翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # OpsWorks スタックのユーザーアクセス許可の管理 **重要** この AWS OpsWorks Stacks サービスは 2024 年 5 月 26 日にサポート終了となり、新規および既存のお客様の両方で無効になっています。できるだけ早くワークロードを他のソリューションに移行することを強くお勧めします。移行についてご質問がある場合は、[AWS re:Post](https://repost.aws/) または[AWS プレミアムサポート](https://aws.amazon.com/support)を通じて AWS サポート チームにお問い合わせください。 ベストプラクティスとして、 OpsWorks スタックユーザーを指定された一連のアクションまたは一連のスタックリソースに制限します。 OpsWorks スタックユーザーアクセス許可は、 スタックアクセス**許可**ページを使用する方法と、適切な IAM ポリシーを適用する方法の 2 OpsWorks つの方法で制御できます。 OpsWorks**[Permissions]** (許可) ページまたは同等の CLI または API アクションにより、各ユーザーに複数の *[permission levels]* (パーミッションレベル) の 1 つを割り当てることで、マルチユーザー環境のユーザー許可をスタックごとに制御できます。それぞれのレベルで付与される権限は、特定のスタックリソースに対する標準的なアクション一式に対応します。[**Permissions**] ページを使用して制御できる権限は次のとおりです。 + 各スタックにアクセスできるユーザー。 + 個々のユーザーが各スタックに対して実行できるアクション。 たとえば、一部のユーザーにはスタックの閲覧のみを許可する一方で、他のユーザーにはアプリケーションのデプロイ、インスタンスの追加などを許可することができます。 + 各スタックを管理できるユーザー。 指定したユーザー (複数可) に各スタックの管理を委任できます。 + 各スタックの Amazon EC2 インスタンスにおけるユーザーレベルの SSH アクセスと sudo 特権 (Linux) または RDP アクセスと管理者特権 (Windows) を持つ人。 個々のユーザーについて、これらの権限をいつでも許可したり取り消したりすることができます。 **重要** SSH/RDP アクセスを拒否しても、必ずしもユーザーがインスタンスにログインできなくなるわけではありません。インスタンスに Amazon EC2 キーペアを指定した場合、対応するプライベートキーを持つユーザーは誰でもログインするかキーを使用して Windows 管理者パスワードを取得できます。詳細については、「[SSH アクセスの管理](security-ssh-access.md)」を参照してください。 [IAM コンソール](https://console.aws.amazon.com/iam)、 CLI または API から、 OpsWorks スタックの各種リソースやアクションに対するアクセス許可を明示的に付与するポリシーをユーザーに追加することもできます。 + 権限は、IAM ポリシーを使用した方が、権限レベルで行うよりも柔軟に指定できます。 + [IAM ID (ユーザー、ユーザーグループ、ロール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) を設定して、ユーザーやユーザーグループなどの IAM ID にアクセス権限を付与したり、フェデレーションユーザーに関連付けられる[ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)を定義したりできます。 + IAM ポリシーは、特定のキー OpsWorks スタックアクションのアクセス許可を付与する唯一の方法です。 例えば、`opsworks:CreateStack` と `opsworks:CloneStack` (それぞれスタックの作成とクローン化に使用) へのアクセス権限を付与するには、IAM を使用する必要があります。 コンソールでフェデレーティッドユーザーをインポートすることは明示的には不可能ですが、フェデレーティッドユーザーは、 OpsWorks スタックコンソールの右上にある**「マイ設定**」を選択し、右上にある**「ユーザー**」を選択することで、暗黙的にユーザープロファイルを作成できます。**ユーザー** ページで、API または CLI を使用して作成された、またはコンソールを通じて暗黙的に作成されたアカウントのフェデレーティッドユーザーは、非フェデレーティッド IAM ユーザーと同じ様にアカウントを管理できます。 この 2 つのアプローチは相互排他的なものではなく、両者を組み合わせることで利便性が高まることもあります。両者を組み合わせて使用した場合、両方の権限の集合が OpsWorks スタックによって評価されます。たとえば、インスタンスの追加と削除は許可するが、レイヤーの追加と削除をユーザーに許可するのは望ましくないとします。 OpsWorks スタックのアクセス許可レベルはいずれも、その特定のアクセス許可セットを付与しません。ただし、**許可** ページを使用して、**管理** 権限レベルをユーザーに付与し、ほとんどのスタック操作を許可したうえで、レイヤーの追加と削除の権限を拒否する IAM ポリシーを適用することは可能です。詳細については、[[のポリシーを使用して AWS リソースへのアクセスを制御する]](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html)を参照してください。 ユーザーの権限を管理するための標準的なモデルを以下に示します。いずれのケースも、ここではお客様が管理ユーザーであるという前提で記述しています。 1. 一人または複数の管理ユーザーには、[IAM コンソール](https://console.aws.amazon.com/iam)を使用して AWSOpsWorks\$1FullAccess ポリシーを適用します。 1. 非管理ユーザーそれぞれに、 OpsWorks スタックの権限が付与されていないポリシーで ユーザーを作成します。 ユーザーが OpsWorks スタックにのみアクセスする必要がある場合は、ポリシーをまったく適用する必要はありません。代わりに、 OpsWorks スタックのアクセス許可ページでアクセス**許可**を管理できます。 1. OpsWorks スタック**ユーザー**ページを使用して、管理者以外のユーザーを OpsWorks スタックにインポートします。 1. スタックごとにその [**Permissions**] ページを使用し、それぞれのユーザーに権限レベルを割り当てます。 1. 必要に応じて、適切に構成した IAM ポリシーを適用し、ユーザーの権限レベルをカスタマイズします。 ユーザー管理に関する推奨事項については、「[ベストプラクティス: アクセス権限の管理](best-practices-permissions.md)」を参照してください。 IAM でのベストプラクティスの詳細については、IAM ユーザーガイドの「[IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)」を参照してください。 **Topics** + [OpsWorks スタックユーザーの管理](opsworks-security-users-manage.md) + [OpsWorks スタックごとのアクセス許可をスタックユーザーに付与する](opsworks-security-users-console.md) + [IAM ポリシーをアタッチして OpsWorks スタックのアクセス許可を管理する](opsworks-security-users-policy.md) + [ポリシーの例](opsworks-security-users-examples.md) + [OpsWorks スタックのアクセス許可レベル](opsworks-security-users-standard.md)