Elastic Beanstalk Instance-Profile verwalten

Ein Instance-Profil ist ein Container für eine AWS Identity and Access Management (IAM-) Rolle, den Sie verwenden können, um Rolleninformationen an eine Amazon EC2 EC2-Instance zu übergeben, wenn die Instance gestartet wird.

Wenn Ihr AWS Konto kein EC2-Instance-Profil hat, müssen Sie eines mit dem IAM-Service erstellen. Anschließend können Sie das EC2-Instance-Profil neuen Umgebungen zuweisen, die Sie erstellen. Der Assistent zum Erstellen einer Umgebung stellt Informationen bereit, die Sie durch den IAM-Service führen, sodass Sie ein EC2-Instance-Profil mit den erforderlichen Berechtigungen erstellen können. Nachdem Sie das Instance-Profil erstellt haben, können Sie zur Konsole zurückkehren, um es als EC2-Instance-Profil auszuwählen und die Schritte zur Erstellung Ihrer Umgebung fortzusetzen.

Anmerkung

Zuvor hat Elastic Beanstalk ein standardmäßiges EC2-Instance-Profil erstellt, aws-elasticbeanstalk-ec2-role das beim ersten Erstellen einer Umgebung durch ein AWS Konto benannt wurde. Dieses Instance-Profil enthielt verwaltete Standardrichtlinien. Wenn Ihr Konto bereits über dieses Instance-Profil verfügt, können Sie es weiterhin Ihren Umgebungen zuweisen.

Aktuelle AWS Sicherheitsrichtlinien erlauben es einem AWS Service jedoch nicht, automatisch Rollen mit Vertrauensrichtlinien für andere AWS Dienste, in diesem Fall EC2, zu erstellen. Aufgrund dieser Sicherheitsrichtlinien erstellt Elastic Beanstalk kein aws-elasticbeanstalk-ec2-role-Standard-Instance-Profil mehr.

Verwaltete Richtlinien

Elastic Beanstalk bietet mehrere verwaltete Richtlinien, damit Ihre Umgebung unterschiedlichen Anwendungsfällen gerecht wird. Um die Standardanwendungsfälle für eine Umgebung zu erfüllen, müssen diese Richtlinien der Rolle für das EC2-Instance-Profil zugeordnet werden.

• AWSElasticBeanstalkWebTier— Erteilt der Anwendung Berechtigungen zum Hochladen von Protokollen auf Amazon S3 und zum Debuggen von Informationen. AWS X-Ray Informationen zum Inhalt der verwalteten Richtlinien finden Sie AWSElasticBeanstalkWebTierim Referenzhandbuch für AWS verwaltete Richtlinien.

• AWSElasticBeanstalkWorkerTier— Erteilt Berechtigungen für Protokoll-Uploads, Debugging, Veröffentlichung von Metriken und Worker-Instance-Aufgaben, einschließlich Warteschlangenverwaltung, Wahl des Leiters und periodische Aufgaben. Informationen zum Inhalt der verwalteten Richtlinien finden Sie AWSElasticBeanstalkWorkerTierim Referenzhandbuch für AWS verwaltete Richtlinien.

• AWSElasticBeanstalkMulticontainerDocker— Erteilt dem Amazon Elastic Container Service Berechtigungen zur Koordination von Cluster-Aufgaben für Docker-Umgebungen. Informationen zum Inhalt der verwalteten Richtlinien finden Sie AWSElasticBeanstalkMulticontainerDockerim Referenzhandbuch für AWS verwaltete Richtlinien.

Wichtig

Von Elastic Beanstalk verwaltete Richtlinien bieten keine granularen Berechtigungen – sie gewähren alle Berechtigungen, die möglicherweise für die Arbeit mit Elastic-Beanstalk-Anwendungen erforderlich sind. In einigen Fällen möchten Sie möglicherweise die Berechtigungen unserer verwalteten Richtlinien weiter einschränken. Ein Beispiel für einen Anwendungsfall finden Sie unterVerhinderung des umgebungsübergreifenden Amazon S3 S3-Bucket-Zugriffs.

Unsere verwalteten Richtlinien decken auch keine Berechtigungen für benutzerdefinierte Ressourcen ab, die Sie möglicherweise zu Ihrer Lösung hinzufügen und die nicht von Elastic Beanstalk verwaltet werden. Verwenden Sie benutzerdefinierte Richtlinien, um detailliertere Berechtigungen, mindestens erforderliche Berechtigungen oder benutzerdefinierte Ressourcenberechtigungen zu implementieren.

Richtlinie für Vertrauensbeziehungen für EC2

Damit die EC2-Instances in der Umgebung die eforderliche Rolle übernehmen können, muss das Instance-Profil Amazon EC2 wie folgt als vertrauenswürdige Entität in der Vertrauensstellungsrichtlinie angeben:

{
  "Version": "2008-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Wenn Sie die Berechtigungen anpassen möchten, können Sie entweder Richtlinien zur Rolle hinzufügen, die dem Instance-Standardprofil angefügt ist, oder ein eigenes Instance-Profil mit eingeschränkten Berechtigungen erstellen.

Erstellen eines Instance-Profils

Ein Instance-Profil ist ein Wrapper für eine IAM-Standardrolle, damit eine EC2-Instance die Rolle übernehmen kann. Sie können zusätzliche Instance-Profile erstellen, um die Berechtigungen für verschiedene Anwendungen anzupassen. Alternativ können Sie ein Instance-Profil erstellen, das keinerlei Berechtigungen für eine Worker-Ebene oder für von ECS verwaltete Docker-Umgebungen erteilt, sofern Sie diese Funktionen nicht nutzen.

So erstellen Sie ein Instance-Profil

1. Öffnen Sie die Seite Roles (Rollen)in der IAM-Konsole.

2. Wählen Sie Rolle erstellen aus.

3. Wählen Sie unter Typ der vertrauenswürdigen Entität die Option AWS -Service aus.

4. Wählen Sie unter Use case (Anwendungsfall) die Option EC2 aus.

5. Wählen Sie Next (Weiter).

6. Fügen Sie die entsprechenden von Elastic Beanstalk bereitgestellten verwalteten Richtlinien sowie weitere Richtlinien hinzu, um der Anwendung die erforderlichen Berechtigungen zu erteilen.

7. Wählen Sie Weiter aus.

8. Geben Sie einen Namen für die Rolle ein.

9. (Optional) Fügen Sie der Rolle Tags hinzu.

10. Wählen Sie Rolle erstellen aus.

Überprüfen der dem Instance-Profil zugeordneten Berechtigungen

Die Berechtigungen, die dem Instance-Standardprofil zugeordnet sind, können je nach Erstellungsdatum, Datum des letzten Umgebungsstarts und verwendetem Client unterschiedlich sein. Die Berechtigungen für das Instance-Standardprofil können Sie in der IAM-Konsole überprüfen.

So überprüfen Sie die Berechtigungen des Instance-Standardprofils

1. Öffnen Sie die Seite Roles (Rollen)in der IAM-Konsole.

2. Wählen Sie die Rolle, die Ihnen als EC2-Instance-Profil zugewiesen wurde.

3. Prüfen Sie auf der Registerseite Permissions (Berechtigungen) die der Rolle angefügte Liste von Richtlinien.

4. Um die von einer Richtlinie erteilten Berechtigungen anzuzeigen, wählen Sie die Richtlinie aus.

Ein out-of-date Standard-Instanzprofil aktualisieren

Falls benötigte Berechtigungen für das Instance-Standardprofil fehlen, können Sie die verwalteten Richtlinien manuell zu der Ihrem EC2-Instance-Profil zugewiesen Rolle hinzufügen.

Hinzufügen von verwalteten Richtlinien zur Rolle, die dem Instance-Standardprofil angefügt ist

1. Öffnen Sie die Seite Roles (Rollen)in der IAM-Konsole.

2. Wählen Sie die Rolle, die Ihnen als EC2-Instance-Profil zugewiesen wurde.

3. Wählen Sie auf der Registerkarte Permissions (Berechtigungen) die Option Attach policies (Richtlinien anfügen) aus.

4. Geben Sie AWSElasticBeanstalk ein, um die Richtlinien zu filtern.

5. Wählen Sie die folgenden Richtlinien und anschließend Attach Policies (Richtlinien anfügen) aus:

   • AWSElasticBeanstalkWebTier

   • AWSElasticBeanstalkWorkerTier

   • AWSElasticBeanstalkMulticontainerDocker

Hinzufügen von Berechtigungen zum Instance-Standardprofil

Wenn Ihre Anwendung auf AWS APIs oder Ressourcen zugreift, für die im Standard-Instanzprofil keine Berechtigungen gewährt wurden, fügen Sie Richtlinien hinzu, die Berechtigungen in der IAM-Konsole gewähren.

Hinzufügen von Richtlinien zur Rolle, die dem Instance-Standardprofil angefügt ist

1. Öffnen Sie die Seite Roles (Rollen) in der IAM-Konsole.

2. Wählen Sie die Rolle, die Ihnen als EC2-Instance-Profil zugewiesen wurde.

3. Wählen Sie auf der Registerkarte Permissions (Berechtigungen) die Option Attach policies (Richtlinien anfügen) aus.

4. Wählen Sie die verwaltete Richtlinie für die zusätzlichen Services aus, die von der Anwendung verwendet werden. Zum Beispiel AmazonS3FullAccess oder AmazonDynamoDBFullAccess.

5. Wählen Sie Richtlinie anfügen aus.