As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Melhores práticas: Gerenciamento de permissões **Importante** O AWS OpsWorks Stacks serviço chegou ao fim da vida útil em 26 de maio de 2024 e foi desativado para clientes novos e existentes. É altamente recomendável que os clientes migrem suas cargas de trabalho para outras soluções o mais rápido possível. Se você tiver dúvidas sobre migração, entre em contato com a AWS Support equipe no [AWS re:POST](https://repost.aws/) ou por meio do Premium [AWS Support](https://aws.amazon.com/support). Você deve ter algum tipo de credencial da AWS para acessar os recursos da sua conta. Veja a seguir algumas diretrizes gerais para fornecer acesso a seus funcionários. + Em primeiro lugar, recomendamos que você não use as credenciais raiz da sua conta para acessar os recursos da AWS. Em vez disso, crie [identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) para seus funcionários e adicione permissões que forneçam acesso adequado. Assim, cada funcionário pode usar suas próprias credenciais para acessar os recursos. + Os funcionários devem ter permissão para acessar apenas os recursos de que eles precisam para desempenhar suas funções. Por exemplo, os desenvolvedores de aplicativos precisam acessar apenas as pilhas que executam seus aplicativos. + Os funcionários devem ter permissão para executar apenas as ações de que eles precisam para desempenhar suas funções. Um desenvolvedor de aplicativos pode precisar de permissão completa para uma pilha de desenvolvimento e de permissão para implantar seus aplicativos na pilha de produção correspondente. Eles provavelmente não precisam de permissão para iniciar ou interromper instâncias na pilha de produção, criar ou excluir camadas, e assim por diante. Para obter mais informações gerais sobre o gerenciamento de permissões, consulte [Credenciais de segurança da AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-credentials.html). Você pode usar o OpsWorks Stacks ou o IAM para gerenciar as permissões do usuário. Observe que as duas opções não são mutuamente exclusivas e, em algumas ocasiões, pode ser conveniente usar ambas. **OpsWorks Gerenciamento de permissões de pilhas** Cada pilha tem uma página **Permissions** que você usa para conceder aos usuários permissões de acesso à pilha e para especificar as ações que eles podem executar. Você especifica as permissões de um usuário definindo um dos seguintes níveis de permissão. Cada nível representa uma política do IAM que concede permissões para um conjunto padrão de ações. + **Deny** nega permissão para qualquer interação com a pilha. + **Show** concede permissão para a visualização da configuração da pilha, mas não permite modificações no estado dela. + **Deploy** inclui as permissões **Show** e também concede as permissões de usuário para a implantação de aplicativos. + **Manage** inclui as permissões **Deploy** e também permite que o usuário execute diferentes ações de gerenciamento de pilha, como a criação ou exclusão de instâncias e camadas. O nível **Gerenciar** permissões não concede permissões para um pequeno número de ações de OpsWorks pilhas de alto nível, incluindo criar ou clonar pilhas. Você deve usar uma política do IAM para conceder tais permissões. Além de definir os níveis de permissões, você também pode usar a página de **Permissões** de uma pilha para especificar se os usuários têm SSH/RDP and sudo/admin privilégios nas instâncias da pilha. Para obter mais informações sobre o gerenciamento de permissões no OpsWorks Stacks, consulte [Concessão de permissões por pilha](opsworks-security-users-console.md). Para obter mais informações sobre o gerenciamento de acesso a SSH, consulte [Gerenciamento do acesso por SSH](security-ssh-access.md) **Gerenciamento de permissões do IAM** Com o gerenciamento de permissões do IAM, você pode usar o console, API ou CLI do IAM para anexar uma política em formato JSON que especifique explicitamente as permissões de um usuário. Para obter mais informações sobre o gerenciamento de permissões do IAM, consulte [O que é o IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/Introduction.html) **Recomendação:** comece com o gerenciamento de **permissões** do OpsWorks Stacks. Se você precisar ajustar as permissões de um usuário ou conceder permissões que não estão incluídas nos níveis de permissão **Manage**, pode combinar as duas abordagens. OpsWorks Em seguida, o Stacks avalia as duas políticas para determinar as permissões do usuário. **Importante** Se um usuário tiver várias políticas com permissões conflitantes, a negação sempre vence. Por exemplo, suponha que você anexa uma política do IAM ao usuário permitindo o acesso a uma determinada pilha, mas também usa a página **Permissões** dessa pilha para atribuir ao usuário o nível de permissão **Negar**. O nível de permissão **Deny** tem precedência, e o usuário não poderá acessar a pilha. Para obter mais informações, consulte [Lógica de avaliação de políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html). Por exemplo, suponha que você deseja permitir ao usuário a execução da maioria das operações em uma pilha, com exceção da adição ou exclusão de camadas. + Especifique o nível de permissão **Manage**, que permite ao usuário executar a maioria das ações de gerenciamento de pilhas, incluindo a criação e a exclusão de camadas. + Anexe a seguinte [política gerenciada pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html) ao usuário, que nega permissões para usar as [DeleteLayer](https://docs.aws.amazon.com/opsworks/latest/APIReference/API_DeleteLayer.html)ações [CreateLayer](https://docs.aws.amazon.com/opsworks/latest/APIReference/API_CreateLayer.html)e nessa pilha. Você identifica a pilha pelo *[Nome de recurso da Amazon (ARN)](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html#ARN)*, que pode ser encontrado na página **Settings (Configurações)** da pilha. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "opsworks:CreateLayer", "opsworks:DeleteLayer" ], "Resource": "arn:aws:opsworks:*:*:stack/2f18b4cb-4de5-4429-a149-ff7da9f0d8ee/" } ] } ``` ------ Para obter mais informações, incluindo exemplos de políticas, consulte [Gerenciando permissões de OpsWorks pilhas anexando uma política do IAMAnexação de uma política do IAM](opsworks-security-users-policy.md). **nota** Outra forma de usar as políticas do IAM é estabelecer uma condição que limita o acesso à pilha para funcionários com um endereço IP ou intervalo de endereços IP especificados. Por exemplo, para garantir que os funcionários tenham acesso às pilhas somente de dentro do seu firewall corporativo, defina uma condição que estabelece um limite de acesso ao intervalo de endereços IP corporativos. Para obter mais informações, consulte [Condições](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#Condition).