Administración de perfiles de instancia de Elastic Beanstalk - AWS Elastic Beanstalk
Creación de un perfil de instanciaVerificación de los permisos asignados al perfil de instanciaActualización de un perfil de instancia predeterminado obsoletoAñadir permisos al perfil de instancia predeterminado

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración de perfiles de instancia de Elastic Beanstalk

Un perfil de instancias es un contenedor de una función de AWS Identity and Access Management (rol de IAM) que se puede utilizar para transferir información del rol a una instancia de Amazon EC2 cuando la instancia comienza.

Si su cuenta de AWS no tiene un perfil de instancia de EC2, debe crear uno mediante el servicio IAM. Después, puede asignar el perfil de instancia de EC2 a los nuevos entornos que cree. El asistente Crear entorno proporciona información que guía a través del servicio IAM, para que pueda crear un perfil de instancia de EC2 con los permisos necesarios. Después de crear el perfil de instancia, puede volver a la consola para seleccionarlo como perfil de instancia de EC2 y proseguir con los pasos para crear su entorno.

nota

Anteriormente, Elastic Beanstalk creaba un perfil de instancia de EC2 predeterminado denominado aws-elasticbeanstalk-ec2-role la primera vez que una cuenta de AWS creaba un entorno. Este perfil de instancia incluía políticas administradas predeterminadas. Si su cuenta ya tiene este perfil de instancia, seguirá estando disponible para que lo asigne a sus entornos.

No obstante, las recientes directrices de seguridad de AWS no permiten que un servicio de AWS cree automáticamente roles con políticas de confianza para otros servicios de AWS, en este caso EC2. Debido a estas directrices de seguridad, Elastic Beanstalk ya no crea un perfil de instancia aws-elasticbeanstalk-ec2-role predeterminado.

Políticas administradas

Elastic Beanstalk proporciona varias políticas administradas para permitir que su entorno satisfaga diferentes casos de uso. Para satisfacer los casos de uso predeterminados de un entorno, estas políticas se deben asociar al rol del perfil de instancia de EC2.

  • AWSElasticBeanstalkWebTier: concede permisos para que la aplicación cargue los registros en Amazon S3 e información de depuración en AWS X-Ray. Para ver el contenido de la política administrada, consulte AWSElasticBeanstalkWebTier en la Guía de referencia de políticas administradas de AWS.

  • AWSElasticBeanstalkWorkerTier: concede permisos para las cargas de registros, depuración, publicación de métricas y tareas de instancias de trabajo, como la administración de colas, la elección de nodos principales y tareas periódicas. Para ver el contenido de la política administrada, consulte AWSElasticBeanstalkWorkerTier en la Guía de referencia de políticas administradas de AWS.

  • AWSElasticBeanstalkMulticontainerDocker: concede permisos a Amazon Elastic Container Service para coordinar tareas de clúster para entornos Docker. Para ver el contenido de la política administrada, consulte AWSElasticBeanstalkMulticontainerDocker en la Guía de referencia de políticas administradas de AWS.

Política de relación de confianza para EC2

Para permitir que las instancias de EC2 del entorno asuman el rol requerido, el perfil de instancia debe especificar Amazon EC2 como entidad de confianza en la política de relación de confianza de la siguiente manera.

{
  "Version": "2008-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Para personalizar los permisos, puede añadir políticas al rol asociado al perfil de instancia predeterminado o crear su propio perfil de instancia con un conjunto restringido de permisos.

Creación de un perfil de instancia

Un perfil de instancia es un contenedor de un rol de IAM estándar que permite a una instancia EC2 asumir el rol. Puede crear perfiles de instancia adicionales para personalizar los permisos de diferentes aplicaciones. O bien puede crear un perfil de instancia que no conceda permisos a los entornos Docker de capa de trabajo o administrados por ECS, si no utiliza esas características.

Para crear un perfil de instancia

  1. Abra la página Roles en la consola de IAM

  2. Elija Create role.

  3. En Tipo de entidad de confianza, seleccione Servicio de AWS.

  4. En Use case (Caso de uso), elija EC2.

  5. Elija Next (Siguiente).

  6. Asocie las políticas administradas correspondientes proporcionadas por Elastic Beanstalk y cualquier otra política que proporcione permisos que necesite su aplicación.

  7. Elija Next (Siguiente).

  8. Escriba un nombre para el rol.

  9. (Opcional) Añada etiquetas al rol.

  10. Elija Create role (Crear rol).

Verificación de los permisos asignados al perfil de instancia

Los permisos asignados al perfil de instancia predeterminado pueden variar en función de cuándo se creó el perfil, la última vez que se lanzó un entorno y el cliente que se utilizó. Puede verificar los permisos del perfil de instancia en la consola de IAM.

Para verificar los permisos del perfil de instancia predeterminado

  1. Abra la página Roles en la consola de IAM

  2. Seleccione el rol asignado como perfil de instancia de EC2.

  3. Revise la lista de políticas asociadas al rol en la pestaña Permissions (Permisos).

  4. Para ver los permisos que concede una política, elija la política.

Actualización de un perfil de instancia predeterminado obsoleto

Si al perfil de instancia predeterminado le faltan los permisos necesarios, puede agregar las políticas administradas al rol asignado como perfil de instancia de EC2 manualmente.

Para agregar políticas administradas al rol adjuntado al perfil de instancia predeterminado

  1. Abra la página Roles en la consola de IAM

  2. Seleccione el rol asignado como perfil de instancia de EC2.

  3. En la pestaña Permissions (Permisos), elija Attach policies (Asociar políticas).

  4. Escriba AWSElasticBeanstalk para filtrar las políticas.

  5. Seleccione las siguientes políticas y, después, elija Attach policy (Asociar política):

    • AWSElasticBeanstalkWebTier

    • AWSElasticBeanstalkWorkerTier

    • AWSElasticBeanstalkMulticontainerDocker

Añadir permisos al perfil de instancia predeterminado

Si la aplicación tiene acceso a las API o recursos de AWS a los que no se concede permiso en el perfil de instancias predeterminado, agregue políticas que concedan permisos en la consola de IAM.

Para agregar políticas al rol adjuntado al perfil de instancia predeterminado

  1. Abra la página Roles en la consola de IAM.

  2. Seleccione el rol asignado como perfil de instancia de EC2.

  3. En la pestaña Permissions (Permisos), elija Attach policies (Adjuntar políticas).

  4. Seleccione la política administrada que se aplicará a los demás servicios que utilice la aplicación. Por ejemplo, AmazonS3FullAccess o AmazonDynamoDBFullAccess.

  5. Elija Attach policy (Asociar política).