Mengelola profil instans Elastic Beanstalk - AWS Elastic Beanstalk
Membuat profil instansMemverifikasi izin yang ditetapkan profil instans AndaMemperbarui profil instance out-of-date defaultMenambahkan izin ke profil instans default

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola profil instans Elastic Beanstalk

Profil instans adalah wadah untuk peran AWS Identity and Access Management (IAM) yang dapat Anda gunakan untuk meneruskan informasi peran ke instans Amazon EC2 saat instance dimulai.

Jika AWS akun Anda tidak memiliki profil instans EC2, Anda harus membuatnya menggunakan layanan IAM. Anda kemudian dapat menetapkan profil instans EC2 ke lingkungan baru yang Anda buat. Wizard Create environment menyediakan informasi untuk memandu Anda melalui layanan IAM, sehingga Anda dapat membuat profil instans EC2 dengan izin yang diperlukan. Setelah membuat profil instance, Anda dapat kembali ke konsol untuk memilihnya sebagai profil instans EC2 dan melanjutkan langkah-langkah untuk membuat lingkungan Anda.

catatan

Sebelumnya Elastic Beanstalk membuat aws-elasticbeanstalk-ec2-role profil instans EC2 default bernama pertama kali AWS akun membuat lingkungan. Profil instance ini menyertakan kebijakan terkelola default. Jika akun Anda sudah memiliki profil instans ini, itu akan tetap tersedia bagi Anda untuk menetapkan ke lingkungan Anda.

Namun, pedoman AWS keamanan terbaru tidak mengizinkan AWS layanan untuk secara otomatis membuat peran dengan kebijakan kepercayaan ke AWS layanan lain, EC2 dalam hal ini. Karena pedoman keamanan ini, Elastic Beanstalk tidak lagi membuat profil instance default. aws-elasticbeanstalk-ec2-role

Kebijakan terkelola

Elastic Beanstalk menyediakan beberapa kebijakan terkelola untuk memungkinkan lingkungan Anda memenuhi berbagai kasus penggunaan. Untuk memenuhi kasus penggunaan default untuk lingkungan, kebijakan ini harus dilampirkan ke peran untuk profil instans EC2.

  • AWSElasticBeanstalkWebTier— Memberikan izin bagi aplikasi untuk mengunggah log ke Amazon S3 dan men-debug informasi ke. AWS X-Ray Untuk melihat konten kebijakan terkelola, lihat AWSElasticBeanstalkWebTierdi Panduan Referensi Kebijakan AWS Terkelola.

  • AWSElasticBeanstalkWorkerTier— Memberikan izin untuk unggahan log, debugging, publikasi metrik, dan tugas instance pekerja, termasuk manajemen antrian, pemilihan pemimpin, dan tugas berkala. Untuk melihat konten kebijakan terkelola, lihat AWSElasticBeanstalkWorkerTierdi Panduan Referensi Kebijakan AWS Terkelola.

  • AWSElasticBeanstalkMulticontainerDocker— Memberikan izin untuk Amazon Elastic Container Service untuk mengoordinasikan tugas klaster untuk lingkungan Docker. Untuk melihat konten kebijakan terkelola, lihat AWSElasticBeanstalkMulticontainerDockerdi Panduan Referensi Kebijakan AWS Terkelola.

penting

Kebijakan terkelola Elastic Beanstalk tidak memberikan izin terperinci—mereka memberikan semua izin yang berpotensi diperlukan untuk bekerja dengan aplikasi Elastic Beanstalk. Dalam beberapa kasus, Anda mungkin ingin membatasi izin kebijakan terkelola kami lebih lanjut. Untuk contoh satu kasus penggunaan, lihatMencegah akses bucket Amazon S3 lintas lingkungan.

Kebijakan terkelola kami juga tidak mencakup izin ke sumber daya khusus yang mungkin Anda tambahkan ke solusi Anda, dan yang tidak dikelola oleh Elastic Beanstalk. Untuk menerapkan izin yang lebih rinci, izin minimum yang diperlukan, atau izin sumber daya kustom, gunakan kebijakan khusus.

Kebijakan hubungan kepercayaan untuk EC2

Untuk mengizinkan instans EC2 di lingkungan Anda mengambil peran yang diperlukan, profil instans harus menentukan Amazon EC2 sebagai entitas tepercaya dalam kebijakan hubungan kepercayaan, sebagai berikut.

{
  "Version": "2008-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Untuk menyesuaikan izin, Anda dapat menambahkan kebijakan ke peran yang dilampirkan ke profil instans default atau membuat profil instans Anda sendiri dengan serangkaian izin terbatas.

Membuat profil instans

Profil instans adalah pembungkus sekitar IAM role standar yang mengizinkan instans EC2 untuk mengasumsikan peran tersebut. Anda dapat membuat profil instans tambahan untuk menyesuaikan izin untuk aplikasi yang berbeda. Atau Anda dapat membuat profil instance yang tidak memberikan izin untuk tingkat pekerja atau lingkungan Docker yang dikelola ECS, jika Anda tidak menggunakan fitur tersebut.

Buat profil instans

  1. Buka halaman Peran di konsol IAM.

  2. Pilih Buat peran.

  3. Di bawah Jenis entitas tepercaya, pilih AWS layanan.

  4. Di bawah Kasus penggunaan, pilih EC2.

  5. Pilih Selanjutnya.

  6. Lampirkan kebijakan terkelola yang sesuai yang disediakan oleh Elastic Beanstalk dan kebijakan tambahan apa pun yang memberikan izin yang diperlukan aplikasi Anda.

  7. Pilih Selanjutnya.

  8. Masukkan nama untuk peran.

  9. (Opsional) Tambahkan tag ke peran.

  10. Pilih Buat peran.

Memverifikasi izin yang ditetapkan profil instans Anda

Izin yang ditetapkan ke profil instans default dapat bervariasi tergantung pada kapan dibuat, terakhir kali Anda meluncurkan lingkungan, dan klien mana yang Anda gunakan. Anda dapat memverifikasi izin pada profil instans default di konsol IAM.

Untuk memverifikasi izin profil instans default

  1. Buka Halaman Peran di konsol IAM.

  2. Pilih peran yang ditetapkan sebagai profil instans EC2 Anda.

  3. Pada tab Izin, tinjau daftar kebijakan yang dilampirkan pada peran.

  4. Untuk melihat izin yang diberikan kebijakan, pilih kebijakan.

Memperbarui profil instance out-of-date default

Jika profil instans default tidak memiliki izin yang diperlukan, Anda dapat menambahkan kebijakan terkelola ke peran yang ditetapkan sebagai profil instans EC2 secara manual.

Untuk menambahkan kebijakan terkelola ke peran yang dilampirkan ke profil instans default

  1. Buka halaman Peran di konsol IAM.

  2. Pilih peran yang ditetapkan sebagai profil instans EC2 Anda.

  3. Di tab Izin, klik Lampirkan kebijakan.

  4. Jenis AWSElasticBeanstalk untuk memfilter kebijakan.

  5. Pilih kebijakan berikut, dan kemudian pilih Lampirkan kebijakan:

    • AWSElasticBeanstalkWebTier

    • AWSElasticBeanstalkWorkerTier

    • AWSElasticBeanstalkMulticontainerDocker

Menambahkan izin ke profil instans default

Jika aplikasi Anda mengakses AWS API atau resource yang izinnya tidak diberikan di profil instance default, tambahkan kebijakan yang memberikan izin di konsol IAM.

Untuk menambahkan kebijakan ke peran yang dilampirkan ke profil instans default

  1. Buka Halaman peran di konsol IAM.

  2. Pilih peran yang ditetapkan sebagai profil instans EC2 Anda.

  3. Di tab Izin, pilih Lampirkan kebijakan.

  4. Pilih kebijakan terkelola untuk layanan tambahan yang digunakan aplikasi Anda. Misalnya, AmazonS3FullAccess atau AmazonDynamoDBFullAccess.

  5. Memilih Lampirkan kebijakan.