翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ポリシーの例
<a name="opsworks-security-users-examples"></a>

**重要**  
この AWS OpsWorks Stacks サービスは 2024 年 5 月 26 日にサポート終了となり、新規および既存のお客様の両方で無効になっています。できるだけ早くワークロードを他のソリューションに移行することを強くお勧めします。移行についてご質問がある場合は、[AWS re:Post](https://repost.aws/) または[AWS プレミアムサポート](https://aws.amazon.com/support)を通じて AWS サポート チームにお問い合わせください。

このセクションでは、 スタックユーザーに適用できる IAM OpsWorks ポリシーの例について説明します。
+ [管理権限](#opsworks-security-users-examples-admin) では、管理ユーザーに権限を付与するために使用されるポリシーを説明します。
+ [アクセス許可の管理](#opsworks-security-users-examples-manage) と [Deploy 権限](#opsworks-security-users-examples-deploy) では、管理とデプロイの権限レベルを補足したり制限したりする目的でユーザーに適用できるポリシーの例を紹介します。

  OpsWorks スタックは、IAM ポリシーによって付与されたアクセス許可と、 アクセス許可ページによって付与されたアクセス許可を評価することで、ユーザーの**アクセス許可**を決定します。詳細については、「 [ポリシーを使用した AWS リソースへのアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html)」を参照してください。[**Permissions**] ページの権限の詳細については、「[OpsWorks スタックのアクセス許可レベル権限レベル](opsworks-security-users-standard.md)」を参照してください。

## 管理権限
<a name="opsworks-security-users-examples-admin"></a>

IAM コンソール [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) を使用して AWSOpsWorks\$1FullAccess ポリシーにアクセスします。このポリシーをユーザーにアタッチして、すべての OpsWorks スタックアクションを実行するアクセス許可を付与します。ユーザーのインポートを管理ユーザーに許可するなど、特定の操作については、IAM の権限が必須となります。

スタックがユーザーに代わって Amazon EC2 インスタンスなどの他の AWS リソースにアクセスできるようにする [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)を作成する必要があります。 OpsWorks 通常、このタスクを処理するには、管理者ユーザーに最初のスタックを作成し、 OpsWorks スタックにロールを作成します。以後そのロールは、後続のすべてのスタックで使用することができます。詳細については、「[OpsWorks スタックがユーザーに代わって動作することを許可する](opsworks-security-servicerole.md)」を参照してください。

最初のスタックを作成する管理ユーザーは、AWSOpsWorks\$1FullAccess ポリシーに含まれていない特定の IAM アクションに対する権限を持っている必要があります。ポリシーの `Actions` セクションに、次のアクセス許可を追加します。適切な JSON 構文のために、アクション間にカンマを追加し、アクションのリストの末尾にあるコンマを削除してください。

```
"iam:PutRolePolicy",
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:CreateRole"
```

## アクセス許可の管理
<a name="opsworks-security-users-examples-manage"></a>

**Manage** 権限レベルのユーザーは、レイヤーの追加と削除を含め、さまざまなスタック管理アクションを実行できます。このトピックでは、**管理** ユーザーにアタッチすることで、標準の権限を制限したり補足したりできるいくつかのポリシーについて説明します。

**Manage** ユーザーによるレイヤーの追加と削除を拒否する  
**管理** 権限レベルを制限し、レイヤーの追加と削除を除くすべての **管理** アクションの実行を許可するには、次の IAM ポリシーをアタッチします。*リージョン*、*account\$1id*、および *stack\$1id* を設定に適した値に置き換えます。

スタックの作成とクローン化を **Manage** ユーザーに許可する  
**Manage** (管理) 権限レベルでは、スタックの作成もクローン化も許可されません。以下の IAM ポリシーをアタッチすることで、ユーザーがスタックの作成やクローン化を作成できるように **管理** を変更することができます。*リージョン* および *account\$1id* を設定に適した値に置き換えます。

Manage ユーザーによるリソースの登録と登録解除を拒否する  
**管理** 権限レベルのユーザーは、[スタックへの Amazon EBS と Elastic IP アドレスリソースの登録および登録解除](resources-reg.md)を行うことができます。リソースの登録を除くすべての **管理** アクションを許可するように **管理** 権限を制限するには、次のポリシーを適用します。    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "opsworks:RegisterVolume",
        "opsworks:RegisterElasticIp"
      ],
      "Resource": "*"
    }
  ]
}
```

ユーザーのインポートを **Manage** ユーザーに許可する  
アクセス許可**の管理**レベルでは、ユーザーは OpsWorks スタックにユーザーをインポートできません。ユーザーをインポートしたり削除したりできるように **管理** 権限を補足するには、次の IAM ポリシーを適用します。*リージョン* および *account\$1id* を設定に適した値に置き換えます。

## Deploy 権限
<a name="opsworks-security-users-examples-deploy"></a>

**Deploy** 権限レベルのユーザーは、アプリケーションを作成することも削除することもできません。アプリケーションを作成したり削除したりできるように **デプロイ** 権限を補足するには、次の IAM ポリシーをアタッチします。*リージョン*、*account\$1id*、および *stack\$1id* を設定に適した値に置き換えます。