翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# OpsWorks スタックごとのアクセス許可をスタックユーザーに付与する
<a name="opsworks-security-users-console"></a>

**重要**  
この AWS OpsWorks Stacks サービスは 2024 年 5 月 26 日にサポート終了となり、新規および既存のお客様の両方で無効になっています。できるだけ早くワークロードを他のソリューションに移行することを強くお勧めします。移行についてご質問がある場合は、[AWS re:Post](https://repost.aws/) または[AWS プレミアムサポート](https://aws.amazon.com/support)を通じて AWS サポート チームにお問い合わせください。

 OpsWorks スタックのユーザーアクセス許可を管理する最も簡単な方法は、スタックのアクセス**許可**ページを使用することです。各スタックには、その権限を付与するページがそれぞれに存在します。

何らかの権限設定に変更を加える場合は、管理ユーザーまたは **Manage** ユーザーとしてサインインする必要があります。リストには、 OpsWorks スタックにインポートされたユーザーのみが表示されます。ユーザーの作成とインポートの方法については、「[ユーザーの管理](opsworks-security-users-manage.md)」を参照してください。

デフォルトの権限レベルはIAMポリシーのみで、IAMポリシーにある権限のみがユーザーに付与されます。
+ IAM または別のリージョンからユーザーをインポートする際、ユーザーは既存のすべてのスタックのリストに **IAM Policies Only** (IAMポリシーのみ) 権限レベルで追加されます。
+ デフォルトでは、別のリージョンからインポートされたユーザーは、インポート先のリージョンのスタックにアクセスできません。別のリージョンからインポートしたユーザーがインポート先のリージョンを管理できるようにするには、インポートしたユーザーにこれらのスタックへのアクセス権限を割り当てる必要があります。
+ 新しいスタックを作成すると、現在の全ユーザーが、**IAM Policies Only** の権限レベルでリストに追加されます。

**Topics**
+ [ユーザーの権限の設定](#opsworks-security-users-console-set)
+ [権限の表示](#opsworks-security-users-console-viewing)
+ [IAM 条件キーを使用した一時認証情報の確認](#w2ab1c14c67c15c37c21)

## ユーザーの権限の設定
<a name="opsworks-security-users-console-set"></a>

**ユーザーの権限を設定するには**

1. ナビゲーションペインの [**アクセス権限**] を選択します。

1. [**Permissions**] ページの [**Edit**] を選択します。

1. [**Permission level**] と [**Instance access**] の設定を変更します。
   + [**Permissions level**] の設定を使用して、いずれかの標準権限レベルをユーザーごとに割り当てます。そのスタックにユーザーがアクセスできるかどうかや、どのようなアクションを実行できるかが、この設定によって決まります。ユーザーに IAM ポリシーがある場合、 OpsWorks Stacks は両方のアクセス許可セットを評価します。例については、「[ポリシーの例](opsworks-security-users-examples.md)」を参照してください。
   + [**Instance access** **SSH/RDP**] 設定は、ユーザーがスタックのインスタンスに SSH (Linux) または RDP (Windows) アクセスできるかどうかを指定します。

     **SSH/RDP** アクセスを許可した場合、オプションで **sudo/admin** を選択できます。これにより、ユーザーにスタックのインスタンスでの sudo (Linux) または管理者 (Windows) 特権が付与されます。  
![\[[Permissions] ページでの IAM ユーザーの管理。\]](http://docs.aws.amazon.com/ja_jp/opsworks/latest/userguide/images/permissions-edit.png)

ユーザーにはそれぞれ、次のいずれかの権限レベルを割り当てることができます。各レベルによって許可される一連のアクションについては、「[OpsWorks スタックのアクセス許可レベル権限レベル](opsworks-security-users-standard.md)」を参照してください。

**拒否**  
スタック OpsWorks にフルアクセス許可を付与する IAM ポリシーがあっても、ユーザーは OpsWorks スタックに対してスタックアクションを実行できません。未リリース製品のスタックに対する一部のユーザーのアクセスを拒否する場合などに使用します。

**IAM Policies Only**  
新しくインポートされたすべてのユーザー、および新しく作成されたスタックのすべてのユーザーに割り当てられるデフォルトのレベルです。アタッチされている IAM ポリシーによって、ユーザーの権限が決まります。ユーザーに IAM ポリシーがない場合、またはポリシーに明示的な OpsWorks スタックアクセス許可がない場合、ユーザーはスタックにアクセスできません。管理ユーザーは、IAMポリシーによってすでにフルアクセス権限が付与されているため、通常このレベルが割り当てられます。

**[表示]**  
ユーザーはスタックを表示できますが、一切オペレーションは実行できません。たとえば、マネージャは通常、アカウントのスタックを必要に応じて監視しますが、アプリケーションをデプロイしたりスタックに変更を加えたりする必要はありません。

**デプロイ**  
**Show** 権限に加えて、アプリケーションをデプロイすることがユーザーに許可されます。たとえば、アプリケーション開発者は、必要に応じてスタックのインスタンスに対する更新をデプロイしますが、スタックにレイヤーやインスタンスを追加する必要はありません。

**管理**  
**Deploy** 権限に加え、さまざまなスタック管理オペレーションがユーザーに許可されます。その例を次に示します。  
+ レイヤーやインスタンスを追加または削除する。
+ スタックの [**Permissions**] ページを使用して権限レベルをユーザーに割り当てる。
+ リソースを登録または登録を解除する。
たとえば、スタック内のインスタンスの数とタイプを適切に保ち、パッケージやオペレーティングシステムの更新処理を担うマネージャをスタックごとに指定できます。  
Manage レベルのユーザーがスタックを作成したり、スタックをクローン化したりすることはできません。これらの権限は、IAMポリシーによって付与されなけれる必要があります。例については、[アクセス許可の管理](opsworks-security-users-examples.md#opsworks-security-users-examples-manage)を参照してください。

ユーザーにも IAM ポリシーがある場合、 OpsWorks Stacks は両方のアクセス許可セットを評価します。これにより、ユーザーに権限レベルを割り当て、ポリシーを適用して、そのレベルで許可されるアクションを制限または強化することができます。たとえば、スタックの作成とクローン化を許可したり、リソースの登録と登録解除を拒否したりするポリシーを **管理** ユーザーにアタッチすることができます。そうしたポリシーの例については、「[ポリシーの例](opsworks-security-users-examples.md)」を参照してください。

**注記**  
ユーザーのポリシーによって追加のアクションが許可された場合、[**Permissions**] ページの設定が見かけ上オーバーライドされます。たとえば、ユーザーが[レイヤーの作成](https://docs.aws.amazon.com/opsworks/latest/APIReference/API_CreateLayer.html) アクションを許可するポリシーを持っていても、**許可** ページを使用して **デプロイ** 許可を指定した場合でも、ユーザーは依然としてレイヤーを作成することができます。このルールでは **[Deny]** (拒否) オプションは例外です。AWSOpsWorks\$1FullAccess ポリシーがアタッチされていても、ユーザーのスタックアクセスが拒否されます。詳細については、「 [ポリシーを使用した AWS リソースへのアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html)」を参照してください。

## 権限の表示
<a name="opsworks-security-users-console-viewing"></a>

[自己管理](opsworks-security-users-manage-edit.md)が有効になっている場合、ユーザーは、右上の [**My Settings**] を選択することで、すべてのスタックに関して自分に割り当てられている権限レベルの概要を表示できます。ユーザーは、アタッチされたポリシーで [DescribeMyUserProfile](https://docs.aws.amazon.com/opsworks/latest/APIReference/API_DescribeMyUserProfile.html) アクションと [UpdateMyUserProfile](https://docs.aws.amazon.com/opsworks/latest/APIReference/API_UpdateMyUserProfile.html) アクションの権限が付与されていれば、**自分の設定** にもアクセスできます。

## IAM 条件キーを使用した一時認証情報の確認
<a name="w2ab1c14c67c15c37c21"></a>

OpsWorks には、追加の認可ケース (個々のユーザーに対するスタックへの読み取り専用または読み取り/書き込みのアクセスの簡易化された管理など) をサポートする組み込みの認可レイヤーがあります。この認可レイヤーは、一時認証情報の使用に依存しています。このため、IAM ドキュメントの[「条件キーの有無をチェックする条件演算子」](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Conditions_Null)で説明されているように、ユーザーが長期的な認証情報を使用していることを確認したり、一時認証情報を使用しているユーザーのアクションをブロックしたりするために、`aws:TokenIssueTime` 条件を使用することはできません。