Elastic Beanstalk-Servicerolle - AWS Elastic Beanstalk

Elastic Beanstalk-Servicerolle

Eine Servicerolle ist die IAM-Rolle, die Elastic Beanstalk annimmt, wenn andere Services in Ihrem Namen aufgerufen werden. Beispiel: Elastic Beanstalk nutzt eine Servicerolle beim Aufrufen von Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing und Amazon EC2 Auto Scaling-APIs zum Erfassen von Informationen. Diese Informationen könnten den Zustand seiner AWS-Ressourcen für verbesserte Zustandsüberwachung umfassen. Die Servicerolle, die Elastic Beanstalk verwendet, ist diejenige, die Sie beim Erstellen der Elastic-Beanstalk-Umgebung angegeben haben.

Die verwaltete AWSElasticBeanstalkEnhancedHealth-Richtlinie enthält alle Berechtigungen, die Elastic Beanstalk zur Überwachung der Umgebungsintegrität benötigt:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticloadbalancing:DescribeInstanceHealth", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetHealth", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:GetConsoleOutput", "ec2:AssociateAddress", "ec2:DescribeAddresses", "ec2:DescribeSecurityGroups", "sqs:GetQueueAttributes", "sqs:GetQueueUrl", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "autoscaling:DescribeScalingActivities", "autoscaling:DescribeNotificationConfigurations", "sns:Publish" ], "Resource": [ "*" ] } ] }

Diese Richtlinie umfasst auch Amazon SQS-Aktionen, damit Elastic Beanstalk die Warteschlangenaktivität für Worker-Umgebungen überwachen kann.

Wenn Sie eine Umgebung mit der Elastic-Beanstalk-Konsole erstellen, werden Sie von Elastic Beanstalk aufgefordert, eine Servicerolle namens aws-elasticbeanstalk-service-role zu erstellen. Erstellen Sie diese Rolle mit dem Standardsatz von Berechtigungen und einer Vertrauensrichtlinie, mit denen Elastic Beanstalk die Servicerolle annehmen kann. Wenn Sie verwaltete Plattformaktualisierungen aktivieren, fügt Elastic Beanstalk eine andere Richtlinie mit Berechtigungen an, die diese Funktion aktivieren.

Angenommen, Sie erstellen eine Umgebung mit dem Befehl eb create der Elastic-Beanstalk-Befehlszeilenschnittstelle (EB CLI) erstellen und geben über die Option --service-role keine Servicerolle an. Elastic Beanstalk erstellt die Standardservicerolle aws-elasticbeanstalk-service-role. Wenn die standardmäßige Servicerolle bereits vorhanden ist, verwendet Elastic Beanstalk diese für die neue Umgebung.

Angenommen, Sie erstellen nun eine Umgebung, indem Sie die CreateEnvironment-Aktion der Elastic-Beanstalk-API verwenden und geben keine Servicerolle an. Dann erstellt Elastic Beanstalk eine serviceverknüpfte Überwachungsrolle. Dieser eindeutige, von Elastic Beanstalk vordefinierte Servicerollentyp schließt alle Berechtigungen ein, die der Service zum Aufrufen anderer AWS-Services in Ihrem Namen erfordert. Die serviceverknüpfte Rolle ist Ihrem Konto zugeordnet. Sie wird von Elastic Beanstalk einmalig erstellt und dann zum Erstellen weiterer Umgebungen wiederverwendet. Sie können die serviceverknüpfte Überwachungsrolle Ihres Kontos auch im Voraus mit IAM erstellen. Wenn Ihr Konto eine serviceverknüpfte Überwachungsrolle hat, können Sie damit eine Umgebung in der der Elastic-Beanstalk-Konsole erstellen, oder durch Verwendung der Elastic-Beanstalk-API oder der EB CLI. Weitere Informationen zur Verwendung von serviceverknüpften Rollen mit Elastic-Beanstalk-Umgebungen finden Sie unter Servicegebundene Rollen für Elastic Beanstalk verwenden.

Weitere Informationen zu Servicerollen finden Sie unter Rollen von Elastic Beanstalk Service verwalten.