Elastic Beanstalk Instance-Profile verwalten - AWS Elastic Beanstalk
Erstellen eines Instance-ProfilsÜberprüfen der dem Instance-Profil zugeordneten BerechtigungenAktualisieren eines veralteten Instance-StandardprofilsHinzufügen von Berechtigungen zum Instance-Standardprofil

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Elastic Beanstalk Instance-Profile verwalten

Ein Instance-Profil ist ein Container für eine AWS Identity and Access Management (IAM)-Rolle, mit dem eine Amazon-EC2-Instance bei ihrem Start Rolleninformationen erhält.

Wenn Ihr AWS-Konto kein EC2-Instance-Profil hat, müssen Sie eines mithilfe des IAM-Service erstellen. Anschließend können Sie das EC2-Instance-Profil neuen Umgebungen zuweisen, die Sie erstellen. Der Assistent zum Erstellen einer Umgebung stellt Informationen bereit, die Sie durch den IAM-Service führen, sodass Sie ein EC2-Instance-Profil mit den erforderlichen Berechtigungen erstellen können. Nachdem Sie das Instance-Profil erstellt haben, können Sie zur Konsole zurückkehren, um es als EC2-Instance-Profil auszuwählen und die Schritte zur Erstellung Ihrer Umgebung fortzusetzen.

Anmerkung

Bisher hat Elastic Beanstalk ein standardmäßiges EC2-Instance-Profil erstellt, das aws-elasticbeanstalk-ec2-role genannt wurde, wenn ein AWS-Konto zum ersten Mal eine Umgebung erstellte. Dieses Instance-Profil enthielt verwaltete Standardrichtlinien. Wenn Ihr Konto bereits über dieses Instance-Profil verfügt, können Sie es weiterhin Ihren Umgebungen zuweisen.

Aktuelle AWS-Sicherheitsrichtlinien erlauben es einem AWS-Service jedoch nicht, automatisch Rollen mit Vertrauensrichtlinien für andere AWS-Services, in diesem Fall EC2, zu erstellen. Aufgrund dieser Sicherheitsrichtlinien erstellt Elastic Beanstalk kein aws-elasticbeanstalk-ec2-role-Standard-Instance-Profil mehr.

Verwaltete Richtlinien

Elastic Beanstalk bietet mehrere verwaltete Richtlinien, damit Ihre Umgebung unterschiedlichen Anwendungsfällen gerecht wird. Um die Standardanwendungsfälle für eine Umgebung zu erfüllen, müssen diese Richtlinien der Rolle für das EC2-Instance-Profil zugeordnet werden.

  • AWSElasticBeanstalkWebTier – Damit erhält die Anwendung die Berechtigungen, um Protokolle in Amazon S3 und Debugging-Informationen in AWS X-Ray hochzuladen. Um den Inhalt der verwalteten Richtlinie anzuzeigen, lesen Sie die Seite AWSElasticBeanstalkWebTier im AWS-Referenzhandbuch für verwaltete Richtlinien.

  • AWSElasticBeanstalkWorkerTier – Damit werden die Berechtigungen zum Hochladen von Protokollen, Debuggen, Veröffentlichen von Metriken sowie für Worker-Instance-Aufgaben wie Warteschlangenverwaltung, Leader-Wahl und regelmäßige Aufgaben erteilt. Um den Inhalt der verwalteten Richtlinie anzuzeigen, lesen Sie die Seite AWSElasticBeanstalkWorkerTier im AWS-Referenzhandbuch für verwaltete Richtlinien.

  • AWSElasticBeanstalkMulticontainerDocker – Gewährt Berechtigungen für den Amazon Elastic Container Service zur Koordinierung von Cluster-Aufgaben für Docker-Umgebungen. Um den Inhalt der verwalteten Richtlinie anzuzeigen, lesen Sie die Seite AWSElasticBeanstalkMulticontainerDocker im AWS-Referenzhandbuch für verwaltete Richtlinien.

Richtlinie für Vertrauensbeziehungen für EC2

Damit die EC2-Instances in der Umgebung die eforderliche Rolle übernehmen können, muss das Instance-Profil Amazon EC2 wie folgt als vertrauenswürdige Entität in der Vertrauensstellungsrichtlinie angeben:

{
  "Version": "2008-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Wenn Sie die Berechtigungen anpassen möchten, können Sie entweder Richtlinien zur Rolle hinzufügen, die dem Instance-Standardprofil angefügt ist, oder ein eigenes Instance-Profil mit eingeschränkten Berechtigungen erstellen.

Erstellen eines Instance-Profils

Ein Instance-Profil ist ein Wrapper für eine IAM-Standardrolle, damit eine EC2-Instance die Rolle übernehmen kann. Sie können zusätzliche Instance-Profile erstellen, um die Berechtigungen für verschiedene Anwendungen anzupassen. Alternativ können Sie ein Instance-Profil erstellen, das keinerlei Berechtigungen für eine Worker-Ebene oder für von ECS verwaltete Docker-Umgebungen erteilt, sofern Sie diese Funktionen nicht nutzen.

So erstellen Sie ein Instance-Profil

  1. Öffnen Sie die Seite Roles (Rollen)in der IAM-Konsole.

  2. Wählen Sie Create role (Rolle erstellen) aus.

  3. Wählen Sie unter Typ der vertrauenswürdigen Entität die Option AWS-Service aus.

  4. Wählen Sie unter Use case (Anwendungsfall) die Option EC2 aus.

  5. Wählen Sie Next (Weiter).

  6. Fügen Sie die entsprechenden von Elastic Beanstalk bereitgestellten verwalteten Richtlinien sowie weitere Richtlinien hinzu, um der Anwendung die erforderlichen Berechtigungen zu erteilen.

  7. Wählen Sie Next (Weiter).

  8. Geben Sie einen Namen für die Rolle ein.

  9. (Optional) Fügen Sie der Rolle Tags hinzu.

  10. Wählen Sie Create role (Rolle erstellen) aus.

Überprüfen der dem Instance-Profil zugeordneten Berechtigungen

Die Berechtigungen, die dem Instance-Standardprofil zugeordnet sind, können je nach Erstellungsdatum, Datum des letzten Umgebungsstarts und verwendetem Client unterschiedlich sein. Die Berechtigungen für das Instance-Standardprofil können Sie in der IAM-Konsole überprüfen.

So überprüfen Sie die Berechtigungen des Instance-Standardprofils

  1. Öffnen Sie die Seite Roles (Rollen)in der IAM-Konsole.

  2. Wählen Sie die Rolle, die Ihnen als EC2-Instance-Profil zugewiesen wurde.

  3. Prüfen Sie auf der Registerseite Permissions (Berechtigungen) die der Rolle angefügte Liste von Richtlinien.

  4. Um die von einer Richtlinie erteilten Berechtigungen anzuzeigen, wählen Sie die Richtlinie aus.

Aktualisieren eines veralteten Instance-Standardprofils

Falls benötigte Berechtigungen für das Instance-Standardprofil fehlen, können Sie die verwalteten Richtlinien manuell zu der Ihrem EC2-Instance-Profil zugewiesen Rolle hinzufügen.

Hinzufügen von verwalteten Richtlinien zur Rolle, die dem Instance-Standardprofil angefügt ist

  1. Öffnen Sie die Seite Roles (Rollen)in der IAM-Konsole.

  2. Wählen Sie die Rolle, die Ihnen als EC2-Instance-Profil zugewiesen wurde.

  3. Wählen Sie auf der Registerkarte Permissions (Berechtigungen) die Option Attach policies (Richtlinien anfügen) aus.

  4. Geben Sie AWSElasticBeanstalk ein, um die Richtlinien zu filtern.

  5. Wählen Sie die folgenden Richtlinien und anschließend Attach Policies (Richtlinien anfügen) aus:

    • AWSElasticBeanstalkWebTier

    • AWSElasticBeanstalkWorkerTier

    • AWSElasticBeanstalkMulticontainerDocker

Hinzufügen von Berechtigungen zum Instance-Standardprofil

Falls die Anwendung auf AWS-APIs oder Ressourcen zugreift, für die im Instance-Standardprofil keine Berechtigungen erteilt werden, können Sie in der IAM-Konsole entsprechende Richtlinien hinzufügen.

Hinzufügen von Richtlinien zur Rolle, die dem Instance-Standardprofil angefügt ist

  1. Öffnen Sie die Seite Roles (Rollen) in der IAM-Konsole.

  2. Wählen Sie die Rolle, die Ihnen als EC2-Instance-Profil zugewiesen wurde.

  3. Wählen Sie auf der Registerkarte Permissions (Berechtigungen) die Option Attach policies (Richtlinien anfügen) aus.

  4. Wählen Sie die verwaltete Richtlinie für die zusätzlichen Services aus, die von der Anwendung verwendet werden. Beispiel: AmazonS3FullAccess oder AmazonDynamoDBFullAccess.

  5. Wählen Sie Attach policy (Richtlinie anfügen) aus.