本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 範例政策
<a name="opsworks-security-users-examples"></a>

**重要**  
 AWS OpsWorks Stacks 此服務已於 2024 年 5 月 26 日終止，並已針對新客戶和現有客戶停用。我們強烈建議客戶盡快將其工作負載遷移至其他解決方案。如果您對遷移有任何疑問，請透過 [AWS re：Post](https://repost.aws/) 或透過 [AWS Premium Support](https://aws.amazon.com/support) 聯絡 AWS 支援 團隊。

本節說明可套用至 Stacks 使用者的範例 IAM OpsWorks 政策。
+ [管理許可](#opsworks-security-users-examples-admin) 描述用來將許可授予管理使用者的政策。
+ [管理許可](#opsworks-security-users-examples-manage) 和 [部署許可](#opsworks-security-users-examples-deploy)顯示可套用至使用者以增強或限制管理和部署許可層級的政策範例。

  OpsWorks Stacks 透過評估 IAM 政策授予的許可以及許可頁面授予**的**許可，來決定使用者的許可。如需詳細資訊，請參閱[使用 政策控制對 AWS 資源的存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html)。如需 **Permissions (許可)** 頁面許可的詳細資訊，請參閱[OpsWorks Stacks 許可層級許可層級](opsworks-security-users-standard.md)。

## 管理許可
<a name="opsworks-security-users-examples-admin"></a>

使用 IAM 主控台 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)：// AWSOpsWorks\$1FullAccess 政策，將此政策連接至使用者，以授予他們執行所有 Stacks OpsWorks 動作的許可。需要 IAM 許可，才能允許管理使用者匯入使用者。

您必須建立 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)，允許 OpsWorks Stacks 代表您存取其他 AWS 資源，例如 Amazon EC2 執行個體。您通常會讓管理使用者建立第一個堆疊，並讓 OpsWorks Stacks 為您建立角色，以處理此任務。您接著可以使用針對所有後續的堆疊使用該角色。如需詳細資訊，請參閱[允許 OpsWorks Stacks 代表您採取行動](opsworks-security-servicerole.md)。

建立第一個堆疊的管理使用者必須具有 AWSOpsWorks\$1FullAccess 政策中未包含的一些 IAM 動作的許可。將下列許可新增至政策的 `Actions`區段。若要取得適當的 JSON 語法，請務必在動作之間新增逗號，並移除動作清單結尾的結尾逗號。

```
"iam:PutRolePolicy",
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:CreateRole"
```

## 管理許可
<a name="opsworks-security-users-examples-manage"></a>

**Manage (管理)** 許可 layer 級允許使用者執行各種堆疊管理動作，包含新增或刪除 layer。本主題說明數個政策，可用來**管理**使用者以增強或限制標準許可。

拒絕 **Manage (管理)** 使用者新增或刪除 layer。  
您可以限制**管理**許可層級，以允許使用者執行所有**管理**動作，但使用下列 IAM 政策新增或刪除層除外。將 *region*、*account\$1id* 和 *stack\$1id* 取代為您的組態適用的值。

允許 **Manage (管理)** 使用者建立或複製堆疊  
**管理**許可層級不允許使用者建立或複製堆疊。您可以變更**管理**許可，以允許使用者套用下列 IAM 政策來建立或複製堆疊。將 *region* 和 *account\$1id* 取代為您的組態適用的值。

拒絕 Manage (管理) 使用者註冊或取消註冊資源。  
**管理**許可層級允許使用者向堆疊[註冊和取消註冊 Amazon EBS 和彈性 IP 地址資源](resources-reg.md)。您可以藉由套用下列政策，限制**管理**許可以允許使用者執行除註冊資源以外的所有**管理**動作。    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "opsworks:RegisterVolume",
        "opsworks:RegisterElasticIp"
      ],
      "Resource": "*"
    }
  ]
}
```

允許 **Manage (管理)** 使用者匯入使用者  
**管理**許可層級不允許使用者將使用者匯入 OpsWorks Stacks。您可以透過套用下列 IAM 政策來增強**管理**許可，以允許使用者匯入和刪除使用者。將 *region* 和 *account\$1id* 取代為您的組態適用的值。

## 部署許可
<a name="opsworks-security-users-examples-deploy"></a>

**Deploy (部署)** 許可層級不允許使用者建議或刪除應用程式。您可以擴增**部署**許可，以允許使用者套用下列 IAM 政策來建立和刪除應用程式。將 *region*、*account\$1id* 和 *stack\$1id* 取代為您的組態適用的值。