Roles de servicio, perfiles de instancia y políticas de usuario - AWS Elastic Beanstalk

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Roles de servicio, perfiles de instancia y políticas de usuario

Cuando crea un entorno, AWS Elastic Beanstalk le pide que proporcione los siguientes roles AWS Identity and Access Management (IAM):

  • Rol de servicio: el rol de servicio lo asume Elastic Beanstalk para usar otros servicios de Servicios de AWS en su nombre.

  • Perfil de instancia: Elastic Beanstalk aplica el perfil de instancias a las instancias de su entorno. Les permite realizar las siguientes tareas:

    • Recuperar versiones de aplicaciones de Amazon Simple Storage Service (Amazon S3)

    • Cargar registros en Simple Storage Service (Amazon S3).

    • Realizar otras tareas que varían según el tipo de entorno y la plataforma.

Rol de servicio

Cuando crea un entorno en la consola de Elastic Beanstalk o la CLI de Elastic Beanstalk EB, se crean y asignan los roles de servicio necesarios a las políticas administradas. Estas políticas incluyen todos los permisos necesarios. Ahora, supongamos que el rol de servicio ya existe en su cuenta y, a continuación, crea un nuevo entorno en la consola de Elastic Beanstalk o mediante la CLI de Elastic Beanstalk. Si esto sucede, el rol de servicio existente se asigna automáticamente al nuevo entorno.

Perfil de instancia

Si su cuenta de AWS no tiene un perfil de instancia de EC2, debe crear uno mediante el servicio IAM. Después, puede asignar el perfil de instancia de EC2 a los nuevos entornos que cree. El asistente Crear entorno proporciona información que guía a través del servicio IAM, para que pueda crear un perfil de instancia de EC2 con los permisos necesarios. Después de crear el perfil de instancia, puede volver a la consola para seleccionarlo como perfil de instancia de EC2 y proseguir con los pasos para crear su entorno.

nota

Anteriormente, Elastic Beanstalk creaba un perfil de instancia de EC2 predeterminado denominado aws-elasticbeanstalk-ec2-role la primera vez que una cuenta de AWS creaba un entorno. Este perfil de instancia incluía políticas administradas predeterminadas. Si su cuenta ya tiene este perfil de instancia, seguirá estando disponible para que lo asigne a sus entornos.

No obstante, las recientes directrices de seguridad de AWS no permiten que un servicio de AWS cree automáticamente roles con políticas de confianza para otros servicios de AWS, en este caso EC2. Debido a estas directrices de seguridad, Elastic Beanstalk ya no crea un perfil de instancia aws-elasticbeanstalk-ec2-role predeterminado.

Políticas de usuario

Además de los dos roles que asigna a su entorno, también puede crear políticas de usuario y aplicarlas a los usuarios y grupos de IAM de su cuenta. La aplicación de políticas de usuario permite a los usuarios crear y administrar entornos y aplicaciones de Elastic Beanstalk. Elastic Beanstalk también proporciona políticas administradas para el acceso completo y el acceso de solo lectura. Para obtener más información sobre estas políticas, consulte Administración de políticas de usuario de Elastic Beanstalk.

Perfiles de instancia y políticas de usuario adicionales

Puede crear sus propios perfiles de instancia y políticas de usuario para escenarios avanzados. Si las instancias necesitan tener acceso a servicios que no están incluidos en las políticas predeterminadas, puede añadir políticas adicionales a las políticas predeterminadas. Si la política administrada es demasiado permisiva para sus necesidades, también puede crear políticas de usuario más restrictivas. Para obtener más información sobre los permisos de AWS, consulte la Guía del usuario de IAM.

Temas