks Stacks d'agir en votre nom](opsworks-security-servicerole.md).
L'utilisateur administratif qui crée la première pile doit disposer d'autorisations pour certaines actions IAM qui ne sont pas incluses dans la AWSOpsWorks\$1FullAccess politique. Ajoutez les autorisations suivantes à la `Actions` section de la politique. Pour une syntaxe JSON correcte, veillez à ajouter des virgules entre les actions et à supprimer la virgule de fin à la fin de la liste des actions.
```
"iam:PutRolePolicy",
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:CreateRole"
```
## Gestion des autorisations
Le niveau d'autorisation **Gérer** permet à un utilisateur d'effectuer diverses actions de gestion de pile, y compris l'ajout ou la suppression de couches. Cette rubrique décrit plusieurs politiques que vous pouvez utiliser pour **gérer les** utilisateurs afin d'augmenter ou de restreindre les autorisations standard.
Refuser à un utilisateur **Gérer** la possibilité d'ajouter ou de supprimer des couches
Vous pouvez restreindre le niveau des autorisations de **gestion** pour permettre à un utilisateur d'effectuer toutes les actions de **gestion**, à l'exception de l'ajout ou de la suppression de couches, en utilisant la politique IAM suivante. Remplacez *region**account\$1id*, et *stack\$1id* par des valeurs adaptées à votre configuration.
Permettre à un utilisateur **Gérer** de créer ou de cloner des piles
Le niveau **Gérer** les autorisations ne permet pas aux utilisateurs de créer ou de cloner des piles. Vous pouvez modifier les autorisations de **gestion** pour permettre à un utilisateur de créer ou de cloner des piles en appliquant la politique IAM suivante. Remplacez *region* et *account\$1id* par des valeurs adaptées à votre configuration.
Refuser à un utilisateur Manage la possibilité d'enregistrer des ressources ou d'annuler leur enregistrement
Le niveau de **gestion** des autorisations permet à l'utilisateur d'[enregistrer et de désenregistrer les ressources d'adresses IP Amazon EBS et Elastic](resources-reg.md) auprès de la pile. Vous pouvez restreindre les autorisations de **gestion** pour permettre à l'utilisateur d'effectuer toutes les actions de **gestion**, à l'exception de l'enregistrement des ressources, en appliquant la politique suivante.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"opsworks:RegisterVolume",
"opsworks:RegisterElasticIp"
],
"Resource": "*"
}
]
}
```
Autoriser un utilisateur **Gérer** à importer des utilisateurs
Le niveau de **gestion** des autorisations ne permet pas aux utilisateurs d'importer des utilisateurs dans OpsWorks Stacks. Vous pouvez augmenter les autorisations de **gestion** pour permettre à un utilisateur d'importer et de supprimer des utilisateurs en appliquant la politique IAM suivante. Remplacez *region* et *account\$1id* par des valeurs adaptées à votre configuration.
## Autorisations Deploy
Le niveau d'autorisation **Déployer** ne permet pas aux utilisateurs de créer ou de supprimer des applications. Vous pouvez augmenter les autorisations de **déploiement** pour permettre à un utilisateur de créer et de supprimer des applications en appliquant la politique IAM suivante. Remplacez *region**account\$1id*, et *stack\$1id* par des valeurs adaptées à votre configuration.