Rol de servicio de Elastic Beanstalk - AWS Elastic Beanstalk

Rol de servicio de Elastic Beanstalk

Un rol de servicio es el rol de IAM que asume Elastic Beanstalk cuando llama a otros servicios en su nombre. Por ejemplo, Elastic Beanstalk utiliza el rol de servicio cuando llama a las API de Amazon Elastic Compute Cloud (EC2) (Amazon EC2), Elastic Load Balancing y Amazon EC2 Auto Scaling para recopilar información. Esta información podría incluir el estado de sus recursos de AWS para monitoreo mejorado del estado. El rol de servicio que utiliza Elastic Beanstalk es el que especificó cuando creó el entorno de Elastic Beanstalk.

La política administrada AWSElasticBeanstalkEnhancedHealth contiene todos los permisos que necesita Elastic Beanstalk para monitorizar el estado del entorno:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticloadbalancing:DescribeInstanceHealth", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetHealth", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:GetConsoleOutput", "ec2:AssociateAddress", "ec2:DescribeAddresses", "ec2:DescribeSecurityGroups", "sqs:GetQueueAttributes", "sqs:GetQueueUrl", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "autoscaling:DescribeScalingActivities", "autoscaling:DescribeNotificationConfigurations", "sns:Publish" ], "Resource": [ "*" ] } ] }

Esta política también incluye acciones de Amazon SQS para permitir que Elastic Beanstalk monitorice la actividad de cola para entornos de trabajo.

Si crea un entorno mediante la consola de Elastic Beanstalk, Elastic Beanstalk le pide que cree un rol de servicio denominado aws-elasticbeanstalk-service-role. Cree este rol con el conjunto predeterminado de permisos y una política de confianza que permita a Elastic Beanstalk asumir el rol de servicio. Si habilita las actualizaciones de plataforma administradas, Elastic Beanstalk asocia otra política con permisos que habilitan esa característica.

Del mismo modo, imagine que crea un entorno mediante el comando eb create de la interfaz de línea de comandos de Elastic Beanstalk (CLI de EB) y no se especifica un rol de servicio a través de la opción --service-role. Elastic Beanstalk crea el rol de servicio aws-elasticbeanstalk-service-role predeterminado.. Si el rol de servicio predeterminado ya existe, Elastic Beanstalk lo utiliza para el entorno nuevo.

Ahora supongamos que crea un entorno utilizando la acción CreateEnvironment de la API de Elastic Beanstalk y no especifica un rol de servicio. A continuación, Elastic Beanstalk crea un rol vinculado a servicios de supervisión. Se trata de un tipo único de rol de servicio predefinido por Elastic Beanstalk que incluye todos los permisos que el servicio requiere para llamar a otros Servicios de AWS en su nombre. El rol vinculado al servicio está asociado a su cuenta. Elastic Beanstalk lo crea una vez y, a continuación, vuelve a utilizarlo al crear entornos adicionales. También puede utilizar IAM para crear un rol vinculado al servicio de supervisión de la cuenta con antelación. Cuando su cuenta tiene un rol vinculado al servicio de supervisión, puede utilizarlo para crear un entorno mediante la API de Elastic Beanstalk, la consola de Elastic Beanstalk o la CLI de EB. Para obtener instrucciones sobre cómo utilizar roles vinculados a servicios con entornos de Elastic Beanstalk, consulte Uso de roles vinculados a servicios para Elastic Beanstalk.

Para obtener más información acerca de los roles de servicio, consulte Administración de roles de servicio de Elastic Beanstalk.