Rol de servicio de Elastic Beanstalk - AWS Elastic Beanstalk

Rol de servicio de Elastic Beanstalk

Un rol de servicio es el rol de IAM que asume Elastic Beanstalk cuando llama a otros servicios en su nombre. Por ejemplo, Elastic Beanstalk utiliza la función de servicio que especifique al crear un entorno de Elastic Beanstalk cuando llama a las API de Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing y Amazon EC2 Auto Scaling para recopilar información sobre el estado de sus recursos de AWS para una monitorización del estado mejorada.

La política administrada AWSElasticBeanstalkEnhancedHealth contiene todos los permisos que necesita Elastic Beanstalk para monitorizar el estado del entorno:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticloadbalancing:DescribeInstanceHealth", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetHealth", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:GetConsoleOutput", "ec2:AssociateAddress", "ec2:DescribeAddresses", "ec2:DescribeSecurityGroups", "sqs:GetQueueAttributes", "sqs:GetQueueUrl", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "autoscaling:DescribeScalingActivities", "autoscaling:DescribeNotificationConfigurations", "sns:Publish" ], "Resource": [ "*" ] } ] }

Esta política también incluye acciones de Amazon SQS para permitir que Elastic Beanstalk monitorice la actividad de cola para entornos de trabajo.

Cuando crea un entorno mediante la consola de Elastic Beanstalk, Elastic Beanstalk le pide que cree un rol de servicio denominado aws-elasticbeanstalk-service-role con el conjunto predeterminado de permisos y una política de confianza que permita a Elastic Beanstalk asumir el rol de servicio. Si habilita las actualizaciones de plataforma administradas, Elastic Beanstalk asocia otra política con permisos que habilitan esa característica.

Del mismo modo, cuando crea un entorno mediante el comando eb create de la interfaz de línea de comandos de Elastic Beanstalk (CLI de EB) y no se especifica un rol de servicio a través de la opción --service-role, Elastic Beanstalk crea el rol de servicio predeterminado aws-elasticbeanstalk-service-role. Si el rol de servicio predeterminado ya existe, Elastic Beanstalk lo utiliza para el entorno nuevo.

Cuando crea un entorno mediante la acción CreateEnvironment de la API de Elastic Beanstalk y no especifica un rol de servicio, Elastic Beanstalk crea un rol vinculado a servicios de supervisión. Se trata de un tipo único de rol de servicio predefinido por Elastic Beanstalk y que incluye todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre. El rol vinculado al servicio está asociado a su cuenta. Elastic Beanstalk lo crea una vez y, a continuación, vuelve a utilizarlo al crear entornos adicionales. También puede utilizar IAM para crear su rol vinculado al servicio de monitorización de la cuenta con antelación. Cuando su cuenta tiene un rol vinculado al servicio de monitorización, puede utilizarlo para crear un entorno mediante la API de Elastic Beanstalk, la consola de Elastic Beanstalk o la CLI de EB. Para obtener información detallada sobre el uso de roles vinculados a servicios con entornos de Elastic Beanstalk, consulte Uso de roles vinculados a servicios para Elastic Beanstalk.

Para obtener más información acerca de los roles de servicio, consulte Administración de roles de servicio de Elastic Beanstalk.