

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Exemplo de políticas
<a name="opsworks-security-users-examples"></a>

**Importante**  
O AWS OpsWorks Stacks serviço chegou ao fim da vida útil em 26 de maio de 2024 e foi desativado para clientes novos e existentes. É altamente recomendável que os clientes migrem suas cargas de trabalho para outras soluções o mais rápido possível. Se você tiver dúvidas sobre migração, entre em contato com a AWS Support equipe no [AWS re:POST](https://repost.aws/) ou por meio do Premium [AWS Support](https://aws.amazon.com/support).

Esta seção descreve exemplos de políticas do IAM que podem ser aplicadas aos usuários do OpsWorks Stacks. 
+ [Permissões administrativas](#opsworks-security-users-examples-admin) descreve duas políticas que podem ser usadas para conceder permissões a usuários administrativos.
+ [Gerencie permissões](#opsworks-security-users-examples-manage) e [Permissões Deploy](#opsworks-security-users-examples-deploy) mostram exemplos de políticas que podem ser aplicadas a um usuário para aumentar ou restringir os níveis de permissões Manage e Deploy.

  OpsWorks O Stacks determina as permissões do usuário avaliando as permissões concedidas pelas políticas do IAM, bem como as permissões concedidas pela página de **Permissões**. Para obter mais informações, consulte [Controle do acesso aos AWS recursos usando políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html). Para obter mais informações sobre as permissões da página **Permissions**, consulte [OpsWorks Níveis de permissões de pilhasNíveis de permissões](opsworks-security-users-standard.md).

## Permissões administrativas
<a name="opsworks-security-users-examples-admin"></a>

Use o console do IAM, [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/), para acessar a AWSOpsWorks\$1FullAccess política. Anexe essa política a um usuário para conceder a ele permissões para realizar todas as ações do OpsWorks Stacks. As permissões do IAM são necessárias, entre outras coisas, para permitir que um usuário administrativo importe usuários.

Você deve criar uma [função do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que permita que o OpsWorks Stacks atue em seu nome para acessar outros AWS recursos, como EC2 instâncias da Amazon. Normalmente, você realiza essa tarefa fazendo com que um usuário administrativo crie a primeira pilha e deixe que OpsWorks as pilhas criem a função para você. Em seguida, você pode usar essa função para todos os pilhas subsequentes. Para obter mais informações, consulte [Permitindo que OpsWorks as pilhas ajam em seu nome](opsworks-security-servicerole.md).

O usuário administrativo que cria a primeira pilha deve ter permissões para algumas ações do IAM que não estão incluídas na AWSOpsWorks\$1FullAccess política. Adicione as seguintes permissões à seção `Actions` da política. Para obter uma sintaxe JSON adequada, adicione vírgulas entre as ações e remova a vírgula final no final da lista de ações. 

```
"iam:PutRolePolicy",
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:CreateRole"
```

## Gerencie permissões
<a name="opsworks-security-users-examples-manage"></a>

O nível de permissões **Manage** permite que um usuário execute uma variedade de ações de gerenciamento de pilha, incluindo adição e exclusão de camadas. Este tópico descreve várias políticas que você pode usar para **Gerenciar** usuários para aumentar ou restringir as permissões padrão.

Negar a um usuário **Manage** a capacidade de adicionar ou excluir camadas  
Você pode restringir os níveis de permissão **Gerenciar** para permitir que um usuário execute todas as ações **Gerenciar**, exceto adicionar ou excluir camadas, usando a seguinte política do IAM. Substitua *region**account\$1id*,, e *stack\$1id* por valores apropriados à sua configuração.

Permitir que um usuário **Manage** crie ou clone pilhas  
O nível de permissões **Gerenciar** não permite que os usuários criem ou clonem pilhas. Você pode mudar as permissões **Gerenciar** para permitir que um usuário crie ou clone pilhas aplicando as seguintes políticas do IAM. *account\$1id*Substitua *region* e por valores apropriados à sua configuração.

Negar a um usuário Manage a capacidade de registrar ou cancelar o registro de recursos  
O nível de permissões **Gerenciar** permite que o usuário [registre e cancele o registro do Amazon EBS e dos recursos de endereço IP elástico](resources-reg.md) com a pilha. Você pode restringir as permissões **Gerenciar** para permitir que o usuário execute todas as ações **Gerenciar**, exceto registrar os recursos, aplicando a política a seguir.    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "opsworks:RegisterVolume",
        "opsworks:RegisterElasticIp"
      ],
      "Resource": "*"
    }
  ]
}
```

Permitir que um usuário **Manage** importe usuários  
O nível **Gerenciar** permissões não permite que os usuários importem usuários para o OpsWorks Stacks. Você pode aumentar as permissões **Gerenciar** para permitir que um usuário importe e exclua usuários aplicando a seguinte política do IAM. *account\$1id*Substitua *region* e por valores apropriados à sua configuração.

## Permissões Deploy
<a name="opsworks-security-users-examples-deploy"></a>

O nível de permissões **Deploy** não permite que os usuários criem ou excluam aplicativos. Você pode aumentar as permissões **Implantar** para permitir que um usuário crie e exclua aplicativos aplicando a seguinte política do IAM. Substitua *region**account\$1id*,, e *stack\$1id* por valores apropriados à sua configuração.