Elastic Beanstalk-Instance-Profil
Ein Instance-Profil ist eine IAM-Rolle, die für in der Elastic-Beanstalk-Umgebung gestartete Instances gilt. Wenn Sie eine Elastic-Beanstalk-Umgebung erstellen, geben Sie das Instance-Profil an, das verwendet wird, wenn Ihre Instances Folgendes tun:
-
Anwendungsversionen von Amazon Simple Storage Service (Amazon S3) abrufen
-
Protokolle in Amazon S3 schreiben
-
In integrierten AWS X-Ray-Umgebungen Debugging-Daten in X-Ray hochladen
-
In Multicontainer-Docker-Umgebungen Container-Bereitstellungen mit Amazon Elastic Container Service (Amazon ECS) koordinieren
-
In Worker-Umgebungen aus einer Amazon Simple Queue Service (Amazon SQS)-Warteschlange lesen
-
In Worker-Umgebungen die Leader-Wahl mit Amazon DynamoDB durchführen
-
In Worker-Umgebungen Instance-Integritätsmetriken in Amazon CloudWatch veröffentlichen
Die verwaltete AWSElasticBeanstalkWebTier
-Richtlinie enthält Anweisungen, mit denen Instances in Ihrer Umgebung Protokolle in Amazon S3 hochladen und Debugging-Informationen an X-Ray senden können.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "BucketAccess",
"Action": [
"s3:Get*",
"s3:List*",
"s3:PutObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::elasticbeanstalk-*",
"arn:aws:s3:::elasticbeanstalk-*/*"
]
},
{
"Sid": "XRayAccess",
"Action":[
"xray:PutTraceSegments",
"xray:PutTelemetryRecords",
"xray:GetSamplingRules",
"xray:GetSamplingTargets",
"xray:GetSamplingStatisticSummaries"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "CloudWatchLogsAccess",
"Action": [
"logs:PutLogEvents",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:DescribeLogGroups"
],
"Effect": "Allow",
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/elasticbeanstalk*"
]
},
{
"Sid": "ElasticBeanstalkHealthAccess",
"Action": [
"elasticbeanstalk:PutInstanceStatistics"
],
"Effect": "Allow",
"Resource": [
"arn:aws:elasticbeanstalk:*:*:application/*",
"arn:aws:elasticbeanstalk:*:*:environment/*"
]
}
]
}
Elastic Beanstalk bietet auch verwaltete Richtlinien für die anderen Anwendungsfälle. Diese Richtlinien sind AWSElasticBeanstalkWorkerTier
und AWSElasticBeanstalkMulticontainerDocker
. Elastic Beanstalk fügt alle diese Richtlinien an das Standard-Instance-Profil aws-elasticbeanstalk-ec2-role
an, wenn Sie eine Umgebung in der Konsole oder mithilfe der EB CLI erstellen.
Wenn Ihre Webanwendung den Zugriff auf andere zusätzliche AWS-Services erfordert, fügen Sie Anweisungen oder verwaltete Richtlinien zum Instance-Profil zu, die den Zugriff auf diese Services erlauben.
Weitere Informationen zu Instance-Profilen finden Sie unter Elastic Beanstalk Instance-Profile verwalten.