Gestion des profils d'instance Elastic Beanstalk

Un profil d'instance est un conteneur pour un rôle AWS Identity and Access Management (IAM) que vous pouvez utiliser pour transmettre des informations de rôle à une instance Amazon EC2 au démarrage de l'instance.

Si votre AWS compte ne possède pas de profil d'instance EC2, vous devez en créer un à l'aide du service IAM. Vous pouvez ensuite attribuer le profil d'instance EC2 aux nouveaux environnements que vous créez. L'assistant de création d'un environnement fournit des informations qui vous guident dans le service IAM, afin que vous puissiez créer un profil d'instance EC2 avec les autorisations requises. Après avoir créé le profil d'instance, vous pouvez revenir à la console pour le sélectionner comme profil d'instance EC2 et poursuivre les étapes de création de votre environnement.

Note

Elastic Beanstalk avait précédemment créé un aws-elasticbeanstalk-ec2-role profil d'instance EC2 par défaut nommé la première fois AWS qu'un compte créait un environnement. Ce profil d'instance incluait des stratégies gérées par défaut. Si votre compte possède déjà ce profil d'instance, vous pourrez toujours l'attribuer à vos environnements.

Cependant, les directives AWS de sécurité récentes n'autorisent pas un AWS service à créer automatiquement des rôles avec des politiques de confiance vis-à-vis d'autres AWS services, EC2 dans ce cas. En raison de ces directives de sécurité, Elastic Beanstalk ne crée plus de profil d'instance aws-elasticbeanstalk-ec2-role par défaut.

Politiques gérées

Elastic Beanstalk fournit plusieurs stratégies gérées pour permettre à votre environnement de répondre à différents cas d'utilisation. Pour répondre aux cas d'utilisation par défaut d'un environnement, ces stratégies doivent être associées au rôle du profil d'instance EC2.

• AWSElasticBeanstalkWebTier— Autorise l'application à télécharger des journaux sur Amazon S3 et des informations de débogage vers AWS X-Ray. Pour consulter le contenu des politiques gérées, reportez-vous AWSElasticBeanstalkWebTierau Guide de référence des politiques AWS gérées.

• AWSElasticBeanstalkWorkerTier— Accorde des autorisations pour le téléchargement des journaux, le débogage, la publication des métriques et les tâches relatives aux instances de travail, y compris la gestion des files d'attente, l'élection du leader et les tâches périodiques. Pour consulter le contenu des politiques gérées, reportez-vous AWSElasticBeanstalkWorkerTierau Guide de référence des politiques AWS gérées.

• AWSElasticBeanstalkMulticontainerDocker— Accorde des autorisations à Amazon Elastic Container Service afin de coordonner les tâches de cluster pour les environnements Docker. Pour consulter le contenu des politiques gérées, reportez-vous AWSElasticBeanstalkMulticontainerDockerau Guide de référence des politiques AWS gérées.

Important

Les stratégies gérées par Elastic Beanstalk ne fournissent pas d'autorisations granulaires : elles accordent toutes les autorisations potentiellement nécessaires à l'utilisation des applications Elastic Beanstalk. Dans certains cas, vous souhaiterez peut-être restreindre davantage les autorisations de nos politiques gérées. Pour un exemple d'un cas d'utilisation, voirEmpêcher l'accès aux compartiments Amazon S3 entre environnements.

Nos stratégies gérées ne couvrent pas non plus les autorisations relatives aux ressources personnalisées que vous pourriez ajouter à votre solution et qui ne sont pas gérées par Elastic Beanstalk. Pour implémenter des autorisations plus granulaires, des autorisations minimales requises ou des autorisations de ressources personnalisées, utilisez des stratégies personnalisées.

Stratégie de relation de confiance pour EC2

Pour autoriser les instances EC2 dans votre environnement à assumer le rôle requis, le profil d'instance doit spécifier Amazon EC2 comme une entité de confiance dans la stratégie de relation d'approbation de la manière suivante :

{
  "Version": "2008-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Pour personnaliser les autorisations, vous pouvez soit ajouter des stratégies au rôle attaché au profil d'instance par défaut, soit créer votre propre profil d'instance avec un ensemble limité d'autorisations.

Création d'un profil d'instance

Un profil d'instance est une enveloppe autour d'un rôle IAM standard qui permet à une instance EC2 d'assumer le rôle. Vous pouvez créer des profils d'instance supplémentaires afin de personnaliser les autorisations pour différentes applications. Ou vous pouvez créer un profil d'instance qui n'accorde pas d'autorisations pour le niveau de travail ou les environnements Docker gérés par ECS, si vous n'utilisez pas ces fonctionnalités.

Pour créer un profil d’instance

1. Ouvrez la page Roles (Rôles) dans la console IAM.

2. Sélectionnez Créer un rôle.

3. Sous Trusted entity type (Type d'entité approuvée), choisissez service AWS .

4. Sous Cas d'utilisation, choisissez EC2.

5. Choisissez Suivant.

6. Associez les stratégies gérées adéquates fournies par Elastic Beanstalk et toutes les stratégies supplémentaires fournissant les autorisations dont votre application a besoin.

7. Choisissez Suivant.

8. Entrez un nom pour le rôle.

9. (Facultatif) Ajoutez des balises au rôle.

10. Sélectionnez Créer un rôle.

Vérification des autorisations attribuées à votre profil d'instance

Les autorisations allouées à votre profil d'instance par défaut peuvent varier en fonction de la date à laquelle il a été créé, de la date du dernier lancement d'un environnement et du client que vous avez utilisé. Vous pouvez vérifier les autorisations sur le profil d'instance par défaut dans la console IAM.

Pour vérifier les autorisations du profil d'instance par défaut

1. Ouvrez la page Roles (Rôles) dans la console IAM.

2. Choisissez le rôle attribué en tant que profil d'instance EC2.

3. Sur l'onglet Autorisations, vérifiez la liste de politiques attachée au rôle.

4. Pour voir les autorisations octroyées par une stratégie, choisissez la stratégie.

Mettre à jour un profil d'instance par out-of-date défaut

Si le profil d'instance par défaut ne dispose pas des autorisations requises, vous pouvez ajouter manuellement les stratégies gérées au rôle attribué en tant que profil d'instance EC2.

Pour ajouter des stratégies gérées au rôle attaché au profil d'instance par défaut

1. Ouvrez la page Roles (Rôles) dans la console IAM.

2. Choisissez le rôle attribué en tant que profil d'instance EC2.

3. Sous l'onglet Permissions (Autorisations), choisissez Attach policies (Attacher des politiques).

4. Saisissez AWSElasticBeanstalk pour filtrer les stratégies.

5. Sélectionnez les politiques suivantes, puis choisissez Attacher une politique :

   • AWSElasticBeanstalkWebTier

   • AWSElasticBeanstalkWorkerTier

   • AWSElasticBeanstalkMulticontainerDocker

Ajout d'autorisations au profil d'instance par défaut

Si votre application accède à des AWS API ou à des ressources auxquelles les autorisations ne sont pas accordées dans le profil d'instance par défaut, ajoutez des politiques qui accordent des autorisations dans la console IAM.

Pour ajouter des stratégies au rôle attaché au profil d'instance par défaut

1. Ouvrez la page Roles (Rôles) dans la console IAM.

2. Choisissez le rôle attribué en tant que profil d'instance EC2.

3. Sous l'onglet Permissions (Autorisations), choisissez Attach policies (Attacher des politiques).

4. Sélectionnez la politique gérée relative aux services supplémentaires utilisés par votre application. Par exemple, AmazonS3FullAccess ou AmazonDynamoDBFullAccess.

5. Choisissez Attach policy (Attacher une politique).