Administración de perfiles de instancia de Elastic Beanstalk - AWS Elastic Beanstalk
Creación de un perfil de instanciaVerificación de los permisos asignados al perfil de instanciaActualización de un perfil de instancia out-of-date predeterminadoAñadir permisos al perfil de instancia predeterminado

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración de perfiles de instancia de Elastic Beanstalk

Un perfil de instancia es un contenedor para un rol AWS Identity and Access Management (IAM) que puede usar para pasar información del rol a una instancia de Amazon EC2 cuando se inicia la instancia.

Si su AWS cuenta no tiene un perfil de instancia EC2, debe crear uno mediante el servicio de IAM. Después, puede asignar el perfil de instancia de EC2 a los nuevos entornos que cree. El asistente Crear entorno proporciona información que guía a través del servicio IAM, para que pueda crear un perfil de instancia de EC2 con los permisos necesarios. Después de crear el perfil de instancia, puede volver a la consola para seleccionarlo como perfil de instancia de EC2 y proseguir con los pasos para crear su entorno.

nota

Anteriormente, Elastic Beanstalk creaba un aws-elasticbeanstalk-ec2-role perfil de instancia EC2 predeterminado denominado la primera vez AWS que una cuenta creaba un entorno. Este perfil de instancia incluía políticas administradas predeterminadas. Si su cuenta ya tiene este perfil de instancia, seguirá estando disponible para que lo asigne a sus entornos.

Sin embargo, las directrices AWS de seguridad recientes no permiten que un AWS servicio cree funciones automáticamente con políticas de confianza para otros AWS servicios, en este caso EC2. Debido a estas directrices de seguridad, Elastic Beanstalk ya no crea un perfil de instancia aws-elasticbeanstalk-ec2-role predeterminado.

Políticas administradas

Elastic Beanstalk proporciona varias políticas administradas para permitir que su entorno satisfaga diferentes casos de uso. Para satisfacer los casos de uso predeterminados de un entorno, estas políticas se deben asociar al rol del perfil de instancia de EC2.

  • AWSElasticBeanstalkWebTier— Otorga permisos para que la aplicación cargue registros en Amazon S3 y suba información de depuración a AWS X-Ray. Para ver el contenido de las políticas administradas, consulte AWSElasticBeanstalkWebTierla Guía de referencia de políticas AWS administradas.

  • AWSElasticBeanstalkWorkerTier— Otorga permisos para la carga de registros, la depuración, la publicación de métricas y las tareas de creación de instancias de trabajo, incluidas la gestión de colas, la elección de líderes y las tareas periódicas. Para ver el contenido de las políticas gestionadas, consulte la Guía AWSElasticBeanstalkWorkerTierde referencia de políticas AWS gestionadas.

  • AWSElasticBeanstalkMulticontainerDocker— Otorga permisos para que Amazon Elastic Container Service coordine las tareas del clúster para los entornos de Docker. Para ver el contenido de las políticas administradas, consulte AWSElasticBeanstalkMulticontainerDockerla Guía de referencia de políticas AWS administradas.

importante

Las políticas administradas de Elastic Beanstalk no proporcionan permisos granulares, ya que otorgan todos los permisos potencialmente necesarios para trabajar con aplicaciones de Elastic Beanstalk. En algunos casos, es posible que desee restringir aún más los permisos de nuestras políticas administradas. Para ver un ejemplo de un caso de uso, consulteImpedir el acceso al bucket de Amazon S3 entre entornos.

Nuestras políticas administradas tampoco incluyen los permisos para recursos personalizados que puede agregar a su solución y que no son administrados por Elastic Beanstalk. Para implementar permisos más granulares, permisos mínimos requeridos o permisos personalizados a nivel de recursos, utilice políticas personalizadas.

Política de relación de confianza para EC2

Para permitir que las instancias de EC2 del entorno asuman el rol requerido, el perfil de instancia debe especificar Amazon EC2 como entidad de confianza en la política de relación de confianza de la siguiente manera.

{
  "Version": "2008-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Para personalizar los permisos, puede añadir políticas al rol asociado al perfil de instancia predeterminado o crear su propio perfil de instancia con un conjunto restringido de permisos.

Creación de un perfil de instancia

Un perfil de instancia es un contenedor de un rol de IAM estándar que permite a una instancia EC2 asumir el rol. Puede crear perfiles de instancia adicionales para personalizar los permisos de diferentes aplicaciones. O bien puede crear un perfil de instancia que no conceda permisos a los entornos Docker de capa de trabajo o administrados por ECS, si no utiliza esas características.

Cómo crear un perfil de instancia

  1. Abra la página Roles en la consola de IAM

  2. Elija Crear rol.

  3. En Tipo de entidad de confianza, seleccione Servicio de AWS .

  4. En Caso de uso, elija EC2.

  5. Elija Siguiente.

  6. Asocie las políticas administradas correspondientes proporcionadas por Elastic Beanstalk y cualquier otra política que proporcione permisos que necesite su aplicación.

  7. Elija Siguiente.

  8. Escriba un nombre para el rol.

  9. (Opcional) Añada etiquetas al rol.

  10. Elija Crear rol.

Verificación de los permisos asignados al perfil de instancia

Los permisos asignados al perfil de instancia predeterminado pueden variar en función de cuándo se creó el perfil, la última vez que se lanzó un entorno y el cliente que se utilizó. Puede verificar los permisos del perfil de instancia en la consola de IAM.

Para verificar los permisos del perfil de instancia predeterminado

  1. Abra la página Roles en la consola de IAM

  2. Seleccione el rol asignado como perfil de instancia de EC2.

  3. Revise la lista de políticas asociadas al rol en la pestaña Permissions (Permisos).

  4. Para ver los permisos que concede una política, elija la política.

Actualización de un perfil de instancia out-of-date predeterminado

Si al perfil de instancia predeterminado le faltan los permisos necesarios, puede agregar las políticas administradas al rol asignado como perfil de instancia de EC2 manualmente.

Para agregar políticas administradas al rol adjuntado al perfil de instancia predeterminado

  1. Abra la página Roles en la consola de IAM

  2. Seleccione el rol asignado como perfil de instancia de EC2.

  3. En la pestaña Permissions (Permisos), elija Attach policies (Asociar políticas).

  4. Escriba AWSElasticBeanstalk para filtrar las políticas.

  5. Seleccione las siguientes políticas y, después, elija Attach policy (Asociar política):

    • AWSElasticBeanstalkWebTier

    • AWSElasticBeanstalkWorkerTier

    • AWSElasticBeanstalkMulticontainerDocker

Añadir permisos al perfil de instancia predeterminado

Si tu aplicación accede a AWS API o recursos para los que no se conceden permisos en el perfil de instancia predeterminado, añade políticas que concedan permisos en la consola de IAM.

Para agregar políticas al rol adjuntado al perfil de instancia predeterminado

  1. Abra la página Roles en la consola de IAM.

  2. Seleccione el rol asignado como perfil de instancia de EC2.

  3. En la pestaña Permissions (Permisos), elija Attach policies (Adjuntar políticas).

  4. Seleccione la política administrada que se aplicará a los demás servicios que utilice la aplicación. Por ejemplo, AmazonS3FullAccess o AmazonDynamoDBFullAccess.

  5. Elija Asociar política.