Gestion des profils d'instance Elastic Beanstalk - AWS Elastic Beanstalk
Création d'un profil d'instanceVérification des autorisations attribuées à votre profil d'instanceMise à jour d'un profil d'instance par défaut obsolèteAjout d'autorisations au profil d'instance par défaut

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des profils d'instance Elastic Beanstalk

Un profil d'instance est un conteneur pour un rôle AWS Identity and Access Management (IAM) que vous pouvez utiliser pour transmettre les informations liées au rôle à une instance Amazon EC2 lorsque l'instance démarre.

Si votre compte AWS ne possède pas de profil d'instance EC2, vous devez en créer un à l'aide du service IAM. Vous pouvez ensuite attribuer le profil d'instance EC2 aux nouveaux environnements que vous créez. L'assistant de création d'un environnement fournit des informations qui vous guident dans le service IAM, afin que vous puissiez créer un profil d'instance EC2 avec les autorisations requises. Après avoir créé le profil d'instance, vous pouvez revenir à la console pour le sélectionner comme profil d'instance EC2 et poursuivre les étapes de création de votre environnement.

Note

Auparavant, Elastic Beanstalk créait un profil d'instance EC2 par défaut nommé aws-elasticbeanstalk-ec2-role la première fois qu'un compte AWS créait un environnement. Ce profil d'instance incluait des stratégies gérées par défaut. Si votre compte possède déjà ce profil d'instance, vous pourrez toujours l'attribuer à vos environnements.

Toutefois, les directives de sécurité AWS récentes n'autorisent pas un service AWS à créer automatiquement des rôles avec des politiques de confiance pour d'autres services AWS, EC2 dans ce cas. En raison de ces directives de sécurité, Elastic Beanstalk ne crée plus de profil d'instance aws-elasticbeanstalk-ec2-role par défaut.

Politiques gérées

Elastic Beanstalk fournit plusieurs stratégies gérées pour permettre à votre environnement de répondre à différents cas d'utilisation. Pour répondre aux cas d'utilisation par défaut d'un environnement, ces stratégies doivent être associées au rôle du profil d'instance EC2.

  • AWSElasticBeanstalkWebTier – Accorde des autorisations pour permettre à l'application de télécharger les journaux dans Amazon S3 et les informations de débogage dans AWS X-Ray. Pour consulter le contenu des stratégies gérées, consultez la page AWSElasticBeanstalkWebTier dans le Guide de référence des stratégies gérées par AWS.

  • AWSElasticBeanstalkWorkerTier – Accorde des autorisations pour les chargements de journaux, le débogage, la publication de métriques et les tâches d'instance de travail, y compris la gestion des files d'attente, le choix de l'instance principale et les tâches périodiques. Pour consulter le contenu des stratégies gérées, consultez la page AWSElasticBeanstalkWorkerTier dans le Guide de référence des stratégies gérées par AWS.

  • AWSElasticBeanstalkMulticontainerDocker – Accorde des autorisations à Amazon Elastic Container Service pour la coordination des tâches de cluster pour les environnements Docker. Pour consulter le contenu des stratégies gérées, consultez la page AWSElasticBeanstalkMulticontainerDocker dans le Guide de référence des stratégies gérées par AWS.

Stratégie de relation de confiance pour EC2

Pour autoriser les instances EC2 dans votre environnement à assumer le rôle requis, le profil d'instance doit spécifier Amazon EC2 comme une entité de confiance dans la stratégie de relation d'approbation de la manière suivante :

{
  "Version": "2008-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Pour personnaliser les autorisations, vous pouvez soit ajouter des stratégies au rôle attaché au profil d'instance par défaut, soit créer votre propre profil d'instance avec un ensemble limité d'autorisations.

Création d'un profil d'instance

Un profil d'instance est une enveloppe autour d'un rôle IAM standard qui permet à une instance EC2 d'assumer le rôle. Vous pouvez créer des profils d'instance supplémentaires afin de personnaliser les autorisations pour différentes applications. Ou vous pouvez créer un profil d'instance qui n'accorde pas d'autorisations pour le niveau de travail ou les environnements Docker gérés par ECS, si vous n'utilisez pas ces fonctionnalités.

Pour créer un profil d'instance

  1. Ouvrez la page Roles (Rôles) dans la console IAM.

  2. Sélectionnez Créer un rôle.

  3. Sous Trusted entity type (Type d'entité approuvée), choisissez service AWS.

  4. Sous Cas d'utilisation, choisissez EC2.

  5. Choisissez Next (Suivant).

  6. Associez les stratégies gérées adéquates fournies par Elastic Beanstalk et toutes les stratégies supplémentaires fournissant les autorisations dont votre application a besoin.

  7. Choisissez Next (Suivant).

  8. Entrez un nom pour le rôle.

  9. (Facultatif) Ajoutez des balises au rôle.

  10. Sélectionnez Créer un rôle.

Vérification des autorisations attribuées à votre profil d'instance

Les autorisations allouées à votre profil d'instance par défaut peuvent varier en fonction de la date à laquelle il a été créé, de la date du dernier lancement d'un environnement et du client que vous avez utilisé. Vous pouvez vérifier les autorisations sur le profil d'instance par défaut dans la console IAM.

Pour vérifier les autorisations du profil d'instance par défaut

  1. Ouvrez la page Roles (Rôles) dans la console IAM.

  2. Choisissez le rôle attribué en tant que profil d'instance EC2.

  3. Sur l'onglet Autorisations, vérifiez la liste de politiques attachée au rôle.

  4. Pour voir les autorisations octroyées par une stratégie, choisissez la stratégie.

Mise à jour d'un profil d'instance par défaut obsolète

Si le profil d'instance par défaut ne dispose pas des autorisations requises, vous pouvez ajouter manuellement les stratégies gérées au rôle attribué en tant que profil d'instance EC2.

Pour ajouter des stratégies gérées au rôle attaché au profil d'instance par défaut

  1. Ouvrez la page Roles (Rôles) dans la console IAM.

  2. Choisissez le rôle attribué en tant que profil d'instance EC2.

  3. Sous l'onglet Permissions (Autorisations), choisissez Attach policies (Attacher des politiques).

  4. Saisissez AWSElasticBeanstalk pour filtrer les stratégies.

  5. Sélectionnez les politiques suivantes, puis choisissez Attacher une politique :

    • AWSElasticBeanstalkWebTier

    • AWSElasticBeanstalkWorkerTier

    • AWSElasticBeanstalkMulticontainerDocker

Ajout d'autorisations au profil d'instance par défaut

Si votre application accède à des ressources ou des API AWS auxquelles des autorisations ne sont pas octroyées dans le profil d'instance par défaut, ajoutez des stratégies qui accordent des autorisations dans la console IAM.

Pour ajouter des stratégies au rôle attaché au profil d'instance par défaut

  1. Ouvrez la page Roles (Rôles) dans la console IAM.

  2. Choisissez le rôle attribué en tant que profil d'instance EC2.

  3. Sous l'onglet Permissions (Autorisations), choisissez Attach policies (Attacher des politiques).

  4. Sélectionnez la politique gérée relative aux services supplémentaires utilisés par votre application. Par exemple, AmazonS3FullAccess ou AmazonDynamoDBFullAccess.

  5. Choisissez Attach policy (Attacher une politique).